Material Suplimentar GDPR

GDPR
CURS
RESPONSABIL CU
PROTECTIA DATELOR
CU CARACTER PERSONAL
1
GDPR
PROGRAMA CURSULUI
-biblioraftul Responsabilului cu Protecția Datelor-
Regulament nr. 679 din 27 aprilie 2016 privind

protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și privind
libera circulație a acestor date și de abrogare a
Directivei 95/46/CE ( Regulamentul general privind
protecția datelor)
2
GDPR
LEGISLAȚIE CONEXĂ
-LEGE nr.102 din 3 mai 2005 privind înființarea, organizarea și funcționarea
Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter
Personal.
-LEGE nr.129 din 15 iunie 2018 pentru modificare și completarea Legii

nr.102/2005 privind înființarea, organizarea și funcționarea Autorității
Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum
și pentru agrogarea Legii nr.677/2001 pentru protecția persoanelor cu privire
la prelucrarea datelor cu character personal și libera circulație a acestor date.
-LEGE nr.190 din 18 iulie 2018 privind măsuri de punere în aplicare a

Regulamentului (UE) 679/2016 al Parlamentului European și al Consliliului din
27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și privind libera circulație a acestor
date și de abrogare a Directivei 95/46/CE (Regulamentul general privind
protecția datelor)
3
GDPR
DECIZII ALE
AUTORITĂȚII NAȚIONALE DE SUPRAVEGHERE A
PRELUCRARII DATELOR CU CARACTER PERSONAL
-Decizie nr.128 din 22 iunie 2018 privind aprobarea formularului tipizat
al notificării de încălcare a securității datelor cu character personal în
conformitate cu Regulamentul (UE) 679/2016
-Decizie nr.133 din 3 iulie 2018 privind aprobarea Procedurii de primire

și soluționare a plângerilor
-Decizie nr.161 din 9 octombrie 2018 privind aprobarea Procedurii de

efectuare a investigațiilor
-Decizie nr.174 din 18 octombrie 2018 privind lista operațiunilor pentru

care este obligatorie realizarea evaluării impactului asupra protecției
datelor cu caracter personal
4
GDPR
AUTORITATEA NAȚIONALĂ DE SUPRAVEGHERE A

PRELUCRĂRII DATELOR CU CARACTER PERSONAL
-Autoritatea naţională de supraveghere are drept obiectiv apărarea drepturilor şi
libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţă intimă,
familială şi privată, în legătură cu prelucrarea datelor cu caracter personal şi cu libera
circulaţie a acestor date.
-Autoritatea naţională de supraveghere îşi exercită atribuţiile în mod transparent şi

imparţial.
-Autoritatea naţională de supraveghere nu poate fi supusă nici unui mandat imperativ

sau reprezentativ, nici unor influenţe externe directe sau indirecte ori vreunei
instrucţiuni sau dispoziţii de la o parte externă, în cadrul îndeplinirii sarcinilor şi al
exercitării competenţelor sale.
-Preşedintele Autorităţii naţionale de supraveghere este numit de Senat, pentru un

mandat cu durata de 5 ani.
-Site-ul ANSPDCP - www.dataprotection.ro
5
GDPR
Autoritatea Națională pentru Calificări
Standardul ocupațional pentru Educația și

Formarea profesională a Responsabilului cu
Protecția Datelor cu Caracter Personal
Cod COR 242231
6
GDPR
Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice
în ceea ce privește prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul
general privind protecția datelor) de la început ne transmite un mesaj foarte
clar:
Considerentul 1
(1)Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu
caracter personal este un drept fundamental.
Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene ("carta")
şi articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii Europene (TFUE)
prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o
privesc.
7
GDPR
TRATATUL PRIVIND FUNCȚIONAREA UNIUNII EUROPENE

Articolul 16
(1) Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.
(2) Parlamentul European și Consiliul, hotărând în conformitate cu procedura legislativă ordinară,
stabilesc normele privind protec ția persoanelor fizice în ceea ce prive ște prelucrarea datelor cu
caracter personal de către institu țiile, organele, oficiile și agen țiile Uniunii, precum și de către
statele membre în exercitarea activităților care fac parte din domeniul de aplicare a dreptului
Uniunii, precum și normele privind libera circulație a acestor date. Respectarea acestor norme face
obiectul controlului unor autorit ăți independente.
Normele adoptate în temeiul prezentului articol nu aduc atingere normelor specifice prev ăzute la
articolul 39 din Tratatul privind Uniunea Europeană.
CARTA DREPTURILOR FUNDAMENTALE A UNIUNII EUROPENE

(2012/C 326/02)
Articolul 8
Protecția datelor cu caracter personal
(1) Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.
(2) Asemenea date trebuie tratate în mod corect, în scopurile precizate și pe baza
consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prev ăzut de lege.
Orice persoană are dreptul de acces la datele colectate care o privesc, precum și dreptul de a
obține rectificarea acestora.
(3) Respectarea acestor norme se supune controlului unei autorități independente.
8
GDPR
CODUL CIVIL
Secţiunea a 3-a Respectul vieţii private şi al demnităţii persoanei umane
Articolul 70
Dreptul la libera exprimare
(1) Orice persoană are dreptul la libera exprimare.
(2) Exercitarea acestui drept nu poate fi restrânsă decât în cazurile şi limitele
prevăzute la art. 75.
Articolul 71
Dreptul la viaţa privată
(1) Orice persoană are dreptul la respectarea vieţii sale private.
(2) Nimeni nu poate fi supus vreunor imixtiuni în viaţa intimă, personală sau de
familie, nici în domiciliul, reşedinţa sau corespondenţa sa, fără consimţământul său ori
fără respectarea limitelor prevăzute la art. 75.
(3) Este, de asemenea, interzisă utilizarea, în orice mod, a corespondenţei,
manuscriselor sau a altor documente personale, precum şi a informaţiilor din viaţa
privată a unei persoane, fără acordul acesteia ori fără respectarea limitelor prevăzute la
art. 75.
Articolul 72
Dreptul la demnitate
(1) Orice persoană are dreptul la respectarea demnităţii sale.
9
GDPR
(2) Este interzisă orice atingere adusă onoarei şi reputaţiei unei persoane, fără
consimţământul acesteia ori fără respectarea limitelor prevăzute la art. 75.
Articolul 73
Dreptul la propria imagine
(1) Orice persoană are dreptul la propria imagine.
(2) În exercitarea dreptului la propria imagine, ea poate să interzică ori să împiedice
reproducerea, în orice mod, a înfăţişării sale fizice ori a vocii sale sau, după caz,
utilizarea unei asemenea reproduceri. Dispoziţiile art. 75 rămân aplicabile.
Articolul 74
Atingeri aduse vieţii private
Sub rezerva aplicării dispoziţiilor art. 75, pot fi considerate ca atingeri aduse vieţii
private:
a) intrarea sau rămânerea fără drept în locuinţă sau luarea din aceasta a oricărui
obiect fără acordul celui care o ocupă în mod legal;
b) interceptarea fără drept a unei convorbiri private, săvârşită prin orice mijloace
tehnice, sau utilizarea, în cunoştinţă de cauză, a unei asemenea interceptări;
c) captarea ori utilizarea imaginii sau a vocii unei persoane aflate într-un spaţiu privat,
fără acordul acesteia;
d) difuzarea de imagini care prezintă interioare ale unui spaţiu privat, fără acordul celui
care îl ocupă în mod legal;
10
GDPR
e) ţinerea vieţii private sub observaţie, prin orice mijloace, în afară de cazurile
prevăzute expres de lege;
f) difuzarea de ştiri, dezbateri, anchete sau de reportaje scrise ori audiovizuale privind
viaţa intimă, personală sau de familie, fără acordul persoanei în cauză;
g) difuzarea de materiale conţinând imagini privind o persoană aflată la tratament în
unităţile de asistenţă medicală, precum şi a datelor cu caracter personal privind
starea de sănătate, problemele de diagnostic, prognostic, tratament, circumstanţe în
legătură cu boala şi cu alte diverse fapte, inclusiv rezultatul autopsiei, fără acordul
persoanei în cauză, iar în cazul în care aceasta este decedată, fără acordul familiei sau
al persoanelor îndreptăţite;
h) utilizarea, cu rea-credinţă, a numelui, imaginii, vocii sau asemănării cu o altă
persoană;
i) difuzarea sau utilizarea corespondenţei, manuscriselor ori a altor documente
personale, inclusiv a datelor privind domiciliul, reşedinţa, precum şi numerele de
telefon ale unei persoane sau ale membrilor familiei sale, fără acordul persoanei căreia
acestea îi aparţin sau care, după caz, are dreptul de a dispune de ele.
11
GDPR
Articolul 75
Limite
(1) Nu constituie o încălcare a drepturilor prevăzute în această secţiune atingerile care
sunt permise de lege sau de convenţiile şi pactele internaţionale privitoare la drepturile
omului la care România este parte.
(2) Exercitarea drepturilor şi libertăţilor constituţionale cu bună-credinţă şi cu
respectarea pactelor şi convenţiilor internaţionale la care România este parte nu
constituie o încălcare a drepturilor prevăzute în prezenta secţiune.
Articolul 76
Prezumţia de consimţământ
Când însuşi cel la care se referă o informaţie sau un material le pune la dispoziţia unei
persoane fizice ori persoane juridice despre care are cunoştinţă că îşi desfăşoară
activitatea în domeniul informării publicului, consimţământul pentru utilizarea acestora
este prezumat, nefiind necesar un acord scris.
Articolul 77
Prelucrarea datelor personale
Orice prelucrare a datelor cu caracter personal, prin mijloace automate sau
neautomate, se poate face numai în cazurile şi condiţiile prevăzute de legea specială.
12
GDPR
CODUL MUNCII
TITLUL I - Dispoziţii generale
CAPITOLUL 2 - Principii fundamentale
Art. 6. [protecţia salariaţilor]
(1) Orice salariat care prestează o muncă beneficiază de condiţii de muncă adecvate activităţii
desfăşurate, de protecţie socială, de securitate şi sănătate în muncă, precum şi de respectarea
demnităţii şi a conştiinţei sale, fără nici o discriminare.
(2) Tuturor salariaţilor care prestează o muncă le sunt recunoscute dreptul la negocieri colective,
dreptul la protecţia datelor cu caracter personal, precum şi dreptul la protecţie împotriva
concedierilor nelegale.
(3) Pentru munca egală sau de valoare egală este interzisă orice discriminare bazată pe criteriul
de sex cu privire la toate elementele şi condiţiile de remunerare.
TITLUL II – Contractul individual de muncă

CAPITOLUL 2 – Executarea contractului individual de muncă
Art. 40 . [principalele drepturi si obligatii ale angajatorului]
(1) Angajatorul are, in principal, urmatoarele drepturi:
a) sa stabileasca organizarea si functionarea unitatii;
b) sa stabileasca atributiile corespunzatoare fiecarui salariat, in conditiile legii;
c) sa dea dispozitii cu caracter obligatoriu pentru salariat, sub rezerva legalitatii lor;
d) sa exercite controlul asupra modului de indeplinire a sarcinilor de serviciu;
e) sa constate savarsirea abaterilor disciplinare si sa aplice sanctiunile corespunzatoare, potrivit
legii, contractului colectiv de munca aplicabil si regulamentului intern;
13
GDPR
f) sa stabileasca obiectivele de performanta individuala, precum si criteriile de evaluare a realizarii

acestora.
(2) Angajatorului in revin, in principal, urmatoarele obligatii:
a) sa informeze salariatii asupra conditiilor de munca si asupra elementelor care privesc
desfasurarea relatiilor de munca;
b) sa asigure permanent conditiile tehnice si organizatorice avute in vedere la elaborarea
normelor de munca si conditiile corespunzatoare de munca;
……………………………………………………………………………………………………………………….
e) sa se consulte cu sindicatul sau, dupa caz, cu reprezentantii salariatilor in privinta deciziilor
susceptibile sa afecteze substantial drepturile si interesele acestora;
……………………………………………………………………………………………………………………
i) sa asigure confidentialitatea datelor cu caracter personal ale salariatilor.
TITLUL VI - Formarea profesională

CAPITOLUL 1 - Dispoziţii generale
Art. 192 . [obiectivele formarii profesionale]
(1) Formarea profesionala a salariatilor are urmatoarele obiective principale:
a) adaptarea salariatului la cerintele postului sau ale locului de munca;
b) obtinerea unei calificari profesionale;
c) actualizarea cunostintelor si deprinderilor specifice postului si locului de munca si
perfectionarea pregatirii profesionale pentru ocupatia de baza;
d) reconversia profesionala determinata de restructurari socioeconomice;
e) dobandirea unor cunostinte avansate, a unor metode si procedee moderne, necesare pentru
14
GDPR
realizarea activitatilor profesionale;

f) prevenirea riscului somajului;
g) promovarea in munca si dezvoltarea carierei profesionale.
(2) Formarea profesionala si evaluarea cunostintelor se fac pe baza standardelor
ocupationale.
Art. 193 . [tipologia formării profesionale]

Formarea profesională a salariaţilor se poate realiza prin următoarele forme:
a) participarea la cursuri organizate de către angajator sau de către furnizorii de
servicii de formare profesională din ţară sau din străinătate;
b) stagii de adaptare profesională la cerinţele postului şi ale locului de muncă;
c) stagii de practică şi specializare în ţară şi în străinătate;
d) ucenicie organizată la locul de muncă;
e) formare individualizată;
f) alte forme de pregătire convenite între angajator şi salariat.
Art. 194 . [obligativitatea programelor de formare profesională]

(1) Angajatorii au obligaţia de a asigura participarea la programe de formare
profesională pentru toţi salariaţii, după cum urmează:
a) cel puţin o dată la 2 ani, dacă au cel puţin 21 de salariaţi;
b) cel puţin o dată la 3 ani, dacă au sub 21 de salariaţi.
(2) Cheltuielile cu participarea la programele de formare profesională, asigurată în
condiţiile alin. (1), se suportă de către angajatori.
15
GDPR
Domeniul de aplicare material - Art. 2
(1)Prezentul regulament se aplică
-prelucrării datelor cu caracter personal, efectuată total sau parţial prin

mijloace automatizate, precum şi prelucrării prin alte mijloace
decât cele automatizate a datelor cu caracter personal care fac
parte dintr-un sistem de evidenţă a datelor sau care sunt destinate
să facă parte dintr-un sistem de evidenţă a datelor.
16
GDPR
Domeniul de aplicare material - Art. 2
(2)Prezentul regulament NU se aplică
-prelucrării datelor cu caracter personal:

a) în cadrul unei activităţi care nu intră sub incidenţa dreptului Uniunii;
b) de către statele membre atunci când desfăşoară activităţi care intră
sub incidenţa capitolului 2 al titlului V din Tratatul UE (se referă la -
dispoziții speciale privind politica externă și de securitate comună);
c) de către o persoană fizică în cadrul unei activităţi exclusiv personale
sau domestice;
d) de către autorităţile competente în scopul prevenirii, investigării,
depistării sau urmăririi penale a infracţiunilor, sau al executării
sancţiunilor penale, inclusiv al protejării împotriva ameninţărilor la
adresa siguranţei publice şi al prevenirii acestora.
17
GDPR
Prelucrarea datelor cu caracter personal de către instituţiile,

organele, oficiile şi agenţiile Uniunii
(3)Pentru prelucrarea datelor cu caracter personal de către instituţiile,

organele, oficiile şi agenţiile Uniunii, se aplică Regulamentul (CE) nr.
45/2001.
Regulamentul (CE) nr. 45/2001 şi alte acte juridice ale Uniunii aplicabile
unei asemenea prelucrări a datelor cu caracter personal se adaptează
la principiile şi normele din prezentul regulament în conformitate cu
articolul 98.
(4)Prezentul regulament nu aduce atingere aplicării Directivei

2000/31/CE, în special normelor privind răspunderea furnizorilor de
servicii intermediari, prevăzute la articolele 12-15 din directiva
menţionată.
18
GDPR
Domeniul de aplicare teritorial - Art. 3:
(1)Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul

activităţilor unui sediu al unui operator sau al unei persoane împuternicite de operator
pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
(2)Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor

persoane vizate care se află în Uniune de către un operator sau o persoană
împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când
activităţile de prelucrare sunt legate de:
a)oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune,
indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată; sau
b)monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
(3)Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un

operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se
aplică în temeiul dreptului internaţional public.
19
GDPR
Definiţii - Art.4
În sensul prezentului regulament:

Art. 4 clarifică următorii termeni:
1. "date cu caracter personal"
-înseamnă orice informaţii privind o persoană fizică identificată sau

identificabilă ("persoana vizată"); o persoană fizică identificabilă este o persoană
care poate fi identificată, direct sau indirect, în special prin referire la un element
de identificare, cum ar fi un nume, un număr de identificare, date de localizare,
un identificator online, sau la unul sau mai multe elemente specifice, proprii
identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau
sociale.
20
GDPR
Date cu caracter personal pe care le prelucrăm:
-nume și prenume
-adresa de domiciliu
-semnătura
-adresa de email – prenume.nume@companie.ro
-data nașterii
-adresa de IP a telefonului
-locația disponibilă pe telefonul mobil
-cod poștal
ATENȚIE – Datele cu caracter personal se referă la o persoană fizică

identificată sau identificabilă.
21
GDPR
2. "prelucrare"
-înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter
personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de
mijloace automatizate
………………………………………………………………………………………………………………………..
Exemple de prelucrare a datelor cu caracter personal
-colectarea
-înregistrarea
-organizarea
-structurarea
-stocarea
-adaptarea sau modificarea
-extragerea
-consultarea
-utilizarea
-divulgarea prin transmitere
-diseminarea sau punerea la dispoziţie în orice alt mod
-alinierea sau combinarea
-restricţionarea
-ştergerea sau distrugerea
22
GDPR
"persoana vizată"
-o persoană fizică identificată sau identificabilă
………………………………………………………………………………………………………………………
Exemple de persoane vizate
-salariați
-candidați
-furnizori
-elevi
-părinți
-pacienți
-clienți
23
GDPR
”Prelucrarea pe scară largă”
Regulamentul 679/2016 ne arată în Considerentul 91 că:

- Aceasta (evaluarea impactului ) ar trebui să se aplice, în special, operaţiunilor de
prelucrare la scară largă, care au drept obiectiv prelucrarea unui volum
considerabil de date cu caracter personal la nivel regional, naţional sau
supranaţional, care ar putea afecta un număr mare de persoane vizate şi care
sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilităţii lor, în
cazul în care, în conformitate cu nivelul atins al cunoştinţelor tehnologice, se foloseşte
la scară largă o tehnologie nouă, precum şi altor operaţiuni de prelucrare care
generează un risc ridicat pentru drepturile şi libertăţile persoanelor vizate, în special în
cazul în care operaţiunile respective limitează capacitatea persoanelor vizate de a-şi
exercita drepturile.
……………………………………………………………………………………………………
Grupul de Lucru Articolul 29 (conform Directivei 95/46/CE) recomandă ca următorii factori să fie
luați în considerare atunci când se stabilește dacă ”prelucarea este efectuată pe o scară
largă”:
• numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă
• volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare
• durata sau permanența activității de prelucrare a datelor
• suprafața geografică a activității de prelucrare
24
GDPR
Exemplele de ”prelucrări pe scară largă” includ:
• prelucrarea datelor pacienților în activitatea regulată a unui spital

• prelucrarea datelor de călătorie a unei persoane fizice ce utilizează sistemul de
transport public (spre exemplu urmărire cu ajutorul cardurilor de călătorie)
• prelucrarea în timp real a datelor de geolocalizare a clienților unei rețele
internaționale de fast food în scopuri statistice de către o persoană împuternicită de
operator specializată în furnizarea serviciilor de acest tip
• prelucrarea datelor clienților în activitatea regulată a unei companii de asigurări sau a
unei bănci
• prelucrarea datelor personale de către un motor de căutare în scop de publicitate
comportamentală
• prelucrarea datelor (conținut, trafic, localizare) de către furnizorii de telefonie sau
servicii de Internet
25
GDPR
Exemplele ce nu constituie ”prelucrări pe scară largă” includ:
• prelucrarea datelor pacientului de către un medic individual

• prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către
un avocat individual
Noțiunea de ”Prelucrare pe scară largă” o regăsim în:
-Art.35 alin.3 lit.b – Evaluarea impactului asupra protecției datelor și

consultarea prealabilă
-Art.37 alin.1 lit.b – Responsabilul cu protecția datelor
26
GDPR
3. "restricţionarea prelucrării"
-înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita

prelucrarea viitoare a acestora;
27
GDPR
4. "creare de profiluri" – regăsim și în art.22 (procesul decizional automatizat,

inclusiv crearea de profiluri)
-înseamnă orice formă de prelucrare automată a datelor cu caracter personal care

constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte
personale referitoare la o persoană fizică, în special pentru a analiza sau
prevedea aspecte privind:
-performanţa la locul de muncă

-situaţia economică
-sănătatea
-preferinţele personale
-interesele
-fiabilitatea
-comportamentul
-locul în care se află persoana fizică respective sau
-deplasările acesteia
28
GDPR
5. "pseudonimizare"
-Înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât

acestea:
-să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii
suplimentare
-cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul
unor măsuri de natură tehnică şi organizatorică care să asigure neatribuirea
respectivelor date cu caracter personal unei persoane fizice identificate sau
identificabile
29
GDPR
6. "sistem de evidenţă a datelor"
-înseamnă orice set structurat de date cu caracter personal accesibile conform unor
criterii specifice, fie ele
- centralizate,
- descentralizate sau
- repartizate
după criterii funcţionale sau geografice.
Exemple:
1.- tabel de evidență întocmit în format electronic, pe calculator, în care se
înregistrează datele personale ale unor categorii de persoane și care sunt accesibile cu
ajutorul funcției de ”căutare”;
2.- registru – tip în format fizic, pe hârtie, în scopul ținerii unei evidențe după anumite
criterii, de ex. în ordine alfabetică;
3.- sistem de camere video care înregistrează imaginile persoanelor fizice pentru
monitorizarea accesului în diferite spații și care permite căutarea imaginilor după data
înregistrării.
30
GDPR
7. "operator"
-persoana fizică sau

-persoană juridică,
-autoritatea publică,
-agenţia sau
-alt organism
care, singur sau împreună cu altele:
-stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal
-atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau
dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi
prevăzute în dreptul Uniunii sau în dreptul intern;
31
GDPR
8. "persoană împuternicită de operator" – regăsim în art.28

-Înseamnă:
-persoana juridică,
-agenţia sau
-alt organism
care prelucrează datele cu caracter personal în numele operatorului.
-Pe lângă prelucrarea de date pentru alte entități, persoanele împuternicite de operator
vor fi și operatori de date propriu-ziși în ceea ce privește prelucrarea pe care
o efectuează în scopuri proprii, de exemplu gestionarea personalului, a vânzărilor și
a clienților proprii.
-Persoana împuternicită de operator nu prelucrează datele decât la cererea
operatorului, cu excepția cazului în care dreptul Uniunii sau dreptul intern îl obligă să
facă acest lucru (art.29). Contractul dintre operator și persoana împuternicită
de operator constituie un element esențial al relației dintre aceștia și are
caracter juridic obligatoriu.
-Persoana împuternicită de operator trebuie să îndeplinească două condiții de bază: pe
de o parte, aceasta trebuie să fie o entitate juridică distinctă în raport cu operatorul și,
pe de altă parte, să prelucreze datele personale în numele acestuia.
32
GDPR
Operatori asociați – Art.26
-În cazul în care doi sau mai mulţi operatori stabilesc în comun scopurile şi
mijloacele de prelucrare, aceştia sunt operatori asociaţi.
-Ei stabilesc într-un mod transparent responsabilităţile fiecăruia în ceea ce priveşte

îndeplinirea obligaţiilor care le revin în temeiul prezentului regulament.
…………………………………………………………………………………………………………………..
Exemple de operatori asociați
-INS și STS – în cazul RECENSĂMÂNTULUI
33
GDPR
9. "destinatar"
Înseamnă:
-persoana juridică,
-agenţia sau
-alt organism
căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este
sau nu o parte terţă.
-cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter
personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau
cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de
către autorităţile publice respective respectă normele aplicabile în materie de protecţie
a datelor, în conformitate cu scopurile prelucrării;
Exemple de destinatari
-ITM
-Bănci
-Autorități publice
-Furnizori
34
GDPR
10. "parte terţă"
Înseamnă o:
-persoană fizică sau

-persoană juridică,
-autoritate publică,
-agenţie sau
-organism
altul decât
-persoana vizată,
-operatorul,
-persoana împuternicită de operator şi
-persoanele
care,
sub directa autoritate a operatorului sau a persoanei împuternicite de
operator, sunt autorizate să prelucreze date cu caracter personal.
35
GDPR
REZUMAT
7. "operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care,
singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal;
atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul
sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
8. "persoană împuternicită de operator" înseamnă persoana fizică sau juridică, autoritatea publică,
agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
9. "destinatar" înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism
căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu
toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite
anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea
acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor,
în conformitate cu scopurile prelucrării;
10. "parte terţă" înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât
persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa
autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze
date cu caracter personal;
”Operatori asociați”
(1)În cazul în care doi sau mai mulţi operatori stabilesc în comun scopurile şi mijloacele de
prelucrare, aceştia sunt operatori asociaţi. Ei stabilesc într-un mod transparent responsabilităţile
fiecăruia în ceea ce priveşte îndeplinirea obligaţiilor care le revin în temeiul prezentului regulament, în special
în ceea ce priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecăruia de furnizare a
informaţiilor prevăzute la articolele 13 şi 14, prin intermediul unui acord între ei, cu excepţia cazului şi în
măsura în care responsabilităţile operatorilor sunt stabilite în dreptul Uniunii sau în dreptul intern care se
aplică acestora. Acordul poate să desemneze un punct de contact pentru persoanele vizate.
36
GDPR
11. "consimţământ" al persoanei vizate – regăsim și în art.6-9
Înseamnă orice manifestare de voinţă:

-liberă
-specifică
-informată
-lipsită de ambiguitate,
a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o
acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie
prelucrate
37
GDPR
12. "încălcarea securităţii datelor cu caracter personal"-explicat în art.32-34
Înseamnă o încălcare a securităţii care duce, în mod

-accidental sau
-ilegal,
la
-distrugerea
-pierderea
-modificarea
-divulgarea neautorizată,
a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod,
sau
la
-accesul neautorizat la acestea
38
GDPR
13. "date genetice" înseamnă datele cu caracter personal referitoare la

caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care
oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care
rezultă în special în urma unei analize a unei mostre de material biologic
recoltate de la persoana în cauză;
14. "date biometrice" înseamnă date cu caracter personal care rezultă în urma unor
tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice
sau comportamentale ale unei persoane fizice care permit sau confirmă
identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele
dactiloscopice;
Considerentul 51
Prelucrarea fotografiilor nu ar trebui să fie considerată în mod sistematic ca fiind o prelucrare de
categorii speciale de date cu caracter personal, întrucât fotografiile intră sub incidenţa definiţiei
datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice
care permit identificarea unică sau autentificarea unei persoane fizice.
15. "date privind sănătatea" înseamnă date cu caracter personal legate de

sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de
asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia;
39
GDPR
PRINCIPII
Art.5

Articolul 5 din Regulamentul UE privind protecția datelor cu caracter
personal, stabilește principiile care reglementează prelucrarea datelor
cu caracter personal.
Acestea se referă la:

1.-legalitate, echitate și transparență
2.-limitări legate de scop
3.-reducerea la minimum a datelor
4.-exactitatea datelor
5.-limitări legate de stocare
6.-integritate și confidențialitate
7.-responsabilitate
40
GDPR
-Cele 7 Principii servesc ca punct de plecare pentru dispoziții mai

detaliate în articolele următoare ale Regulamentului.
-De asemenea, orice legislație ulterioară privind protecția datelor la

nivelul CoE sau al UE trebuie să respecte aceste principii, iar acestea
trebuie avute în vedere în momentul interpretării legislației în vigoare.
41
GDPR
PRINCIPIILE PRELUCRĂRII
Datele cu caracter personal trebuie:
1.-prelucrate în mod legal, echitabil și transparent față de persoana vizată –

”legalitate, echitate, transparență”
2.-colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate

ulterior într-un mod incompatibil cu aceste scopuri – ”limitări legate de scop”
3.-adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în

care sunt prelucrate – ”reducerea la minimum a datelor”
4.-exacte și, în cazul în care este necesar, să fie actualizate – ”exactitate”
42
GDPR
PRINCIPIILE PRELUCRĂRII
Datele cu caracter personal trebuie:
5.-păstrate într-o formă care permite identificarea persoanelor vizate pe o

perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care
sunt prelucrate datele – ”limitări legate de stocare”
6.-prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter

personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva
pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri
tehnice sau organizatorice corespunzătoare – ”integritate și confidențialitate”
7.-Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra

această respectare - "responsabilitate"
43
GDPR
LEGALITATEA PRELUCRĂRII
Art.6
1.-persoana vizată și-a dat consimțământul pentru prelucrarea

datelor sale cu caracter personal pentru unul sau mai multe scopuri
specifice
2.-prelucrarea este necesară pentru executarea unui contract la care

persoana vizată este parte sau pentru a face demersuri la cererea
persoanei vizate înainte de încheierea unui contract
3.-prelucrarea este necesară în vederea îndeplinirii unei obligații legale

care îi revine operatorului
44
GDPR
Art.6
4.-prelucrarea este necesară pentru a proteja interesele vitale ale

persoanei vizate sau ale altei persoane fizice
5.-prelucrarea este necesară pentru îndeplinirea unei sarcini care

servește unui interes public sau care rezultă din exercitarea autorității
publice cu care este învestit operatorul
6.-prelucrarea este necesară în scopul intereselor legitime urmărite

de operator sau de o parte terță, cu excepția cazului în care prevalează
interesele sau drepturile și libertățile fundamentale ale persoanei
vizate, care necesită protejarea datelor cu caracter personal, în special
atunci când persoana vizată este un copil
45
GDPR
Art.6
-Sintetizând, Temeiul juridic sau Legalitatea prelucrării se bazează pe:
1.-consimţământul persoanei vizate

2.-executarea unui contract
3.-obligaţie legală a operatorului
4.-interes vital
5.-interes public sau prerogative de autoritate
6.-interes legitim - proporţional cu interesul persoanei vizate (nu se
aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea
atribuțiilor lor)
46
GDPR
În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter
personal au fost colectate nu se bazează pe consimțământul persoanei vizate
sau pe dreptul Uniunii sau dreptul intern atunci, Operatorul respectând
proporționalitatea prelucrării, pentru a stabili dacă prelucrarea în alt scop este
compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, ia
în considerare, printre altele:
a)orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi
scopurile prelucrării ulterioare preconizate;
b)contextul în care datele cu caracter personal au fost colectate, în special în ceea ce
priveşte relaţia dintre persoanele vizate şi operator;
c)natura datelor cu caracter personal, în special în cazul prelucrării unor categorii
speciale de date cu caracter personal, în conformitate cu articolul 9, sau în cazul în care
sunt prelucrate date cu caracter personal referitoare la condamnări penale şi
infracţiuni, în conformitate cu articolul 10;
d)posibilele consecinţe asupra persoanelor vizate ale prelucrării ulterioare preconizate;
e)existenţa unor garanţii adecvate, care pot include criptarea sau
pseudonimizarea.
47
GDPR
CONDIȚII PRIVIND CONSIMȚĂMÂNTUL

Art.7
Pentru consistența enunțului, reluăm definiția ”Consimțământului” persoanei vizate

(art.4 alin.11):
Înseamnă orice manifestare de voinţă:
-liberă
-specifică
-informată
-lipsită de ambiguitate,
a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o
acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie
prelucrate.
CONCLUZIE
• declarație făcută în scris într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu
• declarație în format electronic - bifarea unei căsuțe atunci când persoana vizitează un site
• declarație exprimată verbal
Absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu constituie un consimțământ.
48
GDPR
(1)În cazul în care prelucrarea se bazează pe consimţământ, operatorul

trebuie să fie în măsură să demonstreze că persoana vizată şi-a dat
consimţământul pentru prelucrarea datelor sale cu caracter personal - (rezultă că
sarcina probei este obligația operatorului și nu a persoanei vizate).
(2)În cazul în care consimţământul persoanei vizate este dat în contextul unei
declaraţii scrise care se referă şi la alte aspecte, cererea privind consimţământul
trebuie să fie prezentată într-o formă care o diferenţiază în mod clar de celelalte
aspecte, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi
simplu. Nicio parte a respectivei declaraţii care constituie o încălcare a prezentului
regulament nu este obligatorie.
(3)Persoana vizată are dreptul să îşi retragă în orice moment

consimţământul - (conceptul de opt-in și opt-out),
-Retragerea consimţământului nu afectează legalitatea prelucrării efectuate pe baza
consimţământului înainte de retragerea acestuia.
-Înainte de acordarea consimţământului, persoana vizată este informată cu
privire la acest lucru.
-Retragerea consimţământului se face la fel de simplu ca acordarea acestuia.
49
GDPR
Condiţii aplicabile în ceea ce priveşte consimţământul copiilor în legătură cu

serviciile societăţii informaţionale
Art.8
(1)În cazul în care se aplică articolul 6 alineatul (1) litera (a), (prelucrarea bazată pe
consimțământ), în ceea ce priveşte oferirea de servicii ale societăţii informaţionale în
mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este
legală dacă copilul are cel puţin vârsta de 16 ani.
Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală
numai dacă şi în măsura în care consimţământul respectiv este acordat sau
autorizat de titularul răspunderii părinteşti asupra copilului.
Statele membre pot prevedea prin lege o vârstă inferioară în aceste scopuri, cu condiţia
ca acea vârstă inferioară să nu fie mai mică de 13 ani.
(2)Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că
titularul răspunderii părinteşti a acordat sau a autorizat consimţământul, ţinând seama
de tehnologiile disponibile.
(3)Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele
membre, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract
în legătură cu un copil.
50
GDPR
PRELUCRAREA DE CATEGORII SPECIALE DE DATE CU CARACTER PERSONAL

Art.9
-Se interzice prelucrarea de date cu caracter personal care dezvăluie:
-originea rasială sau etnică

-opiniile politice
-confesiunea religioasă
-convingerile filozofice
-apartenenţa la sindicate
-prelucrarea de date genetice
-prelucrarea de date biometrice pentru identificarea unică a unei persoane fizice
-prelucrarea de date privind sănătatea
-prelucrarea de date privind viaţa sexuală
-prelucrarea de date privind orientarea sexuală ale unei persoane fizice
51
GDPR
PRELUCRAREA DE CATEGORII SPECIALE DE DATE CU CARACTER PERSONAL

Art.9
EXCEPȚII
a. -persoana vizată şi-a dat consimţământul explicit pentru prelucrarea
acestor date cu caracter personal pentru unul sau mai multe scopuri
specifice, cu excepţia cazului în care dreptul Uniunii sau dreptul intern prevede
ca interdicţia prevăzută la alineatul (1) să nu poată fi ridicată prin consimţământul
persoanei vizate
b. -prelucrarea este necesară în scopul îndeplinirii obligaţiilor şi al exercitării

unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul
ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale, în
măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul
intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern
care prevede garanţii adecvate pentru drepturile fundamentale şi interesele persoanei
vizate
Exemplu – înscrierea în REVISAL

52
GDPR
c. -prelucrarea este necesară pentru protejarea intereselor vitale ale

persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în
incapacitate fizică sau juridică de a-şi da consimţământul
d. -prelucrarea este efectuată în cadrul activităţilor lor legitime şi cu garanţii

adecvate de către o fundaţie, o asociaţie sau orice alt organism fără scop
lucrativ şi cu specific politic, filozofic, religios sau sindical, cu condiţia ca
prelucrarea să se refere numai la membrii sau la foştii membri ai organismului respectiv
sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale şi
ca datele cu caracter personal să nu fie comunicate terţilor fără consimţământul
persoanelor vizate
e. -prelucrarea se referă la date cu caracter personal care sunt făcute publice în

mod manifest de către persoana vizată
f. -prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui

drept în instanţă sau ori de câte ori instanţele acţionează în exerciţiul funcţiei lor
judiciare
53
GDPR
g. -prelucrarea este necesară din motive de interes public major, în baza dreptului
Uniunii sau a dreptului intern, care este proporţional cu obiectivul urmărit, respectă
esenţa dreptului la protecţia datelor şi prevede măsuri corespunzătoare şi specifice
pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate
h. -prelucrarea este necesară în scopuri legate de medicina preventivă sau a

muncii, de evaluarea capacităţii de muncă a angajatului, de stabilirea unui
diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui
tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate
sau de asistenţă socială, în temeiul dreptului Uniunii sau al dreptului intern
sau în temeiul unui contract încheiat cu un cadru medical şi sub rezerva
respectării condiţiilor şi garanţiilor prevăzute la alineatul (3)
i. -prelucrarea este necesară din motive de interes public în domeniul sănătăţii

publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa
sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă a asistenţei
medicale şi a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului
Uniunii sau al dreptului intern, care prevede măsuri adecvate şi specifice pentru
protejarea drepturilor şi libertăţilor persoanei vizate, în special a secretului professional
54
GDPR
j. -prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de

cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu
articolul 89 alineatul (1), -(art.89 alin.1 - Prelucrarea în scopuri de arhivare în interes
public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice are loc cu
condiţia existenţei unor garanţii corespunzătoare, în conformitate cu prezentul
regulament, pentru drepturile şi libertăţile persoanelor vizate), în baza dreptului
Uniunii sau a dreptului intern, care este proporţional cu obiectivul urmărit, respectă
esenţa dreptului la protecţia datelor şi prevede măsuri corespunzătoare şi specifice
pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate.
(3)Datele cu caracter personal menţionate la alineatul (1) pot fi prelucrate în

scopurile menţionate la alineatul (2) litera (h) (medicina, medicina muncii, asistența
socială) în cazul în care datele respective sunt prelucrate de către un profesionist
supus obligaţiei de păstrare a secretului profesional sau sub responsabilitatea
acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul
normelor stabilite de organisme naţionale competente sau de o altă persoană supusă,
de asemenea, unei obligaţii de confidenţialitate în temeiul dreptului Uniunii sau
al dreptului intern ori al normelor stabilite de organisme naţionale competente.
OBSERVAȚIE
Relația contractuală cu persoana vizată nu este considerată temei juridic pentru prelucrarea legitimă a datelor
sensibile, cu excepția contractelor cu cadrele medicale, care fac obiectul obligației de păstrare a secretului profesional.
55
GDPR
PRELUCRAREA DE DATE CU CARACTER PERSONAL REFERITOARE LA

CONDAMNĂRI PENALE ŞI INFRACŢIUNI
Art.10
Prelucrarea de date cu caracter personal referitoare la condamnări penale şi infracţiuni sau la
măsuri de securitate conexe în temeiul articolului 6 alineatul (1) se efectuează numai sub controlul
unei autorităţi de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de
dreptul intern care prevede garanţii adecvate pentru drepturile şi libertăţile persoanelor vizate.
Orice registru cuprinzător al condamnărilor penale se ţine numai sub controlul unei autorităţi de
stat.
PRELUCRAREA CARE NU NECESITĂ IDENTIFICARE
Art.11
(1)În cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu
necesită sau nu mai necesită identificarea unei persoane vizate de către operator, operatorul nu
are obligaţia de a păstra, obţine sau prelucra informaţii suplimentare pentru a identifica persoana
vizată în scopul unic al respectării prezentului regulament.
(2)Dacă, în cazurile menţionate la alineatul (1) din prezentul articol, operatorul poate demonstra
că nu este în măsură să identifice persoana vizată, operatorul informează persoana vizată în mod
corespunzător, în cazul în care este posibil. În astfel de cazuri, articolele 15-20 nu se aplică, cu
excepţia cazului în care persoana vizată, în scopul exercitării drepturilor sale în temeiul
respectivelor articole, oferă informaţii suplimentare care permit identificarea sa.
56
GDPR
DREPTURILE
Transparenţa informaţiilor, a comunicărilor şi a modalităţilor de exercitare a

drepturilor persoanei vizate
Art. 12
-baza procesuală a Notei de Informare-
(1)Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice
informaţii menţionate la articolele 13 şi 14 şi orice comunicări în temeiul
articolelor 15-22 şi 34 referitoare la prelucrare, într-o formă concisă, transparentă,
inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu, în special pentru orice
informaţii adresate în mod specific unui copil. Informaţiile se furnizează în scris sau prin
alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea
persoanei vizate, informaţiile pot fi furnizate verbal, cu condiţia ca identitatea persoanei
vizate să fie dovedită prin alte mijloace.
(2)Operatorul facilitează exercitarea drepturilor persoanei vizate în temeiul

articolelor 15-22. În cazurile menţionate la articolul 11 alineatul (2), operatorul nu
refuză să dea curs cererii persoanei vizate de a-şi exercita drepturile în
conformitate cu articolele 15-22, cu excepţia cazului în care operatorul
demonstrează că nu este în măsură să identifice persoana vizată.
57
GDPR
(3)Operatorul furnizează persoanei vizate informaţii privind acţiunile

întreprinse în urma unei cereri în temeiul articolelor 15-22, fără întârzieri
nejustificate şi în orice caz în cel mult o lună de la primirea cererii. Această
perioadă poate fi prelungită cu două luni atunci când este necesar, ţinându-se
seama de complexitatea şi numărul cererilor. Operatorul informează persoana
vizată cu privire la orice astfel de prelungire, în termen de o lună de la
primirea cererii, prezentând şi motivele întârzierii. În cazul în care persoana
vizată introduce o cerere în format electronic, informaţiile sunt furnizate în format
electronic acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită un
alt format.
(4)Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează

persoana vizată, fără întârziere şi în termen de cel mult o lună de la primirea
cererii, cu privire la motivele pentru care nu ia măsuri şi la posibilitatea de a depune o
plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac
judiciară.
58
GDPR
(5)Informaţiile furnizate în temeiul articolelor 13 şi 14 şi orice comunicare şi orice

măsuri luate în temeiul articolelor 15-22 şi 34 sunt oferite gratuit. În cazul în care
cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive,
în special din cauza caracterului lor repetitiv, operatorul poate:
a)fie să perceapă o taxă rezonabilă ţinând cont de costurile administrative
pentru furnizarea informaţiilor sau a comunicării sau pentru luarea măsurilor solicitate;
b)fie să refuze să dea curs cererii. În aceste cazuri, operatorului îi revine sarcina
de a demonstra caracterul vădit nefondat sau excesiv al cererii.
(6)Fără a aduce atingere articolului 11, în cazul în care are îndoieli întemeiate cu
privire la identitatea persoanei fizice care înaintează cererea menţionată la
articolele 15-21, operatorul poate solicita furnizarea de informaţii suplimentare
necesare pentru a confirma identitatea persoanei vizate.
(7)Informaţiile care urmează să fie furnizate persoanelor vizate în temeiul articolelor

13 şi 14 pot fi furnizate în combinaţie cu pictograme standardizate pentru a oferi
într-un mod uşor vizibil, inteligibil şi clar lizibil o imagine de ansamblu semnificativă
asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în
format electronic, acestea trebuie să poată fi citite automat.
59
GDPR
Informaţii care se furnizează în cazul în care datele cu caracter personal sunt

colectate de la persoana vizată
Art. 13
(1)În cazul în care datele cu caracter personal referitoare la o persoană vizată
sunt colectate de la aceasta, operatorul, în momentul obţinerii acestor date cu
caracter personal, furnizează persoanei vizate toate informaţiile următoare:
a)identitatea şi datele de contact ale operatorului şi, după caz, ale
reprezentantului acestuia;
b)datele de contact ale responsabilului cu protecţia datelor, după caz;
c)scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul
juridic al prelucrării;
d)în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f),
interesele legitime urmărite de operator sau de o parte terţă;
e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
f)dacă este cazul, intenţia operatorului de a transfera date cu caracter personal
către o ţară terţă sau o organizaţie internaţională şi existenţa sau absenţa
unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor
menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o
trimitere la garanţiile adecvate sau corespunzătoare şi la mijloacele de a obţine o
copie a acestora, în cazul în care acestea au fost puse la dispoziţie.
60
GDPR
(2)În plus faţă de informaţiile menţionate la alineatul (1), în momentul în care datele cu
caracter personal sunt obţinute, operatorul furnizează persoanei vizate următoarele
informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă:
a)perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu
este posibil, criteriile utilizate pentru a stabili această perioadă;
b)existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter
personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea
acestora sau restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum
şi a dreptului la portabilitatea datelor;
c)atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9
alineatul (2) litera (a), existenţa dreptului de a retrage consimţământul în orice
moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de
retragerea acestuia;
d)dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;
e)dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau
contractuală sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă
persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt
eventualele consecinţe ale nerespectării acestei obligaţii;
f)existenţa unui proces decizional automatizat incluzând crearea de profiluri,
menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective,
informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele
preconizate ale unei astfel de prelucrări pentru persoana vizată.
61
GDPR
Drepturile consfințite de legiuitor în art. 15-22 din Regulament sunt:
să primiți informații privind prelucrarea datelor dvs. cu caracter personal;

să obțineți acces la datele cu caracter personal deținute în legătură cu dvs.;
să solicitați corectarea datelor cu caracter personal incorecte, inexacte sau
incomplete;
să solicitați ștergerea datelor cu caracter personal când acestea nu mai sunt
necesare sau dacă prelucrarea acestora este ilegală;
să vă opuneți prelucrării datelor dvs. cu caracter personal în scopuri de marketing sau
din motive legate de situația particulară în care vă aflați;
să solicitați restricționarea prelucrării datelor dvs. cu caracter personal în anumite
cazuri;
să primiți datele dvs. cu caracter personal într-un format care poate fi citit automat și
să le trimiteți altui operator („portabilitatea datelor”);
să vă opuneți prelucrarii automate a datelor dvs. cu caracter personal
62
GDPR
DREPTUL DE ACCES
Art. 15
Dreptul de acces al persoanei vizate

(1)Persoana vizată are dreptul de a obţine din partea operatorului o confirmare că
se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ,
acces la datele respective şi la următoarele informaţii:
a)scopurile prelucrării;
b)categoriile de date cu caracter personal vizate;
c)destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-
au fost sau urmează să le fie divulgate, în special destinatari din ţări terţe sau
organizaţii internaţionale;
d)acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate
datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile
utilizate pentru a stabili această perioadă;
e)existenţa dreptului de a solicita operatorului rectificarea sau ştergerea datelor
cu caracter personal ori restricţionarea prelucrării datelor cu caracter personal
referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
f)dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;
63
GDPR
g)în cazul în care datele cu caracter personal nu sunt colectate de la persoana

vizată, orice informaţii disponibile privind sursa acestora, (în cazul intermediarilor,
art.14)
h)existenţa unui proces decizional automatizat incluzând crearea de profiluri,
menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective,
informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele
preconizate ale unei astfel de prelucrări pentru persoana vizată.
(2)În cazul în care datele cu caracter personal sunt transferate către o ţară terţă sau o
organizaţie internaţională, persoana vizată are dreptul să fie informată cu privire la
garanţiile adecvate în temeiul articolului 46 referitoare la transfer.
(3)Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul
prelucrării. Pentru orice alte copii solicitate de persoana vizată, operatorul poate
percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care persoana
vizată introduce cererea în format electronic şi cu excepţia cazului în care persoana
vizată solicită un alt format, informaţiile sunt furnizate într-un format electronic utilizat
în mod curent.
(4)Dreptul de a obţine o copie menţionată la alineatul (3) nu aduce atingere
drepturilor şi libertăţilor altora.
64
GDPR
DREPTUL LA RECTIFICARE
Art. 16
Persoana vizată are dreptul de a obţine de la operator, fără întârzieri nejustificate,

rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama
de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine
completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea
unei declaraţii suplimentare.
65
GDPR
DREPTUL LA ŞTERGEREA DATELOR ("DREPTUL DE A FI UITAT")

Art. 17
(1)Persoana vizată are dreptul de a obţine din partea operatorului ştergerea
datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar
operatorul are obligaţia de a şterge datele cu caracter personal fără întârzieri
nejustificate în cazul în care se aplică unul dintre următoarele motive:
a)datele cu caracter personal nu mai sunt necesare pentru îndeplinirea
scopurilor pentru care au fost colectate sau prelucrate;
b)persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea,
în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera
(a), şi nu există niciun alt temei juridic pentru prelucrare;
c)persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) şi nu
există motive legitime care să prevaleze în ceea ce priveşte prelucrarea sau persoana
vizată se opune prelucrării în temeiul articolului 21 alineatul (2);
d)datele cu caracter personal au fost prelucrate ilegal;
e)datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii
legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub
incidenţa căruia se află operatorul;
66
GDPR
f)datele cu caracter personal au fost colectate în legătură cu oferirea de

servicii ale societăţii informaţionale menţionate la articolul 8 alineatul (1).
(2)În cazul în care operatorul a făcut publice datele cu caracter personal şi

este obligat, în temeiul alineatului (1), să le şteargă, operatorul, ţinând seama
de tehnologia disponibilă şi de costul implementării, ia măsuri rezonabile, inclusiv
măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter
personal că persoana vizată a solicitat ştergerea de către aceşti operatori a oricăror
linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu
caracter personal.
67
GDPR
ȘTERGEREA DATELOR NU SE APLICĂ
(3)Alineatele (1) şi (2) nu se aplică în măsura în care prelucrarea este necesară:
a)pentru exercitarea dreptului la liberă exprimare şi la informare;

b)pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul
dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru
îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei
autorităţi oficiale cu care este învestit operatorul;
c)din motive de interes public în domeniul sănătăţii publice, în conformitate cu
articolul 9 alineatul (2) literele (h) şi (i) şi cu articolul 9 alineatul (3);
d)în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau
istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în
măsura în care dreptul menţionat la alineatul (1) este susceptibil să facă imposibilă sau
să afecteze în mod grav realizarea obiectivelor prelucrării respective; sau
e)pentru constatarea, exercitarea sau apărarea unui drept în instanţă.
68
GDPR
DREPTUL LA RESTRICŢIONAREA PRELUCRĂRII

Art. 18
(1)Persoana vizată are dreptul de a obţine din partea operatorului restricţionarea

prelucrării în cazul în care se aplică unul din următoarele cazuri:
a)persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite

operatorului să verifice exactitatea datelor;
b)prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter
personal, solicitând în schimb restricţionarea utilizării lor;
c)operatorul nu mai are nevoie de datele cu caracter personal în scopul
prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea
sau apărarea unui drept în instanţă;
d)persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1),
pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului
prevalează asupra celor ale persoanei vizate.
69
GDPR
(2)În cazul în care prelucrarea a fost restricţionată în temeiul alineatului (1), astfel
de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu
consimţământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui
drept în instanţă sau pentru protecţia drepturilor unei alte persoane fizice sau juridice
sau din motive de interes public important al Uniunii sau al unui stat membru.
(3)O persoană vizată care a obţinut restricţionarea prelucrării în temeiul

alineatului (1) este informată de către operator înainte de ridicarea restricţiei de
prelucrare.
70
GDPR
DREPTUL LA PORTABILITATEA DATELOR

Art. 20
(1)Persoana vizată are dreptul de a primi datele cu caracter personal care o

privesc şi pe care le-a furnizat operatorului într-un format structurat, utilizat în
mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui
operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu
caracter personal, în cazul în care:
a)prelucrarea se bazează pe consimţământ în temeiul articolului 6 alineatul (1)

litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul
articolului 6 alineatul (1) litera (b);
b)prelucrarea este efectuată prin mijloace automate.
71
GDPR
(2)În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1),

persoana vizată are dreptul ca datele cu caracter personal să fie transmise
direct de la un operator la altul acolo unde acest lucru este fezabil din punct de
vedere tehnic.
(3)Exercitarea dreptului menţionat la alineatul (1) din prezentul articol nu aduce

atingere articolului 17 (art.17-dreptul de a fi uitat). Respectivul drept nu se aplică
prelucrării necesare pentru îndeplinirea unei sarcini executate în interes
public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit
operatorul.
(4)Dreptul menţionat la alineatul (1) nu aduce atingere drepturilor şi

libertăţilor altora.
72
GDPR
DREPTUL LA OPOZIŢIE
Art.21
(1)În orice moment, persoana vizată are dreptul să se opună, din motive legate
de situaţia particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1)
litera (e) sau (f), a datelor cu caracter personal care o privesc, inclusiv creării de
profiluri pe baza respectivelor dispoziţii. Operatorul nu mai prelucrează datele cu
caracter personal, cu excepţia cazului în care operatorul demonstrează că are
motive legitime şi imperioase care justifică prelucrarea şi care prevalează
asupra intereselor, drepturilor şi libertăţilor persoanei vizate sau că scopul
este constatarea, exercitarea sau apărarea unui drept în instanţă.
(2)Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul
direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în
acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în
măsura în care este legată de marketingul direct respectiv.
(3)În cazul în care persoana vizată se opune prelucrării în scopul marketingului

direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.
73
GDPR
PROCESUL DECIZIONAL INDIVIDUAL AUTOMATIZAT, INCLUSIV CREAREA

DE PROFILURI
Art. 22
(1)Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv
pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte
juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură
semnificativă.
(2)Alineatul (1) nu se aplică în cazul în care decizia:

a)este necesară pentru încheierea sau executarea unui contract între persoana
vizată şi un operator de date;
b)este autorizată prin dreptul Uniunii sau dreptul intern care se aplică
operatorului şi care prevede, de asemenea, măsuri corespunzătoare pentru
protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate;
c)are la bază consimţământul explicit al persoanei vizate.
74
GDPR
În Art.4 alin.4 găsim definiția dată de legiuitor - "creare de profiluri" (procesul

decizional automatizat, inclusiv crearea de profiluri)
-înseamnă orice formă de prelucrare automată a datelor cu caracter personal care

constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte
personale referitoare la o persoană fizică, în special pentru a analiza sau
prevedea aspecte privind:
-performanţa la locul de muncă

-situaţia economică
-sănătatea
-preferinţele personale
-interesele
-fiabilitatea
-comportamentul
-locul în care se află persoana fizică respective sau deplasările acesteia
75
GDPR
Crearea de profiluri pe baza datelor masive (metadata, big data) presupune

căutarea unor modele care să reflecte „caracteristicile unui anumit tip de
personalitate” – de exemplu, situația în care site-urile de cumpărături propun
produse care „s-ar putea să vă placă”, pe baza informațiilor colectate despre produsele
plasate anterior în coșul de cumpărături de pe site.
Cu cât sunt disponibile mai multe date, cu atât este mai clar mozaicul profilării.
Smartphone-ul, de exemplu, este EL ÎNSUȘI un chestionar complex, pe care utilizatorul

îl completează cu fiecare utilizare, conștient sau inconștient.
Sectoarele bancar și financiar, asistența medicală, sectorul fiscal, asigurările,

marketingul și publicitatea, turismul și transportul aerian sunt doar câteva exemple de
domenii în care crearea de profiluri se efectuează cu regularitate pentru a contribui la
procesul decisional.
Crearea de profiluri și procesul decizional automatizat pot fi utile pentru operatori,

având ca beneficii – eficacitatea proceselor și a deciziilor / economii de resurse / politici
publice aplicate / implementarea de tehnologii noi / etc.
76
GDPR
RESTRICȚII GENERALE
Art.23
-în respectarea drepturilor (art.12-22) și a principiilor (art.5)-
(1)Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau
persoanei împuternicite de operator poate restricţiona printr-o măsură legislativă
domeniul de aplicare al obligaţiilor şi al drepturilor prevăzute la articolele
12-22 şi 34, precum şi la articolul 5 în măsura în care dispoziţiile acestuia
corespund drepturilor şi obligaţiilor prevăzute la articolele 12-22, atunci când o astfel
de restricţie respectă esenţa drepturilor şi libertăţilor fundamentale şi constituie o
măsură necesară şi proporţională într-o societate democratică, pentru a asigura:
77
GDPR
a)securitatea naţională;
b)apărarea;
c)securitatea publică;
d)prevenirea, investigarea, depistarea sau urmărirea penală a infracţiunilor sau
executarea sancţiunilor penale, inclusiv protejarea împotriva ameninţărilor la adresa
securităţii publice şi prevenirea acestora;
e)alte obiective importante de interes public general ale Uniunii sau ale unui stat
membru, în special un interes economic sau financiar important al Uniunii sau al unui
stat membru, inclusiv în domeniile monetar, bugetar şi fiscal şi în domeniul sănătăţii
publice şi al securităţii sociale;
f)protejarea independenţei judiciare şi a procedurilor judiciare;
g)prevenirea, investigarea, depistarea şi urmărirea penală a încălcării eticii în cazul
profesiilor reglementate;
h)funcţia de monitorizare, inspectare sau reglementare legată, chiar şi ocazional,
de exercitarea autorităţii oficiale în cazurile menţionate la literele (a)-(e) şi (g);
i)protecţia persoanei vizate sau a drepturilor şi libertăţilor altora;
(j)punerea în aplicare a pretenţiilor de drept civil.
78
GDPR
RESPONSABILITATEA OPERATORULUI
Art. 24
(1)Ţinând seama de natura, domeniul de aplicare, contextul şi scopurile

prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi
gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în
aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în
măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul
regulament.
Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.
(2)Atunci când sunt proporţionale în raport cu operaţiunile de prelucrare,

măsurile menţionate la alineatul (1) includ punerea în aplicare de către operator
a unor politici adecvate de protecţie a datelor.
(3)Aderarea la coduri de conduită aprobate, menţionate la articolul 40, sau la un

mecanism de certificare aprobat, menţionat la articolul 42, poate fi utilizată ca
element care să demonstreze respectarea obligaţiilor de către operator.
79
GDPR
ASIGURAREA PROTECȚIEI DATELOR ÎNCEPÂND CU MOMENTUL CONCEPERII

ȘI ÎN MOD IMPLICIT
Art.25
-conceptele de ”PRIVACY by DESIGN” și de ”PRIVACY by DEFAULT”-
(1)Având în vedere stadiul actual al tehnologiei, costurile implementării, şi

natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi
riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi
libertăţile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în
momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în
sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi
pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de
protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile
necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi a
proteja drepturile persoanelor vizate.
80
GDPR
(2)Operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a

asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt
necesare pentru fiecare scop specific al prelucrării.
Respectiva obligaţie se aplică
-volumului de date colectate
-gradului de prelucrare a acestora
-perioadei lor de stocare
-accesibilităţii lor.
În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu
pot fi accesate, fără intervenţia persoanei, de un număr nelimitat de
persoane.
81
GDPR
OPERATORI ASOCIAŢI
Art. 26
(1)În cazul în care doi sau mai mulţi operatori stabilesc în comun scopurile şi
mijloacele de prelucrare, aceştia sunt operatori asociaţi. Ei stabilesc într-un
mod transparent responsabilităţile fiecăruia în ceea ce priveşte îndeplinirea
obligaţiilor care le revin în temeiul prezentului regulament, în special în ceea ce
priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecăruia de
furnizare a informaţiilor prevăzute la articolele 13 şi 14, prin intermediul unui acord
între ei, cu excepţia cazului şi în măsura în care responsabilităţile operatorilor sunt
stabilite în dreptul Uniunii sau în dreptul intern care se aplică acestora. Acordul
poate să desemneze un punct de contact pentru persoanele vizate.
(2)Acordul menţionat la alineatul (1) reflectă în mod adecvat rolurile şi raporturile
respective ale operatorilor asociaţi faţă de persoanele vizate. Esenţa acestui
acord este făcută cunoscută persoanei vizate.
(3)Indiferent de clauzele acordului menţionat la alineatul (1), persoana vizată îşi
poate exercita drepturile în temeiul prezentului regulament cu privire la şi în
raport cu fiecare dintre operatori.
82
GDPR
PERSOANA ÎMPUTERNICITĂ DE OPERATOR

Art.28
1.-În cazul în care prelucrarea urmează să fie realizată în numele unui operator,
operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente
pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate,
astfel încât prelucrarea să respecte cerinţele prevăzute în prezentul
regulament şi să asigure protecţia drepturilor persoanei vizate.
2.-Persoana împuternicită de operator nu recrutează o altă persoană
împuternicită de operator fără a primi în prealabil o autorizaţie scrisă,
specifică sau generală, din partea operatorului.
3.-Prelucrarea de către o persoană împuternicită de un operator este
reglementată printr-un contract sau alt act juridic în temeiul dreptului Uniunii
sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită
de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării,
natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile
de persoane vizate şi obligaţiile şi drepturile operatorului.
83
GDPR
Respectivul contract sau act juridic prevede în special că persoană împuternicită de operator:
a)prelucrează datele cu caracter personal numai pe baza unor instrucţiuni documentate din partea
operatorului, inclusiv în ceea ce priveşte transferurile de date cu caracter personal către o ţară terţă sau o
organizaţie internaţională, cu excepţia cazului în care această obligaţie îi revine persoanei împuternicite în
temeiul dreptului Uniunii sau al dreptului intern care i se aplică; în acest caz, notifică această obligaţie juridică
operatorului înainte de prelucrare, cu excepţia cazului în care dreptul respectiv interzice o astfel de notificare din
motive importante legate de interesul public;
b)se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte
confidenţialitatea sau au o obligaţie statutară adecvată de confidenţialitate;
c)adoptă toate măsurile necesare în conformitate cu articolul 32;
d)respectă condiţiile menţionate la alineatele (2) şi (4) privind recrutarea unei alte persoane împuternicite de
operator;
e)ţinând seama de natura prelucrării, oferă asistenţă operatorului prin măsuri tehnice şi organizatorice
adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligaţiei operatorului de a răspunde
cererilor privind exercitarea de către persoana vizată a drepturilor prevăzute în capitolul III;
f)ajută operatorul să asigure respectarea obligaţiilor prevăzute la articolele 32-36, ţinând seama de
caracterul prelucrării şi informaţiile aflate la dispoziţia persoanei împuternicite de operator;
g)la alegerea operatorului, şterge sau returnează operatorului toate datele cu caracter personal după încetarea
furnizării serviciilor legate de prelucrare şi elimină copiile existente, cu excepţia cazului în care dreptul Uniunii
sau dreptul intern impune stocarea datelor cu caracter personal;
h)pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor
prevăzute la prezentul articol, permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau
alt auditor mandatat şi contribuie la acestea. În ceea ce priveşte primul paragraf litera (h), persoana
împuternicită de operator informează imediat operatorul în cazul în care, în opinia sa, o instrucţiune încalcă
prezentul regulament sau alte dispoziţii din dreptul intern sau din dreptul Uniunii referitoare la protecţia datelor.
84
GDPR
EVIDENȚELE ACTIVITĂȚII DE PRELUCRARE

Art.30
-baza Registrului de Evidență a Prelucrării Datelor cu Caracter Personal-
(1)Fiecare operator şi, după caz, reprezentantul acestuia păstrează o evidenţă a activităţilor
de prelucrare desfăşurate sub responsabilitatea lor. Respectiva evidenţă cuprinde toate
următoarele informaţii:
a)numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat, ale
reprezentantului operatorului şi ale responsabilului cu protecţia datelor;
b)scopurile prelucrării;
c)o descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter
personal;
d)categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal,
inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
e)dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o
organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale
respective şi, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf,
documentaţia care dovedeşte existenţa unor garanţii adecvate;
f)acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor
categorii de date;
85
GDPR
g)acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de

securitate menţionate la articolul 32 alineatul (1).
(3)Evidenţele menţionate la alineatele (1) şi (2) se formulează în scris, inclusiv în format

electronic.
(4)Operatorul sau persoana împuternicită de acesta, precum şi, după caz, reprezentantul
operatorului sau al persoanei împuternicite de operator pun evidenţele la dispoziţia
autorităţii de supraveghere, la cererea acesteia.
EXCEPȚII
(5)Obligaţiile menţionate la alineatele 1 şi 2 nu se aplică unei întreprinderi sau organizaţii cu

mai puţin de 250 de angajaţi, cu excepţia cazului în care prelucrarea pe care o efectuează:
-este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor vizate

-prelucrarea nu este ocazională
-prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul
(1),
-date cu caracter personal referitoare la condamnări penale şi infracţiuni, astfel cum se
menţionează la articolul 10.
86
GDPR
SECURITATEA DATELOR CU CARACTER PERSONAL
SECURITATEA PRELUCRĂRII
Art.32
(1)Având în vedere stadiul actual al dezvoltării, costurile implementării şi
natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi
riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile
persoanelor fizice, operatorul şi persoana împuternicită de acesta
implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui
nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
a)pseudonimizarea şi criptarea datelor cu caracter personal;
b)capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi
rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
c)capacitatea de a restabili disponibilitatea datelor cu caracter personal şi
accesul la acestea în timp util în cazul în care are loc un incident de natură fizică
sau tehnică;
d)un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii
măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
87
GDPR
OBSERVAȚII
- GDPR definește o „încălcare a securității datelor cu caracter personal” la

articolul 4 alineatul (12) ca „o încălcare a securității care duce, în mod accidental
sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea
neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate
într-un alt mod, sau la accesul neautorizat la acestea”.
-art.32 începe similar cu art.24,25,35 – deoarece se referă tot la securitatea/protecția

datelor.
-Incidentele de securitate sunt acele situații în care datele cu caracter personal nu

sunt în mod necesar afectate, dar ar putea fi, însă există un potențial ridicat de risc,
fie datorită unei acțiuni/inacțiuni umane, voluntare sau involuntare, fie datorită unui
eveniment.
-Protecția oferită de GDPR trebuie să călătorească împreună cu Datele cu

Caracter Personal.
88
GDPR
OBSERVAȚII
-Încălcările
securității datelor cu caracter personal pot fi clasificate în funcție de
următoarele trei principii de securitate a informațiilor (art.32 alin.1 lit.b):
• „Încălcarea confidențialității” - în cazul în care există o dezvăluire neautorizată
sau accidentală, sau acces neautorizat sau accidental, la date cu caracter personal.
• „Încălcarea integrității” - în cazul în care există o modificare neautorizată sau
accidentală a datelor cu caracter personal.
• „Încălcarea disponibilității” - în cazul în care există o pierdere accidentală sau
neautorizată a accesului la sau distrugerea datelor cu caracter personal.
-Diferența dintre incidentele de securitate și breșele de securitate este că, în

timp ce toate breșele de securitate privind datele cu caracter personal sunt
incidente de securitate, nu toate incidentele de securitate sunt în mod necesar,
breșe de securitate privind datele cu caracter personal.
Exemple:
- pierderea sau furtul echipamentelor/documentelor ce conțin date personale;
- transmiterea de date personale (inclusiv din cele speciale) către adrese de e-mail
greșite;
- dezvăluirea neautorizată de date personale.
89
GDPR
NOTIFICAREA AUTORITĂŢII DE SUPRAVEGHERE ÎN CAZUL ÎNCĂLCĂRII

SECURITĂŢII DATELOR CU CARACTER PERSONAL
Art.33
(1)În cazul în care are loc o încălcare a securităţii datelor cu caracter personal,
operatorul notifică acest lucru autorităţii de supraveghere competente în
temeiul articolului 55, fără întârzieri nejustificate şi, dacă este posibil, în termen de
cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia
cazului în care este puţin probabil să genereze un risc pentru drepturile şi
libertăţile persoanelor fizice. În cazul în care notificarea către autoritatea de
supraveghere nu are loc în termen de 72 de ore, aceasta este însoţită de o
explicaţie motivată pentru întârziere.
(2)Persoana împuternicită de operator înştiinţează operatorul fără întârzieri
nejustificate după ce ia cunoştinţă de o încălcare a securităţii datelor cu caracter
personal. (3)Notificarea menţionată la alineatul (1) cel puţin:
a)descrie caracterul încălcării securităţii datelor cu caracter personal, inclusiv,
acolo unde este posibil, categoriile şi numărul aproximativ al persoanelor vizate
în cauză, precum şi categoriile şi numărul aproximativ al înregistrărilor de
date cu caracter personal în cauză;
90
GDPR
b)comunică numele şi datele de contact ale responsabilului cu protecţia

datelor sau un alt punct de contact de unde se pot obţine mai multe informaţii;
c)descrie consecinţele probabile ale încălcării securităţii datelor cu caracter
personal; d)descrie măsurile luate sau propuse spre a fi luate de operator pentru a
remedia problema încălcării securităţii datelor cu caracter personal, inclusiv,
după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
(4)Atunci când şi în măsura în care nu este posibil să se furnizeze informaţiile în

acelaşi timp, acestea pot fi furnizate în mai multe etape, fără întârzieri
nejustificate.
(5)Operatorul păstrează documente referitoare la toate cazurile de încălcare a

securităţii datelor cu caracter personal, care cuprind o descriere a situaţiei de
fapt în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor
acesteia şi a măsurilor de remediere întreprinse.
Această documentaţie permite autorităţii de supraveghere să verifice

conformitatea cu prezentul articol.
-Decizia nr.128/2018 privind aprobarea formularului tipizat al notificării de încălcare a
securității datelor cu caracter personal.
91
GDPR
INFORMAREA PERSOANEI VIZATE CU PRIVIRE LA ÎNCĂLCAREA

SECURITĂȚII DATELOR CU CARACTER PERSONAL
Art.34
(1)În cazul în care încălcarea securităţii datelor cu caracter personal este

susceptibilă să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor
fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu
privire la această încălcare.
(2)În informarea transmisă persoanei vizate prevăzută la alineatul (1) din prezentul
articol se include o descriere într-un limbaj clar şi simplu a caracterului
încălcării securităţii datelor cu caracter personal, precum şi cel puţin
informaţiile şi măsurile menţionate la articolul 33 alineatul (3) literele (b), (c) şi
(d).
92
GDPR
NU ESTE NECESARĂ INFORMAREA PERSOANEI VIZATE CU PRIVIRE LA

ÎNCĂLCAREA SECURITĂȚII DATELOR CU CARACTER PERSONAL ÎN
URMĂTOARELE CAZURI
(3)Informarea persoanei vizate menţionată la alineatul (1) nu este necesară în cazul

în care oricare dintre următoarele condiţii este îndeplinită:
a)operatorul a implementat măsuri de protecţie tehnice şi organizatorice
adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal
afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin
care se asigură că datele cu caracter personal devin neinteligibile oricărei
persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
b)operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru
drepturile şi libertăţile persoanelor vizate menţionat la alineatul (1) nu mai este
susceptibil să se materializeze;
c)ar necesita un efort disproporţionat.
În această situaţie, se efectuează în loc o informare publică sau se ia o măsură similară
prin care persoanele vizate sunt informate într-un mod la fel de eficace.
93
GDPR
EVALUAREA IMPACTULUI ASUPRA PROTECȚIEI DATELOR ȘI CONSULTAREA

PREALABILĂ
-DPIA-
Art.35
(1)Având în vedere natura, domeniul de aplicare, contextul şi scopurile

prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe
utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru
drepturile şi libertăţile persoanelor fizice, operatorul efectuează, înaintea prelucrării,
o evaluare a impactului operaţiunilor de prelucrare prevăzute asupra protecţiei
datelor cu caracter personal. O evaluare unică poate aborda un set de operaţiuni de
prelucrare similare care prezintă riscuri ridicate similare.
(2)La realizarea unei evaluări a impactului asupra protecţiei datelor, operatorul

solicită avizul responsabilului cu protecţia datelor, dacă acesta a fost desemnat.
94
GDPR
(3)Evaluarea impactului asupra protecţiei datelor menţionată la alineatul (1) se

impune mai ales în cazul:
a)unei evaluări sistematice şi cuprinzătoare a aspectelor personale referitoare la
persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de
profiluri, şi care stă la baza unor decizii care produc efecte juridice privind
persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
b)prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul
9 alineatul (1), sau a unor date cu caracter personal privind condamnări penale
şi infracţiuni, menţionată la articolul 10;
c)unei monitorizări sistematice pe scară largă a unei zone accesibile
publicului.
(4)Autoritatea de supraveghere întocmeşte şi publică o listă a tipurilor de

operaţiuni de prelucrare care fac obiectul cerinţei de efectuare a unei evaluări a
impactului asupra protecţiei datelor, în conformitate cu alineatul (1).
95
GDPR
(7)Evaluarea conţine cel puţin:

a)o descriere sistematică a operaţiunilor de prelucrare preconizate şi a
scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
b)o evaluare a necesităţii şi proporţionalităţii operaţiunilor de prelucrare în
legătură cu aceste scopuri;
c)o evaluare a riscurilor pentru drepturile şi libertăţile persoanelor vizate
menţionate la alineatul (1);
d)măsurile preconizate în vederea abordării riscurilor, inclusiv garanţiile,
măsurile de securitate şi mecanismele menite să asigure protecţia datelor cu
caracter personal şi să demonstreze conformitatea cu dispoziţiile prezentului
regulament, luând în considerare drepturile şi interesele legitime ale persoanelor
vizate şi ale altor persoane interesate.
(8)La evaluarea impactului operaţiunilor de prelucrare efectuate de operatorii sau

de persoanele împuternicite de operatori relevante, se are în vedere în mod
corespunzător respectarea de către operatorii sau persoanele împuternicite
respective a codurilor de conduită aprobate menţionate la articolul 40, în
special în vederea unei evaluări a impactului asupra protecţiei datelor.
96
GDPR
-art.35 începe similar cu art.24, cu art.25 și cu art.32 – deoarece se referă tot la

securitatea/protecția datelor.
- DPIA este acronimul pentru Data Processing Impact Assessment, în limba

română tradusă prin “Evaluarea impactului asupra protecției datelor” și
reprezintă un instrument de conformare la cerințele impuse prin Regulamentul
679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu
caracter personal (“GDPR”)
-DPIA este un proces conceput pentru a descrie prelucrarea, a evalua necesitățile și
proporționalitățile acesteia și a contribui la gestionarea riscurilor la adresa drepturilor și
libertăților persoanelor fizice care rezultă din prelucrarea datelor cu caracter personal,
prin evaluarea acestora și stabilirea de măsuri pentru soluționarea lor. DPIA sunt
instrumente importante pentru asumarea răspunderii, întrucât acestea ajută operatorii
să respecte cerințele GDPR, dar și să demonstreze că au fost luate măsurile
corespunzătoare în vederea asigurării conformității cu regulamentul (a se vedea, de
asemenea, articolul 24 – Responsabilitatea Operatorului)
-DPIA reprezintă un proces pentru construirea, consolidarea și demonstrarea
conformității.
97
GDPR
- Evaluarea impactului asupra Protecției datelor are practic următoarele

scopuri generale:
1.Descrie structura operațiunilor ce compun prelucrarea de date personale preconizată,

împreună cu stabilirea scopului/scopurilor prelucrării; dacă este cazul ca prelucrarea
datelor personale să se efectueze în temeiul interesului legitim al operatorului, se
precizează acest aspect și atunci este precedată de Analiza Interesului Legitim-LIA
(Legitimate Interest Assessment – pune în balanță Interesul Legitim al
operatorului cu Drepturile Persoanei Vizate).
2.Expunerea raționamentului pentru care această nouă prelucrare a devenit necesară și
precizarea elementelor ce acoperă nevoia prelucrării în discuție, sub aspectul
proporționalității.
3.Inventarierea și analizarea riscurilor pe care le comportă efectuarea noii prelucrări
pentru drepturile și libertățile persoanelor vizate, ținând cont inclusiv de probabilitatea
materializării acestor riscuri.
4.Urmărește modul de tratare a fiecărui risc identificat, prin asocierea cu măsuri
tehnice și organizatorice adecvate.
5.Descrie mecanismele prin a căror activare operatorul de date va evita încălcarea
securității datelor și va putea să demonstreze respectarea prevederilor GDPR și pentru
acest nou tip de prelucrare.
98
GDPR
Conform Art.35 alin.4, Autoritatea de supraveghere întocmeşte şi publică o listă a

tipurilor de operaţiuni de prelucrare care fac obiectul cerinţei de efectuare a unei
evaluări a impactului asupra protecţiei datelor, în conformitate cu alineatul (1).
Decizia nr.174/2018 privind lista operațiunilor pentru care este obligatorie
realizarea evaluării impactului asupra protecției datelor cu caracter
personal.
Art. 1
(1)-Evaluarea impactului asupra protecţiei datelor cu caracter personal de către
operatori este obligatorie în special în următoarele cazuri:
a)-prelucrarea datelor cu caracter personal în vederea realizării unei evaluări
sistematice şi cuprinzătoare a aspectelor personale referitoare la persoane fizice,
care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, şi care stă
la baza unor decizii care produc efecte juridice privind persoana fizică sau care o
afectează în mod similar într-o măsură semnificativă;
b)-prelucrarea pe scară largă a datelor cu caracter personal privind originea
rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile
filozofice sau apartenenţa la sindicate, a datelor genetice, a datelor biometrice
pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea,
viaţa sexuală sau orientarea sexuală ale unei persoane fizice sau a datelor cu
caracter personal referitoare la condamnări penale şi infracţiuni;
99
GDPR
c)-prelucrarea datelor cu caracter personal având ca scop monitorizarea

sistematică pe scară largă a unei zone accesibile publicului, cum ar fi
supravegherea video în centre comerciale, stadioane, pieţe, parcuri sau alte
asemenea spaţii;
d)-prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor
vulnerabile, în special ale minorilor şi ale angajaţilor, prin mijloace automate de
monitorizare şi/sau înregistrare sistematică a comportamentului, inclusiv în
vederea desfăşurării activităţilor de reclamă, marketing şi publicitate;
e)-prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea
inovatoare sau implementarea unor tehnologii noi, în special în cazul în care
operaţiunile respective limitează capacitatea persoanelor vizate de a-şi
exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaştere facială în
vederea facilitării accesului în diferite spaţii;
100
GDPR
f)-prelucrarea pe scară largă a datelor generate de dispozitive cu senzori care

transmit date prin internet sau prin alte mijloace (aplicaţii "Internetul lucrurilor",
cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, oraşe
inteligente sau alte asemenea aplicaţii);
g)-prelucrarea pe scară largă şi/sau sistematică a datelor de trafic şi/sau de
localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea
datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea
situaţii) atunci când prelucrarea nu este necesară pentru prestarea unui
serviciu solicitat de persoana vizată.
(2)Prin excepţie de la alin. (1), evaluarea impactului asupra protecţiei datelor nu

este obligatorie atunci când prelucrarea efectuată în temeiul art. 6 alin. (1) lit. (c)
(temei legal) sau (e) (temei public) din Regulamentul general privind protecţia
datelor are un temei juridic în dreptul Uniunii sau în dreptul intern şi deja s-a
efectuat o evaluare a impactului asupra protecţiei datelor ca parte a unei evaluări
generale a impactului în contextul adoptării actelor normative respective.
101
GDPR
CONSULTAREA PREALABILĂ
Art.36
(1)Operatorul consultă autoritatea de supraveghere înainte de prelucrare

atunci când evaluarea impactului asupra protecţiei datelor prevăzută la articolul 35
indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri
luate de operator pentru atenuarea riscului.
(3)Atunci când consultă autoritatea de supraveghere în conformitate cu alineatul

(1), operatorul îi furnizează acesteia:
a)dacă este cazul, responsabilităţile respective ale operatorului, ale
operatorilor asociaţi şi ale persoanelor împuternicite de operator implicate în
activităţile de prelucrare, în special pentru prelucrarea în cadrul unui grup de
întreprinderi;
b)scopurile şi mijloacele prelucrării preconizate;
c)măsurile şi garanţiile prevăzute pentru protecţia drepturilor şi libertăţilor
persoanelor vizate, în conformitate cu prezentul regulament;
d)dacă este cazul, datele de contact ale responsabilului cu protecţia datelor;
e)evaluarea impactului asupra protecţiei datelor prevăzută la articolul 35;
f)orice alte informaţii solicitate de autoritatea de supraveghere.
102
GDPR
RESPONSABILUL CU PROTECȚIA DATELOR
În Regulamentul 679/2016 legiuitorul a cuprins 3 articole cu referință la:
1. Desemnarea responsabilului cu protecţia datelor – art.37
2. Funcţia responsabilului cu protecţia datelor – art.38
3. Sarcinile responsabilului cu protecţia datelor – art.39
103
GDPR
DESEMNAREA RESPONSABILULUI CU PROTECŢIA DATELOR-Art.37

(1)Operatorul şi persoana împuternicită de operator desemnează un
responsabil cu protecţia datelor ori de câte ori:
a)prelucrarea este efectuată de o autoritate sau un organism public, cu
excepţia instanţelor care acţionează în exerciţiul funcţiei lor jurisdicţionale;
b)activităţile principale ale operatorului sau ale persoanei împuternicite de
operator constau în operaţiuni de prelucrare care, prin natura, domeniul de
aplicare şi/sau scopurile lor, necesită o monitorizare periodică şi sistematică
a persoanelor vizate pe scară largă;
c)activităţile principale ale operatorului sau ale persoanei împuternicite de
operator constau în prelucrarea pe scară largă a unor categorii speciale de
date în temeiul articolului 9 sau a unor date cu caracter personal referitoare
la condamnări penale şi infracţiuni, menţionată la articolul 10.
(2)Un grup de întreprinderi poate numi un responsabil cu protecţia datelor unic, cu
condiţia ca responsabilul cu protecţia datelor să fie uşor accesibil din fiecare
întreprindere.
(3)În cazul în care operatorul sau persoana împuternicită de operator este o autoritate
publică sau un organism public, poate fi desemnat un responsabil cu protecţia datelor
unic pentru mai multe dintre aceste autorităţi sau organisme, luând în considerare
structura organizatorică şi dimensiunea acestora.
104
GDPR
(4)În alte cazuri decât cele menţionate la alineatul (1), operatorul sau persoana
împuternicită de operator ori asociaţiile şi alte organisme care reprezintă categorii de
operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde
dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu
protecţia datelor. Responsabilul cu protecţia datelor poate să acţioneze în favoarea
unor astfel de asociaţii şi alte organisme care reprezintă operatori sau persoane
împuternicite de operatori.
(5)Responsabilul cu protecţia datelor este desemnat pe baza calităţilor

profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi
practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a
îndeplini sarcinile prevăzute la articolul 39.
(6)Responsabilul cu protecţia datelor poate fi un membru al personalului

operatorului sau persoanei împuternicite de operator sau poate să îşi
îndeplinească sarcinile în baza unui contract de servicii.
(7)Operatorul sau persoana împuternicită de operator publică datele de

contact ale responsabilului cu protecţia datelor şi le comunică autorităţii de
supraveghere.
105
GDPR
CONCLUZIE
Cazurile în care OPERATORUL are obligația desemnării unui

responsabil cu protecția datelor
1.-Când prelucrarea este efectuată de o autoritate publică sau un organism

public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale
2.-Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de

operator constau în operațiuni de prelucrarea care necesită o monitorizare periodică și
sistematică a persoanelor vizate pe scară largă
3.-Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de

operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau
a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni
Ce înseamnă ”Activități principale”?

Pentru a stabili activitatea principală desfășurată de un operator sau împuternicit,
aceasta trebuie analizată prin raportare la prelucrările de date cu caracter
personal efectuate.
106
GDPR
La ce se referă „Monitorizarea periodică și sistematică”?

Aceasta presupune toate formele de urmărire și profilare pe Internet, inclusiv în scop
de publicitate comportamentală, nefiind însă restrictionată în mediul online. Sintagma
”periodică și sistematică” presupune o activitate continuă și recurentă, care implică
prelucrări de date.
Exemple de situații care pot constitui o monitorizare periodică și sistematică
a persoanelor vizate:
-gestionarea unei rețele de telecomunicații;
-profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul acordării unui
credit, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării
banilor);
-urmărirea locației, spre exemplu prin aplicații mobile (geolocalizare);
desfășurarea de programe de loialitate;
-monitorizarea stării de sănătate prin intermediul dispozitivelor portabile;
-televiziune cu circuit închis - CCTV;
-prelucrarea datelor pacienților de către un spital;
-prelucrarea datelor datelor de conținut, locație, trafic de către furnizorii de servicii de
internet;
-prelucrarea datelor personale de către companii de asigurări;
-publicitate comportamentală.
107
GDPR
Ce presupune prelucrarea ”Pe scară largă”?

Pentru a se stabili dacă o prelucrare este pe scară largă trebuie ținut cont de 4
criterii:
-numărul persoanelor vizate - un număr exact ori un procent din populația relevantă;
-volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
-durata sau permanența activității de prelucrare a datelor;
-suprafața geografică a activității de prelucrare.
Ce înseamnă ”Categorii speciale de date”?

Categoriile speciale sunt acele date cu caracter personal care dezvăluie originea rasială
sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau
apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru
identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind
viața sexuală sau orientarea sexuală ale unei persoane fizice.
108
GDPR
Când nu este necesară desemnarea unui responsabil cu protecţia datelor?
- atunci când nu se prelucrează pe scară largă date cu caracter personal.
Spre exemplu:
-prelucrarea datelor pacientului de către un cabinet medical individual;
-prelucrarea datelor personale referitoare la condamnările penale și infracțiuni de către
un cabinet individual de avocatură.
De reținut !
Deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția

datelor, Autoritatea de Supraveghere recomandă numirea unei astfel de persoane,
întrucât este utilă operatorului pentru respectarea obligațiilor în domeniul protecției
datelor cu caracter personal.
109
GDPR
FUNCŢIA RESPONSABILULUI CU PROTECŢIA DATELOR

Art. 38
(1)Operatorul şi persoana împuternicită de operator se asigură că

responsabilul cu protecţia datelor este implicat în mod corespunzător şi în
timp util în toate aspectele legate de protecţia datelor cu caracter personal.
(2)Operatorul şi persoana împuternicită de operator sprijină responsabilul cu

protecţia datelor în îndeplinirea sarcinilor menţionate la articolul 39,
asigurându-i resursele necesare pentru executarea acestor sarcini, precum şi
accesarea datelor cu caracter personal şi a operaţiunilor de prelucrare, şi
pentru menţinerea cunoştinţelor sale de specialitate.
110
GDPR
(3)Operatorul şi persoana împuternicită de operator se asigură că

responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în
ceea ce priveşte îndeplinirea acestor sarcini.
Acesta nu este demis sau sancţionat de către operator sau de persoana
împuternicită de operator pentru îndeplinirea sarcinilor sale.
Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt
nivel al conducerii operatorului sau persoanei împuternicite de operator.
(4)Persoanele vizate pot contacta responsabilul cu protecţia datelor cu

privire la toate chestiunile legate de prelucrarea datelor lor şi la exercitarea
drepturilor lor în temeiul prezentului regulament.
111
GDPR
(5)Responsabilul cu protecţia datelor are obligaţia de a respecta secretul sau

confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale, în
conformitate cu dreptul Uniunii sau cu dreptul intern.
(6)Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi

atribuţii.
Operatorul sau persoana împuternicită de operator se asigură că niciuna
dintre aceste sarcini şi atribuţii nu generează un conflict de interese.
SITUAȚII GENERATOARE DE CONFLICT DE INTERESE
-în cazul în care DPO face parte dintr-un compartiment subordonat managementului
pot apărea probleme la momentul evaluării activității DPO de către șeful ierarhic nu pe
linie de GDPR
-un șef evaluează DPO din punct de vedere GDPR și alt șef evaluează DPO din punct de
vedere al pregătirii de bază în cazul cumului de atribuții, situație care poate crea
probleme de autoritate
112
GDPR
SARCINILE RESPONSABILULUI CU PROTECŢIA DATELOR

Art. 39
(1)Responsabilul cu protecţia datelor are cel puţin următoarele sarcini:
a)informarea şi consilierea operatorului, sau a persoanei împuternicite de

operator, precum şi a angajaţilor care se ocupă de prelucrare cu privire la
obligaţiile care le revin în temeiul prezentului regulament şi al altor dispoziţii de drept al
Uniunii sau drept intern referitoare la protecţia datelor;
b)monitorizarea respectării prezentului regulament, a altor dispoziţii de drept al

Uniunii sau de drept intern referitoare la protecţia datelor şi a politicilor operatorului
sau ale persoanei împuternicite de operator în ceea ce priveşte protecţia datelor cu
caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de
sensibilizare şi de formare a personalului implicat în operaţiunile de
prelucrare, precum şi auditurile aferente;
113
GDPR
c)furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra

protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35;
d)cooperarea cu autoritatea de supraveghere;
e)asumarea rolului de punct de contact pentru autoritatea de supraveghere

privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menţionată la
articolul 36, precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune.
(2)În îndeplinirea sarcinilor sale, responsabilul cu protecţia datelor ţine seama în mod
corespunzător de riscul asociat operaţiunilor de prelucrare, luând în considerare
natura, domeniul de aplicare, contextul şi scopurile prelucrării – ESTE EXACT
TEXTUL CU CARE ÎNCEP sau care este CONȚINUT și în art.24,25,27,32,35 și 37.
114
GDPR
În sensul Regulamentului 679/2016, textul ”Natura, domeniul de aplicare,

contextul și scopurile prelucrării” este explicat în felul următor:
-La stabilirea măsurilor necesare, operatorii trebuie să aibă în vedere natura,

domeniul de aplicare, contextul și scopurile prelucrării.
-Acești factori trebuie interpretați în mod consecvent cu rolul lor din alte prevederi ale
RGPD, cum ar fi articolele 24, 25, 27, 32, 35, 37 și 39 cu scopul de a configura procesul
de prelucrare în jurul principiilor de protecție a datelor.
-Conceptul de Natură poate fi înțeles drept caracteristicile inerente ale prelucrării.

Domeniul de aplicare se referă la dimensiunea și la gama activităților de
prelucrare. Contextul se referă la circumstanțele prelucrării, care pot influența
așteptările persoanei vizate, în timp ce Scopurile se referă la obiectivele
prelucrării.
-”natura prelucrării” = caracteristici inerente ale prelucrării

-”domeniul de aplicare” = dimensiunea și gama activităților de prelucrare
-”contextul prelucrării” = circumstanțele prelucrării
-”scopurile prelucrării” = obiectivele prelucrării
115
GDPR
Sinteză a rolului Responsabilului cu Protecția Datelor cu Caracter Personal
-nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor

-răspunde direct în fața celui mai înalt nivel al managementului operatorului
-asigură interacțiunea cu persoanele vizate care îl pot contacta
-reprezintă punctul de contact al operatorului cu ANSPDCP
-este implicat în consultarea prealabilă a ANSPDCP
-operatorul îi solicită avizul la realizarea evaluării impactului asupra protecției datelor,
evaluare care indică dacă prelucrarea ar genera un risc ridicat în absența unor măsuri
luate de operator pentru atenuarea riscului
-nu este responsabil în caz de neconformitate a prelucrării datelor personale cu
caracter personal de către operator
-nu poate fi demis de către operator pentru îndeplinirea sarcinilor sale – este inamovibil
-operatorul sau persoana împuternicită de operator sunt reponsabili pentru
neconformitatea operațiunilor de prelucrare GDPR (art.24 alin.1), indiferent în ce mod
și de către cine
-operatorul îi asigură resursele necesare îndelinirii sarcinilor
-operatorul îl sprijină în îndeplinirea sarcinilor
-DPO are obligația de a respecta secretul și confidențialitatea
-informează și consiliază conducerea operatorului în sensul respectării normelor GDPR
116
GDPR
-informează și consiliază angajații cu atribuții în prelucrarea datelor cu caracter

personal
-monitorizează respectarea legislației GDPR de către operator
-sarcinile și atribuțiile sale nu generează conflict de interese
-ține seama de riscul asociat operațiunilor de prelucrare
-monitorizează implementarea politicilor de conformare ale operatorului
-monitorizează auditurile aferente
-monitorizează acțiunile de sensibilizare și de formare a personalului implicat în
operațiunile de prelucrare
-poate fi membru al personalului operatorului sau extern
-este desemnat pe baza calităților profesionale
-prin numire va deține o funcție de nivel management
-trebuie să aibă capacitatea de a îndeplini sarcinile prevăzute în art.39
-monitorizarea conformității cu prevederile GDPR nu înseamnă că DPO este cel care
răspunde personal atunci când există un caz de neconformitate
-dacă operatorul nu este de acord cu avizul sau cu respingerea dată de DPO în
documentația DPIA sau în alte situații, trebuie justificat în mod concret, în scris, de ce
nu s-a ținut cont de recomandarea DPO
117
GDPR
-independența DPO impune excluderea oricăror sarcini suplimentare de natură a da

naștere unor presiuni la nivelul companiei, legate de scopurile și de mijloacele de
prelucrare a datelor
-Responsabilul cu protecția datelor cu caracter personal nu este persoana
care preia responsabilitatea protecției datelor, ci această responsabilitate
rămâne în sarcina operatorului
-Responsabilul este denumit astfel datorită atribuțiilor sale și nu în virtutea eventualelor
obligații ale sale
-operatorul facilitează pregătirea continuă a responsabilului cu protecția datelor
-operatorul are obligația să-i faciliteze Responsabilului cu protecția datelor cu caracter
personal poziția de partener în discuțiile din cadrul activității operatorului, a ședințelor
conducerii sau a departamentelor, atunci când se preconizează noi activități care ar
presupune prelucrări de date cu caracter personal
-participă la ședințele grupurilor de lucru a căror activitate o constituie prelucrarea
datelor
-se recomandă să aibă o fișă de lucru lunară cu sarcini și obiective specifice GDPR
integrate activității economice a operatorului
-se adaugă sarcinile prevăzute prin ANC – Autoritatea Națională pentru Calificări
118
GDPR
Standardul ocupațional pentru educație și formare profesională are în vedere

competențele și deprinderile pe care trebuie să le dețină / dobândească DPO, și anume:
1. Informarea organizației și persoanelor vizate cu privire la drepturile și obligațiile și obligațiile
lor în baza legislației privind protecția datelor cu caracter personal
2. Monitorizarea modalității în care organizația respectă legislația privind protecția datelor cu
character personal și standardele specifice la care organizația a aderat
3. Emiterea de recomandări și oferirea asistenței de specialitate organizației cu privire la
intreprinderea și aplicarea prevederilor legislației privind protecția datelor cu caracter
personal
4. Gestionarea relației cu Autoritatea de Supraveghere în domeniul protecției datelor cu
caracter personal
5. Respectarea principiului obiectivității în domeniul protecției datelor cu caracter personal
6. Asigurarea și gestionarea Registrului de Evidență a Prelucrării Datelor cu Caracter Personal
7. Gestionarea și coordonarea resurselor umane, financiare, tehnice necesare realizării
sarcinilor și activităților specifice domeniului
8. Dezvoltarea profesională continuă în domeniul protecției datelor cu caracter personal
9. Monitorizarea aplicării instrumentelor și metodelor de îmbunătățire a eficacității sistemului de
management al securității informației
10. Analizarea și evaluarea riscurilor de prelucrare a datelor cu caracter personal
(ANC, 2018)
119
GDPR
Cerințele Speciale de Exercitare a Ocupației Responsabilului cu Protecția

Datelor cu Caracter Personal, conform standardului ocupațional (ANC,2018),
sunt:
-vechime în muncă de minimum 1 an
-studii superioare absolvite cu diplomă cu licență și curs de specialitate/perfecționare
absolvit cu certificat care să ateste competențele formate
-cunoașterea aprofundată a legislației domeniului
-abilități de comunicare
-responsabilitate, seriozitate, punctualitate, empatie, capacitate de analiză și sinteză
-capacitatea de a asigura confidențialitatea datelor la care are acces
(ANC,2018)
Prin urmare, Regulamentul 679/2016 și Standardul Ocupațional stabilesc Regulile de

desemnare a Responsabilului cu Protecția Datelor cu Caracter Personal precum și
calitățile pe care trebuie să le îndeplinească acesta.
120
GDPR
CONCLUZII
-Responsabilul cu protectia datelor cu caracter personal, cum în mod defectuos s-a

tradus sintagma Data Protection Officer (DPO) (Regulamentul 679/2016, art.37,38,39)
în legislația națională, reprezintă una dintre garanțiile oferite de operator în ceea ce
privește prelucrarea datelor cu caracter personal în condiții de Securitate, în spiritul și
litera Regulamentului.
-Această funcție a DPO (Regulamentul 679/2016, art 38, alin.3) a fost învestită de
legiuitor cu independență și autoritate, Responsabilul cu protecția datelor cu caracter
personal neputând fi demis sau sancționat pentru activitatea desfășurată, conform
prevederilor generale cuprinse în legislația aplicabilă relațiilor de muncă specifice
funcției, sens în care ne dăm seama că funcția de DPO este prima funcție
INAMOVIBILĂ din domeniul Privat.
-Simpla lipsă a ocupării funcției de DPO acolo unde Regulamentul GDPR o cere, este
susceptibilă să atragă sancțiunea Autorității de Supraveghere asupra operatorului.
121
GDPR
Conform Legii 190/2018 prin art.4 alin.2 lit.b și art.6 lit.b, în cazul prelucrării unui
număr de identificare național pe baza interesului legitim, operatorul trebuie sa aibă
DPO.
Art. 4: Prelucrarea unui număr de identificare naţional
(1)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea
documentelor ce îl conţin, se poate efectua în situaţiile prevăzute de art. 6 alin. (1) din
Regulamentul general privind protecţia datelor.
(2)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea
documentelor ce îl conţin, în scopul prevăzut la art. 6 alin. (1) lit. f) din Regulamentul
general privind protecţia datelor, respectiv al realizării intereselor legitime urmărite de
operator sau de o parte terţă, se efectuează cu instituirea de către operator a următoarelor
garanţii:
a)punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în
special, a principiului reducerii la minimum a datelor, precum şi pentru asigurarea securităţii
şi confidenţialităţii prelucrărilor de date cu caracter personal, conform dispoziţiilor art. 32 din
Regulamentul general privind protecţia datelor;
b)numirea unui responsabil pentru protecţia datelor, în conformitate cu
prevederile art. 10 din prezenta lege;
c)stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum
şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în
vederea ştergerii;
122
GDPR
d)instruirea periodică cu privire la obligaţiile ce le revin a persoanelor care, sub directa

autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu
caracter personal.
Art. 6: Prelucrarea datelor cu caracter personal şi de categorii speciale de date cu

caracter personal, în contextul îndeplinirii unei sarcini care serveşte unui interes
public
În cazul în care prelucrarea datelor personale şi speciale este necesară pentru îndeplinirea
unei sarcini care serveşte unui interes public conform art. 6 alin. (1) lit. e) şi art. 9 lit. g) din
Regulamentul general privind protecţia datelor se efectuează cu instituirea de către operator
sau de către partea terţă a următoarelor garanţii:
a)punerea în aplicare a măsurilor tehnice şi organizatorice adecvate pentru respectarea
principiilor enumerate la art. 5 din Regulamentul general privind protecţia datelor, în special
a reducerii la minimum a datelor, respectiv a principiului integrităţii şi confidenţialităţii;
b)numirea unui responsabil pentru protecţia datelor, dacă aceasta este necesară
în conformitate cu art. 10 din prezenta lege;
123
GDPR
c)stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum

şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în
vederea ştergerii.
Art. 10: Desemnarea şi sarcinile responsabilului cu protecţia datelor

(1)Operatorii şi persoanele împuternicite de operator desemnează un responsabil cu
protecţia datelor în situaţiile şi condiţiile prevăzute la art. 37-39 din Regulamentul general
privind protecţia datelor.
(2)În cazul în care operatorul sau persoana împuternicită de operator este o autoritate
publică sau un organism public, astfel cum este definit la art. 2 alin. (1) lit. a), poate fi
desemnat un responsabil cu protecţia datelor, unic pentru mai multe dintre aceste autorităţi
sau organisme, luând în considerare structura organizatorică şi dimensiunea acestora.
(3)Activitatea şi sarcinile responsabilului cu protecţia datelor se realizează cu respectarea
prevederilor art. 38 şi 39 din Regulamentul general privind protecţia datelor şi a
reglementărilor legale naţionale aplicabile.
-Observăm că în art.6 lit.b apare Noțiunea de ”DACĂ ESTE NECESAR”. Pentru numirea unui DPO
în condițiile Legii 190/2018, Art.10 din Legea 190/2018 face trimitere la Art.37-38-39 din
Regulamentul 679/2018.
-Așa cum sunt formulate cele 2 articole din Legea 190/2018 rezultă fără echivoc, că numirea unui
DPO în cadrul operatorului este o GARANȚIE a conformității și a protecției datelor cu caracter
personal.
124
GDPR
TRANSFERURILE DE DATE CU CARACTER PERSONAL CĂTRE ȚĂRI TERȚE SAU

ORGANIZAȚII INTERNAȚIONALE
Art.44-50
În lumea globalizată actuală, se transferă în plan transfrontalier cantități mari de date

cu caracter personal, care sunt stocate uneori pe servere aflate în țări diferite.
Protecția conferită de Regulamentul general privind protecția datelor

(RGPD) însoțește datele în călătoria lor, ceea ce înseamnă că normele care
protejează datele continuă să se aplice indiferent unde ajung aceste date.
Acest lucru este valabil și când datele se transferă într-o țară care nu este membră a
UE (denumită în continuare „țară terță”).
Restricțiile impuse privind transferul de date cu caracter personal în afara Uniunii

Europene, adică țărilor terțe sau organizațiilor internaționale, sunt reglementate
tocmai pentru a se asigura că nivelul de protecție a persoanelor acordat de GDPR
este ridicat.
Datele cu caracter personal pot fi transferate oricând în afara UE, însă trebuie să fie
respectate întocmai condițiile de transfer stabilite în capitolul V din GDPR.
125
GDPR
Transferurile în temeiul unei decizii (a Comisiei) privind caracterul adecvat

de al nivelului de protecție (evaluat de Comisie)
Art.45 alin.(1)
Transferurile pot fi efectuate în cazul în care Comisia a decis că o țară terță, un
teritoriu sau unul sau mai multe sectoare specifice din țara terță sau o organizație
internațională asigură un nivel adecvat de protecție.
Transferurile realizate în aceste condiții nu necesită autorizări speciale.
Transferurile în baza garanțiilor adecvate (transferuri in ”tări terțe unde nu

există evaluarea comisiei)
Art.46
Puteți transfera date cu caracter personal în cazul în care organizația care primește
datele personale a furnizat garanții adecvate. Drepturile persoanelor trebuie să
poată fi exercitate și ca urmare a transferului și în plus trebuie să fie puse la
dispoziție căi de atac efective pentru persoanele vizate.
Se pot asigura garanții adecvate prin:
-un instrument obligatoriu din punct de vedere juridic între autoritățile sau
organismele publice;
126
GDPR
-reguli corporative obligatorii (acorduri care reglementează transferurile efectuate

între organizații din cadrul unui grup corporativ - Art.47 – B.C.R. – bindind
corporate rules);
-clauzele standard de protecție a datelor adoptate de Comisie;
-clauzele standard de protecție a datelor, sub forma clauzelor de transfer adoptate
de o autoritate de supraveghere și aprobate de Comisie;
-respectarea unui cod de conduită aprobat aprobat de o autoritate de supraveghere;
-certificarea conform unui mecanism de certificare aprobat, astfel cum este prevăzut
în GDPR;
-clauzele contractuale convenite de autoritatea de supraveghere competentă;
-dispozițiile incluse în acordurile administrative dintre autoritățile publice sau
organismele autorizate de autoritatea de supraveghere competentă.
-Autorizațiile transferurilor efectuate de statele membre sau de autoritățile de

supraveghere și deciziile Comisiei privind garanțiile adecvate efectuate în temeiul
directivei vor rămâne valabile și în vigoare până la modificarea, înlocuirea sau
abrogarea acestora (sursă de revizuire permanentă).
127
GDPR
REGULI CORPORATISTE OBLIGATORII

Art.47
B.C.R. – binding corporate rules
Regulile corporatiste obligatorii cuprind un set de 14 cerințe grupate în Art.47 alin.2,
cu scopul de stabili responsabilitățile prelucrării datelor cu caracter personal atât din
punct de vedere al transferurilor cât și a conformării la normele GDPR.
Derogări de la interdicția transferurilor

de date cu caracter personal în afara UE
Art.49
GDPR prevede derogări de la interdicția generală privind transferurile de date cu
caracter personal în afara UE pentru anumite situații specifice.
Se poate efectua un transfer sau un set de transferuri în cazul în care transferul este:
-făcut cu consimțământul informat al persoanei;
-necesar pentru îndeplinirea unui contract între individ și organizație sau pentru
măsurile precontractuale luate la cererea persoanei;
-necesar pentru executarea unui contract încheiat în interesul persoanei fizice între
operator și o altă persoană;
-necesar din motive importante de interes public;
128
GDPR
-necesar pentru stabilirea, exercitarea sau apărarea revendicărilor legale;

-necesar pentru a proteja interesele vitale ale persoanei vizate sau ale altor
persoane, în cazul în care persoana vizată NU este capabilă din punct de vedere fizic
sau legal să-și dea consimțământul;
-transferul se realizează dintr-un registru care are ca scop furnizarea de informații
publicului (și care poate fi consultat fie de către public în general, fie de cei care pot
demonstra un interes legitim în inspectarea registrului) în conformitate cu legislația UE.
Primele trei derogări NU sunt disponibile pentru activitățile autorităților publice în

ceea ce privește justificarea transferul datelor cu caracter personal într-o ”țară terță”.
Cazul transferurilor unice (sau rare) de date cu caracter personal referitoare

la relativ puține persoane
Chiar dacă NU există o decizie a Comisiei de autorizare a transferurilor către țara în
cauză, în cazul în care NU este posibil să se demonstreze că drepturile individului
sunt protejate prin garanții adecvate și niciuna dintre derogări nu se aplică, GDPR
prevede că datele personale pot fi transferate în afara UE, DACĂ:
-nu este repetitivă (transferuri similare nu se efectuează în mod regulat);
-implică date referitoare la un număr limitat de persoane;
129
GDPR
-este necesar pentru scopurile intereselor legitime ale operatorului (cu condiția să
nu prevaleze drepturile persoanei vizate; autoritățile publice nu pot invoca interesul
legitim);
-Transferul este supus unor garanții adecvate instituite de operator (în urma unei
evaluări a operatorului cu privire la circumstanțele transfer) pentru a proteja datele cu
caracter personal.
În aceste cazuri, organizațiile sunt obligate să informeze autoritatea de

supraveghere competentă cu privire la transfer și să furnizeze informații
suplimentare persoanelor.
-În cazul în care un operator sau o persoană împuternicită de operator este

stabilit(ă) în afara UE, această societate trebuie să desemneze în scris un
reprezentant în UE (art.27 alin.1).
-GDPR subliniază că reprezentantul trebuie să își aibă sediul „în unul dintre statele
membre în care se află persoanele vizate ale căror date cu caracter personal sunt
prelucrate în legătură cu furnizarea de bunuri și servicii sau al căror comportament
este monitorizat”.
-În cazul în care nu se desemnează un reprezentant, se pot introduce acțiuni
în justiție împotriva operatorului sau a persoanei împuternicite de operator.
130
GDPR
INVESTIGARE și SANCȚIUNI
Sub această titulatură putem subscrie 3 articole din Regulamentul 679/2016:
1. art.58 – Competențe
2. art.83 – Condiții generale pentru impunerea amenzilor administrative
3. art.84 – Sancțiuni
131
GDPR
COMPETENŢE
Art. 58
(1)Fiecare autoritate de supraveghere are toate următoarele competenţe de
investigare:
a)de a da dispoziţii operatorului şi persoanei împuternicite de operator şi,
după caz, reprezentantului operatorului sau al persoanei împuternicite de operator să
furnizeze orice informaţii pe care autoritatea de supraveghere le solicită în vederea
îndeplinirii sarcinilor sale;
b)de a efectua investigaţii sub formă de audituri privind protecţia datelor;
c)de a efectua o revizuire a certificărilor acordate în temeiul articolului 42 alineatul
(7);
d)de a notifica operatorul sau persoana împuternicită de operator cu privire la
presupusa încălcare a prezentului regulament;
e)de a obţine, din partea operatorului şi a persoanei împuternicite de
operator, accesul la toate datele cu caracter personal şi la toate informaţiile necesare
pentru îndeplinirea sarcinilor sale;
f)de a obţine accesul la oricare dintre incintele operatorului şi ale persoanei
împuternicite de operator, inclusiv la orice echipamente şi mijloace de
prelucrare a datelor, în conformitate cu dreptul Uniunii sau cu dreptul procesual
intern.
132
GDPR
(2)Fiecare autoritate de supraveghere are toate următoarele competenţe corective:

a)de a emite avertizări în atenţia unui operator sau a unei persoane
împuternicite de operator cu privire la posibilitatea ca operaţiunile de
prelucrare prevăzute să încalce dispoziţiile prezentului regulament;
b)de a emite avertismente adresate unui operator sau unei persoane
împuternicite de operator în cazul în care operaţiunile de prelucrare au
încălcat dispoziţiile prezentului regulament;
c)de a da dispoziţii operatorului sau persoanei împuternicite de operator să
respecte cererile persoanei vizate de a-şi exercita drepturile în temeiul prezentului
regulament;
d)de a da dispoziţii operatorului sau persoanei împuternicite de operator să
asigure conformitatea operaţiunilor de prelucrare cu dispoziţiile prezentului
regulament, specificând, după caz, modalitatea şi termenul-limită pentru aceasta;
e)de a obliga operatorul să informeze persoana vizată cu privire la o
încălcare a protecţiei datelor cu caracter personal;
f)de a impune o limitare temporară sau definitivă, inclusiv o interdicţie asupra
prelucrării;
133
GDPR
g)de a dispune rectificarea sau ştergerea datelor cu caracter personal sau

restricţionarea prelucrării, în temeiul articolelor 16, 17 şi 18, precum şi notificarea
acestor acţiuni destinatarilor cărora le-au fost divulgate datele cu caracter
personal, în conformitate cu articolul 17 alineatul (2) şi cu articolul 19;
h)de a retrage o certificare sau de a obliga organismul de certificare să
retragă o certificare eliberată în temeiul articolul 42 şi 43 sau de a obliga
organismul de certificare să nu elibereze o certificare în cazul în care cerinţele de
certificare nu sunt sau nu mai sunt îndeplinite;
i)de a impune amenzi administrative în conformitate cu articolul 83, în
completarea sau în locul măsurilor menţionate la prezentul alineat, în funcţie de
circumstanţele fiecărui caz în parte;
j)de a dispune suspendarea fluxurilor de date către un destinatar dintr-o ţară
terţă sau către o organizaţie internaţională.
134
GDPR
CONDIŢII GENERALE PENTRU IMPUNEREA AMENZILOR ADMINISTRATIVE

Art. 83
(1)Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi
administrative în conformitate cu prezentul articol pentru încălcările prezentului
regulament menţionate la alineatele (4), (5) şi, (6) este, în fiecare caz, eficace,
proporţională şi disuasivă.
(2)În funcţie de circumstanţele fiecărui caz în parte, amenzile administrative sunt impuse în
completarea sau în locul măsurilor menţionate la articolul 58 alineatul (2) literele (a)-
(h) şi (j).
Atunci când se ia decizia dacă să se impună o amendă administrativă şi decizia cu privire
la valoarea amenzii administrative în fiecare caz în parte, se acordă atenţia cuvenită
următoarelor aspecte:
a)natura, gravitatea şi durata încălcării, ţinându-se seama de natura, domeniul de aplicare
sau scopul prelucrării în cauză, precum şi de numărul persoanelor vizate afectate şi de
nivelul prejudiciilor suferite de acestea;
b)dacă încălcarea a fost comisă intenţionat sau din neglijenţă;
c)orice acţiuni întreprinse de operator sau de persoana împuternicită de operator
pentru a reduce prejudiciul suferit de persoana vizată;
d)gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator
ţinându-se seama de măsurile tehnice şi organizatorice implementate de aceştia în
temeiul articolelor 25 şi 32;
e)eventualele încălcări anterioare relevante comise de operator sau de persoana
împuternicită de operator;
135
GDPR
f)gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea şi a

atenua posibilele efecte negative ale încălcării;
g)categoriile de date cu caracter personal afectate de încălcare;
h)modul în care încălcarea a fost adusă la cunoştinţa autorităţii de supraveghere, în
special dacă şi în ce măsură operatorul sau persoana împuternicită de operator a notificat
încălcarea;
i)în cazul în care măsurile menţionate la articolul 58 alineatul (2) au fost dispuse
anterior împotriva operatorului sau persoanei împuternicite de operator în cauză cu privire la
acelaşi obiect, respectarea respectivelor măsuri;
j)aderarea la coduri de conduită aprobate, în conformitate cu articolul 40, sau la mecanisme
de certificare aprobate, în conformitate cu articolul 42;
k)orice alt factor agravant sau atenuant aplicabil circumstanţelor cazului, cum ar fi
beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma
încălcării.
OBSERVAȚII
Cuantumul amenzilor administrative se stabilește și în funcție de articolele încălcate
din Regulamentul 679/2016 din cauza deficiențelor activităților de prelucrare a
datelor cu caracter personal.
Sancțiunile merg pe cel puțin 4 direcții corective:
1. Lipsa documentelor cerute prin Regulamentul 679/2018 pentru conformare
2. Gestionarea defectuoasă a relației Operator – Persoana Vizată
3. Încălcarea securității datelor cu caracter personal
4. Inadecvarea comunicării cu Autoritatea Națională de Supraveghere
136
GDPR
(4)Pentru încălcările dispoziţiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de
până la 10 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială
totală anuală corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare:
a)obligaţiile operatorului şi ale persoanei împuternicite de operator în conformitate cu articolele 8, 11, 25-39,
42 şi 43;
b)obligaţiile organismului de certificare în conformitate cu articolele 42 şi 43; c)obligaţiile organismului de
monitorizare în conformitate cu articolul 41 alineatul (4).
(5)Pentru încălcările dispoziţiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de
până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială
totală anuală corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare:
a)principiile de bază pentru prelucrare, inclusiv condiţiile privind consimţământul, în conformitate cu articolele
5, 6, 7 şi 9;
b)drepturile persoanelor vizate în conformitate cu articolele 12-22;
c)transferurile de date cu caracter personal către un destinatar dintr-o ţară terţă sau o organizaţie
internaţională, în conformitate cu articolele 44-49;
d)orice obligaţii în temeiul legislaţiei naţionale adoptate în temeiul capitolului IX;
e)nerespectarea unui ordin sau a unei limitări temporare sau definitive asupra prelucrării, sau a suspendării
fluxurilor de date, emisă de către autoritatea de supraveghere în temeiul articolului 58 alineatul (2), sau
neacordarea accesului, încălcând articolul 58 alineatul (1).
(6)Pentru încălcarea unui ordin emis de autoritatea de supraveghere în conformitate cu articolul 58 alineatul (2)
se aplică, în conformitate cu alineatul (2) din prezentul articol, amenzi administrative de până la 20 000 000
EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală
corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare.
137
GDPR
CAPITOLUL IX: Dispoziţii referitoare la situaţii specifice de prelucrare
Art. 85: Prelucrarea şi libertatea de exprimare şi de informare

Art. 86: Prelucrarea şi accesul public la documente oficiale
Art. 87: Prelucrarea unui număr de identificare național
Art. 88: Prelucrarea în contextul ocupării unui loc de muncă
Art. 89: Garanţii şi derogări privind prelucrarea în scopuri de arhivare în
interes public, în scopuri de cercetare ştiinţifică sau istorică ori în
scopuri statistice
Art. 90: Obligaţii privind păstrarea confidenţialităţii
Art. 91: Normele existente în domeniul protecţiei datelor pentru biserici şi
asociaţii religioase
138
GDPR
Art. 87: Prelucrarea unui număr de identificare național

Statele membre pot detalia în continuare condiţiile specifice de prelucrare a unui număr de identificare naţional sau a oricărui alt identificator cu aplicabilitate generală.(…)
Din Legea nr.190/2018
Art.2 lit.b
b)număr de identificare naţional - numărul prin care se identifică o persoană fizică în anumite sisteme
de evidenţă şi care are aplicabilitate generală, cum ar fi: codul numeric personal, seria şi numărul actului de
identitate, numărul paşaportului, al permisului de conducere, numărul de asigurare socială de sănătate.
Art.4 Prelucrarea unui număr de identificare naţional
(1)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce
îl conţin, se poate efectua în situaţiile prevăzute de art. 6 alin. (1) din Regulamentul general privind protecţia
datelor.
(2)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce
îl conţin, în scopul prevăzut la art. 6 alin. (1) lit. f) din Regulamentul general privind protecţia datelor,
respectiv al realizării intereselor legitime urmărite de operator sau de o parte terţă, se efectuează cu
instituirea de către operator a următoarelor garanţii:
a)punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a
principiului reducerii la minimum a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii
prelucrărilor de date cu caracter personal, conform dispoziţiilor art. 32 din Regulamentul general privind
protecţia datelor;
b)numirea unui responsabil pentru protecţia datelor, în conformitate cu prevederile art. 10 din
prezenta lege;
c)stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene
specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;
d)instruirea periodică cu privire la obligaţiile ce le revin a persoanelor care, sub directa autoritate a
operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.
139
GDPR
Art. 88: Prelucrarea în contextul ocupării unui loc de muncă

(1)Prin lege sau prin acorduri colective, statele membre pot prevedea norme mai
detaliate pentru a asigura protecţia drepturilor şi a libertăţilor cu privire la prelucrarea
datelor cu caracter personal ale angajaţilor în contextul ocupării unui loc de muncă, în
special în scopul recrutării, al îndeplinirii clauzelor contractului de muncă,
inclusiv descărcarea de obligaţiile stabilite prin lege sau prin acorduri colective, al
gestionării, planificării şi organizării muncii, al egalităţii şi diversităţii la locul
de muncă, al asigurării sănătăţii şi securităţii la locul de muncă, al protejării
proprietăţii angajatorului sau a clientului, precum şi în scopul exercitării şi
beneficierii, în mod individual sau colectiv, de drepturile şi beneficiile legate de
ocuparea unui loc de muncă, precum şi pentru încetarea raporturilor de muncă.
(2)Aceste norme includ măsuri corespunzătoare şi specifice pentru garantarea
demnităţii umane, a intereselor legitime şi a drepturilor fundamentale ale
persoanelor vizate, în special în ceea ce priveşte transparenţa prelucrării,
transferul de date cu caracter personal în cadrul unui grup de întreprinderi sau
al unui grup de întreprinderi implicate într-o activitate economică comună şi
sistemele de monitorizare la locul de muncă.
(3)Fiecare stat membru informează Comisia cu privire la dispoziţiile de drept intern pe
care le adoptă în temeiul alineatului (1) până la 25 mai 2018, precum şi, fără întârziere,
cu privire la orice modificare ulterioară a acestora.
140
GDPR
Site-uri utile
www.dataprotection.ro
…………………………………………
www.eur-lex.europa.eu
www.ec.europa.ro
141
GDPR
GDPR este o Evoluție și nu o Revoluție!
Nu uita!
Cea mai bună Protecție este oferită de Prevenție!
142

Material Suplimentar GDPR

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Material Suplimentar GDPR

Încărcat de

Drepturi de autor:

Formate disponibile

GDPR

Regulament nr. 679 din 27 aprilie 2016 privind

-LEGE nr.129 din 15 iunie 2018 pentru modificare și completarea Legii

-LEGE nr.190 din 18 iulie 2018 privind măsuri de punere în aplicare a

-Decizie nr.133 din 3 iulie 2018 privind aprobarea Procedurii de primire

-Decizie nr.161 din 9 octombrie 2018 privind aprobarea Procedurii de

-Decizie nr.174 din 18 octombrie 2018 privind lista operațiunilor pentru

AUTORITATEA NAȚIONALĂ DE SUPRAVEGHERE A

-Autoritatea naţională de supraveghere îşi exercită atribuţiile în mod transparent şi

-Autoritatea naţională de supraveghere nu poate fi supusă nici unui mandat imperativ

-Preşedintele Autorităţii naţionale de supraveghere este numit de Senat, pentru un

-Site-ul ANSPDCP - www.dataprotection.ro

Autoritatea Națională pentru Calificări

Standardul ocupațional pentru Educația și

Cod COR 242231

TRATATUL PRIVIND FUNCȚIONAREA UNIUNII EUROPENE

CARTA DREPTURILOR FUNDAMENTALE A UNIUNII EUROPENE

TITLUL II – Contractul individual de muncă

f) sa stabileasca obiectivele de performanta individuala, precum si criteriile de evaluare a realizarii

TITLUL VI - Formarea profesională

realizarea activitatilor profesionale;

Art. 193 . [tipologia formării profesionale]

Art. 194 . [obligativitatea programelor de formare profesională]

Domeniul de aplicare material - Art. 2

(1)Prezentul regulament se aplică

-prelucrării datelor cu caracter personal, efectuată total sau parţial prin

Domeniul de aplicare material - Art. 2

(2)Prezentul regulament NU se aplică

-prelucrării datelor cu caracter personal:

Prelucrarea datelor cu caracter personal de către instituţiile,

(3)Pentru prelucrarea datelor cu caracter personal de către instituţiile,

(4)Prezentul regulament nu aduce atingere aplicării Directivei

Domeniul de aplicare teritorial - Art. 3:

(1)Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul

(2)Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor

(3)Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un

În sensul prezentului regulament:

1. "date cu caracter personal"

-înseamnă orice informaţii privind o persoană fizică identificată sau

Date cu caracter personal pe care le prelucrăm:

ATENȚIE – Datele cu caracter personal se referă la o persoană fizică

-o persoană fizică identificată sau identificabilă

”Prelucrarea pe scară largă”

Regulamentul 679/2016 ne arată în Considerentul 91 că:

Exemplele de ”prelucrări pe scară largă” includ:

• prelucrarea datelor pacienților în activitatea regulată a unui spital

Exemplele ce nu constituie ”prelucrări pe scară largă” includ:

• prelucrarea datelor pacientului de către un medic individual

Noțiunea de ”Prelucrare pe scară largă” o regăsim în:

-Art.35 alin.3 lit.b – Evaluarea impactului asupra protecției datelor și

-Art.37 alin.1 lit.b – Responsabilul cu protecția datelor

-înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita

4. "creare de profiluri" – regăsim și în art.22 (procesul decizional automatizat,

-înseamnă orice formă de prelucrare automată a datelor cu caracter personal care

-performanţa la locul de muncă

-Înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât

6. "sistem de evidenţă a datelor"

-persoana fizică sau

care, singur sau împreună cu altele:

-stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal

8. "persoană împuternicită de operator" – regăsim în art.28

Operatori asociați – Art.26

-Ei stabilesc într-un mod transparent responsabilităţile fiecăruia în ceea ce priveşte

să primiți informații privind prelucrarea datelor dvs. cu caracter personal;