Documente Academic
Documente Profesional
Documente Cultură
Introducere......................................................................................................................................3
Bibliografie...................................................................................................................................12
2
Introducere
1
Deloitte Insights, "Regulating emerging technology",disponibil online la adresa: www2.deloitte.com, accesat în
2023
2
Metodologia cercetării științifice, Andrei Balînschi, Balti, 2015, pp. 7-8
3
I. Transformarea digitală a instituțiilor publice
Aceste schimbări sunt generate și întreținute de tehnologii aflate în etape diferite ale
ciclului de exploatare, tehnologii emergente. Fenomenul digitalizării a traversat mai multe etape
la nivel global, iar în prezent putem afirma faptul că influențele sale se regăsesc în aproape toate
aspectele vieții sau în toate tipurile de procese organizaționale. 4
Cu toate acestea, acest proces trebuie gestionat cu atenție pentru a respecta drepturile
privind protecția datelor ale cetățenilor.
4
Autoritățile publice au un set distinct de responsabilități în ceea ce privește GDPR,
diferit de cel al entităților private, având în vedere că datele personale nu sunt doar stocate, ci
adesea transferate. În plus, legislația specifică trebuie armonizată cu principiile GDPR.
Profesorul Daniel-Mihail Șandru evidențiază în revista Pandectele Române nr. 2/2019
principalele provocări ale sectorului public în raport cu GDPR, cum ar fi colectarea și transferul
datelor, drepturile persoanelor vizate, numirea unui responsabil cu protecția datelor (DPO),
procedurile specifice autorităților și organismelor publice, precum și regimul sancționator
asociat.7
7
Provocările GDPR în sectorul public, Wolter Kluwer, publicat la data: 26 August, 2019, accesat la data:
03.11.2023, disponibil online la adresa: https://www.wolterskluwer.com/ro-ro/news/provocarile-gdpr-in-sectorul-
public
8
Protecția datelor în cadrul autorităților și organismelor publice în România, autor Prof. univ. dr. Daniel Mihai
Șandru, publicat în revista Pandectele Române nr. 2/2019
9
LEGE nr. 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu
caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi
combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera
circulaţie a acestor date
5
De asemenea, legea se ocupă și de reglementarea liberei circulații a acestor date. Această
legislație specifică este importantă pentru asigurarea echilibrului între necesitatea protecției
datelor personale și cerințele de securitate și justiție penală.
1. Colectarea și transferul datelor: Multe entități sunt obligate legal să colecteze și să transfere
date, ceea ce poate fi problematic.
2. Obținerea consimțământului persoanelor vizate: Deși majoritatea datelor sunt prelucrate pe
baza legii sau a unui contract, există situații în care entitățile publice trebuie să demonstreze că
au obținut consimțământul explicit al persoanelor vizate. Acest lucru este necesar, de exemplu,
pentru utilizarea cookies pe site-uri, chestionare, aplicații, sau transferul datelor în afara
scopurilor inițiale.10
3. Verificarea surselor de stocare a datelor: Entitățile publice trebuie să verifice sursele fizice și
informatice unde sunt stocate datele, asigurându-se că sunt îndeplinite condițiile de securitate.
4. Problema licitațiilor: În cazul licitațiilor, entitățile publice se pot confrunta cu riscuri atunci
când aleg soluții ieftine sau gratuite, cum ar fi stocarea datelor în cloud, fără un contract
adecvat. Aceasta poate duce la încălcarea securității datelor.
5. Minimizarea prelucrării datelor: Entitățile publice trebuie să justifice necesitatea prelucrării
anumitor date și să implementeze măsuri tehnice și organizatorice pentru a minimiza riscurile.
6. Transparența în prelucrarea datelor: Transparența este esențială pentru conformitatea cu
GDPR, implicând informarea corectă a persoanelor vizate despre prelucrarea datelor lor,
comunicarea eficientă cu privire la drepturile lor conform GDPR și facilitarea exercitării acestor
drepturi.
În sectorul public, există două riscuri distincte legate de prelucrarea datelor, spre
deosebire de sectorul privat:
10
Barierele Digitalizării mediului public şi privat din România, Sabin Dragoman, George Chiriţă s.a, publicat în
aprilie 2021, pp. 10-15
6
2. Autoritățile publice nu pot invoca "interesul legitim" ca temei juridic pentru prelucrarea
datelor, conform articolului 6 litera f) din GDPR, în cazul îndeplinirii atribuțiilor lor. 11
11
Idem 7
12
Manual de legislație europeană privind protecția datelor cu caracter personal, Ediția 2018, pp. 20-26
13
Manualul funcționarului public în domeniul drepturilor omului, Ediția a-II-a, Editura Arc, Autori: Anatolie
Munteanu, Svetlana Rusu, Olga Vacarciuc, pp. 11-30
14
Idem 8
7
Pe lângă aceste sancțiuni, există și posibilitatea ca persoanele afectate să solicite
despăgubiri morale în instanță. Această abordare sancționatorie pare să aibă un caracter
discriminatoriu față de autoritățile și organismele publice.
Aplicarea sancțiunilor are două etape, reglementate distinct de Legea nr. 190/2018:
1. Când se descoperă că o autoritate sau organism public nu respectă regulile GDPR sau ale
Legii nr. 190/2018,16 Autoritatea națională de supraveghere redactează un proces-verbal care
constată și sancționează încălcarea, aplicând un avertisment și atașând un plan de remediere. Un
caz ilustrativ este cel al Primăriei Cluj-Napoca, unde un funcționar a folosit e-mailul personal în
comunicările oficiale, deși detaliile specifice nu sunt public accesibile. Într-o situație similară
din Norvegia, Primăria Bergan a fost amendată pentru deficiențe în protecția datelor a
aproximativ 35.000 de persoane, incluzând elevi și profesori.
2. Perioada acordată pentru remediere se stabilește luând în considerare riscurile asociate cu
procesarea datelor și pașii necesari pentru a asigura conformitatea cu reglementările.
3. La 10 zile după ce termenul de remediere a expirat, Autoritatea națională de supraveghere are
posibilitatea de a efectua o reevaluare.
4. Obligația de a urma și completa măsurile de remediere cade pe umerii autorității sau
organismului public responsabil, care este legal răspunzător pentru neregulile constatate.
5. Un model standard pentru planul de remediere este inclus în anexa legii și este parte
integrantă a acesteia.17
1. Atunci când se descoperă în urma unei verificări că autoritățile sau entitățile publice nu au
pus în aplicare complet acțiunile necesare stabilite în planul de corectare, Autoritatea națională
de supraveghere are dreptul de a impune amenzi. Mărimea amenzii este determinată pe baza
15
Aplicarea măsurilor corective autorităţilor şi organismelor publice, Lege 190/2018, art 13
16
LEGE nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al
Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei
95/46/CE (Regulamentul general privind protecția datelor)
17
GDPR-comentarii și explicații, disponibil online la adresa: https://www.itprotection.ro/page7.html , accesat la
data: 05.12.2023
18
Constatarea contravenţiilor şi aplicarea de sancţiuni autorităţilor şi organismelor publice, Legea 190/2018
8
circumstanțelor specifice fiecărui caz și ținând cont de criteriile descrise în articolul 83, alineatul
(2) din Regulamentul general privind protecția datelor.
2. Următoarele fapte sunt considerate contravenții și pot fi sancționate cu amenzi între 10.000 și
100.000 de lei:19
2.1. Nerespectarea de către autoritățile sau organismele publice a anumitor dispoziții din
Regulamentul general privind protecția datelor, care includ:
a) Obligațiile operatorului și ale persoanei desemnate de operator, conform articolului 8, 11, 25-
39, 42 și 43;
b) Obligațiile organismului de certificare, conform articolului 42 și 43;
c) Obligațiile organismului de monitorizare, conform articolului 41 alineatul (4).
2.2. Este considerată contravenție încălcarea de către autorități sau organisme publice a
prevederilor art. 3-9 din Legea nr. 190/2018. Aceasta include:
a) Principiile de bază ale prelucrării, inclusiv consimțământul (art. 5-7 și art. 9);
b) Drepturile persoanelor vizate (art. 12-22);
c) Transferurile de date cu caracter personal către țări terțe sau organizații internaționale (art.
44-49);
d) Obligațiile legislative naționale sub capitolul IX;
19
Provocările GDPR în sectorul public, Wolter Kluwer, publicat la data: 26 August, 2019, accesat la data:
03.11.2023, disponibil online la adresa: https://www.wolterskluwer.com/ro-ro/news/provocarile-gdpr-in-sectorul-
public
20
9
e) Nerespectarea deciziilor sau limitărilor temporare sau definitive privind prelucrarea datelor,
sau suspendarea fluxurilor de date, emise de Autoritatea națională de supraveghere (art. 58 alin.
(2)), sau neacordarea accesului (art. 58 alin. (1));
f) Nerespectarea unei decizii a Autorității naționale de supraveghere (art. 58 alin. (2) coroborat
cu art. 83 alin. (2))
21
"Impactul Regulamentului general privind protecția datelor asupra instituțiilor publice în România", în Jurnalul
de Studii Juridice, vol. 15, nr. 3, 2021, pp. 45-60.
22
Analiza conformării cu GDPR în sectorul public românesc", în Revista Română de Dreptul Informației, nr. 12,
2022, pp. 112-125.
10
IV. Concluzii și recomandări
11
Bibliografie
12
15. Constatarea contravenţiilor şi aplicarea de sancţiuni autorităţilor şi organismelor publice,
Legea 190/2018
16. "Impactul Regulamentului general privind protecția datelor asupra instituțiilor publice în
România", în Jurnalul de Studii Juridice, vol. 15, nr. 3, 2021, pp. 45-60
17. Analiza conformării cu GDPR în sectorul public românesc", în Revista Română de Dreptul
Informației, nr. 12, 2022, pp. 112-125.
13