Îndrumar Implementare GDPR-Magistrus

Pantilimon Cătălina (coordonator) Manea Daniel
#privacy
MAGISTRUS
Îndrumar implementare GDPR
Implementarea ghidată pas cu pas
a Regulamentului U.E. 679/2016 privind protecția
și libera circulație a datelor cu caracter personal
2021
București
Pantilimon Cătălina (coordonator) Manea Daniel
#privacy
MAGISTRUS
Îndrumar implementare GDPR
Implementarea ghidată pas cu pas
a Regulamentului U.E. 679/2016 privind protecția
și libera circulație a datelor cu caracter personal
2021
BUCUREȘTI
Disclaimer
Având în vedere că, în domeniul protecției datelor cu caracter personal, obținerea conformării
este dată în primul rând de cunoașterea în detaliu a contextului prelucrării de date cu caracter
personal, lucrarea de față nu poate să prezinte un caracter de aplicabilitate universal valabilă, fiind
necesară evaluarea punctuală a riscurilor pe care operatorul sau împuternicitul acestuia îl găzduiește,
coroborat cu identificarea și implementarea unor măsuri tehnice și organizatorice ajustate adecvat
cu specificul respectivului context.
#privacy MAGISTRUS oferă resurse organizatorice a procesului de organizare a activităților
principale pentru alinierea efectivă a mediului organizațional la cerințele GDPR, precum și resurse de
evidențiere a trasabilității acestui proces. Utilizatorii acestui instrument trebuie să aibă în vedere că
responsabilitatea exploatării #privacy MAGISTRUS le revine in integrum acestora, și nu colectivului
de autori al acestuia.
Nota de distinctivitate a #privacy MAGISTRUS este dată de pronunțatul caracter practic și de
claritatea pașilor efectiv de parcurs pentru implementarea GDPR în organizație.
Scopul lucrării #privacyMAGISTRUS nu a fost constituit de premisa realizării unei lucrări cu
caracter științific, ci de identificarea nevoii unei agende specifice activităților de protecție a datelor
cu caracter personal, cu acoperirea principalelor zone de risc preponderent active în activitățile de
prelucrare.
Nota bene!
• În funcție de specificul fiecărei organizații, DPO-ul trebuie să analizeze, împreună cu membrii
echipei sale și cu participarea activă a managementului de vârf, suita de documente necesare
pentru conformarea organizației la cerințele GDPR. Acest instrument se adresează în special
întreprinderilor mici și mijlocii, ca nivel de resurse umane, manageriale și materiale ce pot fi puse
la dispoziție pentru conformare; însă, acesta include elemente suficient de cuprinzătoare pentru
a fi utilizat și de departamentul de asigurare a protecției datelor și la operatorii mai mari.
• Ținând seama de profilul organizației, vă stăm la dispoziție cu o serie de documente editabile
necesare pe site-ul web: www.gdprmag.com. Pentru o integrare fidelă a documentației GDPR
în cadrul organizației dvs. (indiferent de forma de organizare - societăți comerciale, ONG-uri,
profesii liberale, instituții publice, etc.), vă oferim prin intermediul site-ului www.gdprmag.com,
dar și direct, inclusiv pachete de instruire, pachete personalizate de politici și proceduri, servicii
de auditare a organizației, servicii de cartografiere a datelor etc.
• Date de contact echipa #privacy MAGISTRUS: suport@gdprmag.com.
CĂTĂLINA PANTILIMON
Sunt Cătălina Pantilimon și m-am născut și am trăit cea mai mare parte a vieții mele în Piatra Neamț.
Am absolvit cursurile Facultății de Economie și Administrarea Afacerilor, specializarea Managementul
firmei, în cadrul Universității ”Alexandru Ioan Cuza” Iași - U.A.I.C. Cea mai importantă amprentă asupra
mea, ca profesionist, au lăsat-o multiplele experiențe trăite în cei peste 20 ani de antreprenoriat, când am
parcurs toți pașii în implementarea sistemelor de management al calității în organizație, implementarea a
trei proiecte europene, certificarea europeană a liniei de producție și construirea și promovarea unui brand
național, autohton. Din anul 2015 sunt consilier pentru dezvoltare personală și din anul 2019 sunt și formator.
Domeniul protecției datelor mi-a facilitat utilizarea a tot ce am învățat despre oameni și organizații.
Explorez mediile organizaționale în identificarea prelucrărilor de date și identific soluții adecvate pentru
protejarea acestora începând din anul 2017. În iunie 2019 am absolvit Cursul postuniversitar de “Protecția
datelor cu caracter personal” organizat de Universitatea Ștefan cel Mare din Suceava, Facultatea de Drept și
Științe Administrative și în data de 14 iunie 2019 am câștigat titlul de “The Best DPO of Romania” la concursul
“Papiu Ilarian Data Protection Moot”, organizat de către Universitatea de Medicină, Farmacie, Științe și
Tehnologie din Târgu Mureș, în parteneriat și cu alte asociații profesionale, împreună cu ceilalți trei colegi cu
care am format echipa “Nord-Est DPO România”. Finalul anului 2019 mi-a adus bucuria publicării la Editura
Lumen (SV) a volumului „GDPR aplicat. Instrument de lucru pentru implementarea regulamentului UE
679/2016.” – ISBN 978-973-166-553-5, lucrare din a cărui colectiv de coautori am avut onoarea să fac parte.
Misiunea mea profesională este orientată spre optimizarea proceselor în organizațiile cu care colaborez,
astfel încât implementarea GDPR să favorizeze evoluția organizației, fără a-i îngreuna activitatea inutil.
Sunt bucuroasă să-mi ofer sprijinul antreprenorilor care înțeleg că prin protecția datelor personale
protejează nemijlocit și datele firmei, într-un raport win-win pe termen mediu și lung.
DANIEL MANEA
Sunt Daniel MANEA, de profesie inginer, absolvent din anul 1995 al Universității ”Dunărea de
Jos Galați”, în prezent colonel (r) după o activitate de 25 de ani în cadrul Ministerului Afacerilor Interne.
Competențele profesionale dobândite de-a lungul carierei, în special cele de comunicare și relații
publice, au condus la perfecționarea mea în relațiile interumane și interinstituționale, lucru care este
benefic în activitatea de înțelegere a mecanismelor de colectare și procesare a datelor cu caracter
personal, mecanisme care stau la baza implementării cerințelor GDPR în orice tip de organizație.
Printre multele specializări obținute de-a lungul anilor, am absolvit în anul 2019, la numai un an după ce
Regulamentul UE 679/2016 devenea obligatoriu de aplicat și implementat în Uniunea Europeană, cursul
postuniversitar din cadrul Universității de Medicină, Farmacie, Științe și Tehnologie ”George Emil Palade”
din Târgu Mureș în domeniul Protecției Datelor cu Caracter Personal. În premieră națională, lucrarea de
absolvire a cursului a constat în organizarea și desfășurarea unui concurs național denumit ”Papiu Ilarian
Data Protection Moot” cu participarea a trei echipe. Împreună cu colegii mei din echipa ”Green Team”
am obținut titlul de ”The Best Management Plan”, fapt care mi-a dat încredere de a profesa actualmente
ca și consultant și practician independent în domeniul protecției datelor.
Sunt convins că prin misiunea mea de a implementa în organizaţii cerinţele GDPR, starea de
normalitate se va instala iar organizaţiile vor fi protejate, mai ales în contextul actual.
Cerințe legale aplicabile domeniului protecției datelor cu
caracter personal
Legislație internă1
Legea nr. 102 din 3 mai 2005 privind înființarea, organizarea şi funcționarea Autorității Naționale de
Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare –
Republicată.
Legea nr. 129 din 15 iunie 2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înființarea,
organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal,
precum şi pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor
cu caracter personal şi libera circulaţie a acestor date.
LEGE nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al
Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce
priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a
Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
Regulamentul de Organizare şi Funcţionare al ANSPDCP din 11 Noiembrie 2005, cu modificările şi completările
ulterioare.
Legea nr. 682 din 28 noiembrie 2001 privind ratificarea Convenției pentru protejarea persoanelor faţă de
prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981.
Legea nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private
în sectorul comunicațiilor electronice.
Norme metodologice din 20 noiembrie 2002 pentru aplicarea Legii nr. 365/2002 privind comerțul electronic.
Legea nr. 146 din 10 iulie 2008 pentru aderarea României la Tratatul dintre Regatul Belgiei, Republica
Federală Germania, Regatul Spaniei, Republica Franceză, Marele Ducat de Luxemburg, Regatul Țărilor de
Jos şi Republica Austria privind aprofundarea cooperării transfrontaliere, în special în vederea combaterii
terorismului, criminalității transfrontaliere şi migrației ilegale, semnat la Prum la 27 mai 2005.
LEGE nr. 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu
caracter personal de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi
penale şi combaterii infracțiunilor sau al executării pedepselor, măsurilor educative şi de siguranță, precum şi
privind libera circulaţie a acestor date
Legea nr. 365/2002 privind comerțul electronic.
1 https://www.dataprotection.ro/?page=legislatie_primara&lang=ro
16 Formularele GDPR sunt disponibile în format editabil pe site-ul nostru web: www.gdprmag.com
#privacy MAGISTRUS - Îndrumarul tău de implementare Regulament (U.E.) 679/2016
Legislație U.E.2
DIRECTIVE - în vigoare: Directiva (UE) 2016/680, Directiva (UE) 2016/681, Directiva 2002/58/CE, Directiva
31/2000.
DIRECTIVE - abrogate: Directiva 95/46/CE - abrogată, Directiva 2006/24/EC - a fost declarată invalidă de Curtea
de Justiție a Uniunii Europene, în anul 2014.
DECIZII
Decizia 2010/87/UE din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter
personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE
a Parlamentului European și a Consiliului.
Decizia 2010/365/UE din 29 iunie 2010 privind aplicarea dispozițiilor acquis-ului Schengen referitoare la
Sistemul de Informaţii Schengen în Republica Bulgaria şi în România.
Decizia Comisiei din 5 februarie 2010 privind clauzele contractuale tip pentru transferul de date cu caracter
personal către persoanele împuternicite de către operator stabilite în țări terțe în temeiul Directivei 95/46/CE
a Parlamentului European și a Consiliului (2010/87/UE).
Decizia 2009/371/JAI din 6 aprilie 2009 privind înființarea Oficiului European de Poliție (Europol), CONSILIUL
UNIUNII EUROPENE.
Decizia 2008/633/JAI a Consiliului din 23 iunie 2008 privind accesul la Sistemul de Informaţii privind vizele
(VIS) în vederea consultării de către autoritățile desemnate ale statelor membre şi de către Europol în scopul
prevenirii, depistării şi cercetării infracțiunilor de terorism şi a altor infracțiuni grave.
Decizie cadru 2008/977/JAI privind protecția datelor cu caracter personal prelucrate în cadrul cooperării
polițienești și judiciare în materie penală.
Decizia Comisiei din 4 martie 2008 de adoptare a Manualului SIRENE şi a altor dispoziţii de aplicare a Sistemului
de Informaţii Schengen din a doua generație (SIS II).
Decizia 2007/533/JAI din 27 iunie 2007 privind instituirea, funcţionarea şi utilizarea Sistemului de Informații
Schengen din a doua generație.
Decizia 2004/915/CE din 27 decembrie 2004 de modificare a Deciziei 2001/497/CE privind introducerea unui
set alternativ de clauze contractuale standard pentru transferul de date cu caracter personal către țări terțe.
Decizia 2001/497/CE din 15 iunie 2001 privind clauzele contractuale standard pentru transferul de date cu
caracter personal către țările terțe în temeiul Directivei 95/46/CE.
CONVENŢII
Convenție din 19 iunie 1990 de aplicare a acordului de la Schengen din 14 iunie 1985 privind eliminarea graduala
a controalelor la frontierele comune, Schengen, 19 iunie 1990.
Convenție privind înființarea Oficiului European de Poliție, în temeiul art. K.3 din Tratatul privind Uniunea
Europeană (Convenția Europol).
2 https://www.dataprotection.ro/?page=legislatie_comunitara&lang=ro
Formularele GDPR sunt disponibile în format editabil pe site-ul nostru web: www.gdprmag.com 17
Convenție de la Prum - Schengen III.
REGULAMENTE
Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu
caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul
general privind protecţia datelor).
Regulamentul (CE) nr. 810/2009 al Parlamentului European şi al Consiliului privind instituirea unui Cod
comunitar de vize.
Regulamentul (CE) nr. 767/2008 al Parlamentului European şi al Consiliului privind Sistemul de Informații
privind vizele (VIS) şi schimbul de date între statele membre cu privire la vizele de scurtă ședere.
Regulamentul (CE) nr. 1987/2006 al Parlamentului European şi al Consiliului privind instituirea, funcţionarea şi
utilizarea Sistemului de Informaţii Schengen din a doua generație (SIS II).
Regulamentul (CE) nr. 1986/2006 al Parlamentului European şi al Consiliului privind accesul la Sistemul
de Informaţii Schengen din a doua generație (SIS II) al serviciilor competente, în statele membre, pentru
eliberarea certificatelor de înmatriculare a vehiculelor.
RECOMANDĂRI
Recomandarea 2009/387/CE din 12 mai 2009 privind aplicarea principiilor de respectare a vieţii private şi
protecţie a datelor în aplicațiile bazate pe identificarea prin radiofrecvență.
Recomandarea NR. R (87) 15 a comitetului de miniștri ai statelor membre ce reglementează utilizarea datelor
personale în sectorul polițienesc.
OPINII GRUPUL DE LUCRU ART. 29
Opinia nr. 1/2014 - 27.02.2014, Opinia nr. 2/2014 - 27.02.2014, Opinia nr. 3/2014 - 25.03.2014, Opinia nr. 4/2014 -
10.04.2014, Opinia nr. 5/2014 - 10.04.2014, Opinia nr. 6/2014 - 09.04.2014, Opinia nr. 7/2014 - 04.06.2014, Opinia
nr. 8/2014 - 16.09.2014, Opinia nr. 9/2014 - 25.11.2014, Ghid de implementare a Deciziei CJUE in cazul Google
- 26.11.2014.
OPINII EDPB3
Liniile directoare 10/2020 privind restricțiile prevăzute la articolul 23 GDPR - versiune pentru consultare publică.
Recomandările 02/2020 privind garanțiile esențiale europene pentru măsurile de supraveghere.
Recomandările 01/2020 privind măsurile care completează instrumentele de transfer pentru a asigura
conformitatea cu nivelul UE de protecție a datelor cu caracter personal - versiune pentru consultare publică.
Orientările 09/2020 privind obiecția relevantă și motivată în temeiul Regulamentului 2016/679 - versiune
pentru consultare publică.
Liniile directoare 08/2020 privind direcționarea către utilizatorii de social media - versiune pentru consultare
publică.
Liniile directoare 07/2020 privind conceptele de controler și procesor din GDPR - versiune pentru consultare
publică.
3 https://www.dataprotection.ro/?page=legislatie_comunitara&lang=ro
Orientările 06/2020 privind interacțiunea celei de-a doua directive privind serviciile de plată și GDPR - Adoptate
după consultare publică.
Orientările 05/2020 privind consimțământul în temeiul Regulamentului 2016/679.
Liniile directoare 04/2020 privind utilizarea datelor de localizare și a instrumentelor de urmărire a contactelor
în contextul focarului COVID-19.
Orientări 03/2020 privind prelucrarea datelor referitoare la sănătate în scopul cercetării științifice în contextul
focarului COVID-19.
Orientările 2/2020 privind articolul 46 alineatul (2) litera (a) și articolul 46 alineatul (3) litera (b) din Regulamentul
2016/679 pentru transferurile de date cu caracter personal între autoritățile și organismele publice din SEE și
din afara SEE - versiune adoptată după consultarea publică.
Orientările 1/2020 privind prelucrarea datelor cu caracter personal în contextul vehiculelor conectate și a
aplicațiilor legate de mobilitate - versiune pentru consultare publică.
Orientările 5/2019 privind criteriile dreptului de a fi uitat în cazurile motoarelor de căutare în temeiul GDPR
(partea 1) - versiune adoptată după consultarea publică.
Orientările 4/2019 privind articolul 25 Protecția datelor prin proiectare și implicit - versiune adoptată după
consultarea publică.
Orientările 3/2019 privind prelucrarea datelor cu caracter personal prin dispozitive video - Adoptate după
consultare publică.
Recomandarea 01/2019 privind proiectul de listă al Autorității Europene pentru Protecția Datelor cu privire
la operațiunile de prelucrare care fac obiectul cerinței unei evaluări a impactului asupra protecției datelor
(articolul 39.4 din Regulamentul (UE) 2018/1725).
Orientările 2/2019 privind prelucrarea datelor cu caracter personal în conformitate cu articolul 6 alineatul (1)
litera (b) din GDPR în contextul furnizării de servicii online către persoanele vizate - versiune adoptată după
Orientările 1/2019 privind codurile de conduită și organismele de monitorizare în temeiul Regulamentului
2016/679 - versiune adoptată după consultare publică.
Orientările 4/2018 privind acreditarea organismelor de certificare în temeiul articolului 43 din Regulamentul
general privind protecția datelor (2016/679) - versiune adoptată după consultare publică.
Orientările 3/2018 privind domeniul de aplicare teritorial al GDPR (articolul 3) - versiune adoptată după
Orientările 2/2018 privind derogările de la articolul 49 în temeiul Regulamentului 2016/679.
Orientările 1/2018 privind certificarea și identificarea criteriilor de certificare în conformitate cu articolele 42 și
43 din regulament - versiune adoptată după consultarea publică.
Decizii ANSPDCP - În vigoare4
Decizie nr. 184/2014 privind aprobarea formularului tipizat al notificării de încălcare a securităţii datelor
cu caracter personal pentru furnizorii de servicii publice de rețele sau servicii de comunicații electronice,
în conformitate cu Regulamentul (UE) nr. 611/2013 al Comisiei din 24 iunie 2013 privind măsurile aplicabile
notificării încălcărilor securităţii datelor cu caracter personal în temeiul Directivei 2002/58/CE a Parlamentului
European şi a Consiliului privind confidenţialitatea şi comunicațiile electronice (publicată în Monitorul Oficial
964 din 30.12.2014).
DECIZIE nr. 200 din 14 decembrie 2015 privind stabilirea cazurilor de prelucrare.
Decizii ANSPDCP - Abrogate5

Decizia nr. 60/2006 privind stabilirea unor formulare tipizate ale notificărilor prevăzute de Legea
nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi
libera circulaţie a acestor date. - A fost abrogată prin Decizia nr. 95/2008, Decizia nr. 89/2006 privind
stabilirea categoriilor de operațiuni de prelucrare a datelor cu caracter personal, susceptibile
de a prezenta riscuri speciale pentru drepturile şi libertăţile persoanelor - A fost abrogată prin
Decizia nr. 11/2009, Decizia nr. 90/2006 privind cazurile în care nu este necesară notificarea prelucrării unor
date cu caracter personal - A fost abrogată prin Decizia 200/2015, Decizia nr. 91/2006 privind cazurile în care
este permisă notificarea simplificată a prelucrării datelor cu caracter personal - A fost abrogată prin Decizia
200/2015, Decizia nr. 167/2006 privind stabilirea clauzelor contractuale standard în cazul transferurilor de
date cu caracter personal către un împuternicit stabilit într-un stat a cărui legislație nu prevede un nivel de
protecţie cel puţin egal cu cel oferit de legea română - A fost abrogată prin Decizia nr. 99/2018, Decizia nr.
172/2006 privind recunoașterea unui nivel de protecţie adecvat a datelor cu caracter personal în Argentina
- A fost abrogată prin Decizia nr. 99/2018, Decizia nr. 173/2006 privind recunoașterea unui nivel de protecţie
adecvat a datelor cu caracter personal, asigurat de Legea Canadiană din 13 aprilie 2000 cu privire la protecţia
informaţiilor personale şi documentele electronice - A fost abrogată prin Decizia nr. 99/2018, Decizia nr.
174/2006 privind recunoașterea unui nivel de protecţie adecvat a datelor cu caracter personal în Elveția -
A fost abrogată prin Decizia nr. 99/2018, Decizia nr. 175/2006 privind recunoașterea unui nivel de protecţie
adecvat a datelor cu caracter personal în Guernsey - A fost abrogată prin Decizia nr. 99/2018, Decizia nr.
176/2006 privind recunoașterea unui nivel de protecţie adecvat a datelor cu caracter personal în Insula Man -
A fost abrogată prin Decizia nr. 99/2018, Decizia nr. 28/2007 privind transferurile datelor cu caracter personal
către alte state - A fost abrogată prin Decizia 200/2015, Decizia nr. 100/2007 privind stabilirea cazurilor în
care nu este necesară notificarea prelucrării unor date cu caracter personal - A fost abrogată prin Decizia
4 https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_ro
5 https://www.dataprotection.ro/?page=publicated&lang=ro
200/2015, Decizia nr. 105/2007 cu privire la prelucrările de date cu caracter personal efectuate în sisteme de
evidenţă de tipul birourilor de credit - A fost abrogată prin Decizia nr. 99/2018, Decizia nr. 90/2008 privind
recunoașterea unui nivel de protecţie adecvat a datelor cu caracter personal în Jersey - A fost abrogată
prin Decizia nr. 99/2018, Decizia nr. 95/2008 privind stabilirea formularului tipizat al notificărilor prevăzute
de Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi
libera circulaţie a acestor date (Formularul de notificare - Notificare prelucrarea datelor cu caracter personal)
- A fost abrogată prin Decizia nr. 99/2018, Decizia nr. 101/2008 privind procedura emiterii autorizației pentru
prelucrarea datelor cu caracter personal privind starea de sănătate, în condiţiile art. 9 alin. (3) şi (4) din Legea
nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera
circulaţie a acestor date - A fost abrogată prin Decizia nr. 99/2018, Decizia nr. 10/2009 privind stabilirea unui
model de autorizație pentru transferul în străinătate al datelor cu caracter personal în baza art. 29 alin. (4)
din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi
libera circulaţie a acestor date. - A fost abrogată prin Decizia nr. 99/2018, Decizia nr. 11/2009 privind stabilirea
categoriilor de operațiuni de prelucrare a datelor cu caracter personal, susceptibile de a prezenta riscuri
speciale pentru drepturile şi libertăţile persoanelor - A fost abrogată prin Decizia 200/2015, Decizia nr. 132/2011
privind condițiile prelucrării codului numeric personal și a altor date cu caracter personal având o funcție de
identificare de aplicabilitate generală. - A fost abrogată prin Decizia nr. 99/2018, Decizie nr. 52/2012 privind
prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video. - A fost abrogată
prin Decizia nr. 99/2018, Decizie nr. 23/2012 privind stabilirea cazurilor în care nu este necesară notificarea
prelucrării unor date cu caracter personal - A fost abrogată prin Decizia 200/2015, Decizie nr. 41/2014 privind
stabilirea unui model de autorizație pentru transferul în străinătate al datelor cu caracter personal în baza
regulilor corporatiste obligatorii (Binding Corporate Rules - BCR) - A fost abrogată prin Decizia nr. 99/2018
Entitățile responsabile de prelucrarea corectă a datelor cu caracter personal
Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu
grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune
în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că
prelucrarea se efectuează în conformitate cu regulamentul. Măsurile în discuție trebuie menținute actuale,
motiv pentru care sunt supuse revizuirii de fiecare dată când este necesar.
Atunci când prelucrarea urmează să fie realizată în numele unui operator, se pune problema selectării
unor persoane împuternicite care să ofere garanții suficiente pentru implementarea punctuală în prelucrările
externalizate, a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele
prevăzute în regulament și să asigure protecția drepturilor persoanei vizate.
Odată selectată, persoana împuternicită de operator nu are prerogativa recrutării unui

alt împuternicit (subcontractant), fără a primi în prealabil o autorizație scrisă, specifică
sau generală, din partea operatorului. În cazul unei autorizații generale scrise, persoana
împuternicită de operator informează operatorul cu privire la orice modificări preconizate
privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel
posibilitatea operatorului de a formula obiecții față de aceste modificări.
Categoriile de date cu caracter personal

Datele cu caracter personal sunt orice informații care se referă la o persoană fizică identificată sau
identificabilă. Informațiile trunchiate care, aduse împreună pot duce la identificarea unei anumite
persoane, constituie și ele date cu caracter personal.
Datele cu caracter personal care au fost anonimizate, pseudonimizate sau criptate, dar care pot
fi utilizate pentru inversarea algoritmului și identificarea unei persoane, rămân date cu caracter
personal și sunt vizate de GDPR.
Totodată, trebuie reținut că datele cu caracter personal protejate prin metode specifice astfel încât
persoana fizică nu este sau nu mai este identificată/ identificabilă nu mai sunt considerate date cu caracter
personal. Pentru ca prelucrările de date personale să fie cu adevărat exceptate de la cerințele GDPR, metoda
specifică utilizată trebuie să fie ireversibilă.
Protecția GDPR acționează când datele cu caracter personal sunt prelucrate indiferent de
tehnologia utilizată – este „neutră din punct de vedere tehnologic” și se aplică atât prelucrării automate,
cât și prelucrării manuale, cu condiția ca datele să fie organizate într-un sistem de evidență, potrivit unor
criterii predefinite (de exemplu, în ordine alfabetică). De asemenea, nu contează cum sunt stocate datele
– într-un sistem TIC, prin supraveghere video sau pe hârtie, o atenție explicită fiind acordată prelucrărilor
transferate în sarcina terților, până la descărcarea controlată a datelor din sistemul informațional al acestora.
Dreptul la protecţia datelor decurge din dreptul la respectarea vieţii private. Conceptul de viaţă privată
este asociat fiinţelor umane. Prin urmare, persoanele fizice sunt beneficiarii principali ai protecţiei datelor.
Orice tip de informaţii pot fi date cu caracter personal cu condiţia ca acestea să facă referire la o
persoană. Datele cu caracter personal includ informaţiile care aparţin vieţii private a unei persoane,
precum şi informaţiile referitoare la viaţa profesională sau publică a acesteia. Jurisprudenţa CEDO,
cu privire la articolul 8 din Convenţia europeană a drepturilor omului, a constatat că separarea
completă a aspectelor legate de viaţa privată şi cea profesională poate fi chiar dificilă, cele două
de multe ori fiind demarcate de o linie foarte fină care își schimbă semantica în funcție de context.
Datele pot fi asociate persoanelor şi în cazul în care conţinutul informaţiilor dezvăluie în mod indirect date
despre o persoană. În unele cazuri, acolo unde există o legătură strânsă între un obiect sau un eveniment – de
exemplu, un telefon mobil, o maşină, un accident – pe de o parte, şi o persoană – de exemplu, proprietarul,
utilizatorul sau victima – pe de altă parte, informaţiile despre acel obiect sau eveniment ar trebui, de asemenea,
luate în considerare ca fiind date cu caracter personal.
Categorii de date cu caracter personal descrise pe larg:
1. Date de identificare - nume și prenume, data nașterii, vârsta, CNP, cetățenie, serie și număr buletin/carte
de identitate/pașaport/alt act de identitate (e.g. permis de ședere, de muncă, carnet de elev/student
etc.), numărul plăcuței de înmatriculare a autoturismului (personal și/sau de serviciu), date înscrise în
talonul de înmatriculare a unei mașini, data emiterii, data expirării, poza din cartea de identitate, stare
civilă, locul nașterii, naționalitate, nume și prenume tata, nume și prenume mama, numărul permisului
de conducere, numărul de asigurare socială sau de sănătate, detalii despre membrii familiei, date de
identificare electronică (“cookies”, log-uri de acces pe dispozitive electronice, adresele IP, coordonate
GPS, seria și numărul cardului de acces în anumite zone) etc.;
1. Date de contact - Adresa de domiciliu (inclusiv cele anterioare, dacă există), reședința (dacă există),
număr de telefon (personal și/sau de serviciu), e-mail (personal și/sau de serviciu), conturi rețele
socializare etc.;
2. Date financiare - date bancare, valoarea și obiectul tranzacțiilor efectuate, proprietăți, credite,
popriri, număr cont bancar al unei persoane fizice (e.g. număr cont bancar al angajatului), numărul
unui card bancar al unei PF, coduri secrete (ex. Coduri de acces în anumite spații), orice tranzacții
financiare în care sunt implicate PF (ex. Persoane fizice beneficiari/plătitori în cadrul unei operațiuni de
plată), contracte comerciale, alte documente de natură financiară încheiate de PJ cu PF, sau de către
PF din PJ cu un terț (PF sau PJ) etc.;
3. Date sociale - orientare religioasă, orientare sexuală, etnie, membru în diferite organizații (mai puțin
politice): caritabile, voluntari, cluburi, asociații, istoricul stării civile - căsătorii anterioare, divorțuri,
seria și numărul certificatului de căsătorie, divorț, deces, pseudonim, informații despre stagiul militar,
distincții civile, condamnări, amenzi administrative, suspiciuni, punere sub acuzare, investigații (civile,
penale), măsuri judiciare: punere sub tutelă, sub administrare provizorie, sancțiuni administrative:
natura pur disciplinară, amenzi, opinii și preferințe politice, calitatea de membru într-un partid politic
etc.;
4. Date privind starea de sănătate a persoanei - analize medicale, diagnostice, tratamente efectuate,
intervenții chirurgicale, istoric medical, dizabilități, grupa de sânge etc.;
5. Date biometrice - amprentă, iris, voce, scris de mână și semnătura olografă, fizionomia feței, înălțime,
greutate, culoarea părului și a ochilor, semne distinctive etc.;
6. Date privind profesia - Informații privind studiile: instituții de învățământ absolvite, cursuri urmate,
diplome, rezultate ale examenelor, calificări profesionale: patente, licențe, calificări, publicații: reviste,
cărți, articole, rapoarte, locurile de muncă anterioare, funcțiile deținute anterior, perioada în care au
fost deținute funcțiile, informații despre angajatorul curent: angajator, funcția, data angajării, măsuri
disciplinare, informații despre terminarea contractului de muncă: data plecării, preavize, informații
despre angajatorii precedenți, informații financiare: salarii, beneficii, bonusuri, pensii, taxe etc.
7. Hobby-uri si interese - Activități de tip hobby, sporturi practicate.
8. Informații privind stilul de viața - Consumul de tutun, alcool, detalii privind călătoriile: vize, permise
de muncă, contacte sociale: prieteni, asociați, relații altele decât familia, funcții deținute, informații
privind accidentele suferite, persoane implicate, natura accidentului, activități de lobby, fotografii,
înregistrări video și audio etc.;
9. Date ale minorilor - Nume și prenume copii, data naștere copil, CNP copil, stare de sănătate și istoric
medical, nevoi speciale sau specifice, activitate școlară, activitate extracurriculară, performanțe
sportive/ artistice, stare de sănătate și istoric medical, nevoi specifice sau speciale, activitatea școlară,
informații despre alți membrii ai familiei: numărul copiilor, frați/surori, persoane aflate în întreținere,
nume și prenume părinți etc.
Categoriile speciale de date cu caracter personal

Originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau
apartenența la sindicate, datele genetice, datele biometrice pentru identificarea unică a unei
persoane fizice, datele privind sănătatea sau datele privind viața sexuală sau orientarea sexuală
ale unei persoane fizice sunt date cu caracter sensibil. Toate aceste date sunt considerate a fi date
cu caracter personal sensibile, deoarece conțin informații descriptive ale persoanei vizate, informații care
compun zona cea mai intimă pe care o persoană își dorește să o protejeze.
Dintre cele mai delicate prelucrări de date sensibile amintim prelucrarea datelor minorilor (cu atât mai
mult a celor cu dizabilități sau cu orice fel de nevoi speciale), care nu au maturitatea necesară pentru a evalua
corect dacă divulgarea anumitor informații în această etapă de viață le poate genera prejudicii. Dată fiind
vulnerabilitatea persoanei vizate la divulgarea sau utilizarea neautorizată a acestor date, se impune aplicarea
unei protecții sporite pe întreaga durată de prelucrare, GDPR referindu-se la acestea ca fiind categorii speciale
de date cu caracter personal.
Operațiunile de prelucrare a datelor cu caracter personal

Prelucrare înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter
personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace
automatizate.
Restricționarea prelucrării înseamnă marcarea datelor cu caracter personal stocate cu scopul de
a limita prelucrarea viitoare a acestora.
În cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu necesită
sau nu mai necesită identificarea unei persoane vizate de către operator, acesta din urmă nu va obține,
prelucra sau păstra informații pentru a identifica persoana vizată în scopul unic de a dovedi respectarea GDPR.
Dacă operatorul poate demonstra că nu este în măsură să identifice persoana vizată, operatorul
informează persoana vizată în mod corespunzător (în cazul în care este posibil) - cel mai probabil printr-o
informare publică la care oricine poate avea acces nemijlocit. În astfel de cazuri, articolele 15-20 nu se aplică,
cu excepția cazului în care persoana vizată, în scopul exercitării drepturilor sale în temeiul respectivelor
articole, oferă informații suplimentare care permit identificarea sa.
Principiile de prelucrare a datelor cu caracter personal

Orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă. Ar trebui să fie
cunoscut pentru persoanele fizice faptul că informațiile personale le sunt colectate, utilizate,
consultate, precum și în ce măsură și la ce mod vor fi prelucrate datele cu caracter personal care le
privesc.
Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea
respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu
și clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului și
scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă
și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica
datele cu caracter personal care le privesc care sunt prelucrate.
Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanțiile și drepturile în materie
de prelucrare a datelor cu caracter personal care le privesc și cu privire la modul în care să își exercite drepturile
în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar
trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor respective. Datele cu
caracter personal ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile
în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu
caracter personal sunt stocate este limitată strict la minimum.
Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în
mod rezonabil prin alte mijloace. În vederea asigurării faptului că datele cu caracter personal nu sunt păstrate
mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau
revizuirea periodică. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter
personal care sunt inexacte sunt rectificate sau șterse.
Datele cu caracter personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea
și confidențialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea
neautorizată a datelor cu caracter personal și a echipamentului utilizat pentru prelucrare.
Principiile de prelucrare a datelor cu caracter personal stabilesc că datele cu caracter personal sunt:
a) prelucrate în mod legal, echitabil și transparent față de persoana vizată (legalitate, echitate și transparentă);
b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil
cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare
științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în
conformitate cu articolul 89 alineatul (limitări legate de scop);
c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate
(reducerea la minimum a datelor);
d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru
a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt
prelucrate, sunt șterse sau rectificate fără întârziere (exactitate);
e) păstrate într-o forma care permite identificarea persoanelor vizate pe o perioada care nu depășește perioada
necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe
perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public,
în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul,
sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul
regulament în vederea garantării drepturilor și libertăților persoanei vizate (limitări legate de stocare);
f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția
împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale,
prin luarea de măsuri tehnice sau organizatorice corespunzătoare (integritate și confidențialitate).
Legalitatea prelucrării datelor cu caracter personal

Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu
caracter personal au fost inițial colectate ar trebui să fie permisă doar atunci când prelucrarea
este compatibilă cu scopurile respective. În acest caz nu este necesar un temei juridic separat de
cel pe baza căruia a fost permisă colectarea datelor cu caracter personal.
În cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes
public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, dreptul Uniunii
sau dreptul intern poate stabili și specifica sarcinile și scopurile pentru care prelucrarea ulterioară ar trebui
considerată a fi compatibilă și legală.
Pentru a stabili dacă scopul prelucrării ulterioare este compatibil cu scopul pentru care au fost
colectate inițial datele cu caracter personal, operatorul, după ce a îndeplinit toate cerințele privind legalitatea
prelucrării inițiale, ar trebui să țină seama, printre altele, de orice legătură între respectivele scopuri și
scopurile prelucrării ulterioare preconizate, de contextul în care au fost colectate datele cu caracter personal,
în special de așteptările rezonabile ale persoanelor vizate, bazate pe relația lor cu operatorul, în ceea ce
privește utilizarea ulterioară a datelor, de natura datelor cu caracter personal, de consecințele prelucrării
ulterioare preconizate asupra persoanelor vizate, precum și de existența garanțiilor corespunzătoare atât în
cadrul operațiunilor de prelucrare inițiale, cât și în cadrul operațiunilor de prelucrare ulterioare preconizate.
Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică

sau istorică ori în scopuri statistice ar trebui considerată ca reprezentând operațiuni de prelucrare legale
compatibile. Temeiul juridic prevăzut în dreptul Uniunii sau în dreptul intern pentru prelucrarea datelor cu
caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioară.
Aplicarea principiilor stabilite de regulament și, în special, informarea persoanei vizate cu privire
la aceste alte scopuri și la drepturile sale, inclusiv dreptul la opoziție, ar trebui să fie garantate. Indicarea
unor posibile infracțiuni sau amenințări la adresa siguranței publice de către operator și transmiterea către o
autoritate competentă a datelor cu caracter personal relevante în cazuri individuale sau în mai multe cazuri
legate de aceeași infracțiune sau de aceleași amenințări la adresa siguranței publice ar trebui considerată ca
fiind în interesul legitim urmărit de operator. Cu toate acestea, o astfel de transmitere în interesul legitim
al operatorului sau prelucrarea ulterioară a datelor cu caracter personal ar trebui interzisă în cazul în care
prelucrarea nu este compatibilă cu o obligație legală, profesională sau cu o altă obligație de păstrare a
confidențialității.
Dreptul intern sau acordurile colective, inclusiv „acordurile de muncă”, pot prevedea norme specifice
care să reglementeze prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc
de muncă, în special condițiile în care datele cu caracter personal în contextul ocupării unui loc de muncă pot
fi prelucrate pe baza consimțământului angajatului, în scopul recrutării, al respectării clauzelor contractului
de muncă, inclusiv descărcarea de obligațiile stabilite prin lege sau prin acorduri colective, al gestionării,
planificării și organizării muncii, al egalității și diversității la locul de muncă, al asigurării sănătății și securității
la locul de muncă, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și
beneficiile legate de ocuparea unui loc de muncă, precum și în scopul încetării raporturilor de muncă.
Drepturile persoanei vizate

Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la
articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34 referitoare la prelucrare,
într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu,
în special pentru orice informații adresate în mod specific unui copil. Informațiile se furnizează în
scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei
vizate, informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte
mijloace.
Operatorul facilitează exercitarea drepturilor persoanei vizate în temeiul articolelor 15-22. În cazurile
menționate la articolul 11 alineatul (2), operatorul nu refuză să dea curs cererii persoanei vizate de a-și exercita
drepturile în conformitate cu articolele 15-22, cu excepția cazului în care operatorul demonstrează că nu este
în măsură să identifice persoana vizată.
Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri în
temeiul articolelor 15-22, fără întârzieri nejustificate și în orice caz în cel mult o lună de la primirea cererii.
Această perioadă poate fi prelungită la două luni, atunci când este necesar, ținându-se seama de complexitatea
și numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen
de o lună de la primirea cererii, prezentând și motivele întârzierii.
Chiar și dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul o informează pe aceasta,
fără întârziere și în același termen, cu privire la motivele pentru care nu ia măsuri și despre posibilitatea de a
depune o plângere în fața unei autorități de supraveghere și de a introduce o acțiune în justiție.
Responsabilul cu protecția datelor (Data Protection Officer)

Pentru anumiți operatori, GDPR instituie obligativitatea numirii unui responsabil cu protecția
datelor (DPO – acronimul din engleză a titulaturii de Data Protection Officer) și comunicării
acestuia la Autoritatea de Supraveghere în baza completării formularului on-line de pe site-ul
acesteia. Profesia de DPO este reglementată în România prin standard ocupațional - cod COR
242231, ce prevede condiția de acces doar pentru persoanele cu studii superioare cu licență și
vechime în muncă de minim 1 an, precum și durata unei specializări de 180 ore cuprinzând aspecte teoretice
și practice.
Numirea unui DPO trebuie realizată cu mare atenție, deoarece Regulamentul ne cere în mod expres
ca acest personaj să nu se afle în incompatibilitate sau conflict de interese. Pentru a respecta această
cerință, DPO nu poate face parte din echipa care stabilește scopurile și mijloacele prelucrării, ceea ce ne
indică excluderea de la această candidatură a oricăruia dintre membrii echipei manageriale implicat la nivel
decizional în organizație.
Regulamentul permite numirea unui DPO intern, dintre angajații operatorului de date, în condițiile
enunțate anterior sau numirea unui DPO extern, prin contractarea unei firme specializate în acest domeniu.
Alegerea este a operatorului și este condiționată de specificul contextului organizațional al fiecăruia. Trebuie
menționat că, și în cazul serviciului externalizat pot exista situații de incompatibilitate chiar dacă numai în
parte (nu în tot), ca de exemplu în cazul în care unui serviciu deja externalizat pe contabilitate, juridic sau IT
îi este alipit și acesta.
Obligativitatea numirii unui DPO este implicită pentru autoritățile sau organismele publice, cu excepția
instanțelor care acționează în exercițiul funcției lor jurisdicționale.
Deopotrivă, este obligatorie numirea unui DPO, atunci când activitățile principale ale operatorului sau ale
persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de
aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară
largă sau atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator
constau în prelucrarea pe scară largă a unor categorii speciale de date (art. 9), sau a unor date cu caracter
personal privind condamnări penale și infracțiuni (art. 10).
ETAPA I
Analiza preliminară a prelucrărilor de date cu caracter personal
cy S cy S cy
r i va R UGDPR r i va R UGDPR r i va R UGDSPR
#p GISlemTentare #p GISlemTentare #p GISlemTentare
as as as
Amar imp Amar imp Amar imp

u p ia u p ia u p ia
as c ț as c ț as c ț
ă p rotec al ă p rotec al ă p rotec al
M M M
d a t p n d a t p n d a t p n
a ghi rivind perso a ghi rivind perso a ghi rivind perso
are p er are p er are p er
m ent 9/2016 aract m ent 9/2016 aract m ent 9/2016 aract
c c c
u le
u 67 u le 67 le 67
ndr ndr ndr
u u u
Imp i U.E. elor c Imp i U.E. elor c Imp i U.E. elor c
Î e
lu
ntu ție a d
at Î e
lu
ntu ție a d
at Î e
lu
ntu ție a d
at
lam ula lam ula lam ula
egu circ egu circ egu circ
a R ibera a R ibera a R ibera
și l și l și l
a cy S a cy S a cy SPR
r i v R U r i v R U r i v R U
#p GISlemTentare G #p GISlemTentare G #p GISlemTentare G
D PR D PR D
as as as

M M M
a t a t a t
hid dp on hid dp on hid dp on
rea g privin r pers rea g privin r pers rea g privin r pers
a e a e a e
ent 2016 ract ent 2016 ract ent 2016 ract
lem 679/ u ca lem 679/ u ca lem 679/ u ca
u u u
ndr
Î ndr
Imp i U.E. elor c
ulu a da t ndr Î
Imp i U.E. elor c
ulu a da t Î
Imp i U.E. elor c
ulu a da t
ent ie ent ie ent ie
lam ulaț lam ulaț lam ulaț
R egu ra circ R egu ra circ R egu ra circ
a i b e a i b e a i b e
și l și l și l
cy S cy S cy
pas pas pas

cu a cu a cu a
pas otecți l pas otecți l pas otecți l
M M M
t ă t ă t ă
da pr na da pr na da pr na
u u u
ndr
Î ndr
Imp i U.E. elor c
ulu a dat ndr Î
Imp i U.E. elor c
ulu a dat Î
Imp i U.E. elor c
ulu a dat
a b e a b e a b e
și li și li și li
va cy USR va cy USR va cy USR

i R P i R P i R P
#pr GISlemTentare GD #pr GISlemTentare GD #pr GISlemTentare GD
pas pas pas

cu a cu a cu a
pas ecți pas ecți pas ecți
M M M
i d ată prot onal i d ată prot onal i d ată prot onal
a gh rivind pers a gh rivind pers a gh rivind pers
u u u
ndr
Î ndr
Imp i U.E. elor c
lu
ntu ție a d
at ndr Î
Imp i U.E. elor c
lu
ntu ție a d
at Î
Imp i U.E. elor c
lu
ntu ție a d
at
me me me
e g ula ircula e g ula ircula e g ula ircula
c c c
și l și l și l
Etapa I - Analiza preliminară a prelucrărilor de date cu caracter personal
Cerințe legale (GDPR și legislație națională):

Cap. 1 - Dispoziții generale;
Cap. 2 - Principii;
Cap. 3 - Drepturile persoanei vizate;
Cap. 4 - Operatorul și persoana împuternicită de operator;
Cap. 5 - Transferurile de date cu caracter personal către țări terțe sau organizații internaționale;
Cap. 9 - Dispoziții referitoare la situații specifice de prelucrare + Legea 190/2018.
Data
Realizat Descrierea activității planificate Persoane implicate/funcție/rol
realizării
Etapa I. Documente inițiale.
Chestionarele GDPR pe departamente
Raportul de Audit preliminar
Chestionar auditare prelucrări online
Notă comunicare măsuri conformare GDPR prelucrări
date personale online
Listă verificare privind măsurile de securitate existente
Raportul de Audit preliminar
Evidența activităților specifice de implementare GDPR
(Completare #privacyMAGISTRUS)
Conformarea GDPR specifică și riguroasă a unei organizații/ instituții nu este posibilă fără realizarea unui
audit preliminar care să furnizeze informații punctuale, actuale și asumate privind activitățile de prelucrare a
datelor cu caracter personal la respectivă entitate. Se va avea în vedere sondarea acestor activități de prelucrare
atât online, dar și offline, cu atât mai mult cu cât aceste două planuri de prelucrare cel mai adesea se întrepătrund
pentru îndeplinirea scopului operatorului de date.
1. Chestionarul de audit preliminar

Oricare din întrebările formulate prin Chestionarul de audit preliminar își vor găsi răspunsurile
potrivite răspunzând la cele 5 întrebări esențiale legate de prelucrarea datelor cu caracter personal,
și anume:
Notițele mele:
Sarcina Soluționat
De urmărit Închis cerință
•• Cine? … este operatorul, ...sunt categoriile de persoane vizate, … stabilește scopurile și mijloacele
prelucrării, ...prelucrează date personale în organizație, ...are acces la date, ...sunt împuterniciții
operatorului să prelucreze datele, ...etc.
•• Unde? … sunt prelucrate datele, ...sunt stocate datele, … transmitem datele personale, ...de unde avem
datele, ...facem transmiteri de date în state non-UE, ...sunt localizate serverele ce prelucrează datele din
sistemul informațional al operatorului, ...etc.
•• De ce? … avem nevoie de datele pe care le prelucrăm, ...prelucrăm datele în forma dată, …alegem
un împuternicit anume, ...transmitem datele la terți, ...trebuiesc luate măsuri de securitate fizică și
cibernetică adecvate ...etc.
•• Când? … avem voie să prelucrăm anumite categorii de date, ...nu mai avem nevoie să păstrăm datele, …
este necesară intervenția DPO, ...s-au efectuat instruiri pe linie de protecția datelor, ...s-au implementat
măsuri tehnice și organizatorice de protecție a datelor, ...etc.
•• Ce?/ Cum?/ Care?… avem organizate procesele ce înglobează prelucrările de date cu caracter personal,
...cum sunt împărțite rolurile în organizație și în ce măsură acestea impactează prelucrările de date,
până la ce nivel, … în ce format sunt prelucrate datele cu caracter personal, ...ce mijloace tehnice de
prelucrare a datelor utilizează organizația, ...ce tipuri de prelucrări de date personale pot fi identificate,
...care sunt categoriile de date prelucrate și volumele asociate prelucrării, ...care este aria geografică pe
care se desfășoară prelucrarea datelor personale de către și în numele operatorului, ...etc.
2. Chestionarele GDPR pe departamente

În cazul organizațiilor mari, cu procesele organizate pe departamente specializate, este de bun augur
a fi completat chestionarul de audit preliminar de conducătorul fiecărui departament în parte, dată
fiind punerea în aplicare a funcției de delegare de la nivelul managementului de vârf. Practic, același
chestionar, poate fi perpetuat ca utilizare, cu consemnarea elementelor aplicabile departamentului
respectiv.
3. Chestionar auditare prelucrări date personale în mediul online

Auditarea prelucrărilor de date cu caracter personal în mediul online este o prioritate zero pentru
gestionarea riscurilor la care datele cu caracter personal prelucrate în spațiul virtual le comportă, cu
un potențial impact semnificativ asupra drepturilor și libertăților cetățenești ale persoanelor vizate,
dată fiind expunerea extraordinară pe care datele utilizate prin internet transportă intrinsec. Acest chestionar
are drept scop identificarea mediilor online pe care operatorul/ persoana împuternicită le prelucrează în cadrul
activității pe care o desfășoară și care utilizează orice fel de date cu caracter personal.
Fiți curioși, puneți întrebări suplimentare, solicitați argumentarea concretă a necesității prelucrării; însă,
asigurați și confidențialitatea deplină a informațiilor în posesia cărora intrați cu acest prilej!
Pentru a facilita personalului implicat în gestiunea site-ului sau a conturilor de social media, vom
pune la dispoziția acestuia infograficul conținând categoriile de date cu caracter personal, descrise
la pagina 23 - Categoriile de date cu caracter personal, din prezenta lucrare.
4. Notă de consemnare măsuri conformare GDPR prelucrări date personale online

Având în vedere faptul că, de cele mai multe ori, operatorii de date externalizează activitățile de
realizare & configurare site/ pagini în social media, intervine necesitatea gestionării procesului de
comunicare dintre beneficiar și prestator.
Astfel, operatorul de date va completa și comunica prestatorului de servicii web această notă de consemnare
măsuri GDPR, pentru a fi operate efectiv în cadrul site-ului. Totodată, în acest fel sunt generate dovezi concludente
de îndeplinire a principiului responsabilității, fiind gestionată inclusiv asumarea corespunzătoare a răspunderii,
în cazul neimplementării rezonabile pe site a măsurilor GDPR comunicate.
5. Lista verificare măsuri de securitate

Asigurarea unui nivel adecvat de securitate a datelor cu caracter personal, fizic și la nivel cibernetic
în cadrul prelucrărilor efectuate de operatorul de date în activitatea desfășurată, este una din
necesitățile stringente de gestionat în mod organizat.
Utilizarea unui formular cuprinzător care inventariază măsurile de securitate implementate efectiv
pe fiecare arie a activităților de prelucrare este o soluție fiabilă pentru identificarea și trasabilitatea îndeplinirii
cerințelor de conformitate, pe acest nivel.
6. Raportul de Audit preliminar

Raportul de audit preliminar reprezintă punctul de plecare în „călătoria” de implementare a GDPR în
organizație. Ca orice raport de audit, acest înscris va fi structurat pe 3 capitole:
1. - Consemnarea datelor de intrare în analiză - culese din mediul organizațional/instituțional prin toate
metodele abordate (chestionar, interviuri, simulări etc.)
2. - Analizarea datelor colectate - în baza prevederilor GDPR, a ghidurilor emise de WP29/EDPB sau de
autoritățile naționale de supraveghere și cerințe legale specifice aplicabile anumitor tipuri de prelucrări
de date cu caracter personal (ex.: legea 303/2003 - supravegherea video, legea 506/2004 - comunicațiile
electronice)
3. - Formularea recomandărilor de conformare - etapă a cărei documentare fundamentează începutul

conformării organizației la GDPR, reprezentând parcurgerea caietului de față, în mod specific, însă,
fiecărei organizații.
Existența acestui document este o dovadă a depunerii diligențelor conformării
operatorului la cerințele Regulamentului U.E. 679/2016, fiind consemnată inclusiv
situația de facto a prelucrărilor de date cu caracter personal la momentul demarării
implementării GDPR în organizație/ instituție.
ETAPA II
Responsabilul cu protecția datelor
cy S cy S cy
as as as

M M M
d a t p n d a t p n d a t p n
m ent 9/2016 aract m ent 9/2016 aract m ent 9/2016 aract
c c c
u le
u 67 u le 67 le 67
ndr ndr ndr
u u u
Imp i U.E. elor c Imp i U.E. elor c Imp i U.E. elor c
Î e
lu
ntu ție a d
at Î e
lu
ntu ție a d
at Î e
lu
ntu ție a d
at
lam ula lam ula lam ula
egu circ egu circ egu circ
și l și l și l
a cy S a cy S a cy SPR
r i v R U r i v R U r i v R U
#p GISlemTentare G #p GISlemTentare G #p GISlemTentare G
D PR D PR D
as as as

M M M
a t a t a t
hid dp on hid dp on hid dp on
rea g privin r pers rea g privin r pers rea g privin r pers
a e a e a e
u u u
ndr
Î ndr
Imp i U.E. elor c
ulu a da t ndr Î
Imp i U.E. elor c
ulu a da t Î
Imp i U.E. elor c
ulu a da t
a i b e a i b e a i b e
și l și l și l
cy S cy S cy
pas pas pas

cu a cu a cu a
pas otecți l pas otecți l pas otecți l
M M M
t ă t ă t ă
da pr na da pr na da pr na
u u u
ndr
Î ndr
Imp i U.E. elor c
ulu a dat ndr Î
Imp i U.E. elor c
ulu a dat Î
Imp i U.E. elor c
ulu a dat
a b e a b e a b e
și li și li și li
va cy USR va cy USR va cy USR

i R P i R P i R P
#pr GISlemTentare GD #pr GISlemTentare GD #pr GISlemTentare GD
pas pas pas

cu a cu a cu a
pas ecți pas ecți pas ecți
M M M
i d ată prot onal i d ată prot onal i d ată prot onal
a gh rivind pers a gh rivind pers a gh rivind pers
u u u
ndr
Î ndr
Imp i U.E. elor c
lu
ntu ție a d
at ndr Î
Imp i U.E. elor c
lu
ntu ție a d
at Î
Imp i U.E. elor c
lu
ntu ție a d
at
me me me
e g ula ircula e g ula ircula e g ula ircula
c c c
și l și l și l
Etapa II - Responsabilul cu protecția datelor

Cerințe legale (GDPR și legislație națională):
Art. 37 - Desemnarea responsabilului cu protecția datelor (97);
Art. 38 - Funcția responsabilului cu protecția datelor (97);
Art. 39 - Sarcinile responsabilului cu protecția datelor (97) + Ghid WP29 (WP 243 rev.01)
Data
Realizat Descrierea activității planificate Persoane implicate/ funcție/ rol
realizării
Decizie numire DPO
Anexă decizie (DPO extern) sau Fișa de post DPO/
anexa la fișa postului (pentru DPO numit intern),
conform art. 97 GDPR + Standard ocupațional cod COR
242231)
Anunț numire DPO + PV afișare
Notificare DPO la ANSPDCP (online)
PPIM - Întocmire Plan Proiect Implementare și
Monitorizare + Anexa 1
Fișă monitorizare prelucrări date cu caracter personal
Notă de comunicare MTO
În funcție de recomandările primite în Raportul de audit preliminar, o parte din operatorii de date vor
avea obligația desemnării și notificării la ANSPDCP a unui responsabil cu protecția datelor, rol de îndeplinit
recurent și perpetuu.
Grupul de lucru 29/ EDPB recomandă ca o dovadă de bună practică numirea unui DPO în sistem voluntar
chiar și când acesta nu este sub condiția de obligativitate, pentru monitorizarea implementării și menținerii
corecte a GDPR.
1. Decizia de numire a Responsabilului cu protecția datelor

Desemnarea DPO (Responsabilul cu Protecția Datelor - ocupație înscrisă în Codul Ocupațiilor din
România sub codul 242231) se pune în aplicare prin decizia reprezentantului operatorului, conform
organigrama. Acest document conține informațiile uzuale în cazul emiterii unei decizii, fiind necesară
consemnarea succintă a principalelor coordonate ale activității DPO.
2. Anexa decizie numire DPO extern/ Fișa de post DPO/ anexa la fișa postului
În completarea prevederilor cuprinse în Decizia de numire a DPO, pentru claritatea exercitării acestei
funcții inclusiv în relație cu mediul organizațional/ instituțional intern și extern pe linie de protecție a
datelor cu caracter personal, este necesară detalierea activității DPO coroborat cu responsabilitatea
operatorului de a asigura resurse multiple, necesare exercitării funcției.
Acest lucru poate fi realizat prin completarea unei :
Anexe la Decizie, mai ales în cazul numirii prin cumul de funcții sau în cazul numirii unui DPO extern, sau
Fișă de post specifică funcției DPO, conform cod COR 242231.
Toate documentele menționate aici sunt încheiate aprioric desfășurării activității DPO și sunt
asumate de ambele părți semnatare.
3. Anunț numire DPO + Proces Verbal afișare

Pentru ca mediul organizațional să se ajusteze corespunzător la noul rol inserat în organigramă,
operatorul de date va publica la avizierul fizic și/sau virtual al acestuia un anunț prin care va fi
comunicată colectivului cine este DPO-ul numit și o descriere succintă a prerogativelor acestuia.
Pentru consemnarea acțiunii întreprinse, va fi încheiat un proces-verbal de afișare ce va fi păstrat împreună cu
documentația aferentă îndeplinirii cerinței de numire a responsabilului cu protecția datelor.
4. Notificarea DPO la ANSPDCP (on-line)

Conform reglementărilor GDPR, nu mai este necesară înregistrarea operatorului de date cu caracter
personal la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, așa
cum formula cerință Legea 677/2001 - abrogată.
Este obligatorie, însă, notificarea Responsabilului cu Protecția Datelor (Data Protection Officer - DPO) numit
în cadrul operatorului sau a operatorilor asociați, prin completarea formularului online disponibil pe site-ul
ANSPDCP, aici:
https://www.dataprotection.ro/formulare/formularRpd.do?action=view_action&newFormular=true
5. PPIM- Întocmire Plan Proiect Implementare și Monitorizare + Anexa 1

Practic, acest caiet de lucru pentru implementarea GDPR, constituie o formă extinsă a evidenței
activităților de conformare a organizației la GDPR.
În formă simplificată, este extrem de utilă întocmirea unei evidențe punctuale, cu jurnalizarea
activităților de implementare a cerințelor GDPR aplicabile activității de prelucrare a datelor cu caracter personal
la nivelul operatorului.
6. Fișă monitorizare prelucrări date cu caracter personal

Pentru monitorizarea conformității prelucrărilor de date cu caracter personal de dată recentă și
identificarea vulnerabilităților noi instalate în activitatea operatorului de date, precum și a unor noi
prelucrări de date instalate spontan, DPO întocmește periodic (lunar/ trimestrial/ semestrial/ anual) o
fișă de monitorizare a activităților de prelucrare.
Completarea acestei fișe se constituie drept dovadă de îndeplinire a rolului de monitorizare exercitat de DPO,
cu implicarea proactivă și recurentă a managementului de vârf. Scopul practic al utilizării acestui formular îl
reprezintă instalarea unui proces de îmbunătățire continuă a modului în care obligațiile GDPR ale operatorului
sunt îndeplinite, prin identificarea de noi soluții fiabile de conformare, în timp util.
7. Notă de comunicare MTO

În relația DPO cu managementul de vârf al operatorului, este necesară generarea unor dovezi care
să ateste calitatea/ corectitudinea muncii depuse de DPO, în oglindire cu activitatea managerială din
punct de vedere decizional și de punere la dispoziție a resurselor materiale și umane necesare pentru
ca nivelul adecvat de legalitate, securitate, confidențialitate și disponibilitate a datelor cu caracter
personal prelucrate să fie unul adecvat.
Procesul de comunicare dintre DPO și reprezentantul legal/ delegat al operatorului este preferabil să se realizeze
în scris prin e-mail și cu consemnarea tuturor elementelor relevante, prin utilizarea acestui formular și a
formularului Fișă monitorizare prelucrări date cu caracter personal.
Notițele mele:
Sarcina Soluționat
De urmărit Închis cerință

Îndrumar Implementare GDPR-Magistrus

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Îndrumar Implementare GDPR-Magistrus

Încărcat de

Drepturi de autor:

Formate disponibile

Pantilimon Cătălina (coordonator) Manea Daniel

Decizii ANSPDCP - Abrogate5

Odată selectată, persoana împuternicită de operator nu are prerogativa recrutării unui

Categoriile de date cu caracter personal

Categoriile speciale de date cu caracter personal

Operațiunile de prelucrare a datelor cu caracter personal

Principiile de prelucrare a datelor cu caracter personal

Legalitatea prelucrării datelor cu caracter personal

Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică

Drepturile persoanei vizate

Responsabilul cu protecția datelor (Data Protection Officer)

Amar imp Amar imp Amar imp

Amar imp Amar imp Amar imp

Amar imp Amar imp Amar imp

va cy USR va cy USR va cy USR

Amar imp Amar imp Amar imp

Etapa I - Analiza preliminară a prelucrărilor de date cu caracter personal

Cerințe legale (GDPR și legislație națională):

1. Chestionarul de audit preliminar

De urmărit Închis cerință

2. Chestionarele GDPR pe departamente

3. Chestionar auditare prelucrări date personale în mediul online

4. Notă de consemnare măsuri conformare GDPR prelucrări date personale online

5. Lista verificare măsuri de securitate

6. Raportul de Audit preliminar

3. - Formularea recomandărilor de conformare - etapă a cărei documentare fundamentează începutul

Amar imp Amar imp Amar imp

Amar imp Amar imp Amar imp

Amar imp Amar imp Amar imp

va cy USR va cy USR va cy USR

Amar imp Amar imp Amar imp

Etapa II - Responsabilul cu protecția datelor

1. Decizia de numire a Responsabilului cu protecția datelor

3. Anunț numire DPO + Proces Verbal afișare

4. Notificarea DPO la ANSPDCP (on-line)

5. PPIM- Întocmire Plan Proiect Implementare și Monitorizare + Anexa 1

6. Fișă monitorizare prelucrări date cu caracter personal

7. Notă de comunicare MTO

De urmărit Închis cerință

S-ar putea să vă placă și