9/3/2018 1

CUPRINS:

 Definitie GDPR
 Care sunt datelele cu caracter personal (definitie si exemple)
 Notiunea de “masuri tehnice si organizatorice”
 Ce inseamna Persoana vizata, Operator, Imputernicit si Parte terta
 Prelucrarea datelor cu caracter personal in baza unor temeiuri juridice
 Drepturile persoanei vizate
 Obligatiile Operatorului si ale persoanei imputernicite
 Rolul Ofiterului responsabil cu Protectia Datelor

9/3/2018 2
GDPR - regulament unic general valabil si aplicabil la nivelul intregii Uniuni
Europene, privind protectia datelor cu caracter personal ale persoanelor fizice
(persoane vizate)
Aplicabilitate – 28 Mai 2018

9/3/2018 3
 Date cu caracter personal:
Art. 4: Definiţii
În sensul prezentului regulament:
1."date cu caracter personal" înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă
("persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect,
în special prin referire la:
- un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online;
- unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice,
culturale sau sociale;

DATE PRELUCRATE EX.1 Angajati:

- TOATE DATELE DIN CARTEA DE IDENTITATE, INCLUSIV POZA – scop: intocmire dosar personal si contract de munca
- NUMĂR DE TELEFON, EMAIL - contactare
- DATE PRIVIND STAREA DE SĂNĂTATE - fisa de aptitudine medicala conrofm legii
- NR. ANGAJATULUI (MARCA SAU ALT IDENTIFICATOR UNIC) – identificare unica in sistemul companiei
- CARD DE ACCES – assigurarea accesului in companie si pontaj
- DATELE DIN CV: PARCURS PROFESIONAL, STUDII, DIPLOME – selectie si demonstrarea capabilitatilor necesare postului
- CONT BANCAR – virament salarial
- FUNCTIA
- CAZIER – se solicita doar pentru pozitiile pentru care legea cere in mod explicit
 Temei legal – legislatia din domeniul relatiilor de munca, contractual individual de munca si regulamente interne

9/3/2018 4
9/3/2018 5
NOTIUNEA DE “MASURI TEHNICE SI ORGANIZATORICE”
Notiunea de masuri tehnice si organizatorice se poate defini astfel: masuri ce trebuiesc implementate in mod obligatoriu de
catre toate entitatile implicate in activitatile de prelucrare de date cu caracter personal,pentru asigurarea securitatii
datelor cu caracter personal, astfel incat sa se evite distrugerea, pierderea, modificarea sau divulgarea neautorizata a
datelor cu caracter personal transmise, stocate sau prelucrate (art 4.alin.(12) GDPR)

Masuri tehnice;
Exemple
 Criptarea,
 Pseudonimizarea,
 Asigurarea confidentialitatii, integritatii, disponibilitatii si rezistentei continue ale sistemelor si serviciilor de prelucrare
etc.
 Masuri specifice privind parola si PIN-ul/parolele si stabilirea parolelor pentru acces in sistemele si aplicatiile
IT/Confidentialitatea parolei.
 Inregistrarea accesarii bazelor de date cu caracter personal in fisiere de acces
 Protejarea activelor
 Copii de siguranta ale datelor/Colectarea datelor
 Implementarea si configurarea sistemelor de asigurarea confidentialitatii si integritatii
 Dezactivarea tastei “Print Screen”
 Instruirea angajatilor cu drept de procesare date cu caracter personal privind protectia si securitate lor
Masuri Organizatorice
 Coduri de conduita si certificari (ISO 27001)
 Reguli corporatiste obligatorii

9/3/2018 6
PERSOANA VIZATA;
“identificata sau identificabila’
Persoana identificabila – persoana care nu este clar delimitat de alte persoane dintr-un grup, insa identificarea
este posibila;
• in mod direct - prin nume, CNP, numar de la masina, numar de telefon etc.
• in mod indirect - in special prin combinarea mai multor elemente de identificare (fie ca sunt tinute de
operatorul de date sau nu)

OPERATOR DE DATE;
Este coordonatorul activitatii prelucrarii de date si este principalul responsabil pentru indeplinirea
obligatiilor impuse de legislatie, precum si respectarea drepturilor persoanelor vizate ce decurg din
efectuarea operatiunilor de prelucrare de date

PERSOANA IMPUTERNICITA:
Persoana imputernicita de operator –persoana fizica sau juridica, autoritate publica, agentia sau alt organism
care prelucreaza date cu caracter personal in numele operatorului, in baza unui contract sau alt act juridic
incheiat cu acesta (Art.4.pct.8.)
PARTE TERTA:
Persoana fizica sau juridica, autoritate publica, agentie sau alt organism altul decat persoana vizata, operatorul,
persoana imputenicita de operator si persoanele care, sub directa autoritate a operatorului sau a persoanei
imputernicite de operator, sunt autorizate sa prelucreaze date cu caracter personal
Ex: organele de cercetare penala (operator MJ), alte autoritati ale statului (curtea de conturi – operator MF)

9/3/2018 7
PRELUCRAREA DATELOR CU CARACTER PERSONAL IN BAZA UNOR TEMEIURI
JURIDICE:
1.CONSIMTAMANTUL- orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate
prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa
fie prelucrate (Art.14,pct(11)GDPR.
Consimtamantul scris poate fi:
- In format hartie ,prin semnatura olografa
- In forma electronica (online)
- Prin semnatura electronica
2.EXECUTAREA UNUI CONTRACT – avem doua cazuri ce justifica prelucrarea si anume:
1.Cazul in care este necesara pentru executarea unui contract la care persoana vizata este parte.
2.Cazul in care prelucrarea este necesara anterior incheierii unui contract-in cadrul activitatilor precontractuale (ex. redactarea
draftului de contact, negocierea unor clauze, recrutare etc.)
3.INDEPLINIREA UNOR OBLIGATII LEGALE- Obligatia trebuie sa fie impusa de lege, sa fie ferma si sa nu confere
operatorului de date un drept de optiune intre a indeplini sau nu obligatia (ex.HR – in temeiul art.27.alin(1) si (2) din Codul
Muncii –” (1) O persoana poate fi angajata in munca numai in baza unui certificat medical, care constata faptul ca cel in
cauza este apt pentru prestarea acelei munci. (2) Nerespectarea prevederilor alin(1) atrage nulitatea contractului individual de
munca”.
4.INTERESUL LEGITIM – cerinta ca un interes sa fie considerat legitim -potrivit opiniei nr.63/2014:
a) sa fie legal;
b) sa fie definit in mod suficient de clar in asa fel incat sa permita efetuarea testului “echilibrului de interese” (balancing of
interest test) intre interesul legitim al operatorului de date si drepturile si interesele fundamentale ale persoanei vizate.
c) sa reprezinte un interes real si prezent.

9/3/2018 8
DREPTURILE PERSOANEI VIZATE

1) Dreptul la informare – informarea se face anterior initierii operatiunilor de prelucrare de date( in

orcare dintre formele sale,respectiv colectare,stocare etc.)
Informarea trebuie sa cuprinda:
a) identitatea si datele de contact ale operatorului sau a reprezentantului acestuia
b) scopul prelucrarii si temeiul juridic al prelucrarii,
c) destinatarii sau categoriile de destinatari ai datelor cu caracter personal,
d) perioada pentru care vor fi stocate si criteriile utilizate pentru a stabili aceasta perioada.
2) Dreptul de acces la datele cu caracter personal – cu urmatoarele componente;
a) posibilitatea persoanei vizate de a obtine o confirmare din partea operatorului referitor la efectuarea sau nu
a unor operatiuni de prelucrare,
b) posibilitatea persoanei vizate de a obtine de la operator o copie a datelor prelucrate.- art.15 alin.(2)GDPR
3) Dreptul de rectificare si stergere a datelor –
Dreptul de rectificare -confera persoanei vizate posibilitatea de a rectifica/obtine completarea datelorsale
cu caracter personal,operatiuni realizate cu ajutorul operatorului de date.
Dreptul la stergerea datelor – cunoscut si sub denumirea de “dreptul de a fi uitat”,confera persoanei vizate
posibilitatea de a obtine stergerea datelor sale personale.

9/3/2018 9
4) Dreptul la restrictionareea prelucrarii datelor – in ceea ce priveste sistemele automate de evidenta,
asigurarea prelucrarii ar trebui in principiu asigurata prin mijloace tehnice in asa fel incat datele cu caracter
personal sa nu faca obiectul unor operatiuni de prelucrare ulterioara si sa nu mai poata fi schimbate, iar
sistemele ar trebui “sa indice in mod clar” operatiunea de marcare a datelor.

5) Dreptul la portabilitatea datelor – inspirat din sistemele cloud computing- in care se pune accent atat pe
portabilitate cat si pe interoperabilitate
Se poate defini ca: transmiterea datelor direct de la operatorul care le detine catre un alt operator, atunci
cand sunt indeplinite anumite conditii, ca de ex: prelucrarea se bazeaza pe consimtamant sau pe un
contract, respectiv prelucrarea este efectuata prin mijloace informatice.

6) Dreptul de opozitie – posibilitatea persoanei vizate de a se opune prelucrari datelor sale cu caracter
personal, cu urmatoarea exceptie: operatorul de date poate continua totusi prelucrarea doar daca
demonstraza ca are motive legitime si imperioase care justifica prelucrarea (ex exercitarea sau apararea
unui drept in instanta)

7) Dreptul de a nu fi subiect al unei decizii individuale – persoana vizata are “dreptul de a nu face obiectul
unei decizii bazate exclusiv pe prelucrarea automata”.

9/3/2018 10
OBLIGATIILE OPERATORULUI:
Obligatii in relatia cu Clientul
 Informare cu privire la prelucrarea prin imputerniciti;
 Informare cu privire la destinatari (imputerniciti si subcontractori) sau categorii de destinatari.
Obligatii in relatia cu Imputernicitii
 Sa evalueze Imputernicitii inainte de contractare pentru a verifica daca ofera garantii suficiente pentru aplicarea
masurilor astfel incat prelucrarea sa respecte cerintele legale si sa asigure protectia drepturilor Clientilor;
 Sa incheie un contract cu Imputernicitii prin care sa stabileasca:
 Obiectul si durata prelucrarii;
 Natura si scopul prelucrarii;
 Tipul datelor cu caracter personal si categoriile de persoane vizate;
 Obligatiile, drepturile si raspunderea partilor;
 Sa se asigure ca Imputernicitii respecta instructiunile sale si masurile tehnice necesare pentru protectia datelor si
efectuarea prelucrarilor conform legii (audit, inspectii).
Obligatii in relatia cu Subcontractorul
 Sa se asigure ca prevederile contractului dintre Imputernicitul Furnizor si Subcontractor reflecta
aceleasi obligatii privind protectia datelor prevazute in contractul incheiat intre Imputernicitul Furnizor
si Operator

9/3/2018 11
 De a prelucra datele Clientilor pe baza instructiunilor Operatorului;
 De a adopta masuri organizatorice adecvate care sa permita protectia datelor;
 De a adopta masuri de securitate adecvate in vederea asigurarii unui nivel de securitate corespunzator
(inclusiv dar fara a se limita la asigurarea confidentialitatii, integritatii disponibilitatii si rezistentei datelor
si sistemelor de prelucrare a datelor);
 De a nu prelucra datele Clientilor in scopuri personale sau alte scopuri nepermise /neprevazute in Contract;
 De a nu folosi alti subcontractori fara autorizatia prealabila scrisa a Operatorului;
 De a include in contractul cu Subcontractorul obligatii care sa reflecte obligatiile privind protectia datelor
prevazute in contractul incheiat intre Imputernicitul Furnizor si Operator;
 De a numi un numar restrans de persoane autorizate sa prelucreze datele cu caracter personal;
 De a incheia acorduri de confidentialitate cu angajatii care sunt persoane autorizate;

9/3/2018 12
 Informare si consilierea operatorului sau a persoanei imputernicite de operator;
 Monitorizarea respectarii prezentului regulament, inclusiv de alocarea responsabilitatilor si actiunilor de
sensibilizare si de formare a personalului implicat in operatiunile de prelucrare, precum si audituri aferente;
 Furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor si
monitorizarea functionarii acesteia.
 Cooperarea cu autoritatea de supraveghere;
 Asumarea rolului de punct de contact pentru autoritatea de supraveghere,privind aspectele legate de
prelucrare

 Colaborarea cu alte departamente ex. HR, IT, Marketing, Operational, Logistic si transmiterea de catre
acestea catre DPO a oricaror informatii importante din perspectiva protectiei datelor cu caracter personal.

9/3/2018 13
Multumesc!

9/3/2018 14