Documente Academic
Documente Profesional
Documente Cultură
This material is proprietary and cannot be used for any purpose, entirely or partially, without the written consent of the author.
The information herein is for reference only and it does not seek to provide legal advice.
Andreea Lisievici Alin Popescu
avocat, partner PrivacyONE, CEO Avocatnet.ro,
CIPP/E partner PrivacyONE
andreea@privacyone.ro alin@privacyone.ro
Ce este GDPR?
Regulamentul (UE) 2016/679 al Parlamentului European și al
Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în
ceea ce privește prelucrarea datelor cu caracter personal și privind
libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecţia datelor)
(Text cu relevanţă pentru SEE)
http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeetingDoc&docid=9350
Operator
mod particular prin referire la un număr identificată, direct sau indirect, în special
de identificare ori la unul sau la mai mulţi prin referire la un element de identificare,
Etichetele de
Datele de trafic Identificatori
identificare prin CNP
si localizare cookie
frecvenţe radio
Operatorul Împuternicitul
Determina faptul ca Este cel care efectueaza
prelucrarea are loc prelucrarea (pe seama
operatorului).
Stabileste scopul macar
partial, dar are rol esential.
Ii poate fi delegata
Este posibil sa nu ajunga in stabilirea mijloacelor
contact direct cu datele. prelucrarii.
Temeiuri
prelucrarea este
necesară pentru
îndeplinirea unei sarcini prelucrarea este necesară în
care servește unui sarcina publica obligaţie legala vederea îndeplinirii unei
interes public sau care obligaţii legale care îi revine
rezultă din exercitarea operatorului
autorităţii publice cu care
este învestit operatorul protejarea
intereselor
vitale
prelucrarea este necesară pentru a proteja
interesele vitale ale persoanei vizate sau ale
altei persoane fizice
Trebuie sa existe macar
unul din cele 6 temeiuri
INTERESUL LEGITIM
prelucrarea este necesară în scopul
intereselor legitime urmărite de operator
sau de o parte terţă, cu excepţia cazului
în care prevalează interesele sau
drepturile și libertăţile fundamentale ale
persoanei vizate, care necesită protejarea
datelor cu caracter personal, în special
atunci când persoana vizată este un
copil.
(47) Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi
pot fi divulgate datele cu caracter personal sau ale unei terţe părţi, pot constitui un
temei juridic pentru prelucrare, cu condiţia să nu prevaleze interesele sau
drepturile și libertăţile fundamentale ale persoanei vizate, luând în considerare
așteptările rezonabile ale persoanelor vizate bazate pe relaţia acestora cu
operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când există o
relaţie relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în
care persoana vizată este un client al operatorului sau se află în serviciul acestuia.
În orice caz, existenţa unui interes legitim ar necesita o evaluare atentă, care să
stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în
momentul și în contextul colectării datelor cu caracter personal, posibilitatea
prelucrării în acest scop. Interesele și drepturile fundamentale ale persoanei vizate
ar putea prevala în special în raport cu interesul operatorului de date atunci când
datele cu caracter personal sunt prelucrate în circumstanţe în care persoanele
vizate nu preconizează în mod rezonabil o prelucrare ulterioară. Întrucât legiuitorul
trebuie să furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal
de către autorităţile publice, temeiul juridic respectiv nu ar trebui să se aplice
prelucrării de către autorităţile publice în îndeplinirea sarcinilor care le revin.
Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii
fraudelor constituie, de asemenea, un interes legitim al operatorului de date în
cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul
direct poate fi considerată ca fiind desfășurată pentru un interes legitim.
Utilizarea interesului legitim implica un test
comparativ intre interesul în cauza (al operatorului
sau al unui terţ) si drepturile afectate ale
persoanelor vizate
• Recomandam:
– Evaluarea sa fie facuta de sau sub supravegherea DPO
– Evaluarea sa fie concretizata intr-o analiza scrisa
(principiul responsabilitatii)
Evaluarea interesului legitim
• “necesar” ≠ “indispensabil”
• “necesar” ≠ “obișnuit”, “util”, “rezonabil” sau
“dezirabil”
• indisolubil legat de principiul necesitatii si
limitarii la minim
Stabilirea necesităţii prelucrării
Necesar, se trece la
Nu
pasul urmator
natura si
importanţa
interesului legitim
al operatorului
drepturile si
libertatile
fundamentale ale
persoanei vizate
Natura interesului legitim
Așteptările rezonabile ale • Dacă da, atunci este posibil ca impactul să fi fost deja
persoanei: ar trebui sau ar luat în considerare de ei și acceptat.
trebui să se aștepte ca • Dacă nu, atunci impactul este mai mare și i se acordă mai
prelucrarea să aibă loc? multă pondere în testul comparativ.
• Adaugă valoare?
Importanţa intereselor • Este și în interesul individului?
operatorului • În cazul în care poate exista un prejudiciu ca rezultat al
prelucrării, este nejustificat?
Impactul asupra persoanei vizate
Se iau in probabilitatea si severitatea impactului negativ asupra
persoanei vizate - impactul grav nu poate fi justificat decat
calcul: de interese critice
orice prejudicii aduse operatorului, terţului sau societăţii în
cazul în care nu se efectuează prelucrarea
interese legitime
minore ale operatorului
se revad masurile de
Rezultat
reducere a impactului
se schimba
Interesul legitim nu
operatiunea de
prevaleaza
prelucrare
TRANSPARENTA SI INFORMARE
49
✓ dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală sau
o obligaţie necesară pentru încheierea unui contract, precum și dacă persoana vizată este
obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecinţe
ale nerespectării acestei obligaţii
✓ Daca se ia o decizie automata incluzând crearea de profiluri, iar in acest caz informaţii
pertinente privind logica utilizată și privind importanţa și consecinţele preconizate ale unei
astfel de prelucrări
Informarea in cazul datelor obtinute indirect (III)
• Informarea se face:
– într-un termen rezonabil după obţinerea datelor cu
caracter personal, dar nu mai mare de o lună;
• http://www.sonos.com/en-gb/legal/privacy
• https://www.avepoint.com/privacy-policy/
• https://www.cisco.com/c/en/us/about/legal/privacy-full.html
• https://www.mcafee.com/us/about/legal/privacy.aspx
• http://www.vodafone.co.uk/about-this-site/our-privacy-policy/
• https://www.theguardian.com/help/privacy-policy
• http://www.easyjet.com/en/policy/privacy-promise
GDPR art. 35, 36 &
preambul 75, 84, 89, 90, 91, 92, 93
https://www.iso.org/standard/62289.html
Ce este DPIA
Nu exista o definitie, dar continutul este prevazut in art. 35(7) GDPR:
Periodicitatea revizuirii
poate varia, dar WP 29
DPIA ar trebui revizuita
recomanda 3 ani sau
periodic, in special daca
mai puţin
se schimba oricare din
condiţii/riscuri • Se introduce in politica de
prelucrare a datelor / regulile
DPIA
Prelucrări in curs
✓ The requirement to carry out a DPIA applies to existing processing operations likely
to result in a high risk to the rights and freedoms of natural persons and for which
there has been a change of the risks, taking into account the nature, scope, context
and purposes of the processing.
✓ A DPIA is not needed for processing operations that have been checked by a
supervisory authority or the data protection official, in accordance with Article 20 of
Directive 95/46/EC, and that are performed in a way that has not changed since the
prior checking.
Exemple in anexa
ghidului
Masurile care
Documentare demonstreaza
conformitatea
Analiza riscurilor
Masuri de reducere
pentru persoana
a riscurilor
vizata
Consecinte
Irlanda http://gdprandyou.ie/data-protection-impact-assessments-
dpia/
Alte resurse utile
• Data Protection Impact Assessment under the GDPR, Baker McKenzie -
https://goo.gl/6CSVC8
• A Process for Data Protection Impact Assessment Under the European
General Data Protection Regulation, Springer - https://goo.gl/m7viID
• Risk, High Risk, Risk Assessments and Data Protection Impact
Assessments under the GDPR, CIPL - https://goo.gl/PAqtw3
https://www.cnil.fr/fr/outil-
pia-telechargez-et-installez-
le-logiciel-de-la-cnil
GDPR art. 25 & preambul 78
https://youtu.be/xYZtHIPktQg
Sectiunea 2
Dreptul de a nu fi supus
Dreptul la stergerea unei decizii automate cu
datelor (art. 17) effect semnificativ (art.
22)
GDPR Art. 15, Art.12 (5), Art.15 (3) si (4) Preambul 59, 63.
DA NU
– Ceva ce esti
• Dovada posesiei (MFA + biometric)
• Autentificare continua Date
• Daca autentificarea nu e posibila, nu se
aplica niciunul dintre drepturile
persoanei vizate.
Cererea de acces
Persoana vizata nu trebuie sa
foloseasca neaparat un model Nu e nevoie ca aceasta cerere
de cerere (nu se lucreaza cu sa vina pe un “canal oficial”
template-uri). Nu exista pentru a fi valida. Poate veni si
anumite expresii care trebuie pe Facebook, Linkedin, prin
folosite in cerere, pentru ca email sau alte canale.
aceasta sa fie valida.
De retinut! E important sa
Nu e nevoie ca aceasta cerere realizati un training intern cu
sa fie primita de DPO sau alta privire la recunoasterea
persoana “indreptatita” din eventualelor cereri de acces,
cadrul companiei. Poate fi procedura de urmat si
primita de oricine. persoanele indreptatite sa
ofere o solutionare cererilor.
Raspunsul la cererea de acces
Daca cererea este facuta
electronic si persoana vizata
Raspunsul se formuleaza in nu a solicitat un raspuns
scris. formulat pe alt suport, atunci
si raspunsul trebuie sa fie
electronic.
posibilitatea
Fără de a depune o
întârziere si Operatorul plângere în
motivele
in termen de informeaza faţa unei
pentru care
maxim 1 luna persoana autorităţi de
nu ia măsuri
de la primirea vizata supraveghere
cererii / cale de atac
judiciară.
Pot cere bani sa raspund?
Răspunsul la cererile de acces este oferit gratuit
DREPTUL DE RECTIFICARE
Cerere de rectificare
Va rog sa
Va rog sa rectificati completati datele
datele inexacte care personale, iata
ma privesc. informatii
suplimentare.
Intrebari utile
In care dintre situatiile de mai jos se aplica dreptul la
reactificarea datelor?
1. Sotul unei persoane solicita rectificarea datelor
acesteia din registrul de evidenta al clientilor unei
banci.
2. O persoana solicita rectificarea datelor companiei sale
in baza de date a unui supermarket.
3. O persoana solicita rectificarea datelor sale personale,
asa cum sunt ele inscrise intr-un dosar penal.
GDPR Art. 16, Preambul 65, 66.
Regula Exceptii
Operator 2
Operator 1:
Persoana vizata a solicitat
stergerea datelor. Va rugam
Operator 2
sa stergeti toate linkurile,
copiile sau reproducerile
acestor date cu caracter
personal. Operator 2
Drept de stergere. Formular Google.
https://www.google.com/webmasters/tools/legal-removal-
request?complaint_type=rtbf
Intrebari utile
In care dintre situatiile de mai jos se aplica dreptul la
stergerea datelor?
1. Un ziar relateaza despre o petrecere mondena, numind cateva
dintre personalitatile care au fost acolo. Una dintre aceste
persoana solicita stergerea numelui sau din articol. E aplicabil
dreptul de stergere a datelor?
2. Poate un contribuabil sa ceara stergerea datelor sale personale
din evidenta ANAF?
3. Un operator de date este atacat informatic de o persoana.
Operatorul pastreaza IP-ul atacatorului. Ulterior, alta persoana
solicita stergerea IP-ului in cauza. Cum procedeaza operatorul?
GDPR Art. 18, Preambul 67.
DREPTUL LA RESTRICTIONAREA
PRELUCRARII
Cand se poate cere restrictionarea prelucrarii?
Persoana vizata contesta exactitatea datelor, pentru o perioada care permite
operatorului sa verifice acest lucru.
Prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter
personal, solicitând în schimb restricţionarea utilizării lor.
Persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică
dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei
vizate.
Operatorul nu mai are nevoie de date în scopul prelucrării, dar persoana vizată i le
solicită pentru constatarea, exercitarea sau apărarea unui drept în instanţă
Exceptii de la regula restrictionarii prelucrarii
Pentru protecţia
Numai cu
drepturilor unei alte
consimţământul
persoane fizice sau
persoanei vizate
juridice
DREPTUL LA PORTABILITATEA
DATELOR
http://ec.europa.eu/information_society/newsroom/image/document/2016-
51/wp242_en_40852.pdf
https://ssrn.com/abstract=3039537
Ce înseamnă portabilitatea datelor?
Către persoana vizată
• persoana vizată are dreptul să solicite, de câte ori vrea și fără
condiţionare de încetarea serviciului, să primească datele
prelucrate de operator, și să decidă ce anume face cu ele, inclusiv
să le păstreze exclusiv pentru uzul său privat
Dreptul la
Dreptul de acces
portabilitate
• poate insemna • primirea datelor
primirea unei intr-un format
copii a datelor structurat,
eventual datele
pot fi transferate,
direct, unui alt
operator
Cand este aplicabil dreptul la portabilitate
Consimtaman Mijloace
Portabilitate
t / contract automate
Ce date se pot porta?
Date furnizate
de persoana
Date
portabile
Date despre persoana vizată
Include
• datele pseudonimizate, în
măsura în care pot fi legate în
mod clar de persoana vizată.
Exclude
• datele anonime
Date furnizate de persoana vizată
Include:
• datele furnizate in mod direct si activ
de persoana vizată
• datele obţinute de operator prin
observarea persoanei vizate ca
utilizator al serviciului pus la
dispoziţie
Exclude:
• datele derivate sau deduse de operator
pe baza datelor furnizate de persoana
vizată
Date despre terţi
Sunt incluse
Nu sunt incluse
Potrivit Ghidului:
GDPR nu impune
nicio forma
specifica pentru
Care din operatori alege datele portate
forma?
Să implementeze măsuri de
Să adopte proceduri prin care să
securitate a datelor portate, inclusiv
standardizeze procesul de răspuns la
izolarea acestora de alte date
cererile de portare si sa automatizeze
portarea prelucrate și asigurarea unui canal
sigur de transfer
Intrebari utile
In care dintre situatiile de mai jos se aplica dreptul la
portabilitatea datelor?
1. Un student doreste sa se mute de la o universitate la alta. Poate
face o cerere de portabilitate?
2. Un sofer poate face cerere producatorului auto in virtutea
dreptului la portabilitate pentru a transmite toate setarile sale de
confort / siguranta in masina? Ce date pot face obiectul
portabilitatii?
3. Un client al unui supermarket poate folosi portabilitatea datelor
pentru a transfera istoricul sau de cumparaturi la alt supermarket?
GDPR Art. 21, Preambul 50, 59, 69, 70, 73, 156.
DREPTUL LA OPOZITIE
132
PROFILARE SI DECIZII
AUTOMATE
Se intampla astazi
• Un bărbat care a donat material seminal unui cuplu, cu ani în urmă în
secret, primește de la Facebook recomandarea să-l adauge la prieteni
pe fiul acestora. Bărbatul nici măcar nu-i avea în reţeaua de prieteni pe
cei doi soţi;
• Fosta soţie a unui bărbat care nu avea cont pe Facebook i-a fost
recomandată prietenei sale.
Se intampla astazi
• Cercetătorii de la Universitatea Stanford au analizat 50 de milioane de imagini
din 200 de regiuni, pentru a identifica 22 de milioane de automobile, ceea ce
reprezintă aproximativ 8% din totalul automobilelor din Statele Unite. Pe baza
tipurilor de mașini și a locaţiilor acestora, cercetătorii au estimat veniturile,
rasa, educaţia și modelele de vot ale persoanelor care trăiesc în aceste zone.
Rezultatele obţinute din imagini sunt impresionant de precise.
Sigur nu puteti :)
Profilare. Definitie.
Profilare = orice formă de prelucrare automată a datelor cu caracter
personal care constă în utilizarea datelor cu caracter personal pentru
a evalua anumite aspecte personale referitoare la o persoană fizică,
Va fi necesar
Profilarea in sine nu consimtamant doar
necesita pentru:
consimtamant, ci • Decizii automate luate pe
poate fi intemeiata pe baza profilarii si care
interes legitim produc efecte juridice sau
alte efecte semnificative
Are copii, masina, interesat
de vacante in Africa,
calatoreste frecvent cu
motocicleta, are casa de
vacanta si venituri mari.
Produce efecte
E bazata exclusiv
juridice sau
pe prelucrarea
afecteaza similar in
automata.
mod semnificativ.
Ce implica “dreptul de a nu face obiectul unei
decizii bazate exclusiv pe prelucrare automata”?
Importanţa și consecinţele
Informaţii pertinente preconizate ale unei astfel
privind logica utilizată de prelucrări pentru
persoana vizată
Acord prealabil
expres, dar
implicit
Legea 506/2004, art. 4 alin. 5.a) si alin. 51
• Cookie-urile functionale (strict necesare) sunt exceptate de la
cerinta acordului
• “click to dimiss”
RELAŢIA OPERATOR /
PERSOANA ÎMPUTERNICITĂ
Prezent vs. GDPR
In legislatia actuala, obligatiile imputernicitilor sunt
aproape inexistente. Imputernicitii raspund extrem rar.
Operatorul este, aproape intotdeauna, singurul
responsabil.
Trebuie sa existe
Documentarea ajuta la
Imputernicitul trebuie sa
demonstrarea respectarii
documenteze instructiunile.
GDPR.
Implementare masuri tehnice si organizatorice
Imputernicitul realizeaza
autentificarea persoanei vizate
Imputernicitul poate fi platforma
(daca e cazul) recunoaste si
prin care se livreaza ulterior
redirectioneaza cererile primite
raspunsul catre presoana vizata.
catre operator si il asista in
formularea raspunsului.
Asistenta incidente de securitate
Imputernicitul trebuie sa asiste operatorul in
asigurarea respectarii prevederilor GDPR cu
privire la prevenirea si raspunsul la incidentele de
securitate.
pune la dispoziţia
operatorului toate permite desfășurarea
informaţiile necesare auditurilor, inclusiv a
pentru a demonstra inspecţiilor, efectuate contribuie la acestea.
respectarea obligaţiilor de operator sau alt
referitoare la clauzele auditor mandatat
contractuale obligatorii
Asistenta evaluarii de impact
Imputernicitul asista
Cunostintele tehnice pe
operatorul cu informatii,
care le are imputernicitul
date si procese care il
pot fi mult mai avansate
ajuta sa detalieze riscul
decat cele ale
prelucrarii asupra
operatorului.
protectiei datelor.
Stergere date personale prelucrate
Poate retine
Sterge date /
Sterge date la datele in situatia
inapoiaza copii
solicitarea in care exista o
la incetarea
operatorului. obligatie legala
contractului.
acest sens.
Obligatiile imputernicitului
Sa numeasca un
Sa implementeze reprezentant al Sa mentina un registru
masuri tehnice si companiei in UE, daca al operatiunilor de
organizatorice. operatorul este prelucrare.
localizat in afara UE.
Nu respecta
Nu respecta obligatiile impuse
instructiunile de GDPR pentru
imputerniciti
Sanctiuni aplicabile imputernicitului
Art. 83 (2) (3) (4)
Pentru nerespectarea obligaţiilor operatorului și ale persoanei
împuternicite de operator se pot aplica amenzi administrative
de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de
până la 2 % din cifra de afaceri mondială totală anuală
corespunzătoare exerciţiului financiar anterior, luându-se în
calcul cea mai mare valoare.
SECURITATEA DATELOR /
NOTIFICAREA INCIDENTELOR
Obligatia de a asigura securitatea
Având în vedere
• stadiul actual al dezvoltării, costurile implementării și natura,
domeniul de aplicare, contextul și scopurile prelucrării,
• precum și riscul cu diferite grade de probabilitate și gravitate
pentru drepturile și libertăţile persoanelor fizice,
operatorul și persoana împuternicită de acesta implementează
măsuri tehnice și organizatorice adecvate în vederea asigurării
unui nivel de securitate corespunzător acestui risc.
Art. 32 GDPR
…adică de exemplu
• Controlul accesului (parola, pin, • Penetration testing (phishing,
amprenta, etc) malware, breach response mock-
https://ico.org.uk/about-the-ico/news-and-events/news-and-
blogs/2017/06/warning-to-smes-as-firm-hit-by-cyber-attack-fined-60-000/
Incidentele de securitate
înseamnă o încălcare a
securităţii care duce, în mod
accidental sau ilegal, la
• distrugerea,
• pierderea,
"încălcarea securităţii datelor
• modificarea,
cu caracter personal”
• divulgarea neautorizată,
• accesul neautorizat
Este susceptibil incidentul să genereze un risc pentru drepturile și libertăţile persoanelor fizice?
NU DA
NU DA
Nu e nevoie de
nicio formalitate Informeazi persoana vizată fără întârzieri nejustificate cu
suplimentara. privire la această încălcare. Vezi continut informare.
Ce conţine notificarea catre autoritate?
categoriile și numărul
categoriile și numărul
natura încălcării aproximativ al
aproximativ al
securităţii datelor cu înregistrărilor de date
persoanelor vizate în
caracter personal cu caracter personal în
cauză
cauză
numele și datele de
măsurile luate sau
contact ale DPO sau un consecinţele probabile
propuse spre a fi luate
alt punct de contact de ale încălcării
de operator pentru a
unde se pot obţine mai securităţii;
remedia problema.
multe informaţii;
Ce alte obligatii are operatorul, dupa notificarea
trimisa catre autoritate?
Este susceptibil incidentul să genereze un risc pentru drepturile și libertăţile persoanelor fizice?
NU DA
NU DA
Nu e nevoie de
nicio formalitate Informeazi persoana vizată fără întârzieri nejustificate
suplimentara. cu privire la această încălcare. Vezi continut informare.
Ce inseamna risc ridicat?
RESPONSABILUL CU
PROTECTIA DATELOR
Ce este un DPO
• un nou rol profesional
Ghidul orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor
Calificarile unui DPO
• Cunoasterea domeniului protectiei datelor, pre- si
post-GDPR (terminologie, bune practici, etc)
– Poate fi mai naturala pentru profesionistii in domeniul
juridic, si in special pentru cei cu experienta in protectia
datelor
– Nu exista o masura unica pentru experienta anterioara a
unui DPO, in unele cazuri instruirea pe post poate fi
suficienta
• Cunoasterea activitatii si operatiunilor organizatiei
• Fluenta in chestiuni tehnologice (de ex. securitate)
• Managementul datelor personale
• Integritate și etica profesională
Ce recomanda Autoritatea spaniola (2017)
http://www.agpd.es/portalwebAGPD/temas/certificacion/common/pdf/SCHEM
E_AEPD_DPD.pdf
Cerinte pentru DPO in institutiile europene
(2010)
https://ec.eu
ropa.eu/anti-
fraud/sites/a
ntifraud/files
/docs/body/
dpo_standar
ds.pdf
Fisa postului unui DPO
promovarea unei culturi de protecţie a datelor în cadrul
organizaţiei
• OneTrust
• Nymity
• AvePoint
• TrustArc
• GDPR360
Relatia cu un DPO
• Poate fi angajat, si nu este necesar sa fie full-time
REGISTRUL OPERAŢIUNILOR DE
PRELUCRARE
De ce acest registru?
• notificarea autoritatii nu va mai fi aplicabila, însă
operatorii si imputernicitii vor trebui sa menţină o
evidenţă a activităţilor de prelucrare desfășurate sub
responsabilitatea lor
• OneTrust
• Nymity
GDPR art. 44-49 & preambul 101-116
TRANSFERUL DATELOR CU
CARACTER PERSONAL
BCRs
Garantii adecvate
clauze standard ANS
nesupuse aprobarii ANS
cod de conduita
mecanism de certificare
Garantii adecvate
Clauze standard proprii
supuse aprobarii ANS
Derogari cand transferul e permis in lipsa
garantiilor adecvate
• consimtamant explicit • transferul se realizează
• transferul este necesar dintr-un registru public
pentru incheierea sau • situaţii specifice:
executarea unui contract
– transferul nu este repetitiv,
• considerente importante – se referă doar la un număr
de interes public limitat de persoane vizate,
• stabilirea, exercitarea sau – este necesar în scopul
apărarea unui drept în realizării intereselor
instanţă legitime majore urmărite
• protejarea intereselor de operator
vitale ale persoanei GDPR art. 49
vizate
Decizii de adecvare
• deciziile de adecvare pot fi luate
45.(9) Deciziile adoptate de doar de Comisie
Comisie în temeiul
articolului 25 alineatul • transferurile realizate catre
(6) din Directiva tari/organizatii internationale
95/46/CE rămân în care au decizie de adecvare nu
vigoare până când sunt necesită autorizări
modificate, înlocuite sau
abrogate de o decizie a • Andorra, Argentina, Canada
Comisiei adoptată în (unde se aplica PIPEDA), Elvetia,
conformitate cu Insulele Feroe, Guernsey, Israel,
alineatul (3) sau (5) din
Insula Man, Jersey, Uruguay,
prezentul articol.
Noua Zeelanda, SUA (unde se
aplica PrivacyShield)
Clauze standard adoptate de state sau Comisie
46.(5) Autorizaţiile acordate de un stat
membru sau de o autoritate de
supraveghere în temeiul articolului 26
alineatul (2) din Directiva 95/46/CE
sunt valabile până la data la care sunt daca se folosesc
modificate, înlocuite sau abrogate, clauze standard
dacă este necesar, de respectiva aprobate nu mai este
autoritate de supraveghere. Deciziile necesara autorizarea
adoptate de Comisie în temeiul de catre autoritatea
articolului 26 alineatul (4) din Directiva de supraveghere
95/46/CE rămân în vigoare până când
sunt modificate, înlocuite sau
abrogate, dacă este necesar, de o
decizie a Comisiei adoptată în
conformitate cu alineatul (2) din
prezentul articol.
Clauze standard ad-hoc
Dreptul la opozitie
SAU opozitie
prelucrare
marketing direct
Expirarea duratei de prelucrare
Ex. In informare, operatorul
trebuie sa mentioneze
Orice operatiune de prelucrare ”perioada pentru care vor fi
trebuie realizata pe o perioada stocate datele cu caracter
determinata sau determinabila personal sau, dacă acest lucru
de timp. nu este posibil, criteriile
utilizate pentru a stabili această
perioadă”.
“In fiecare dimineata, de luni pana vineri, XXXXX merge la aceeasi cafenea si
cumpara ciocolata alba. Isi foloseste intotdeauna cardul pentru plata. Vinerea
seara, retrage intotdeauna 200 lei din bancomatul de langa birou, merge si
cumpara mancare pentru pesti, plateste cu cardul, apoi cumpara, de regula, 2
baxuri de pampers nr. 2, plateste cu cardul. Duminica seara merge la film si
cumpara 3 bilete, platind cu cardul”.
In acest caz, orice alte date am mai avea, e imposibil sa ne dam seama care
comportamentul achizitiv al lui Marian. In acest caz, vorbim despre incetarea
prelucrarii prin anonimizare.
Date pseudonimizate
(indentificatori inlocuiti cu pseudonime, care sunt
tinute separat, in conditii de securitate) – risc existent
de identificare
Date de-identificate
(identificatorii directi sau indirecti au fost
indepartati) – risc rezidual
Date anonime
(date de-identificate cu
masuri de securitate care
asigura eliminarea riscului
de re-identificare)
Masuri potentiale de securitate anonimizare
K-Anonimity
Noise addition (identificatori personali
(identificatori personali generalizati intr-un grup: ex.
exprimati imprecis: ex. +/- Salariu 10 lei in grupul 5 – 15
10kg) lei)
Opinia 5 din 2014 privind tehnicile de anonimizare
ARTICLE 29 DATA PROTECTION WORKING PARTY
http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinion-
recommendation/files/2014/wp216_ro.pdf
RASPUNDERE SI SANCTIUNI
Remediile disponibile pentru persoana vizata
• Plangere la autoritatea de supraveghere
• Cale de atac judiciara impotriva deciziei AS
Autoritatea poate:
• sa emita avertizari
• Sa emita mustrari
• Sa dea dispozitii
• Sa oblige operatorul să informeze persoana vizată cu privire la o încălcare a
protecţiei datelor
• Sa limiteze sau sa interzica prelucrarea
• Sa dispuna rectificarea sau ștergerea datelor, sau restricţionarea prelucrări
Amenzi administrative
10.000.000 EUR, sau pana la 2 % din 20.000.000 EUR, sau pana la 4 % din
cifra de afaceri mondială totală anuală cifra de afaceri mondială totală anuală
• Consimţământul minorilor (art. 8) • Principiile prelucrării, consimţământ
• Privacy by design / default (art. 25) (art. 5, 6, 7, 9)
• Alocarea responsabilităţilor intre • Drepturile persoanei vizate (art. 12-
operatorii asociaţi (art. 26) 22)
• Numirea unui reprezentant in UE • Transferuri internaţionale (art. 44-
(art. 27)
• Respectarea de către împuternicit a 49)
instrucţiunilor operatorului (art. 28- • Încălcarea masurilor dispuse de
29) ANS (art. 58 par 1 si 2)
• Păstrarea evidentelor activităţii de • Obligaţii potrivit dreptului naţional
prelucrare (art. 30)
• Cooperarea cu ANS (capitolul IX)
• Securitatea prelucrării (art. 32)
• Studii de impact (art. 35-36)
• Numirea unui DPO (art. 37)
Art. 82 GDPR
• Notificarea încălcărilor (art. 33-34)
Multumim! ☺
www.privacyone.ro
contact@privacyone.ro