Documente Academic
Documente Profesional
Documente Cultură
CUPRINS:
Definitie GDPR
Care sunt datelele cu caracter personal (definitie si exemple)
Notiunea de “masuri tehnice si organizatorice”
Ce inseamna Persoana vizata, Operator, Imputernicit si Parte terta
Prelucrarea datelor cu caracter personal in baza unor temeiuri juridice
Drepturile persoanei vizate
Obligatiile Operatorului si ale persoanei imputernicite
Rolul Ofiterului responsabil cu Protectia Datelor
9/3/2018 2
GDPR - regulament unic general valabil si aplicabil la nivelul intregii Uniuni
Europene, privind protectia datelor cu caracter personal ale persoanelor fizice
(persoane vizate)
Aplicabilitate – 28 Mai 2018
9/3/2018 3
Date cu caracter personal:
Art. 4: Definiţii
În sensul prezentului regulament:
1."date cu caracter personal" înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă
("persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect,
în special prin referire la:
- un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online;
- unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice,
culturale sau sociale;
9/3/2018 4
9/3/2018 5
NOTIUNEA DE “MASURI TEHNICE SI ORGANIZATORICE”
Notiunea de masuri tehnice si organizatorice se poate defini astfel: masuri ce trebuiesc implementate in mod obligatoriu de
catre toate entitatile implicate in activitatile de prelucrare de date cu caracter personal,pentru asigurarea securitatii
datelor cu caracter personal, astfel incat sa se evite distrugerea, pierderea, modificarea sau divulgarea neautorizata a
datelor cu caracter personal transmise, stocate sau prelucrate (art 4.alin.(12) GDPR)
Masuri tehnice;
Exemple
Criptarea,
Pseudonimizarea,
Asigurarea confidentialitatii, integritatii, disponibilitatii si rezistentei continue ale sistemelor si serviciilor de prelucrare
etc.
Masuri specifice privind parola si PIN-ul/parolele si stabilirea parolelor pentru acces in sistemele si aplicatiile
IT/Confidentialitatea parolei.
Inregistrarea accesarii bazelor de date cu caracter personal in fisiere de acces
Protejarea activelor
Copii de siguranta ale datelor/Colectarea datelor
Implementarea si configurarea sistemelor de asigurarea confidentialitatii si integritatii
Dezactivarea tastei “Print Screen”
Instruirea angajatilor cu drept de procesare date cu caracter personal privind protectia si securitate lor
Masuri Organizatorice
Coduri de conduita si certificari (ISO 27001)
Reguli corporatiste obligatorii
9/3/2018 6
PERSOANA VIZATA;
“identificata sau identificabila’
Persoana identificabila – persoana care nu este clar delimitat de alte persoane dintr-un grup, insa identificarea
este posibila;
• in mod direct - prin nume, CNP, numar de la masina, numar de telefon etc.
• in mod indirect - in special prin combinarea mai multor elemente de identificare (fie ca sunt tinute de
operatorul de date sau nu)
OPERATOR DE DATE;
Este coordonatorul activitatii prelucrarii de date si este principalul responsabil pentru indeplinirea
obligatiilor impuse de legislatie, precum si respectarea drepturilor persoanelor vizate ce decurg din
efectuarea operatiunilor de prelucrare de date
PERSOANA IMPUTERNICITA:
Persoana imputernicita de operator –persoana fizica sau juridica, autoritate publica, agentia sau alt organism
care prelucreaza date cu caracter personal in numele operatorului, in baza unui contract sau alt act juridic
incheiat cu acesta (Art.4.pct.8.)
PARTE TERTA:
Persoana fizica sau juridica, autoritate publica, agentie sau alt organism altul decat persoana vizata, operatorul,
persoana imputenicita de operator si persoanele care, sub directa autoritate a operatorului sau a persoanei
imputernicite de operator, sunt autorizate sa prelucreaze date cu caracter personal
Ex: organele de cercetare penala (operator MJ), alte autoritati ale statului (curtea de conturi – operator MF)
9/3/2018 7
PRELUCRAREA DATELOR CU CARACTER PERSONAL IN BAZA UNOR TEMEIURI
JURIDICE:
1.CONSIMTAMANTUL- orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate
prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa
fie prelucrate (Art.14,pct(11)GDPR.
Consimtamantul scris poate fi:
- In format hartie ,prin semnatura olografa
- In forma electronica (online)
- Prin semnatura electronica
2.EXECUTAREA UNUI CONTRACT – avem doua cazuri ce justifica prelucrarea si anume:
1.Cazul in care este necesara pentru executarea unui contract la care persoana vizata este parte.
2.Cazul in care prelucrarea este necesara anterior incheierii unui contract-in cadrul activitatilor precontractuale (ex. redactarea
draftului de contact, negocierea unor clauze, recrutare etc.)
3.INDEPLINIREA UNOR OBLIGATII LEGALE- Obligatia trebuie sa fie impusa de lege, sa fie ferma si sa nu confere
operatorului de date un drept de optiune intre a indeplini sau nu obligatia (ex.HR – in temeiul art.27.alin(1) si (2) din Codul
Muncii –” (1) O persoana poate fi angajata in munca numai in baza unui certificat medical, care constata faptul ca cel in
cauza este apt pentru prestarea acelei munci. (2) Nerespectarea prevederilor alin(1) atrage nulitatea contractului individual de
munca”.
4.INTERESUL LEGITIM – cerinta ca un interes sa fie considerat legitim -potrivit opiniei nr.63/2014:
a) sa fie legal;
b) sa fie definit in mod suficient de clar in asa fel incat sa permita efetuarea testului “echilibrului de interese” (balancing of
interest test) intre interesul legitim al operatorului de date si drepturile si interesele fundamentale ale persoanei vizate.
c) sa reprezinte un interes real si prezent.
9/3/2018 8
DREPTURILE PERSOANEI VIZATE
9/3/2018 9
4) Dreptul la restrictionareea prelucrarii datelor – in ceea ce priveste sistemele automate de evidenta,
asigurarea prelucrarii ar trebui in principiu asigurata prin mijloace tehnice in asa fel incat datele cu caracter
personal sa nu faca obiectul unor operatiuni de prelucrare ulterioara si sa nu mai poata fi schimbate, iar
sistemele ar trebui “sa indice in mod clar” operatiunea de marcare a datelor.
5) Dreptul la portabilitatea datelor – inspirat din sistemele cloud computing- in care se pune accent atat pe
portabilitate cat si pe interoperabilitate
Se poate defini ca: transmiterea datelor direct de la operatorul care le detine catre un alt operator, atunci
cand sunt indeplinite anumite conditii, ca de ex: prelucrarea se bazeaza pe consimtamant sau pe un
contract, respectiv prelucrarea este efectuata prin mijloace informatice.
6) Dreptul de opozitie – posibilitatea persoanei vizate de a se opune prelucrari datelor sale cu caracter
personal, cu urmatoarea exceptie: operatorul de date poate continua totusi prelucrarea doar daca
demonstraza ca are motive legitime si imperioase care justifica prelucrarea (ex exercitarea sau apararea
unui drept in instanta)
7) Dreptul de a nu fi subiect al unei decizii individuale – persoana vizata are “dreptul de a nu face obiectul
unei decizii bazate exclusiv pe prelucrarea automata”.
9/3/2018 10
OBLIGATIILE OPERATORULUI:
Obligatii in relatia cu Clientul
Informare cu privire la prelucrarea prin imputerniciti;
Informare cu privire la destinatari (imputerniciti si subcontractori) sau categorii de destinatari.
Obligatii in relatia cu Imputernicitii
Sa evalueze Imputernicitii inainte de contractare pentru a verifica daca ofera garantii suficiente pentru aplicarea
masurilor astfel incat prelucrarea sa respecte cerintele legale si sa asigure protectia drepturilor Clientilor;
Sa incheie un contract cu Imputernicitii prin care sa stabileasca:
Obiectul si durata prelucrarii;
Natura si scopul prelucrarii;
Tipul datelor cu caracter personal si categoriile de persoane vizate;
Obligatiile, drepturile si raspunderea partilor;
Sa se asigure ca Imputernicitii respecta instructiunile sale si masurile tehnice necesare pentru protectia datelor si
efectuarea prelucrarilor conform legii (audit, inspectii).
Obligatii in relatia cu Subcontractorul
Sa se asigure ca prevederile contractului dintre Imputernicitul Furnizor si Subcontractor reflecta
aceleasi obligatii privind protectia datelor prevazute in contractul incheiat intre Imputernicitul Furnizor
si Operator
9/3/2018 11
De a prelucra datele Clientilor pe baza instructiunilor Operatorului;
De a adopta masuri organizatorice adecvate care sa permita protectia datelor;
De a adopta masuri de securitate adecvate in vederea asigurarii unui nivel de securitate corespunzator
(inclusiv dar fara a se limita la asigurarea confidentialitatii, integritatii disponibilitatii si rezistentei datelor
si sistemelor de prelucrare a datelor);
De a nu prelucra datele Clientilor in scopuri personale sau alte scopuri nepermise /neprevazute in Contract;
De a nu folosi alti subcontractori fara autorizatia prealabila scrisa a Operatorului;
De a include in contractul cu Subcontractorul obligatii care sa reflecte obligatiile privind protectia datelor
prevazute in contractul incheiat intre Imputernicitul Furnizor si Operator;
De a numi un numar restrans de persoane autorizate sa prelucreze datele cu caracter personal;
De a incheia acorduri de confidentialitate cu angajatii care sunt persoane autorizate;
9/3/2018 12
Informare si consilierea operatorului sau a persoanei imputernicite de operator;
Monitorizarea respectarii prezentului regulament, inclusiv de alocarea responsabilitatilor si actiunilor de
sensibilizare si de formare a personalului implicat in operatiunile de prelucrare, precum si audituri aferente;
Furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor si
monitorizarea functionarii acesteia.
Cooperarea cu autoritatea de supraveghere;
Asumarea rolului de punct de contact pentru autoritatea de supraveghere,privind aspectele legate de
prelucrare
Colaborarea cu alte departamente ex. HR, IT, Marketing, Operational, Logistic si transmiterea de catre
acestea catre DPO a oricaror informatii importante din perspectiva protectiei datelor cu caracter personal.
9/3/2018 13
Multumesc!
9/3/2018 14