Academia DPO Februarie 2018

Academia DPO
Curs practic pentru viitorii responsabili

cu protectia datelor
1-3 februarie 2018, Bucuresti
This material is proprietary and cannot be used for any purpose, entirely or partially, without the written consent of the author.
The information herein is for reference only and it does not seek to provide legal advice.
Andreea Lisievici Alin Popescu
avocat, partner PrivacyONE, CEO Avocatnet.ro,
CIPP/E partner PrivacyONE
andreea@privacyone.ro alin@privacyone.ro
Ce este GDPR?
Regulamentul (UE) 2016/679 al Parlamentului European și al
Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în
ceea ce privește prelucrarea datelor cu caracter personal și privind
libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecţia datelor)
(Text cu relevanţă pentru SEE)
Adoptat Publicat Intrat in Aplicabil

27 aprilie 2016 4 mai 2016 vigoare 25 mai 2018
JO L 119 24 mai 2016
Un regim unitar(?)
• GDPR se aplica direct in toate statele membre
• 2 competente delegate Comisiei:
– determinarea informatiilor care urmează să fie prezentate
de pictograme și a procedurilor pentru furnizarea de
pictograme standardizate (art. 12.8, 92)
– specificarea cerintelor care trebuie luate în considerare
pentru mecanismele de certificare din domeniul protectiei
datelor (art. 43.8, 92)
• Situatii specifice in care statele pot prevedea reguli
speciale (“opening clauses”)
– suficient de multe incat sa dea o marja de apreciere foarte
mare si sa fragmentize regimul juridic
Unde intervin statele membre?
Varsta pentru consimtamantul copiilor (art. 8.1)
Prelucrarea datelor sensibile (art. 9)
Restrictii (art. 23)
Libertatea de exprimare si informare (Art. 85)
Accesul la informaţii de interes public (art. 86)
CNP (art. 87)
Prelucrarea in contextul angajararii (art. 88)

Stadiu implementare in Romania
http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeetingDoc&docid=9350
Doar 2 state au aprobat legi nationale de implementare a GDPR: Germania si

Austria
Sectiunea 1
ÎNAINTE DE PRELUCRARE. FAZA DE

CONCEPT
Orice informatie care poate
Orice persoana fizica identifica o persoana, chiar
prin corelare cu alte date
Date cu
Persoana
caracter
vizata
personal
Entitatea care Prelucrare

prelucrează datele cu Imputernicit de date Orice operatiune asupra
caracter personal în personale datelor personale
numele operatorului
Operator
Entitatea care stabileste

scopul si (de regula)
mijloacele prelucrarii
IDENTIFICAREA DATELOR
PERSONALE
Date cu caracter personal
Legea 677/2001, art. 3.a) GDPR art. 4
date cu caracter personal - orice "date cu caracter personal" înseamnă
informaţii referitoare la o persoană fizică orice informaţii privind o persoană fizică
identificată sau identificabilă; o persoană identificată sau identificabilă ("persoana
identificabilă este acea persoană care vizată"); o persoană fizică identificabilă
poate fi identificată, direct sau indirect, în este o persoană care poate fi
mod particular prin referire la un număr identificată, direct sau indirect, în special
de identificare ori la unul sau la mai mulţi prin referire la un element de identificare,
factori specifici identităţii sale fizice, cum ar fi un nume, un număr de
fiziologice, psihice, economice, culturale identificare, date de localizare, un
sau sociale. identificator online, sau la unul sau mai

multe elemente specifice, proprii
identităţii sale fizice, fiziologice, genetice,
psihice, economice, culturale sau
sociale.
Date cu caracter personal
"date cu caracter personal" înseamnă orice informaţii privind o
persoană fizică identificată sau identificabilă ("persoana vizată");
o persoană fizică identificabilă este o persoană care poate fi

identificată, direct sau indirect, în special prin referire la un
element de identificare, cum ar fi un nume, un număr de
identificare, date de localizare, un identificator online, sau la unul
sau mai multe elemente specifice, proprii identităţii sale fizice,
fiziologice, genetice, psihice, economice, culturale sau sociale.
GDPR, art. 4.1

Sunt date personale
Data nasterii, Afilierile
Nume, adresa Etnia, religia
cetatenia politice
Imagine Salariul Numar telefon Adresa IP
Etichetele de
Datele de trafic Identificatori
identificare prin CNP
si localizare cookie
frecvenţe radio
Amprente, date ADN, date

Functia publica Etc.
biometrice genetice
Categorii speciale de date
• GDPR art. 9
– originea rasială sau etnică
– convingerile politice, religioase, filozofice sau de natură
similară
– apartenenţa sindicală
– starea de sănătate sau viaţa sexuală
– date genetice, biometrice pentru identificarea unică a unei
persoane fizice
– date cu caracter personal referitoare la fapte penale sau
contravenţii
• La nivel national
– CNP? (art. 87)
Operator vs. imputernicit
Operatorul Împuternicitul
Determina faptul ca Este cel care efectueaza
prelucrarea are loc prelucrarea (pe seama
operatorului).
Stabileste scopul macar
partial, dar are rol esential.
Ii poate fi delegata
Este posibil sa nu ajunga in stabilirea mijloacelor
contact direct cu datele. prelucrarii.
Daca imputernicitul are puterea de a influenta semnificativ operatiunea

de prelucrare, poate fi calificat operator asociat
STABILIREA CONDIŢIILOR DE
PRELUCRARE
Principiile prelucrarii
LEGALITATE, ECHITATE ȘI
TRANSPARENţĂ EXACTITATE
Datele sunt prelucrate în mod legal, Datele sunt exacte și, în cazul în care
echitabil și transparent faţă de este necesar, actualizate
persoana vizată
LIMITAREA LA SCOP LIMITAREA STOCARII

Datele sunt colectate în scopuri Datele personale sunt păstrate
determinate, explicite și legitime pe o perioadă care nu
și nu sunt prelucrate ulterior depășește perioada necesară
într-un mod incompatibil cu îndeplinirii scopurilor în care
aceste scopuri sunt prelucrate datele
MINIMIZAREA DATELOR SECURITATE ȘI CONFIDENţIALITATE

Datele sunt adecvate, relevante și limitate la Datele sunt prelucrate într-un mod care
ceea ce este necesar în raport cu scopurile asigură securitatea adecvată a datelor cu
în care sunt prelucrate caracter personal, inclusiv protecţia împotriva
prelucrării neautorizate sau ilegale și
împotriva pierderii, a distrugerii sau a
deteriorării accidentale
Altfel spus
• Temei legitim prevăzut de lege (legalitate)

• Prelucrarea se face doar in scopul declarat (limitarea la scop)
• Limitarea datelor la ceea ce este necesar scopului (minimizarea
datelor)
• Datele sunt corecte si actualizate (exactitate)
• Datele sunt sterse cand nu mai sunt necesare (limitarea reţinerii)
• Accesul la date este limitat si sigur (securitate si confidenţialitate)
• Toate cele de mai sus sunt documentate si dovedite
(responsabilitate) Art. 5 GDPR
STABILIREA TEMEIULUI
PRELUCRARII
Temeiurile prelucrarii
Legea 677/2001 GDPR normalizeaza egalitatea
Regula este consimţământul, si doar
temeiurilor
exceptional se pot aplica: (a) consimţământ;
a) executarea unui contract sau (b) executarea unui contract la care persoana
antecontract la care persoana vizată este vizată este parte sau pentru a face demersuri
parte ori în vederea luării unor măsuri, la la cererea persoanei vizate înainte de
cererea acesteia, înaintea încheierii unui încheierea unui contract;
contract sau antecontract; (c) îndeplinirea unei obligaţii legale a
b) protejarea vieţii, integrităţii fizice sau operatorului;
sănătăţii persoanei vizate ori a unei alte (d) protejarea intereselor vitale ale persoanei
persoane ameninţate; vizate sau ale altei persoane fizice;
c) îndeplinirea unei obligaţii legale a (e) îndeplinirea unei sarcini care servește
operatorului; unui interes public sau care rezultă din
d) aducerea la îndeplinire a unor măsuri de exercitarea autorităţii publice cu care este
interes public sau care vizează exercitarea învestit operatorul;
prerogativelor de autoritate publică cu care (f) interesul legitim urmărit de operator sau
este învestit operatorul sau terţul căruia îi de un terţ, cu excepţia cazului în care
sunt dezvăluite datele; prevalează interesele sau drepturile și
e) interesul legitim al operatorului sau al libertăţile fundamentale ale persoanei vizate,
terţului căruia îi sunt dezvăluite datele, cu care necesită protejarea datelor cu caracter
condiţia ca acest interes să nu prejudicieze personal, în special atunci când persoana
interesul sau drepturile şi libertăţile vizată este un copil.
fundamentale ale persoanei vizate; […]
Temeiurile prelucrarii
persoana vizată și-a dat consimţământul
pentru prelucrarea datelor sale cu caracter
personal pentru unul sau mai multe
scopuri specifice
consimţământ
prelucrarea este necesară pentru

prelucrarea este executarea unui contract la care
necesară în scopul executarea persoana vizată este parte sau
intereselor legitime Interes legitim pentru a face demersuri la
unui contract
urmărite de operator sau cererea persoanei vizate înainte
de un terţ de încheierea unui contract
Temeiuri
prelucrarea este
necesară pentru
îndeplinirea unei sarcini prelucrarea este necesară în
care servește unui sarcina publica obligaţie legala vederea îndeplinirii unei
interes public sau care obligaţii legale care îi revine
rezultă din exercitarea operatorului
autorităţii publice cu care
este învestit operatorul protejarea
intereselor
vitale
prelucrarea este necesară pentru a proteja
interesele vitale ale persoanei vizate sau ale
altei persoane fizice
Trebuie sa existe macar
unul din cele 6 temeiuri
Trebuie respectate toate

principiile simultan
CONSIMŢĂMÂNTUL IN GDPR
"consimţământ" al persoanei vizate
înseamnă orice manifestare de
voinţă liberă, specifică, informată și
lipsită de ambiguitate a persoanei
vizate prin care aceasta acceptă,
printr-o declaraţie sau printr-o
acţiune fără echivoc, ca datele cu
caracter personal care o privesc să
fie prelucrate
GDPR art. 4 pct. 11
Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o
manifestare liber exprimată, specifică, în cunoștinţă de cauză și clară a acordului
persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o
declaraţie făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include
bifarea unei căsuţe atunci când persoana vizitează un site, alegerea parametrilor tehnici
pentru serviciile societăţii informaţionale sau orice altă declaraţie sau acţiune care indică
în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a
datelor sale cu caracter personal. Prin urmare, absenţa unui răspuns, căsuţele bifate în
prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ.
Consimţământul ar trebui să vizeze toate activităţile de prelucrare efectuate în același
scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri,
consimţământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care
consimţământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale
electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil
utilizarea serviciului pentru care se acordă consimţământul GDPR preambul 32
Cerinţe pentru consimţământ in GDPR
✓ Operatorul trebuie sa poată demonstra existenta consimţământului
✓ Daca sunt incluse mai multe aspecte, solicitarea acordului trebuie clar
diferenţiată de celelalte aspect (granularitate)
✓ Solicitarea acordului trebuie sa fie in formă inteligibilă și ușor accesibilă,
utilizând un limbaj clar și simplu
✓ Consimţământul se poate retrage la orice moment, si va atrage, in
principiu, stergerea datelor deja prelucrate
✓ Retragerea consimţământului trebuie sa poată fi făcută la fel de simplu
✓ Consimţământul trebuie sa nu fie condiţionat, de exemplu condiţionarea
prestării unui serviciu de acordul pentru marketing
✓ Consimţământul presupune o alegere reala (nu exista de ex. in relaţii de
serviciu, putere publica, când se pierde accesul la un produs/serviciu, etc)
Consimţământul copiilor in mediul online
Prelucrarea datelor unui copil sub 16 ani
necesita acordul “titularului răspunderii
părintești asupra copilului”
Operatorul trebuie sa depună “toate eforturile

rezonabile” pentru a verifica consimţământul
părintelui
Statele membre pot scădea vârsta pana la 13

ani
Vârsta diferita intre state poate crea dificultăţi

semnificative pentru societăţile care oferă
servicii/bunuri la nivel internaţional
Cand este necesar consimtamantul
• Când exista o obligaţie legala in acest sens
– Stocarea de informaţii pe terminal (cookies, pixels) –
legea 504/2006
– Marketing prin telefon si email, mai puţin daca sunt clienti
existenţi – legea 356/2004
– Prelucrarea datelor sensibile, date copii, decizii complet
automate cu efect semnificativ (GDPR art. 8, 9, 22.1)
• Ca ultima optiune, cand nu se poate folosi alt temei
– In special când analiza interesului legitim denota faptul ca
drepturile persoanei private prevalează
Consimtamantul nu este un “silver bullet” si nu legalizeaza o

prelucrare nejustificata
Testaţi daca aveţi nevoie de
consimţământ
• http://missinfogeek.net/consent-
or-what/
GDPR art. 6(1)(f), 13(1)(d), 14(2)(b), 21(4), 22(2)(b), 49(1) &
preambul 47, 48, 49, 50 & 68
INTERESUL LEGITIM
prelucrarea este necesară în scopul
intereselor legitime urmărite de operator
sau de o parte terţă, cu excepţia cazului
în care prevalează interesele sau
drepturile și libertăţile fundamentale ale
persoanei vizate, care necesită protejarea
datelor cu caracter personal, în special
atunci când persoana vizată este un
copil.
(47) Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi
pot fi divulgate datele cu caracter personal sau ale unei terţe părţi, pot constitui un
temei juridic pentru prelucrare, cu condiţia să nu prevaleze interesele sau
drepturile și libertăţile fundamentale ale persoanei vizate, luând în considerare
așteptările rezonabile ale persoanelor vizate bazate pe relaţia acestora cu
operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când există o
relaţie relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în
care persoana vizată este un client al operatorului sau se află în serviciul acestuia.
În orice caz, existenţa unui interes legitim ar necesita o evaluare atentă, care să
stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în
momentul și în contextul colectării datelor cu caracter personal, posibilitatea
prelucrării în acest scop. Interesele și drepturile fundamentale ale persoanei vizate
ar putea prevala în special în raport cu interesul operatorului de date atunci când
datele cu caracter personal sunt prelucrate în circumstanţe în care persoanele
vizate nu preconizează în mod rezonabil o prelucrare ulterioară. Întrucât legiuitorul
trebuie să furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal
de către autorităţile publice, temeiul juridic respectiv nu ar trebui să se aplice
prelucrării de către autorităţile publice în îndeplinirea sarcinilor care le revin.
Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii
fraudelor constituie, de asemenea, un interes legitim al operatorului de date în
cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul
direct poate fi considerată ca fiind desfășurată pentru un interes legitim.
Utilizarea interesului legitim implica un test
comparativ intre interesul în cauza (al operatorului
sau al unui terţ) si drepturile afectate ale
persoanelor vizate
Interesele legitime urmarite trebuie mentionate

expres in informarea catre persoanele vizate,
simpla mentionare a existentei unui interes nefiind
suficienta (art. 13.1.d, 14.2.b GDPR)
In informare mai trebuie inclusa posibilitatea

obiectiei
Exemple
• securitate cibernetica • corporate, M&A
– Preventie malware – reorganizari societare
– Securitatea website-urilor – transferul datelor in cadrul
– Detectarea si investigarea M&A
incidentelor de securitate
– Managementul clientilor si
• prelucrarea datelor furnizorilor
angajatilor
• marketing si comunicare
– verificari pre-angajare
– marketing direct
– acces in birou
– conformarea cu politicile – publicitate
interne comportamentala
– Administrarea raportarii – Masurarea audientei
timpului de lucru
Evaluarea interesului legitim (LIA)
• GDPR nu include indicatii cu privire la evaluarea
interesului legitim, dar ea reiese si din art. 6.1.f si din
preambulul 47
• Recomandam:
– Evaluarea sa fie facuta de sau sub supravegherea DPO
– Evaluarea sa fie concretizata intr-o analiza scrisa
(principiul responsabilitatii)
Evaluarea interesului legitim
1. evaluarea existentei un interes legitim
2. stabilirea necesităţii prelucrării
3. efectuarea unei comparatii (balancing test)

pentru a decide dacă o anume prelucrare se poate
baza pe interesul legitim potrivit GDPR drept temei
al prelucrării datelor cu caracter personal
Evaluarea existentei un interes legitim
care este scopul prelucrării datelor personale si de

ce este important pentru operator?
• nu toate interesele sunt şi legitime, ci numai acelea

care:
– respectă legea, în sensul cel mai general;
– sunt suficient de precizate (specifice); şi
– reprezintă un scop real şi prezent, care corespunde activităţilor

curente sau beneficiilor aşteptate în viitorul apropiat.
Stabilirea necesităţii prelucrării
Există un alt mod de a atinge interesul identificat?
• “necesar” ≠ “indispensabil”
• “necesar” ≠ “obișnuit”, “util”, “rezonabil” sau
“dezirabil”
• indisolubil legat de principiul necesitatii si
limitarii la minim
Stabilirea necesităţii prelucrării
Necesar, se trece la
Nu
pasul urmator
Da, dar ar presupune Necesar, se trece la

efort disproportionat pasul urmator
Există un alt mod de a
atinge interesul
identificat? DPIA pentru a
identifica cea mai
Da
putin intruziva
alternativa
Prelucrarea nu este Nu se poate folosi

necesara interesul legitim
Testul comparativ
natura si
importanţa
interesului legitim
al operatorului
drepturile si
libertatile
fundamentale ale
persoanei vizate
Natura interesului legitim
Așteptările rezonabile ale • Dacă da, atunci este posibil ca impactul să fi fost deja
persoanei: ar trebui sau ar luat în considerare de ei și acceptat.
trebui să se aștepte ca • Dacă nu, atunci impactul este mai mare și i se acordă mai
prelucrarea să aibă loc? multă pondere în testul comparativ.
Tipul de date – obișnuite

sau supuse unui regim
• Datele sensibile fac obiectul unor reguli mai stricte
special (datele referitoare
la un copil, date sensibile)
• Adaugă valoare?
Importanţa intereselor • Este și în interesul individului?
operatorului • În cazul în care poate exista un prejudiciu ca rezultat al
prelucrării, este nejustificat?
Impactul asupra persoanei vizate
Se iau in probabilitatea si severitatea impactului negativ asupra
persoanei vizate - impactul grav nu poate fi justificat decat
calcul: de interese critice
orice prejudicii aduse operatorului, terţului sau societăţii în
cazul în care nu se efectuează prelucrarea
statutul persoanei vizate - client, angajat, terţ, copil, etc.
statutul operatorului – de ex. dacă se află într-o poziţie

dominantă faţă de persoana vizată și/sau pe piaţă
modurile în care sunt prelucrate datele, de ex. implică

profilarea sau data mining? este pe scară largă? se transferă
în ţări care nu oferă un nivel de protecţie adecvat?
Când prevalează interesul operatorului
interese legitime
minore ale operatorului
când impactul asupra interesele legitime

persoanelor vizate este mic importante
pot justifica intruziuni

semnificative în viaţa
privată a persoanelor vizate
Masuri de reducere a impactului
o serie de controale De exemplu:

sau măsuri care pot fi • reducerea tipurilor de
puse în aplicare pentru date
a proteja persoanele • autentificare multi-factor
sau pentru a reduce
• limitarea retenţiei datelor
eventualele riscuri sau
• acces limitat
potenţiale efecte
negative ale prelucrarii • opt-out
• anonimizare
• Pot fi identificate ca urmare a
• criptare, hashing
DPIA
Rezultatul evaluarii
Interesul legitim
Se poate folosi
prevaleaza asupra
interesul legitim ca
drepturilor
temei al prelucrarii
persoanelor vizate
se revad masurile de
Rezultat
reducere a impactului
se schimba
Interesul legitim nu
operatiunea de
prevaleaza
prelucrare
se foloseste alt temei

Aceeasi prelucrare poate avea mai multe
temeiuri
• Profilarea poate fi făcută in temeiul interesului legitim
sau a consimţământului
– Daca este bazata pe interes legitim, persoana vizata are dreptul
de a obiecta (art. 21)
– Daca este bazata pe consimţământ, persoana nu poate obiecta
însă își poate retrage consimţământul
• Interesul legitim este mai avantajos, in principiu, pentru

ca da operatorului posibilitatea sa susţină necesitatea
prelucrării, in timp ce la retragerea consimţământului
prelucrarea trebuie sa înceteze imediat
Temeiuri pentru prelucrarea datelor sensibile
1. consimtamant 5. datele sunt făcute publice în mod manifest
2. drepturi si obligatii în domeniul ocupării de către persoana vizată
forţei de muncă și al securităţii sociale și 6. constatarea, exercitarea sau apărarea unui
protecţiei sociale, dacă acest lucru este drept în instanţă
autorizat de lege sau de un acord colectiv 7. motive de interes public major

de muncă 8. medicina preventivă sau a muncii,
3. protejarea intereselor vitale ale persoanei diagnostic (cu conditii)
vizate sau ale unei alte persoane fizice 9. motive de interes public în domeniul
4. Activitatea unei fundaţii, asociaţii sau orice sănătăţii publice
alt organism fără scop lucrativ și cu 10. arhivare în interes public, cercetare
specific politic, filozofic, religios sau știinţifică sau istorică ori scopuri statistice
sindical
GDPR art. 12, 13, 14 &
preambul 60, 61, 62
TRANSPARENTA SI INFORMARE
49
Informarea persoanelor vizate este o obligaţie a operatorilor

aplicabila in absolut toate situaţiile, indiferent de temeiul folosit
Trebuie sa preceada prelucrarea si, daca este cazul, obtinerea

consimtamantului
Informarea trebuie sa fie:
• într-o formă concisă, transparentă, inteligibilă și ușor accesibilă,

• utilizând un limbaj clar și simplu, în special pentru orice informaţii
adresate în mod specific unui copil
• gratuita
Informarea in cazul datelor obtinute direct (I)
în momentul
obtinerii acestor date
✓ identitatea și datele de contact ale operatorului (și ale reprezentantului din

UE); datele de contact ale responsabilului cu protecţia datelor;
✓ scopurile în care sunt prelucrate datele cu caracter personal, precum și
temeiul juridic al prelucrării, inclusiv interesul legitim daca acesta este temeiul
✓ destinatarii sau categoriile de destinatari ai datelor
✓ In cazul transferului in state terţe:
– mijloacele de protecţie (decizie a Comisiei ref caracter adecvat, BCR, Privacy Shield,
CS)
– mijloacele de a obţine o copie a garanţiilor adecvate, în cazul în care acestea au fost
puse la dispoziţie
Informarea in cazul datelor obtinute direct (II)
✓ perioada pentru care vor fi stocate datele - sau, dacă acest lucru nu este
posibil, criteriile utilizate pentru a stabili această perioadă
✓ faptul ca persoana vizata are dreptul de acces la date si de a porta datele,
dreptul sa ceara rectificarea, ștergerea datelor sau restricţionarea prelucrării,
dreptul de a se opune prelucrării, precum si dreptul de a retrage consimţământul
daca prelucrarea se întemeiază pe acesta;
✓ dreptul de a depune o plângere în faţa unei autorităţi de supraveghere
✓ dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau
contractuală sau o obligaţie necesară pentru încheierea unui contract, precum și
dacă persoana vizată este obligată să furnizeze aceste date cu caracter
personal și care sunt eventualele consecinţe ale nerespectării acestei obligaţii
✓ Daca se ia o decizie automata incluzând crearea de profiluri, iar in acest caz
informaţii pertinente privind logica utilizată și privind importanţa și consecinţele
preconizate ale unei astfel de prelucrări
Informarea in cazul datelor obtinute indirect (I)
✓ identitatea și datele de contact ale operatorului (și ale reprezentantului din
UE); datele de contact ale responsabilului cu protecţia datelor;
✓ scopurile în care sunt prelucrate datele cu caracter personal, precum și
temeiul juridic al prelucrării, inclusiv interesul legitim daca acesta este temeiul
✓ categoriile de date prelucrate
✓ destinatarii sau categoriile de destinatari ai datelor
✓ In cazul transferului in state terţe:
– mijloacele de protecţie (decizie a Comisiei ref caracter adecvat, BCR, Privacy Shield,
CS)
– mijloacele de a obţine o copie a garanţiilor adecvate, în cazul în care acestea au fost
puse la dispoziţie
Informarea in cazul datelor obtinute indirect (II)
✓ perioada pentru care vor fi stocate datele - sau, dacă acest lucru nu este posibil, criteriile
utilizate pentru a stabili această perioadă
✓ faptul ca persoana vizata are dreptul de acces la date si de a porta datele, dreptul sa ceara
rectificarea, ștergerea datelor sau restricţionarea prelucrării, dreptul de a se opune
prelucrării, precum si dreptul de a retrage consimţământul daca prelucrarea se întemeiază pe
acesta;
✓ dreptul de a depune o plângere în faţa unei autorităţi de supraveghere

✓ sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin
din surse disponibile public
✓ dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală sau
o obligaţie necesară pentru încheierea unui contract, precum și dacă persoana vizată este
obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecinţe
ale nerespectării acestei obligaţii
✓ Daca se ia o decizie automata incluzând crearea de profiluri, iar in acest caz informaţii
pertinente privind logica utilizată și privind importanţa și consecinţele preconizate ale unei
astfel de prelucrări
Informarea in cazul datelor obtinute indirect (III)
• Informarea se face:
– într-un termen rezonabil după obţinerea datelor cu
caracter personal, dar nu mai mare de o lună;
– dacă datele cu caracter personal urmează să fie

utilizate pentru comunicarea cu persoana vizată, cel
târziu în momentul primei comunicări către
persoana;
– dacă se intenţionează divulgarea datelor cu caracter

personal către un alt destinatar, cel mai târziu la data
la care acestea sunt divulgate pentru prima oară.
Exceptii de la informare
Date obtinute direct Date obtinute indirect
• persoana vizată deţine deja • persoana vizată deţine deja informaţiile;
informaţiile respective. • furnizarea acestor informaţii se
dovedește a fi imposibilă sau ar implica
eforturi disproporţionate, în special în
cazul prelucrării în scopuri de arhivare în
interes public, în scopuri de cercetare
știinţifică sau istorică ori în scopuri
statistice;
• obţinerea sau divulgarea datelor este
prevăzută în mod expres de dreptul
Uniunii sau de dreptul intern sub
incidenţa căruia intră operatorul și care
prevede măsuri adecvate pentru a
proteja interesele legitime ale persoanei
vizate; sau
• în cazul în care datele cu caracter
personal trebuie să rămână confidenţiale
în temeiul unei obligaţii statutare de
secret profesional reglementate de
dreptul Uniunii sau de dreptul intern,
inclusiv al unei obligaţii legale de a
păstra secretul.
Schimbarea scopului
prelucrarea ulterioară în scopuri

de arhivare în interes public, în
scopuri de cercetare știinţifică
sau istorică ori în scopuri
În cazul în care operatorul statistice nu este considerată
intenţionează să prelucreze incompatibilă cu scopurile iniţiale
ulterior datele cu caracter
personal într-un alt scop decât cel
pentru care acestea au fost
colectate, trebuie sa furnizeze
informaţii privind scopul
secundar respectiv
Cum planifici o nota de informare
• Ce informaţii sunt colectate?
• Cine le colectează?
• Cum se colectează?
• De ce se colectează?
• Cum vor fi folosite?
• Cui vor fi dezvăluite?
• Care va fi impactul asupra persoanelor vizate?
• Este posibil ca prelucrarea să determine persoanele să se
opună sau să facă plângeri?
Nu uitati de datele care nu sunt colectate direct de la

persoana vizata, in special date observate sau derivate
Exemple de informari
• https://about.500px.com/privacy/
• http://www.sonos.com/en-gb/legal/privacy
• https://www.avepoint.com/privacy-policy/
• https://www.cisco.com/c/en/us/about/legal/privacy-full.html
• https://www.mcafee.com/us/about/legal/privacy.aspx
• http://www.vodafone.co.uk/about-this-site/our-privacy-policy/
• https://www.theguardian.com/help/privacy-policy
• http://www.easyjet.com/en/policy/privacy-promise
GDPR art. 35, 36 &
preambul 75, 84, 89, 90, 91, 92, 93
EVALUAREA IMPACTULUI - DPIA

Ghid Grupul de Lucru Art. 29
ISO 29134:2017
https://www.iso.org/standard/62289.html
Ce este DPIA
Nu exista o definitie, dar continutul este prevazut in art. 35(7) GDPR:
(7) Evaluarea conţine cel puţin:

(a) o descriere sistematică a operaţiunilor de prelucrare preconizate și
a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit
de operator;
(b) o evaluare a necesităţii și proporţionalităţii operaţiunilor de
prelucrare în legătură cu aceste scopuri;
(c) o evaluare a riscurilor pentru drepturile și libertăţile persoanelor
vizate menţionate la alineatul (1); și
(d) măsurile preconizate în vederea abordării riscurilor, inclusiv
garanţiile, măsurile de securitate și mecanismele menite să
asigure protecţia datelor cu caracter personal și să demonstreze
conformitatea cu dispoziţiile prezentului regulament, luând în
considerare drepturile și interesele legitime ale persoanelor vizate
și ale altor persoane interesate.
Cand este necesara DPIA
“în cazul în care un tip de prelucrare, în special cel
bazat pe utilizarea noilor tehnologii, este susceptibil
să genereze un risc ridicat pentru drepturile și
libertăţile persoanelor fizice” (art. 35(1))
posibil sa fie dezvoltate la nivel european:

– o lista de activitati care fac obiectul cerinţei de
efectuare a unei DPIA (art. 35(4))
– o lista de activitati care nu fac obiectul cerinţei de
efectuare a unei DPIA (art. 35(5))
“susceptibil să genereze un risc ridicat”
• Evaluare preliminara re. existenta riscului
• In caz de dubiu, WP29 recomanda efectuarea DPIA
• Exemple din art. 35(3) si preambul 91:
a) evaluare sistematica și cuprinzătoare a aspectelor
personale referitoare la persoane fizice, care se bazează
pe prelucrarea automată, inclusiv crearea de profiluri, și
care stă la baza unor decizii care produc efecte juridice
privind persoana fizică sau care o afectează în mod
similar într-o măsură semnificativă
b) prelucrării pe scară largă a unor date sensibile
c) monitorizare sistematica pe scară largă a unei zone
accesibile publicului.
“susceptibil să genereze un risc ridicat”
• Alte cazuri mentionate in ghid:
– seturi de date combinate
– date privind persoane vulnerabile, aflate intr-o pozitie de
dezechilibru
• Inclusiv angajati, copii
– folosirea tehnologiilor noi (art. 35(1), preambul 89 si 91)
• acces pe baza de amprenta sau scanare retina
• tehnologii smart
• AI, IoT
– transferul datelor inafara Uniunii
– prelucrarea în sine "împiedică persoanele vizate să își
exercite un drept sau să utilizeze un serviciu sau un
contract" (articolul 22 și preambul 91).
Alte exemple
• Aplicatie care serveste publicitate personalizata in
functie de localizarea terminalului sau tipare de
miscare
• Instrumente de monitorizare a angajatilor care sunt
folosite in evaluare
• Testarile psihometrice
• Aplicatie in care utilizatorul isi creaza profil pe baza
de alergii si intolerante, apoi scaneaza produse si i
se recomanda unele alternative
• Sistemele de gestiune a datelor genetice si
biometrice din institutii medicale
• etc.
Re-evaluarea
Periodicitatea revizuirii
poate varia, dar WP 29
DPIA ar trebui revizuita
recomanda 3 ani sau
periodic, in special daca
mai puţin
se schimba oricare din
condiţii/riscuri • Se introduce in politica de
prelucrare a datelor / regulile
DPIA
Prelucrări in curs
✓ The requirement to carry out a DPIA applies to existing processing operations likely
to result in a high risk to the rights and freedoms of natural persons and for which
there has been a change of the risks, taking into account the nature, scope, context
and purposes of the processing.
✓ A DPIA is not needed for processing operations that have been checked by a
supervisory authority or the data protection official, in accordance with Article 20 of
Directive 95/46/EC, and that are performed in a way that has not changed since the
prior checking.
✓ Conversely, this means that any data processing whose conditions of

implementation (scope, purpose, personal data collected, identity of the data
controllers or recipients, data retention period, technical and organisational
measures, etc.) have changed since the prior checking performed by the supervisory
authority or the data protection official and which are likely to result in a high risk
should be subject to a DPIA.
Cand nu este necesara DPIA
Nu este susceptibil un risc ridicat
Prelucrarea este similara cu o alta pentru care exista DPIA

sau autorizare (art. 35(1))
Prelucrarea este obligaţie legala (art. 35(10))
Prelucrarea este inclusa in lista operaţiunilor care nu necesita

DPIA (art. 35(5))
Ce privește DPIA
În unele circumstanţe ar putea fi
rezonabil și util din punct de vedere
economic ca o evaluare a impactului
asupra protecţiei datelor să aibă o
perspectivă mai extinsă decât cea a
unui singur proiect, de exemplu în
cazul în care autorităţi sau organisme
O evaluare unică poate aborda un set
publice intenţionează să instituie o
de operaţiuni de prelucrare similare
aplicaţie sau o platformă de
care prezintă riscuri ridicate similare
prelucrare comună sau în cazul în
(art. 35(1))
care mai mulţi operatori preconizează
să introducă o aplicaţie comună sau
un mediu de prelucrare comun în
cadrul unui sector sau segment
industrial sau pentru o activitate
orizontală utilizată la scară largă.
(preambul 92)
Metodologia DPIA
DPIA se face inainte de inceperea prelucrarii, in faza de concept (privacy
by design)
• art. 25, 35(1) si 35(10), preambul 78, 90 si 93
responsabilitatea efectuarii DPIA apartine operatorului, indiferent cine

mai e implicat
• daca prelucrarea este efectuata prin imputernicit, ar trebui implicat imputernicitul
este obligatorie consultarea DPO (art. 35(2))
“unde este cazul” trebuie solicitata opinia persoanelor vizate sau a

reprezentanţilor acestora (art. 35(9))
• Daca decide ca nu e cazul, trebuie justificat
• Daca concluzia DPIA difera, trebuie justificat
Proces Descrierea
prelucrarii
Preambul 90
Monitorizare si Analiza necesitatii Structura si forma

audit si proportionalitatii
sunt la alegerea
operatorului
Exemple in anexa
ghidului
Masurile care
Documentare demonstreaza
conformitatea
Analiza riscurilor
Masuri de reducere
pentru persoana
a riscurilor
vizata
Consecinte
din ghidul WP29

Consultarea autoritatii
obligatorie atunci când:
• după implementarea masurilor de reducere

a riscurilor, riscul rezidual rămâne ridicat
• se prevede in legea naţională
(de ex. împreună cu lista cazurilor in care DPIA
este obligatorie)
Ce poate face autoritatea
36.(2) Atunci când consideră că prelucrarea prevăzută menţionată la
alineatul (1) ar încălca prezentul regulament, în special atunci
când riscul nu a fost identificat sau atenuat într-o măsură
suficientă de către operator, autoritatea de supraveghere oferă
consiliere în scris operatorului și, după caz, persoanei
împuternicite de operator, în cel mult opt săptămâni de la
primirea cererii de consultare, și își poate utiliza oricare dintre
competenţele menţionate la articolul 58. Această perioadă
poate fi prelungită cu șase săptămâni, ţinându-se seama de
complexitatea prelucrării prevăzute. Autoritatea de
supraveghere informează operatorul și, după caz, persoana
împuternicită de operator, în termen de o lună de la primirea
cererii, cu privire la orice astfel de prelungire, prezentând
motivele întârzierii. Aceste perioade pot fi suspendate până
când autoritatea de supraveghere a obţinut informaţiile pe care
le-a solicitat în scopul consultării.
Sanctiuni in legatura cu DPIA
• Neefectuarea evaluarii cand

10 mil este necesara (art. 35(1) si (3))
EUR /
• Efectuarea deficitara a evaluarii
2% din (art. 35(2), (7), (8), (9))
cifra de
• Neconsultarea autoritatii cand
afaceri este necesar (art. 36)
Ghiduri ale autoritatilor nationale
Belgia https://www.privacycommission.be/sites/privacycommission/f
[draft, franceza] iles/documents/CO-AR-2016-004_FR.pdf
Franta • metodologie:
https://www.cnil.fr/sites/default/files/typo/document/CNIL-
PIA-1-Methodology.pdf
• instrumente:
PIA-2-Tools.pdf
• bune practici:
PIA-3-GoodPractices.pdf
UK https://ico.org.uk/media/for-
organisations/documents/1595/pia-code-of-practice.pdf
Germania (germana) https://www.lda.bayern.de/media/dsk_kpnr_5_dsfa.pdf
Irlanda http://gdprandyou.ie/data-protection-impact-assessments-
dpia/
Alte resurse utile
• Data Protection Impact Assessment under the GDPR, Baker McKenzie -
https://goo.gl/6CSVC8
• A Process for Data Protection Impact Assessment Under the European
General Data Protection Regulation, Springer - https://goo.gl/m7viID
• Risk, High Risk, Risk Assessments and Data Protection Impact
Assessments under the GDPR, CIPL - https://goo.gl/PAqtw3
https://www.cnil.fr/fr/outil-
pia-telechargez-et-installez-
le-logiciel-de-la-cnil
GDPR art. 25 & preambul 78
PRIVACY BY DESIGN / DEFAULT

Privacy by design a fost dezvoltată independent de GDPR de
Ann Cavoukian, fostul Information and Privacy Commissioner
din Ontario, ca o abordare a confidenţialităţii în care
confidenţialitatea devine un mod implicit de funcţionare al unei
organizaţii, iar viaţa privată este integrată în fiecare etapă a
proceselor
Confidenţialitatea este încorporată în proiectarea și dezvoltarea

produselor pentru a asigura că opţiunile implicite sunt in sensul
păstrarii celui mai mare grad al confidenţialităţii
GDPR preia privacy by design in art. 25, dar nu se suprapun

integral
Art. 25
(1) Având în vedere stadiul actual al tehnologiei, costurile implementării, și
natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și
riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și
libertăţile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în
momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine,
pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi
pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient
principiile de protecţie a datelor, precum reducerea la minimum a datelor, și să
integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele
prezentului regulament și a proteja drepturile persoanelor vizate.
(2) Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate
pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter
personal care sunt necesare pentru fiecare scop specific al prelucrării.
Respectiva obligaţie se aplică volumului de date colectate, gradului de
prelucrare a acestora, perioadei lor de stocare și accesibilităţii lor. În special,
astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot
fi accesate, fără intervenţia persoanei, de un număr nelimitat de persoane.
(3) Un mecanism de certificare aprobat în conformitate cu articolul 42 poate fi
utilizat drept element care să demonstreze îndeplinirea cerinţelor prevăzute la
alineatele (1) și (2) ale prezentului articol.
Ce poate insemna privacy by design
• Analiza initiala a • Reducerea datelor
proceselor si alegerea • Limitarea perioadei de
metodelor potrivite stocare
– Partea de privacy nu se • Opt-out facil
face la “bug fixing”, ci
de la inceput • Masuri de securitate
• Setari implicite de – Criptare,
pseudonimizare
confidentialitate la
– Autentificare in doi pasi
nivelul cel mai privat
– Limitarea accesului
• DPIA
https://www.datatilsynet.no/en/regulations-and-tools/guidelines/data-protection-by-design-
and-by-default/
Cum analizati
implementarea si
respectarea
privacy by design
/default in acest
caz?
Cum ati reactiona daca vanzatorii v-ar cere
aceleasi permisiuni ca aplicatiile?
https://youtu.be/xYZtHIPktQg
Sectiunea 2
PRELUCRAREA EFECTIVA A DATELOR

DREPTURILE PERSOANEI
VIZATE
90
Drepturile persoanei vizate
Dreptul la informare (art. Dreptul la restrictionarea

13 si 14) prelucrarii (art. 18)
Dreptul la acces la date Dreptul la portabilitatea

(art. 15) datelor (art. 20)
Dreptul de rectificare (art. Dreptul la opozitie (art.

16) 21)
Dreptul de a nu fi supus
Dreptul la stergerea unei decizii automate cu
datelor (art. 17) effect semnificativ (art.
22)
GDPR Art. 15, Art.12 (5), Art.15 (3) si (4) Preambul 59, 63.
DREPTUL DE ACCES LA DATE

Cerere de acces: Se prelucreaza
sau nu date personale care ma
privesc?
DA NU
Persoana vizata poate

Raspuns:
Raspuns: solicita sa aiba acces
Nu!, nu se
Da!, se prelucreaza. la datele respective și
prelucreaza.
la alte informaţii.
Identificare persoana vizata
Operatorul trebuie sa verifice identitatea
persoanei folosind mijloace rezonabile.
Cand operatorul are indoieli cu privire la identitatea persoanei vizate,
operatorul poate solicita informatii suplimentare pentru a confirma
identitatea.
Daca acest lucru este posibil, operatorul de date ar trebui sa ofere

persoanei vizate un sistem sigur, accesibil de la distanta, in care sa
aiba acces la date.
Daca operatorul demonstreaza ca nu este in masura sa identifice

persoana vizata, atunci va refuza argumentat (iar refuzul ar trebui fixat
pe un suport scris) sa dea curs cererii.
Perspectivele autentificarii
• Fara autentificare / autentificare offline
• Autentificare cu un singur factor
Utilizator
(parola)
• Autentificare cu factori multipli (MFA)
– Ceva ce stii
– Ceva ce ai Dispozitiv
– Ceva ce esti
• Dovada posesiei (MFA + biometric)
• Autentificare continua Date
• Daca autentificarea nu e posibila, nu se
aplica niciunul dintre drepturile
persoanei vizate.
Cererea de acces
Persoana vizata nu trebuie sa
foloseasca neaparat un model Nu e nevoie ca aceasta cerere
de cerere (nu se lucreaza cu sa vina pe un “canal oficial”
template-uri). Nu exista pentru a fi valida. Poate veni si
anumite expresii care trebuie pe Facebook, Linkedin, prin
folosite in cerere, pentru ca email sau alte canale.
aceasta sa fie valida.
De retinut! E important sa
Nu e nevoie ca aceasta cerere realizati un training intern cu
sa fie primita de DPO sau alta privire la recunoasterea
persoana “indreptatita” din eventualelor cereri de acces,
cadrul companiei. Poate fi procedura de urmat si
primita de oricine. persoanele indreptatite sa
ofere o solutionare cererilor.
Raspunsul la cererea de acces
Daca cererea este facuta
electronic si persoana vizata
Raspunsul se formuleaza in nu a solicitat un raspuns
scris. formulat pe alt suport, atunci
si raspunsul trebuie sa fie
electronic.
La cererea persoanei vizate,

Informatiile vor fi furnizate informatiile pot fi furnizate
intr-o forma concisa, verbal, cu conditia ca
transparenta inteligibila si identitatea sa fie dovedita
usor accesibila, utilizand un prin alte mijloace (acte de
limbaj clar si simplu. identitate, raspuns la
intrebari secrete etc.).
In cat timp se raspunde la cererile de acces?
Cerere • Fara intarzieri nejustificate

• Cel mult o luna de la primirea cererii
simpla
• Perioada poate fi prelungita cu maxim 2 luni

Cerere • Operatorul informeaza persoana vizata
despre prelungire, in maxim o luna de la
complexa primirea cererii, prezentând și motivele
întârzierii.
Termenele de raspuns si procedura sunt aplicabile

pentru toate drepturile persoanei vizate.
Ce se intampla daca nu poti raspunde?
posibilitatea
Fără de a depune o
întârziere si Operatorul plângere în
motivele
in termen de informeaza faţa unei
pentru care
maxim 1 luna persoana autorităţi de
nu ia măsuri
de la primirea vizata supraveghere
cererii / cale de atac
judiciară.
Pot cere bani sa raspund?
Răspunsul la cererile de acces este oferit gratuit
Daca cererile sunt in mod vădit nefondate sau excesive

(operatorul trebuie sa probeze), in special din cauza
caracterului repetitiv, operatorul poate:
Fie sa perceapă o taxa

rezonabila, ţinând cont de Fie sa refuze sa dea curs
costurile administrative cererii.
implicate
GDPR Art. 5 (1) (d), Art. 16, Preambul 39, 59, 65, 73
DREPTUL DE RECTIFICARE
Cerere de rectificare
Va rog sa
Va rog sa rectificati completati datele
datele inexacte care personale, iata
ma privesc. informatii
suplimentare.
Intrebari utile
In care dintre situatiile de mai jos se aplica dreptul la
reactificarea datelor?
1. Sotul unei persoane solicita rectificarea datelor
acesteia din registrul de evidenta al clientilor unei
banci.
2. O persoana solicita rectificarea datelor companiei sale
in baza de date a unui supermarket.
3. O persoana solicita rectificarea datelor sale personale,
asa cum sunt ele inscrise intr-un dosar penal.
GDPR Art. 16, Preambul 65, 66.
DREPTUL LA STERGEREA DATELOR

(DREPTUL DE A FI UITAT)
Persoana vizată are dreptul de a obţine din partea
operatorului ștergerea datelor cu caracter personal
care o privesc, fără întârzieri nejustificate.
Regula Exceptii
Operatorul este obligat sa stearga Operatorul nu este obligat sa

datele, aplicandu-se termenul si stearga datele. Poate alege sa le
regulile comune de raspuns. stearga sau nu.
105
Stergerea datelor independent de cerere
Datele nu mai sunt necesare

pentru îndeplinirea Datele au fost prelucrate
scopurilor pentru care au ilegal
fost colectate sau
prelucrate.
Datele trebuie șterse
pentru respectarea unei
obligaţii legale.
Persoana vizată se
opune prelucrării
Persoana vizata isi retrage

consimtamantul
Operatorul nu e obligat sa stearga
pentru exercitarea dreptului la liberă ex. articol in ziar, despre o persoana
exprimare și la informare; publica.
Cand prelucrarea este necesara:
pentru respectarea unei obligaţii ex. inregistrarile contribuabililor la

legale fisc
din motive de interes public in dom.

exemplu?
sănătăţii publice
în scopuri de arhivare în interes

public, în scopuri de cercetare
istoria orasului x
știinţifică sau istorică ori în scopuri
statistice
pentru constatarea, exercitarea sau

IP-ul cuiva care a atacat un site
apărarea unui drept în instanţă.
Informare stergere ”in lant”.
Daca operatorul a facut publice datele personale si este obligat sa le
stearga, operatorul, ţinând seama de tehnologia disponibilă și de costul
implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa
operatorii care prelucrează datele cu caracter personal că persoana vizată a
solicitat ștergerea de către acești operatori a oricăror linkuri către datele
respective sau a oricăror copii sau reproduceri ale acestor date cu caracter
personal.
Operator 2
Operator 1:
Persoana vizata a solicitat
stergerea datelor. Va rugam
Operator 2
sa stergeti toate linkurile,
copiile sau reproducerile
acestor date cu caracter
personal. Operator 2
Drept de stergere. Formular Google.
https://www.google.com/webmasters/tools/legal-removal-
request?complaint_type=rtbf
Intrebari utile
stergerea datelor?
1. Un ziar relateaza despre o petrecere mondena, numind cateva
dintre personalitatile care au fost acolo. Una dintre aceste
persoana solicita stergerea numelui sau din articol. E aplicabil
dreptul de stergere a datelor?
2. Poate un contribuabil sa ceara stergerea datelor sale personale
din evidenta ANAF?
3. Un operator de date este atacat informatic de o persoana.
Operatorul pastreaza IP-ul atacatorului. Ulterior, alta persoana
solicita stergerea IP-ului in cauza. Cum procedeaza operatorul?
GDPR Art. 18, Preambul 67.
DREPTUL LA RESTRICTIONAREA
PRELUCRARII
Cand se poate cere restrictionarea prelucrarii?
Persoana vizata contesta exactitatea datelor, pentru o perioada care permite
operatorului sa verifice acest lucru.
Prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter
personal, solicitând în schimb restricţionarea utilizării lor.
Persoana vizată s-a opus prelucrării, pentru intervalul de timp în care se verifică
dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei
vizate.
Operatorul nu mai are nevoie de date în scopul prelucrării, dar persoana vizată i le
solicită pentru constatarea, exercitarea sau apărarea unui drept în instanţă
Exceptii de la regula restrictionarii prelucrarii
Pentru protecţia
Numai cu
drepturilor unei alte
consimţământul
persoane fizice sau
persoanei vizate
juridice
Pentru constatarea, Din motive de interes

exercitarea sau public important al
apărarea unui drept în Uniunii sau al unui stat
instanţă membru
DREPTUL LA PORTABILITATEA
DATELOR
http://ec.europa.eu/information_society/newsroom/image/document/2016-
51/wp242_en_40852.pdf
https://ssrn.com/abstract=3039537
Ce înseamnă portabilitatea datelor?
Către persoana vizată
• persoana vizată are dreptul să solicite, de câte ori vrea și fără
condiţionare de încetarea serviciului, să primească datele
prelucrate de operator, și să decidă ce anume face cu ele, inclusiv
să le păstreze exclusiv pentru uzul său privat
Către alt operator

• persoana vizată are dreptul să solicite ca datele să fie transferate
direct unui alt operator, „fără obstacole din partea operatorului
căruia i-au fost furnizate datele cu caracter personal”
Existenta dreptului la portabilitate nu înseamnă că operatorii de date vor

trebui să prelucreze mai multe date sau pentru mai mult timp
Este inrudit cu dreptul de acces
Dreptul la
Dreptul de acces
portabilitate
• poate insemna • primirea datelor
primirea unei intr-un format
copii a datelor structurat,
eventual datele
pot fi transferate,
direct, unui alt
operator
Cand este aplicabil dreptul la portabilitate
Consimtaman Mijloace
Portabilitate
t / contract automate
Ce date se pot porta?
Date furnizate
de persoana
Date despre Date despre

persoana terti
Date
portabile
Date despre persoana vizată
Include
• datele pseudonimizate, în
măsura în care pot fi legate în
mod clar de persoana vizată.
Exclude
• datele anonime
Date furnizate de persoana vizată
Include:
• datele furnizate in mod direct si activ
de persoana vizată
• datele obţinute de operator prin
observarea persoanei vizate ca
utilizator al serviciului pus la
dispoziţie
Exclude:
• datele derivate sau deduse de operator
pe baza datelor furnizate de persoana
vizată
Date despre terţi
Sunt incluse
• dacă sunt transferate persoanei vizate solicitante

sau altui operator dar exclusiv sub controlul
persoanei vizate
• dacă sunt transferate altui operator pentru prelucrare
in același scop
Nu sunt incluse
• dacă datele terţilor ar fi prelucrate într-un alt scop

propriu operatorului destinatar, cum ar fi marketing
Date protejate de drepturi de proprietate
intelectuala si secret comercial
Potrivit Ghidului:
• dreptul la portabilitate nu conferă persoanei vizate

dreptul de a abuza informaţiile într-un mod care să
constituie practică anticoncurenţială sau să încalce
drepturile de proprietate intelectuală
• un posibil risc de afaceri nu poate bloca dreptul la
portabilitate
• operatorii expeditori pot pune la dispoziţie datele într-
o formă care să nu reprezinte secret de afaceri sau
să fie protejată de drepturi de proprietate intelectuală
Informarea persoanei vizate
✓ explicarea domeniului de aplicare, a scopului
dreptului, a tipului de date care pot fi (sau
nu) portate
“aveti dreptul de a ✓ explicarea posibilităţii selecţiei datelor de
va porta datele” către persoana vizată
✓ modalitatea efectivă de efectuare a portării
(mai ales în cazul în care mecanismul este
vs. disponibil continuu pentru persoana vizată,
de exemplu posibilitatea de
download/export)
✓ explicarea diferenţei între tipurile de date pe
care persoanele vizate le pot obţine prin
exercitarea dreptului de acces și cel la
portabilitatea datelor
✓ reguli de triere a datelor înainte / după
portare, reguli de primire pentru destinatari
Termen
dacă acţiunile sunt

fără întârzieri nejustificate complexe, perioada de
și în orice caz în cel mult o răspuns poate fi prelungită
lună de la primirea cererii cu maxim două luni
• inclusiv pentru refuz • acest lucru trebuie notificat
persoanei vizate în termenul
iniţial de o lună
In ce forma se porteaza datele?
Forma structurata, utilizată în mod curent și care poate fi citită automat
GDPR nu impune
nicio forma
specifica pentru
Care din operatori alege datele portate
forma?
În ce termen trebuie Care din operatori

să se încadreze suportă costul
operatorul destinatar? interoperabilităţii?
Acţiuni necesare pentru operatori
Să decidă cine și cum face trierea
Să analizeze ce date dintre cele pe care datelor portate pentru a elimina tot
le prelucrează intră în domeniul ce este excesiv, precum și să decidă
portabilităţii cum implică sau anunţă persoana
vizată referitor la datele excluse
Să redacteze informări sau termeni și Să implementeze proceduri de

condiţii pentru dreptul la portabilitate, și
identificare corespunzătoare a
să aleagă modalitatea cea mai eficientă
de a le aduce la cunoștinţa persoanelor
persoanei vizate și a operatorului
vizate destinatar
Să implementeze măsuri de
Să adopte proceduri prin care să
securitate a datelor portate, inclusiv
standardizeze procesul de răspuns la
izolarea acestora de alte date
cererile de portare si sa automatizeze
portarea prelucrate și asigurarea unui canal
sigur de transfer
Intrebari utile
portabilitatea datelor?
1. Un student doreste sa se mute de la o universitate la alta. Poate
face o cerere de portabilitate?
2. Un sofer poate face cerere producatorului auto in virtutea
dreptului la portabilitate pentru a transmite toate setarile sale de
confort / siguranta in masina? Ce date pot face obiectul
portabilitatii?
3. Un client al unui supermarket poate folosi portabilitatea datelor
pentru a transfera istoricul sau de cumparaturi la alt supermarket?
GDPR Art. 21, Preambul 50, 59, 69, 70, 73, 156.
DREPTUL LA OPOZITIE
132
Dreptul de opozitie la prelucrare

Persoana se poate opune prelucrarii:
• Este un drept absolut. Odata ce persoana vizata se opune,

In scop de
operatorul trebuie sa inceteze utilizarea datelor personale
marketing direct
pentru acest scop.
In scop de • Mai putin “puternic” decat opozitia pentru scopuri de

cercetare stiintifica, marketing. Trebuie sa existe “motive legate de situaţia sa
istorica, statistica particulară”, care trebuie explicate.
• Operatorul trebuie sa inceteze prelucrarea, cu exceptia

situatiilor in care:
• operatorul demonstrează că are motive legitime și
Bazate pe interesul
imperioase care justifică prelucrarea și care prevalează
legitim al
asupra intereselor, drepturilor și libertăţilor persoanei
operatorului
vizate
• scopul este constatarea, exercitarea sau apărarea unui
drept în instanţă.
PROFILARE SI DECIZII
AUTOMATE
Se intampla astazi
• Un bărbat care a donat material seminal unui cuplu, cu ani în urmă în
secret, primește de la Facebook recomandarea să-l adauge la prieteni
pe fiul acestora. Bărbatul nici măcar nu-i avea în reţeaua de prieteni pe
cei doi soţi;
• O asistentă socială a fost strigată după poreclă la a doua vizită, de un

beneficiar care a găsit-o în recomandările de prieteni de pe Facebook,
în ciuda faptului că nu-i furnizase omului informaţiile de contact;
• Pacienţii unui psihiatru au fost recomandaţi unii altora
• Fosta soţie a unui bărbat care nu avea cont pe Facebook i-a fost
recomandată prietenei sale.
Se intampla astazi
• Cercetătorii de la Universitatea Stanford au analizat 50 de milioane de imagini
din 200 de regiuni, pentru a identifica 22 de milioane de automobile, ceea ce
reprezintă aproximativ 8% din totalul automobilelor din Statele Unite. Pe baza
tipurilor de mașini și a locaţiilor acestora, cercetătorii au estimat veniturile,
rasa, educaţia și modelele de vot ale persoanelor care trăiesc în aceste zone.
Rezultatele obţinute din imagini sunt impresionant de precise.
• De exemplu, vechiculele de tip "sedan" au fost asociate cu zonele cu simpatii

democrate, în timp ce zonele republicane au fost asociate camionetelor de tip
"pick-up". Cercetatorii au observat ca, daca vor merge in oras numarand
sedanuri si camioane, vor putea stabili orientarea politica: dacă există mai
multe sedanuri, probabil democrati (88% șanse) - mai multe pickup camioane,
probabil republicani (82% șanse).
Se intampla astazi
• "Din perspectivă statistică, dacă aveţi o rată de eroare de 2-3% -
ceea ce este bine - înseamnă că greșiţi de 6 milioane de ori
[folosind datele consumatorilor americani]. Vorbim despre o
mulţime de oameni pe care decizia aceasta automată ar putea să-
i prejudicieze", Jeremy Gillula, Electronic Frontier Foundation.
Nu mi-e frica!
De ce sa-mi fie frica?
N-am facut nimic gresit

Razboiul - forma suprema de efect al profilarii
In ultimii 10 ani, potrivit statisticilor ONU,
razboiul:
• A omorat 2 milioane de copii
• A schilodit 5 milioane de copii
• A lasat 12 milioane de copii fara casa
• A traumatizat aproape 100 mil de copii
Un copil e exponentul ideii de "nevinovat".

Aprecierea sincerităţii și pedepsirea nesincerităţii
• Consiliul de Stat privind eliberarea
planului de planificare pentru construirea
unui sistem de credite sociale (2014-
2020), care urmareste "stabilirea și
completarea unui sistem de credit social,
aprecierea sincerităţii și pedepsirea
insincerităţii”.
• Sistemul urmareste, printre altele: ceea ce

cumperi la magazine și online; unde esti în
orice moment; care sunt prietenii tăi și
cum interacţionezi cu ei; ce facturi și taxe
platesti etc.
Scorul cetatenesc
• Imaginaţi-vă acum un sistem în care toate aceste comportamente
sunt evaluate fie ca fiind pozitive sau negative și distilate într-un
singur număr, în conformitate cu regulile stabilite de guvern.
• Asta ar crea Scorul Cetăţenesc și ar spune tuturor dacă sunteţi sau

nu de încredere.
• În plus, evaluarea dvs. ar fi clasificată în mod public în raport cu cea

a întregii populaţii și va fi utilizată pentru a vă determina eligibilitatea
pentru un credit ipotecar sau un loc de muncă, unde copiii dvs. pot
merge la școală - sau chiar șansele dvs. de a obţine o întâlnire.
Si asta e doar lucrurile pe care le pot face oamenii, cu
inteligenta lor limitata, cu creativitatea lor mediocra.
Va puteti imagina ce-as putea concepe eu?
Sigur nu puteti :)
Profilare. Definitie.
Profilare = orice formă de prelucrare automată a datelor cu caracter
personal care constă în utilizarea datelor cu caracter personal pentru
a evalua anumite aspecte personale referitoare la o persoană fizică,
în special pentru a analiza sau prevedea aspecte privind performanţa

la locul de muncă, situaţia economică, sănătatea, preferinţele
personale, interesele, fiabilitatea, comportamentul, locul în care se află
persoana fizică respectivă sau deplasările acesteia;
Patru moduri în care se poate utiliza profilarea
(i) profilarea generala, neurmata de o decizie
(ii) profilarea urmata de o decizie a unui factor uman
(iii) profilarea urmata de o decizie automata fara efecte juridice sau

alt impact semnificativ similar
• publicitatea comportamentala este de regula aici
(iv) profilarea urmata de o decizie automata cu efecte juridice sau alt

impact semnificativ similar
• WP29 sustine ca se poate efectua numai in cazuri exceptionale

(executarea unui contract, prevedere legala, consimtamant explicit)
Profilarea si consimtamantul
Va fi necesar
Profilarea in sine nu consimtamant doar
necesita pentru:
consimtamant, ci • Decizii automate luate pe
poate fi intemeiata pe baza profilarii si care
interes legitim produc efecte juridice sau
alte efecte semnificative
Are copii, masina, interesat
de vacante in Africa,
calatoreste frecvent cu
motocicleta, are casa de
vacanta si venituri mari.
II plac excursiile in aer liber,

Ii plac filmele, sporturile
extreme, cumpara frecvent
carti si e din Bacau.
Profilare
Are copii, masina, interesat
de vacante in Africa,
calatoreste frecvent cu
motocicleta, are casa de
vacanta si venituri mari.
Are copii, masina, interesat de

vacante in Africa, calatoreste
frecvent cu motocicleta, are casa
de vacanta si venituri mari.
+
II plac excursiile in aer liber, II plac excursiile in aer liber,
Ii plac filmele, sporturile Ii plac filmele, interesat de
extreme, cumpara frecvent siteurile cu informatii medicale,
carti si e din Bacau. cumpara frecvent carti si e din
Bacau.
Profilare urmata de o decizie bazata pe prelucrare automata
Are un profil inclinat Are copii, masina, interesat

spre risc, deci hai sa de vacante in Africa,
ii afisam un pret calatoreste frecvent cu
dublu la asigurarea motocicleta, are casa de
de calatorie. vacanta si venituri mari.
Are copii, masina, interesat de

vacante in Africa, calatoreste
frecvent cu motocicleta, are casa
de vacanta si venituri mari.
+
II plac excursiile in aer liber, II plac excursiile in aer liber,
Ii plac filmele, sporturile Ii plac filmele, sporturile extreme,
extreme, cumpara frecvent cumpara frecvent carti si e din
carti si e din Bacau. Bacau.
Proces decizional automatizat. Definitie
Persoana vizată are dreptul de a nu face obiectul unei
decizii bazate exclusiv pe prelucrarea automată, inclusiv
crearea de profiluri,
care [decizie] produce efecte juridice care privesc

persoana vizată sau o afectează în mod similar într-o
măsură semnificativă.
Conditii proces decizional automatizat cu efecte
semnificative
Produce efecte
E bazata exclusiv
juridice sau
pe prelucrarea
afecteaza similar in
automata.
mod semnificativ.
Ce implica “dreptul de a nu face obiectul unei
decizii bazate exclusiv pe prelucrare automata”?
Informare specifică a persoanei vizate
Dreptul acesteia de a obţine intervenţie umană
De a-și exprima punctul de vedere, de a primi o explicaţie

privind decizia luată în urma unei astfel de evaluări
Dreptul de a contesta decizia

Exceptii
Dreptul de a nu face obiectul unei decizii

bazate exclusiv pe prelucrare automata
nu se aplica in urmatoarele cazuri:
decizia este necesară decizia este autorizată

pentru încheierea sau prin dreptul Uniunii decizia are la bază
executarea unui sau dreptul intern care consimţământul
contract între se aplică operatorului explicit al persoanei
persoana vizată și un (masuri vizate.
operator; corespunzatoare) sau
Informarea proces decizional automatizat
Importanţa și consecinţele
Informaţii pertinente preconizate ale unei astfel
privind logica utilizată de prelucrări pentru
persoana vizată
Nu vorbim despre descrierea

proceselor prin care se definesc
algoritmii, ci de informatii
Informatii despre cum va afecta
precum: categoriile de date
profilarea subiectul.
utilizate pentru profilare, sursele
datelor si motivul pentru care
datele sunt importante.
E necesara o evaluare de impact in cazul:
care se care stă la baza unor

unei evaluari sistematice bazează pe decizii care produc
și cuprinzătoare a prelucrarea efecte juridice privind
aspectelor personale automată, persoana fizică sau
referitoare la persoane inclusiv care o afectează în
fizice, crearea de mod similar într-o
profiluri, măsură semnificativă.
Procesul decizional automatizat ar trebui sa nu se

refere la un copil.
COOKIES SI IMPLEMENTAREA
LOR
Cookie – fisier stocat pe terminalul unui
utilizator.
Cookie = stocarea sau accesul la un fisier,

pe terminalul unui utilizator (telefon,
computer, smart tv etc.)
Cookie-uri first party = cookie-uri de entitatea pe
care o accesezi
Cookie-uri third party = cookie-uri de la terti
Cookie-uri third party = cookie-uri de la terti
Acord
Stocarea sau accesul la cookies pe terminalul unui

utilizator este permisă numai daca abonatul sau
utilizatorul în cauză şi-a exprimat acordul.
Acordul poate fi dat şi prin utilizarea setărilor aplicaţiei

de navigare pe internet sau a altor tehnologii similare
prin intermediul cărora se poate considera că abonatul
ori utilizatorul şi-a exprimat acordul.
Acord prealabil
expres, dar
implicit
Legea 506/2004, art. 4 alin. 5.a) si alin. 51
• Cookie-urile functionale (strict necesare) sunt exceptate de la
cerinta acordului
• Nu trebuie facuta confuzie intre cookie-uri functionale si

cookie-uri first party
• Cookie-urile first party care fac tracking intra la cerinta

acordului
Situatia la zi
• S-a ajuns la generalizarea bannerelor care informeaza utilizatorii cu privire
la cookie-uri
• “click to dimiss”
• Majoritatea bannerelor menţionează ca navigarea in continuare înseamnă

acord, fără a face distincţie intre categorii de cookie-uri si fără a da
utilizatorului posibilitatea sa aleagă
• Utilizatorul poate folosi browserul pentru a restrictiona plasarea de

cookies in general, dar DNT poate fi ignorat
GDPR si cookieurile
• Cookie-urile sunt date personale (identificatori unici)
• Dispare consimtamantul implicit -click to dismiss, ramane consimtamantul in

“formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu”.
• Sugestia de ajustare a setarilor browserului nu e suficienta. GDPR spune ca trebuie

sa fie la fel de simplu sa retragi consimtamantul ca atunci cand il dai.
• Siteurile vor trebui sa aiba o metoda simpla si mereu prezenta de retragere a

consimtamantului.
• Trebuie ca siteul sa poata raspunde in orice situatie solicitarilor browserului de tipul

“do not track” (DNT:1)
• Informare / Consimtamant granular, specific pe tipuri de cookieuri.

Exemplu concret informare consimtamant
Exemplu concret informare consimtamant
GDPR art. 28
RELAŢIA OPERATOR /
PERSOANA ÎMPUTERNICITĂ
Prezent vs. GDPR
In legislatia actuala, obligatiile imputernicitilor sunt
aproape inexistente. Imputernicitii raspund extrem rar.
Operatorul este, aproape intotdeauna, singurul
responsabil.
Odata cu aparitia Regulamentului,

• Au aparut prevederi legale aplicabile direct imputernicitilor
• Au fost introduse o serie de clauze speciale pe care imputernicitii
trebuie sa le introduca in contractul cu operatorii.
• Au fost introduse sanctiuni pentru incalcarea prevederilor GDPR,
aplicabile direct imputernicitii.
Operatiunile împuternicitului
sunt prelucrări ale operatorului
Operatorul este responsabil sa

aleagă împuterniciţi adecvaţi
Operatorul raspunde atat fata

de persoanele vizate cat si fata
de autoritatea de supraveghere
Obligatii operator la alegere imputernicit
Operatorul trebuie sa aleaga imputerniciti care oferă
garanţii suficiente pentru punerea în aplicare a unor
măsuri tehnice și organizatorice adecvate
Aderarea împuternicitului la un cod de conduită

aprobat sau la un mecanism de certificare aprobat
poate fi o proba a existenţei garanţiilor suficiente.
Monitorizarea trebuie sa fie continua.

Contractul operator imputernicit:
Trebuie sa existe
Trebuie sa fie redactat in scris, (si

forma electronica respecta
aceasta conditie).
Trebuie sa contina un set

minimal de clauze impuse de
GDPR.
De ce sunt importante contractele intre operator
si imputernicit?
Se asigura faptul ca
ambii inteleg obligatiile, Ii ajuta pe ambii sa
responsabilitatile si respecte prevederile
riscurile pe care le impuse de GDPR.
implica prelucrarea.
Ajuta operatorul sa Poate creste gradul de

demonstreze incredere al persoanei
respectarea obligatiilor vizate in prelucrarea
impuse de GDPR. datelor sale personale.
Instructiunile operatorului
Imputernicitul trebuie sa prelucreze date doar pe baza

instructiunilor documentate furnizate de operator.
Documentarea ajuta la
Imputernicitul trebuie sa
demonstrarea respectarii
documenteze instructiunile.
GDPR.
Implementare masuri tehnice si organizatorice
Imputernicitul trebuie sa implementeze masuri tehnice si

organizatorice adecvate in vederea asigurarii securitatii
datelor personale.
Ex. aderare la un cod de

Ex. criptare si pseudonimizare conduita aprobat de Autoritate
date personale. sau la un mecanism de
certificare aprobat.
Asistenta drepturi persoane vizate
Imputernicitul trebuie sa asiste operatorul in raspunsul la

cererile formulate de persoanele vizate cu privire la
drepturile acestora, asa cum sunt ele recunoscute de
GDPR.
Imputernicitul realizeaza
autentificarea persoanei vizate
Imputernicitul poate fi platforma
(daca e cazul) recunoaste si
prin care se livreaza ulterior
redirectioneaza cererile primite
raspunsul catre presoana vizata.
catre operator si il asista in
formularea raspunsului.
Asistenta incidente de securitate
Imputernicitul trebuie sa asiste operatorul in
asigurarea respectarii prevederilor GDPR cu
privire la prevenirea si raspunsul la incidentele de
securitate.
Imputernicitul Imputernicitul asista

informeaza operatorul cu privire la Imputernicitul asista
neintarziat operatorul documentarea operatorul cu privire la
cu privire la incidentului, efectelor notificarea Autoritatii
incidentele de care ia sale si masurilor de / persoanelor vizate.
cunostinta. remediere intreprinse.
Asistenta evaluarii de impact
Imputernicitul trebuie sa furnizeze informatii, sa permita
auditul, inspectia si orice forma de analiza a respectarii
prevederilor contractuale obligatorii, realizata de operator
sau auditori contractati de operator.
pune la dispoziţia
operatorului toate permite desfășurarea
informaţiile necesare auditurilor, inclusiv a
pentru a demonstra inspecţiilor, efectuate contribuie la acestea.
respectarea obligaţiilor de operator sau alt
referitoare la clauzele auditor mandatat
contractuale obligatorii
Asistenta evaluarii de impact
Imputernicitul trebuie sa asiste operatorul

realizarea evaluarilor de impact asupra
protectiei datelor.
Imputernicitul asista
Cunostintele tehnice pe
operatorul cu informatii,
care le are imputernicitul
date si procese care il
pot fi mult mai avansate
ajuta sa detalieze riscul
decat cele ale
prelucrarii asupra
operatorului.
protectiei datelor.
Stergere date personale prelucrate
Imputernicitul trebuie obligat sa stearga toate

datele personale prelucrate, la cererea operatorului
sau la incetarea contractului, cu exceptia cazului
cand trebuie sa le pastreze, potrivit legii.
Poate retine
Sterge date /
Sterge date la datele in situatia
inapoiaza copii
solicitarea in care exista o
la incetarea
operatorului. obligatie legala
contractului.
acest sens.
Obligatiile imputernicitului
Sa numeasca un
Sa implementeze reprezentant al Sa mentina un registru
masuri tehnice si companiei in UE, daca al operatiunilor de
organizatorice. operatorul este prelucrare.
localizat in afara UE.
Sa desemneze un DPO, Sa se asigure ca

in cazul in care legea o contractul contine
impune. clauzele cerute
Desemnarea unor sub-imputerniciti
Imputernicitul nu trebuie sa contracteze cu un sub-imputernicit
fara autorizarea prealabila, scrisa, specifica sau generala din
partea operatorului.
Daca imputernicitul contracteaza cu un sub-imputernicit in baza

unei autoriatii generale, scrise, anterioare din partea operatorului,
trebuie sa il informeze pe acesta de schimbari.
In contractele cu sub-imputernicitii, imputernicitul trebuie sa

impuna toate clauzele contractuale existente in contractul sau cu
operatorul.
Daca imputernicitul contracteaza cu un sub-imputernicit, acesta

va ramane responsabil in fata operatorului pentru respectarea de
catre sub-imputernicit a obligatiilor impuse de GDPR.
Operator vs. imputernicit. Implicatii
Trebuie demarat un proces de documentare a imputernicitilor care
prelucreaza date in numele operatorului (inclusiv subcontractorii lor)
Trebuie revizuite contractele, in vederea introducerii prevederilor

obligatorii impuse de GDPR.
Trebuie implementat un sistem de management de consimtamant, pe

care sa il poata folosi / promova si imputernicitii.
E nevoie de training intern pentru identificarea situatiilor in care

personalul operatorului trebuie recunoasca si sa adreseze incidente
de securitate si alte situatii similare. Similar pentru imputerniciti.
Cazuri in care raspunde direct imputernicitul
Nu respecta
Nu respecta obligatiile impuse
instructiunile de GDPR pentru
imputerniciti
Sanctiuni aplicabile imputernicitului
Art. 83 (2) (3) (4)
Pentru nerespectarea obligaţiilor operatorului și ale persoanei
împuternicite de operator se pot aplica amenzi administrative
de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de
până la 2 % din cifra de afaceri mondială totală anuală
corespunzătoare exerciţiului financiar anterior, luându-se în
calcul cea mai mare valoare.
Pentru incalcari repetate, in cadrul aceleiasi operatiuni de

prelucrare, a mai multor dispozitii din GDPR, amenda totala nu
va depasi cuantumul amenzii pentru cea mai grava incalcare.
De retinut!
1. Daca sunteti operator, luati in calcul actualizarea contractelor
prezente, pentru a include in ele prevederile obligatorii impuse de
Regulament.
2. Daca sunteti imputernicit, luati in calcul actualizarea contractelor
prezente, pentru a va asigura ca nu riscati impunerea unor sanctiuni.
3. Daca sunteti imputernicit, analizati impactul GDPR asupra business-
ului dvs. Merita sa va asumati toate acele obligatii in virtutea
actualelor conditii comerciale? Ce tip de obligatii va puteti asuma si ce
tip de obligatii ati putea transfera catre alte persoane?
4. Daca pana acum ati optat sa fiti considerat imputernicit pentru a nu va
asuma obligatiile unui operator, e cazul sa va redefiniti alegerea.
5. Operator / imputernicit - faceti training cu angajatii si colaboratorii dvs.
Art. 32, 33, 34 GDPR
SECURITATEA DATELOR /
NOTIFICAREA INCIDENTELOR
Obligatia de a asigura securitatea
Având în vedere
• stadiul actual al dezvoltării, costurile implementării și natura,
domeniul de aplicare, contextul și scopurile prelucrării,
• precum și riscul cu diferite grade de probabilitate și gravitate
pentru drepturile și libertăţile persoanelor fizice,
operatorul și persoana împuternicită de acesta implementează
măsuri tehnice și organizatorice adecvate în vederea asigurării
unui nivel de securitate corespunzător acestui risc.
Art. 32 GDPR
…adică de exemplu
• Controlul accesului (parola, pin, • Penetration testing (phishing,
amprenta, etc) malware, breach response mock-
• Criptarea datelor in repaos up)
• Criptarea datelor in tranzit (VPN, • Politici interne
SSL, HTTPS) • Monitorizare periodica
• Managementul dispozitivelor • Certificare ISO 27001 / 27018

mobile • Instruirea angajatilor
• Disaster recovery, backup cu
redundanta geografica
• Auditarea furnizorilor de solutii

“failed to take basic steps”
The video game rental firm’s website was subject to a cyber attack in
2014 in which 26,331 customer details could be accessed. The attacker
used a common technique known as SQL injection to access the data.
The ICO’s investigation found:

– Boomerang Video failed to carry out regular penetration testing on its
website that should have detected errors
– The firm failed to ensure the password for the account on the Wordpress
section of its website was sufficiently complex
– Boomerang Video had some information stored unencrypted and that
which was encrypted could be accessed because it failed to keep the
decryption key secure
– Encrypted cardholder details and CVV numbers were held on the web
server for longer than necessary
https://ico.org.uk/about-the-ico/news-and-events/news-and-
blogs/2017/06/warning-to-smes-as-firm-hit-by-cyber-attack-fined-60-000/
Incidentele de securitate
înseamnă o încălcare a
securităţii care duce, în mod
accidental sau ilegal, la
• distrugerea,
• pierderea,
"încălcarea securităţii datelor
• modificarea,
cu caracter personal”
• divulgarea neautorizată,
• accesul neautorizat
la datele cu caracter personal

transmise, stocate sau prelucrate
într-un alt mod.
Grila notificare incidente de securitate. Imputernicit
Imputernicitul înștiinţează operatorul
fără întârzieri nejustificate
după ce ia cunoștinţă de o încălcare a

securităţii datelor cu caracter personal.
Operatorul parcurge grila de notificare de la

slide-ul urmator.
Grila notificare incidente de securitate. Operator
Afli de incident de securitate.
Este susceptibil incidentul să genereze un risc pentru drepturile și libertăţile persoanelor fizice?
NU DA
Notifici autoritatea de supraveghere in cel mai scurt timp, nu

Documentezi
mai mult de 72 de ore de la aflarea incidentului. Vezi continut
incidentul, dar
informare.
notificarea nu e
necesara
Este incidentul unul de risc ridicat?
NU DA
Nu e nevoie de
nicio formalitate Informeazi persoana vizată fără întârzieri nejustificate cu
suplimentara. privire la această încălcare. Vezi continut informare.
Ce conţine notificarea catre autoritate?
categoriile și numărul
categoriile și numărul
natura încălcării aproximativ al
aproximativ al
securităţii datelor cu înregistrărilor de date
persoanelor vizate în
caracter personal cu caracter personal în
cauză
cauză
numele și datele de
măsurile luate sau
contact ale DPO sau un consecinţele probabile
propuse spre a fi luate
alt punct de contact de ale încălcării
de operator pentru a
unde se pot obţine mai securităţii;
remedia problema.
multe informaţii;
Ce alte obligatii are operatorul, dupa notificarea
trimisa catre autoritate?
1. Operatorul păstrează documente referitoare la toate

cazurile de încălcare a securităţii datelor cu caracter
personal, care cuprind o descriere:
– a situaţiei de fapt în care a avut loc încălcarea securităţii
datelor cu caracter personal,
– a efectelor acesteia și
– a măsurilor de remediere întreprinse.
Această documentaţie permite autorităţii de supraveghere

să verifice conformitatea cu GDPR.
Grila notificare incidente de securitate. Operator
Afli de incident de securitate.
Este susceptibil incidentul să genereze un risc pentru drepturile și libertăţile persoanelor fizice?
NU DA
Notifici autoritatea de supraveghere in cel mai scurt timp, nu

Documentezi
mai mult de 72 de ore de la aflarea incidentului. Vezi continut
incidentul, dar
informare.
notificarea nu e
necesara
Este incidentul unul de risc ridicat?
NU DA
Nu e nevoie de
nicio formalitate Informeazi persoana vizată fără întârzieri nejustificate
suplimentara. cu privire la această încălcare. Vezi continut informare.
Ce inseamna risc ridicat?
Atunci când încălcarea implică date cu caracter

personal care dezvăluie originea rasială sau
etnică, opinia politică, religia sau convingerile
Ex. discriminarea, furtul de identitate sau filosofice sau apartenenţa la sindicate sau
frauda, pierderile financiare și deteriorarea includ date genetice, date privind sănătatea
reputaţiei. sau date referitoare la viaţa sexuală sau
condamnări și infracţiuni penale sau măsuri de
securitate conexe, astfel de daune ar trebui
considerate probabile.
Ce conţine notificarea catre persoana vizata?
cel putin o descriere într-un limbaj clar și simplu a caracterului încălcării

securităţii datelor cu caracter personal, alaturi de:
măsurile luate sau

numele și datele de propuse spre a fi luate
consecinţele
contact ale DPO sau de operator pentru a
probabile ale
un alt punct de remedia problema +,
încălcării securităţii
contact de unde se daca e cazul, măsurile
datelor cu caracter
pot obţine mai multe pentru atenuarea
personal;
informaţii; eventualelor sale
efecte negative.
Cum se face notificarea catre persoana vizata?
In principiu, comunicare directa.
Daca aceasta implica un efort disproportionat,
comunicare publica transparenta si clara.
Comunicari
Mesaje Bannere postale sau
directe reclama in print
proeminente
sau notificari (nu postare pe
(email, SMS, blog sau
mesaj privat) pe un site. comunicat de
presa)
Cand nu e nevoie de notificarea catre persoana vizata?
cand asupra datelor fusesera deja

aplicate măsuri de protecţie
tehnice și organizatorice adecvate, operatorul a luat masuri ulterioare
iar aceste date au devenit ca riscul ridicat sa nu mai fie
neinteligibile oricărei persoane care susceptibil să se materializeze.
nu este autorizată să le acceseze
(criptare, pseudonimizare etc.).
Informarea ar necesita un efort

disproporţionat. Atunci se poate
face o informare publica.
Sanctiuni pentru nerespectare
• până la 10 000 000 EUR sau,

• în cazul unei întreprinderi, până
Amenda la 2 % din cifra de afaceri
maxima: mondială totală anuală
corespunzătoare exerciţiului
financiar anterior, luându-se în
calcul cea mai mare valoare
De retinut!
Fie ca sunteti operator, fie ca sunteti imputernicit, aveti nevoie sa:
1. Actualizati procedurile interne de notificare a incalcarilor de securitate ce

implica date personale.
2. Actualizati sistemele de identificare a incidentelor si sistemele de raspuns
la aceste incidente.
3. Lucrati indeaproape cu departamentul IT pentru a aplica masuri de criptare
/ pseudonimizare pe date, pentru a le face neinteligibile in caz de incalcare
de securitate.
4. Analizati politele de asigurare pe care le aveti, pentru a acoperi si astfel de
incidente.
5. Actualizati contractul cu imputernicitul dvs. (daca e cazul) si introduceti
clauze prin care il obligati sa notifice incidentele de securitate, respectiv sa
colaboreze cu dumneavoastra si autoritatea de supraveghere (incluzand
drept de regres impotriva imputernicitului – atentie la limite de
raspundere).
GDPR art. 37-39, preambul 97
RESPONSABILUL CU
PROTECTIA DATELOR
Ce este un DPO
• un nou rol profesional
• cineva "desemnat pe baza calităţilor profesionale" cu

"cunoștinţe de specialitate în dreptul și practicile privind
protecţia datelor"
• contact pentru autoritatile de supraveghere
• contribuie la asigurarea conformităţii cu GDPR
• instruieste personalul cu privire la practicile de prelucrare a

datelor
• trebuie să ţină pasul cu schimbările în legislaţie și tehnologie

și să înţeleagă programele de protectie a datelor
Cand e obligatorie numirea unui DPO
Numirea unui DPO este obligatorie (atat pentru operator
cat si pentru imputernicit) daca:
a) prelucrarea este efectuată de o autoritate sau un

organism public, cu excepţia instanţelor de judecata
b) activitatea principala consta in monitorizare periodică

și sistematică, pe scară largă, a persoanelor vizate
c) activitatea principala consta in prelucrarea pe scară

largă a unor categorii speciale de date
Nu conteaza marimea societatii
Se aplica si societatilor dinafara UE
Autoritate publică sau organism public
• Notiune stabilita in dreptul national
– Guvernul, camerele Parlamentului, Consiliul Legislativ,
consiliile locale și judeţene, primăriile, instituţia
prefectului, organele de specialitate din subordinea
Guvernului, autorităţi administrative autonome (Consiliul
Concurenţei, SRI, STS, SPP, SIE, ANI, Curtea de Conturi,
etc),
– alte organisme care desfășoară o sarcină publică și sunt
guvernate de legislaţia în domeniul public, cum ar fi
spitalele
• Autoritatea publica poate fi exercitata de entitati
private (de ex. transport, utilitati) – nu exista o
obligatie in acest caz, insa este recomandat
– Motiv: situatie similara pentru persoanele vizate
Activitatea principala
activitatea „de bază” - operatiunile cheie pentru
indeplinirea obiectului de activitate al entitatii
(preambul 97 GDPR)
Chiar daca prelucrarea datelor Functiile suport, cum ar fi plata

personale nu este niciodata obiectul angajatilor proprii si operarea
de activitate in sine al unei firme, ea Revisal, chiar daca sunt necesare,
poate fi intrinsec necesara nu sunt de regula activitatea
indeplinirii obiectului de activitate si principala
in acel caz conditia va fi indeplinita.
Pe scara larga
• Nu exista definitie
• WP29 recomandă ca următorii factori să fie luaţi în

considerare:
– numărul persoanelor vizate – ori un număr exact ori un
procent din populaţia relevantă
– volumul datelor și/sau gama de elemente diferite de date
în curs de prelucrare
– durata sau permanenţa activităţii de prelucrare a datelor
– suprafaţa geografică a activităţii de prelucrare
• exemple: publicitate comportamentală, spitale, institutii
financiare, telefonie, internet
• De principiu, nu se incadreaza: profesiile juridice, PFA
Monitorizare periodică și sistematică
Monitorizare Periodic Sistematic
“Pentru a se determina dacă o • se desfășoara sau apare • apare intr-un sistem
activitate de prelucrare poate la anumite intervale pe o
fi considerată ca „monitorizare anumită perioadă • prearanjat, organizat
a comportamentului” • recurente sau repetate la sau metodic
persoanelor vizate, ar trebui să momente fixe • manifestat ca parte a
se stabilească dacă • Se intampla constant unui plan general de
persoanele fizice sunt sau regulat
urmărite pe internet, inclusiv colectare a datelor
posibila utilizare ulterioară a • efectuat ca parte a unei
unor tehnici de prelucrare a strategii
datelor cu caracter personal
care constau în crearea unui
profil al unei persoane fizice,
în special în scopul de a lua
decizii cu privire la aceasta
sau de a analiza sau de a face
previziuni referitoare la
preferinţele personale,
comportamentele și atitudinile
acesteia.” (preambul 24)
Monitorizare periodică și sistematică
firmele a căror activitate principală implică
prelucrarea datelor pe scară largă pentru:
– publicitate comportamentală, profilare online,
– prevenirea fraudelor, detectarea spălării de bani,
– administrarea programelor de fidelizare,
– monitorizarea spaţiilor (CCTV),
– monitorizarea senzorilor inteligenţi (smart meters),
etc.
Chiar dacă entitatea nu are obligaţia expresă de a
desemna un responsabil cu protecţia datelor,
ANSPDCP recomandă numirea acestuia, în
considerarea efectului benefic al activităţii
responsabilului în vederea asigurării respectării
Regulamentului General de Protecţia Datelor de
către operatorul respectiv sau persoana
împuternicită de operator.
Ghidul orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor
Calificarile unui DPO
• Cunoasterea domeniului protectiei datelor, pre- si
post-GDPR (terminologie, bune practici, etc)
– Poate fi mai naturala pentru profesionistii in domeniul
juridic, si in special pentru cei cu experienta in protectia
datelor
– Nu exista o masura unica pentru experienta anterioara a
unui DPO, in unele cazuri instruirea pe post poate fi
suficienta
• Cunoasterea activitatii si operatiunilor organizatiei
• Fluenta in chestiuni tehnologice (de ex. securitate)
• Managementul datelor personale
• Integritate și etica profesională
Ce recomanda Autoritatea spaniola (2017)
http://www.agpd.es/portalwebAGPD/temas/certificacion/common/pdf/SCHEM
E_AEPD_DPD.pdf
Cerinte pentru DPO in institutiile europene
(2010)
https://ec.eu
ropa.eu/anti-
fraud/sites/a
ntifraud/files
/docs/body/
dpo_standar
ds.pdf
Fisa postului unui DPO
promovarea unei culturi de protecţie a datelor în cadrul
organizaţiei
consultanta in cadrul DPIA:
• dacă să efectueze sau nu DPIA

• ce metodologie să fie folosită la efectuarea DPIA
• dacă să efectueze DPIA intern sau să externalizeze
• ce garanţii (inclusiv măsuri tehnice și organizaţionale) să pună în aplicare
pentru reducerea oricăror riscuri la adresa drepturilor și intereselor
persoanelor vizate
• dacă DPIA a fost sau nu efectuată corect și dacă respectivele concluzii (dacă
să continue sau nu prelucrarea și ce garanţii să pună în aplicare) respectă
GDPR
Fisa postului unui DPO
consiliere la
crearea cooperarea cu
inventarului autoritatea de
operatiunilor de supraveghere
prelucrare
răspunde la
solicitari din
training, audit si
partea
monitorizare
persoanelor
vizate
Ce va face un DPO in viata reala
DPO va fi “pilotul” conformarii cu GDPR
DPO va fi cel care va trebui sa convinga managementul de

efectuarea unor investitii pentru asigurarea conformarii
DPO va trebui sa convinga colegii sa participe la training-uri si

sa aplice ceea ce invata
DPO va trebui sa se asigure ca este implicat in toate procesele
(pe care tot el trebuie sa le identifice) care implica date
personale
In general, DPO va trebui sa anticipeze si sa ghideze firma in
ceea ce priveste managementul datelor personale
Programul de privacy
1. Guvernanta datelor 8. Note de informare
2. Inventarul operatiunilor de 9. Proceduri pentru cereri
prelucrare (inclusive drepturile
3. Politici de prelucrare a persoanelor vizate) si
datelor plangeri
4. Aplicarea regulilor de 10. Monitorizarea operatiunilor
privacy in operatiuni noi
5. Program de training si 11. Managementul incidentelor
constientizare de securitate
6. Managementul riscului 12. Monitorizarea respectarii
securitatii informatiei politicilor interne
7. Managementul tertilor 13. Monitorizarea evolutiilor
legislative si
jurisprudentiale
Programul de privacy
• Se poate imparti in 13 categorii de activitati si 55 de
activitati principale
• Nymity Privacy Management Accountability
FrameworkTM
– Poster: https://www.nymity.com/data-privacy-
resources/~/media/NymityAura/Resources/Research/PMAF%
20Poster.pdf
– Whitepaper pe larg
https://www.nymity.com/~/media/Nymity/Whitepapers/Nymit
y%20Privacy%20Management%20Accountability%20Framework
.ashx
• Nymity’s GDPR Compliance Toolkit
– https://www.nymity.com/gdpr-toolkit.aspx
Instrumente care va pot ajuta
• OneTrust
• Nymity
• AvePoint
• TrustArc
• GDPR360
Relatia cu un DPO
• Poate fi angajat, si nu este necesar sa fie full-time
• Poate exista un departament, însă rolul va fi deţinut

persoana fizica ce îl conduce
• Poate fi un DPO la nivel de grup, însă cerinţa

comunicării in limba autorităţii impune numirea unor
subalterni in fiecare stat
• Poate fi externalizat, individual sau firma

– Trebuie indicata o anume persoana care detine aceasta functie
Cerinte pentru DPO
• Trebuie sa fie independent
• Trebuie sa aibă acces la “cel mai înalt nivel al
conducerii”
• Nu poate fi sanctionat (inclusiv concediat) pentru
îndeplinirea sarcinilor sale
• Trebuie sa aibă acces la resurse, inclusiv fonduri
• Trebuie sa aibă acces la personalul si operaţiunile de
prelucrare
Independenta
• nu primește instrucţiuni în ceea ce privește
îndeplinirea sarcinilor sale
• nu există conflict de interese cu alte posibile sarcini
sau atribuţii
– nu poate deţine o alta poziţie care ar conduce la
posibilitatea ca DPO să stabilească scopurile și mijloacele
de prelucrare
– functii in conflict:
• funcţii de conducere (director executiv, director operaţional,
director financiar, director marketing, director HR, director IT)
• functii inferioare, daca se stabileste scopul/mijloacele
• DPO extern care reprezinta organizatia în instanţă
Independenta – actiuni necesare in organizatie
1. identificarea poziţiilor care ar fi incompatibile cu

funcţia DPO;
2. norme interne pentru a evita conflictele de interese si

pentru a garanta independenta
3. implementarea unei declaratii periodice de lipsa a

conflictului de interese
Acces la “cel mai înalt nivel al conducerii”
• informarea, implicarea si consultarea DPO contribuie la privacy-by-
design
• DPO trebuie invitat să participe în mod regulat la ședinţele conducerii
• prezenţa DPO este recomandată în cazul în care se iau decizii cu
implicaţii asupra protecţiei datelor. Toate informaţiile relevante trebuie
să fie transmise DPO în timp util pentru a permite ca acesta să ofere o
consiliere corespunzătoare.
• avizului DPO trebuie să i se acorde întotdeauna o importanţă
deosebită. În caz de dezacord trebuie documentate motivele pentru
care nu a fost urmat avizul DPO.
– Nu se poate solicita modificarea avizului
• DPO trebuie să fie consultat cu promptitudine imediat ce a avut loc o

încălcare a securităţii datelor
Nu poate fi sancţionat pentru îndeplinirea
sarcinilor
• ofera independenta si stabilitate functiei DPO,
asigurand ca nu pot interveni sanctiuni pe fondul
indeplinirii corespunzatoare a sarcinilor
– de ex., alte departamente sau conducerea nu sunt de acord cu
concluziile/recomandarile DPO
• Sunt interzise atat sanctiuni directe cat si indirecte, si

chiar si numai amenintarea
• nu este afectata posibilitatea sanctionarii pe alte motive
Acces la resurse
• sprijin activ din partea managementului superior
• timp suficient pentru DPO în vederea îndeplinirii
atribuţiilor sale
• sprijin corespunzător în ceea ce privește resursele
financiare, infrastructură (sediu, facilităţi, echipament)
și personal, după caz
• comunicare oficială către toţi angajaţii cu privire la
desemnarea DPO
• accesul la alte servicii precum resurse umane, juridic, IT,
securitate etc. astfel încât DPO să beneficieze de un
sprijin esenţial, reacţii și informaţii din partea altor
servicii
• pregătire continuă
Raspunderea unui DPO
DPO nu este personal responsabil în situaţia în care
există un caz de nerespectare a cerinţelor de protecţie
a datelor. Operatorul sau persoana împuternicită de
operator are obligaţia de a pune în aplicare măsuri
tehnice și orgnizatorice adecvate pentru a garanta și
a fi în măsură să demonstreze că prelucrarea se
efectuează în conformitate cu prezentul Regulament.
Respectarea normelor de protecţie a datelor este o
responsabilitate a operatorului sau a persoanei
împuternicite de operator.
Sanctiuni pentru nerespectarea obligatiilor in
materie de DPO
• Amenda administrativa de pana la 2% din cifra de

afaceri sau 10.000.000 EUR
• Se aplica organizaţiei pentru oricare din obligaţiile

prevăzute la art. 37-39
– Inclusiv, de exemplu, asigurarea accesului la resurse
GDPR art. 83(4.a)

GDPR art. 30 & preambul 13, 39, 82
REGISTRUL OPERAŢIUNILOR DE
PRELUCRARE
De ce acest registru?
• notificarea autoritatii nu va mai fi aplicabila, însă
operatorii si imputernicitii vor trebui sa menţină o
evidenţă a activităţilor de prelucrare desfășurate sub
responsabilitatea lor
• registrul operatiunilor de prelucrare ≠ inventarierea

datelor
• registrul se poate tine prin consolidarea elementelor

deja notificate, urmata de verificari suplimentare cu
privire la acuratetea evidentei si elementele
suplimentare cerute sau utile potrivit GPPR
Cine nu trebuie sa tina registrul
Obligaţia nu se aplica entităţilor cu mai puţin de 250 de
angajaţi decât daca:
– prelucrarea este susceptibilă să genereze un risc
pentru drepturile și libertăţile persoanelor vizate,
– prelucrarea nu este ocazională, sau
(a se vedea explicatia pentru prelucrare sistematica, in cadrul sectiunii DPO)
– prelucrarea include categorii speciale de date.

Ce conţine registrul tinut de operator
a) numele și datele de contact ale operatorului și ale DPO;
b) scopurile prelucrării;
c) categoriile de persoane vizate și categoriile de date cu
caracter personal;
d) categoriile de destinatari cărora le-au fost sau le vor fi
divulgate datele;
e) dacă este cazul, transferurile de date cu caracter personal
către o ţară terţă sau o organizaţie internaţională,
documentaţia care dovedește existenţa unor garanţii
adecvate;
f) acolo unde este posibil, termenele-limită preconizate pentru
ștergerea diferitelor categorii de date;
g) acolo unde este posibil, o descriere generală a măsurilor
tehnice și organizatorice de securitate (MTOS) menţionate
la art. 32(1).
Ce contine registrul tinut de imputernicit
a) numele și datele de contact ale împuternicitului și ale
fiecărui operator în numele căruia acţionează;
b) categoriile de activităţi de prelucrare desfășurate în numele
fiecărui operator;
c) transferurile de date cu caracter personal către o ţară terţă
sau o organizaţie internaţională, documentaţia care
dovedește existenţa unor garanţii adecvate;
d) acolo unde este posibil, o descriere generală a măsurilor
tehnice și organizatorice de securitate (MTOS) menţionate
la art. 32(1).
Continutul registrului se poate particulariza
• GDPR prevede elementele minime, insa firmele pot
decide suplimentarea registrului cu alte elemente
utile, cum ar fi:
– temeiul prelucrarii;
– cum si cand s-a luat consimtamantul
– daca si cand au fost efectuate DPIA/LIA
– cine are acces la date (poate fi oricum parte din MTOS)
– elemente care sa faciliteze indeplinirea art. 19 GDPR
analizati situatia voastra particulara si vedeti ce informatii va pot fi

utile pentru a fi incluse
Cum se tine registrul
• Limba – nu exista cerinta speciala dar trebuie sa fie
accesibil autoritatii de supraveghere
• Forma - în scris, inclusiv în format electronic
– nu exista un format prestabilit, fiecare operator este liber sa
aleaga forma care i se potriveste
• Acuratete – registrul trebuie actualizat la zi

• Fiabilitate – este indicat ca modificarile sa fie logate, si
sa nu fie permise decat unor persoane limitate (privacy
by design)
Resurse
• Model CNIL pentru registru:

https://www.cnil.fr/sites/default/files/atoms/files/registre-
reglement-publie.xlsx
• Model ICO pentru registru (si explicatii): https://ico.org.uk/for-

organisations/guide-to-the-general-data-protection-regulation-
gdpr/documentation/how-do-we-document-our-processing-
activities/
• OneTrust
• Nymity
GDPR art. 44-49 & preambul 101-116
TRANSFERUL DATELOR CU
CARACTER PERSONAL
BCRs
Decizie de adecvare clauze standard CE

Transfer înafara SEE
Garantii adecvate
clauze standard ANS
nesupuse aprobarii ANS
cod de conduita
mecanism de certificare
Garantii adecvate
Clauze standard proprii
supuse aprobarii ANS
Derogari cand transferul e permis in lipsa
garantiilor adecvate
• consimtamant explicit • transferul se realizează
• transferul este necesar dintr-un registru public
pentru incheierea sau • situaţii specifice:
executarea unui contract
– transferul nu este repetitiv,
• considerente importante – se referă doar la un număr
de interes public limitat de persoane vizate,
• stabilirea, exercitarea sau – este necesar în scopul
apărarea unui drept în realizării intereselor
instanţă legitime majore urmărite
• protejarea intereselor de operator
vitale ale persoanei GDPR art. 49
vizate
Decizii de adecvare
• deciziile de adecvare pot fi luate
45.(9) Deciziile adoptate de doar de Comisie
Comisie în temeiul
articolului 25 alineatul • transferurile realizate catre
(6) din Directiva tari/organizatii internationale
95/46/CE rămân în care au decizie de adecvare nu
vigoare până când sunt necesită autorizări
modificate, înlocuite sau
abrogate de o decizie a • Andorra, Argentina, Canada
Comisiei adoptată în (unde se aplica PIPEDA), Elvetia,
conformitate cu Insulele Feroe, Guernsey, Israel,
alineatul (3) sau (5) din
Insula Man, Jersey, Uruguay,
prezentul articol.
Noua Zeelanda, SUA (unde se
aplica PrivacyShield)
Clauze standard adoptate de state sau Comisie
46.(5) Autorizaţiile acordate de un stat
membru sau de o autoritate de
supraveghere în temeiul articolului 26
alineatul (2) din Directiva 95/46/CE
sunt valabile până la data la care sunt daca se folosesc
modificate, înlocuite sau abrogate, clauze standard
dacă este necesar, de respectiva aprobate nu mai este
autoritate de supraveghere. Deciziile necesara autorizarea
adoptate de Comisie în temeiul de catre autoritatea
articolului 26 alineatul (4) din Directiva de supraveghere
95/46/CE rămân în vigoare până când
sunt modificate, înlocuite sau
abrogate, dacă este necesar, de o
decizie a Comisiei adoptată în
conformitate cu alineatul (2) din
prezentul articol.
Clauze standard ad-hoc
• Folosirea lor este posibila, cu autorizare din partea

autoritatii de supraveghere
• Neclar daca va putea exista un mecanism de

preaprobare pe template sau va continua practica
autorizarii de la caz la caz
• Se va aplica mecanismul pentru asigurarea coerenţei

(art. 63), ceea ce pare sa indice o preaprobare pe
template
Cereri din state terte nu reprezinta in sine temei
de transfer
48. Orice hotărâre a unei instanţe sau a unui tribunal și orice
decizie a unei autorităţi administrative a unei ţări terţe care impun
unui operator sau persoanei împuternicite de operator să transfere
sau să divulge date cu caracter personal poate fi recunoscută sau
executată în orice fel numai dacă se bazează pe un acord
internaţional, cum ar fi un tratat de asistenţă judiciară reciprocă în
vigoare între ţara terţă solicitantă și Uniune sau un stat membru,
fără a se aduce atingere altor motive de transfer în temeiul
prezentului capitol.
New York search warrant – instanta din SUA a obligat initial

Microsoft sa puna la dispozitie informatii stocate de Microsoft
Ireland in Irlanda, aferente unui cont al unui cetatean european
ANONIMIZAREA
SI INCETAREA PRELUCRARII
Care drepturi dintre cele de mai jos impun, la
exercitare, drept consecinta, stergerea?
Dreptul de acces
Dreptul la stergere si rectificare
Dreptul la opozitie
Dreptul la portabilitatea datelor

Dreptul de a nu face obiectul unei decizii
automatizate
Dreptul la restrictionarea prelucrarii
Cand e operatorul obligat sa stearga datele?
Operatorul are obligaţia de a șterge datele, chiar si fara

cererea persoanei vizate, fără întârzieri nejustificate, în
anumite cazuri (art. 17)
Datele nu mai sunt Datele au fost Datele trebuie

Persoana vizată se Persoana vizata isi
necesare pentru prelucrate ilegal șterse pentru
opune prelucrării retrage
îndeplinirea respectarea unei
scopurilor pentru consimtamantul obligaţii legale.
care au fost si nu exista motive
colectate sau temeinice care sa
prelucrate si nu exista alt
prevaleze temei intemeiat
SAU opozitie
prelucrare
marketing direct
Expirarea duratei de prelucrare
Ex. In informare, operatorul
trebuie sa mentioneze
Orice operatiune de prelucrare ”perioada pentru care vor fi
trebuie realizata pe o perioada stocate datele cu caracter
determinata sau determinabila personal sau, dacă acest lucru
de timp. nu este posibil, criteriile
utilizate pentru a stabili această
perioadă”.
La expirarea acestei perioade, opertorul trebuie sa decida

ce anume face cu datele prelucrate:
1. le prelucreaza in continuare (argumentat, ex. obligatie
legala)
2. sau le sterge / anonimizeaza.
Stergerea datelor
Nu e definita explicit in GDPR. Regulamentul

vorbeste doar de masuri tehnice si organizatorice
adecvate.
Masurile trebuie adecvate suportului (ex.
Stergere date electronice, stergere date CCTV
etc)
Masurile trebuie sa asigure stergerea definitiva a
tuturor copiilor datelor, inclusiv la stergerea ”in
lant”.
Anonimizare vs. pseudonimizare
Date personale Pseudonimizare / Token Anonimizare
Andreea Q62jT3R xxxxxxx
Luna Gr6Y4jf xxxxxxx
Joy KlH7lo9 xxxxxxx
Anonimizarea distruge in mod ireversibil orice forma de identificare ulterioara

a datelor cu caracter personal.
Pseudonimizarea ofera un substitut pentru identitatea persoanei vizate in asa

fel incat, in viitor, este necesara informatie aditionala pentru a identifica
persoana vizata.
Pseudonimizarea este o masura de securitate. Anonimizarea facuta corect

este o masura de incetare a prelucrarii.
Anonimizare incorecta
Re-identificarea indirecta
O banca retine istoricul de achizitie al unui cumparator (Marian), dar

anonimizeaza numele, locatia si toate celelalte date ale lui.
“In fiecare dimineata, de luni pana vineri, XXXXX merge la aceeasi cafenea si
cumpara ciocolata alba. Isi foloseste intotdeauna cardul pentru plata. Vinerea
seara, retrage intotdeauna 200 lei din bancomatul de langa birou, merge si
cumpara mancare pentru pesti, plateste cu cardul, apoi cumpara, de regula, 2
baxuri de pampers nr. 2, plateste cu cardul. Duminica seara merge la film si
cumpara 3 bilete, platind cu cardul”.
Chiar daca numele si alte date au fost anonimizate, observarea istoricului de

mai sus ne poate da posibilitatea sa il re-identificam pe Marian.
Prin urmare, anonimizarea nu s-a facut corect.

Anonimizare corecta
Pentru a fi facuta corect, anonimizarea ar trebui sa retina, drept istoric de
cumparaturi, informatii de genul:
“50 oameni merg zilnic, de luni pana vineri, la cafenea.”

“100 de oameni retrag bani de la ATM in fiecare vineri seara.”
“De la ATM-ul x au fost retrasi peste 100.000 lei vineri seara.”
“30 oameni au cumparat astazi mancare pentru pesti”
In acest caz, orice alte date am mai avea, e imposibil sa ne dam seama care
comportamentul achizitiv al lui Marian. In acest caz, vorbim despre incetarea
prelucrarii prin anonimizare.
Preambul 26, GDPR. Prezentul regulament nu se aplică prelucrării unor [...]

informaţii anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri
statistice sau de cercetare.
https://cnpd.public.lu/fr/publications/groupe-
art29/wp216_en.pdf
GDPR - Data funnel
Date personale
(contin identificatori directi sau indirecti) – risc
absolut sau major de identificare.
Date pseudonimizate
(indentificatori inlocuiti cu pseudonime, care sunt
tinute separat, in conditii de securitate) – risc existent
de identificare
Date de-identificate
(identificatorii directi sau indirecti au fost
indepartati) – risc rezidual
Date anonime
(date de-identificate cu
masuri de securitate care
asigura eliminarea riscului
de re-identificare)
Masuri potentiale de securitate anonimizare
K-Anonimity
Noise addition (identificatori personali
(identificatori personali generalizati intr-un grup: ex.
exprimati imprecis: ex. +/- Salariu 10 lei in grupul 5 – 15
10kg) lei)
Opinia 5 din 2014 privind tehnicile de anonimizare
ARTICLE 29 DATA PROTECTION WORKING PARTY
http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinion-
recommendation/files/2014/wp216_ro.pdf
RASPUNDERE SI SANCTIUNI
Remediile disponibile pentru persoana vizata
• Plangere la autoritatea de supraveghere
• Cale de atac judiciara impotriva deciziei AS
• Actiune directa impotriva operatorului / imputernicitului

– Recuperarea prejudiciului material / moral
– Raspundere solidara daca sunt mai multe entitati
• Actiunile pot fi exercitate de organisme colective “active în

domeniul protecţiei drepturilor și libertăţilor persoanelor
vizate în ceea ce privește protecţia datelor lor cu caracter
personal”
Sanctiuni
In principiu, amenzile nu sunt o urmare garantata a nerespectării regulilor de
prelucrare
“În funcţie de circumstanţele fiecărui caz în parte, amenzile administrative sunt
impuse în completarea sau în locul măsurilor menţionate la articolul 58 alineatul
(2) literele (a)-(h) și (j). “
Autoritatea poate:
• sa emita avertizari
• Sa emita mustrari
• Sa dea dispozitii
• Sa oblige operatorul să informeze persoana vizată cu privire la o încălcare a
protecţiei datelor
• Sa limiteze sau sa interzica prelucrarea
• Sa dispuna rectificarea sau ștergerea datelor, sau restricţionarea prelucrări
Amenzi administrative
10.000.000 EUR, sau pana la 2 % din 20.000.000 EUR, sau pana la 4 % din
cifra de afaceri mondială totală anuală cifra de afaceri mondială totală anuală
• Consimţământul minorilor (art. 8) • Principiile prelucrării, consimţământ
• Privacy by design / default (art. 25) (art. 5, 6, 7, 9)
• Alocarea responsabilităţilor intre • Drepturile persoanei vizate (art. 12-
operatorii asociaţi (art. 26) 22)
• Numirea unui reprezentant in UE • Transferuri internaţionale (art. 44-
(art. 27)
• Respectarea de către împuternicit a 49)
instrucţiunilor operatorului (art. 28- • Încălcarea masurilor dispuse de
29) ANS (art. 58 par 1 si 2)
• Păstrarea evidentelor activităţii de • Obligaţii potrivit dreptului naţional
prelucrare (art. 30)
• Cooperarea cu ANS (capitolul IX)
• Securitatea prelucrării (art. 32)
• Studii de impact (art. 35-36)
• Numirea unui DPO (art. 37)
Art. 82 GDPR
• Notificarea încălcărilor (art. 33-34)
Multumim! ☺
Iuliu Maniu nr. 7, Corp U, Et 4

Bucuresti, Sector 6
www.privacyone.ro
contact@privacyone.ro

Academia DPO Februarie 2018

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Academia DPO Februarie 2018

Încărcat de

Drepturi de autor:

Formate disponibile

Academia DPO

Curs practic pentru viitorii responsabili

1-3 februarie 2018, Bucuresti

Adoptat Publicat Intrat in Aplicabil

Prelucrarea datelor sensibile (art. 9)

Restrictii (art. 23)

Libertatea de exprimare si informare (Art. 85)

Accesul la informaţii de interes public (art. 86)

CNP (art. 87)

Prelucrarea in contextul angajararii (art. 88)

Doar 2 state au aprobat legi nationale de implementare a GDPR: Germania si

ÎNAINTE DE PRELUCRARE. FAZA DE

Entitatea care Prelucrare

Entitatea care stabileste

informaţii referitoare la o persoană fizică orice informaţii privind o persoană fizică

identificată sau identificabilă; o persoană identificată sau identificabilă ("persoana

identificabilă este acea persoană care vizată"); o persoană fizică identificabilă

poate fi identificată, direct sau indirect, în este o persoană care poate fi

factori specifici identităţii sale fizice, cum ar fi un nume, un număr de

fiziologice, psihice, economice, culturale identificare, date de localizare, un

sau sociale. identificator online, sau la unul sau mai

o persoană fizică identificabilă este o persoană care poate fi

GDPR, art. 4.1

Imagine Salariul Numar telefon Adresa IP

Amprente, date ADN, date

Daca imputernicitul are puterea de a influenta semnificativ operatiunea

LIMITAREA LA SCOP LIMITAREA STOCARII

MINIMIZAREA DATELOR SECURITATE ȘI CONFIDENţIALITATE

• Temei legitim prevăzut de lege (legalitate)

prelucrarea este necesară pentru

Trebuie respectate toate

Operatorul trebuie sa depună “toate eforturile

Statele membre pot scădea vârsta pana la 13

Vârsta diferita intre state poate crea dificultăţi

Consimtamantul nu este un “silver bullet” si nu legalizeaza o

Interesele legitime urmarite trebuie mentionate

In informare mai trebuie inclusa posibilitatea

1. evaluarea existentei un interes legitim

2. stabilirea necesităţii prelucrării

3. efectuarea unei comparatii (balancing test)

care este scopul prelucrării datelor personale si de

• nu toate interesele sunt şi legitime, ci numai acelea

– sunt suficient de precizate (specifice); şi

– reprezintă un scop real şi prezent, care corespunde activităţilor

Există un alt mod de a atinge interesul identificat?

Da, dar ar presupune Necesar, se trece la

Prelucrarea nu este Nu se poate folosi

Tipul de date – obișnuite

statutul persoanei vizate - client, angajat, terţ, copil, etc.

statutul operatorului – de ex. dacă se află într-o poziţie

modurile în care sunt prelucrate datele, de ex. implică

când impactul asupra interesele legitime

pot justifica intruziuni

o serie de controale De exemplu:

se foloseste alt temei

• Interesul legitim este mai avantajos, in principiu, pentru

2. drepturi si obligatii în domeniul ocupării de către persoana vizată

forţei de muncă și al securităţii sociale și 6. constatarea, exercitarea sau apărarea unui

protecţiei sociale, dacă acest lucru este drept în instanţă

autorizat de lege sau de un acord colectiv 7. motive de interes public major

Informarea persoanelor vizate este o obligaţie a operatorilor

Trebuie sa preceada prelucrarea si, daca este cazul, obtinerea

Informarea trebuie sa fie: