Documente Academic
Documente Profesional
Documente Cultură
Regulation
Protecția datelor cu caracter
GDPR
1/15/2019 1 www.rogdpr.ro
Conștientizarea schimbării
GDPR impune GDPR – Principii privind protecția datelor cu
nevoia de caracter personal
reconsiderare a
1 Utilizarea datelor personale într-o manieră legitimă si
percepției privind transparentă
prelucrarea datelor 2 Colectarea datelor personale doar in scopul declarat.
cu caracter
personal 3 Asigurarea unei colectări adecvate, relevante si neexcesive.
1/15/2019 www.rogdpr.ro 3
GDPR – extindere semnificativa a cadrului legal
1/15/2019 www.rogdpr.ro 5
Date cu caracter personal
• Categorii de persoane
• Date personal ale clientelor, furnizorilor, angajaților proprii (viitori, foști, existenți) etc.
1/15/2019 www.rogdpr.ro 6
Categorii de informații ce fac obiectul protecției
1/15/2019 www.rogdpr.ro 7
Categoriile speciale de date cu caracter personal
1/15/2019 www.rogdpr.ro 8
• date privind sănătatea fizică sau mentală a unei persoane – inclusiv prestarea de
servicii de asistență medicală care dezvăluie informații despre starea de sănătate
a acesteia
• date privind viața sexuală sau orientarea sexuală a unei persoane
• date privind sancțiuni disciplinare ale persoanei la locul de muncă
• date privind săvârșirea de contravenții sau infracțiuni
• date privind condamnări penale sau măsuri de siguranță
• date privind cazierul judiciar
1/15/2019 www.rogdpr.ro 9
Noile drepturi ale persoanelor vizate
Informare şi
Rectificare Ştergere
acces
Restricţionare Portabilitate
Dreptul la Informare
• măsuri adecvate ale operatorilor în vederea punerii la dispoziția persoanei vizate a tuturor
informațiilor într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un
limbaj clar şi simple
• se referă si la momentul anterior prelucrării datelor și în timpul prelucrării precum și după
ce a încetat prelucrarea
• termen rezonabil de răspuns la cererile persoanei vizate – 1 lună
• gratuitatea informațiilor si soluționării cererilor neexcesive
• se oferă date privind operatorul sau persoana împuternicită de acesta
• se precizează temeiul prelucrării, durata, măsurile de siguranță pe care le-a luat operatorul
în vederea protecției datelor cu caracter personal – Exemplu: procedură Autoritatea
Națională Pentru Protecția Consumatorilor afișată pe site-ul public al acesteia
http://www.anpc.gov.ro/anpcftp/interes_public/procedura_date_caracter_personal_1503
20.pdf
1/15/2019 www.rogdpr.ro 11
Dreptul de acces
Persoana vizată are dreptul de acces cel puțin la accesarea următoarelor informații:
• scopurile prelucrării;
• categoriile de date cu caracter personal vizate;
• destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate,
în special destinatari din țări terțe sau organizații internaționale;
• acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă
acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
• existenta dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea
prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
• dreptul de a depune o plângere în fata unei autorități de supraveghere;
• în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind
sursa acestora;
• existenta unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și
(4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată şi privind importanta și
consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.
1/15/2019 www.rogdpr.ro 12
Dreptul la rectificarea și la ștergerea datelor
• persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate,
rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama
de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a
obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin
furnizarea unei declarații suplimentare
• persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu
caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are
obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul
în care se aplică unul dintre următoarele motive:
a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor
pentru care au fost colectate sau prelucrate;
b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în
conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera
(a), și nu există niciun alt temei juridic pentru prelucrarea;
1/15/2019 www.rogdpr.ro 13
Dreptul la rectificarea și la ștergerea datelor
c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) şi nu există motive
legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în
temeiul articolului 21 alineatul (2);
d) datele cu caracter personal au fost prelucrate ilegal;
e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine
operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află
operatorul;
f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății
informaționale menționate la articolul 8 alineatul (1).
În cazul în care operatorul a făcut publice datele cu caracter personal și este obligat, în temeiul
alineatului (1), să le șteargă, operatorul, ținând seama de tehnologia disponibilă şi de costul
implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care
prelucrează datele cu caracter personal că persoana vizată a solicitat ștergerea de către acești
operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date
cu caracter personal.
1/15/2019 www.rogdpr.ro 14
Dreptul la restricționarea prelucrării
Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în cazul în
care se aplică unul din următoarele cazuri:
• persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să
verifice exactitatea datelor;
• prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal,
solicitând în schimb restricționarea utilizării lor;
• operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana
vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau
• persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1), pentru intervalul de
timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale
persoanei vizate.
Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice
rectificare sau ștergere a datelor cu caracter personal sau restricționare a prelucrării efectuate în
conformitate cu articolul 16, articolul 17 alineatul (1) și articolul 18, cu excepția cazului în care acest
lucru se dovedește imposibil sau presupune eforturi disproporționate. Operatorul informează
persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.
1/15/2019 www.rogdpr.ro 15
Dreptul la portabilitatea datelor
Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe
care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care
poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără
obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter
personal, în cazul în care:
• prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera
(a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului
6 alineatul (1) litera (b); și
• prelucrarea este efectuată prin mijloace automate.
În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1),
persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la
un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.
1/15/2019 www.rogdpr.ro 16
Dreptul la opoziție şi procesul decizional individual automatizat
În orice moment, persoana vizată are dreptul de a se opune, din motive legate de
situația particulară în care se află, prelucrării datelor cu caracter personal care o
privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai
prelucrează datele cu caracter personal, cu excepția cazului în care operatorul
demonstrează că are motive legitime și imperioase care justifică prelucrarea şi care
prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că
scopul este constatarea, exercitarea sau apărarea unui drept în instanță
• Persoana vizată poate formula o cerere pe care o poate adresa operatorului de
date sau împuternicitului acestuia
• Operatorul de date va avea o procedură specifică de soluționare a cererii
Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe
prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care
privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
1/15/2019 www.rogdpr.ro 17
Dreptul de a face plângere la autoritatea de supraveghere și de se adresa justiției
Orice persoană vizată are dreptul de a se adresa cu o plângere la Autoritatea
Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal care va fi
soluționată printr-o decizie ce va fi comunicată ambelor părți.
Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare
persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă
împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de
supraveghere care o vizează.
Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile,
inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul
articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac
judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în
temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale
cu caracter personal fără a se respecta prezentul regulament.
1/15/2019 www.rogdpr.ro 18
Dreptul la despăgubiri și răspunderea
• Orice persoană care a suferit un prejudiciu materiale sau moral ca urmare a unei
încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator
sau de la persoana împuternicită de operator pentru prejudiciul suferit.
• Orice operator implicat în operațiunile de prelucrare este răspunzător pentru
prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul
regulament. Persoana împuternicită de operator este răspunzătoare pentru
prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligațiile din
prezentul regulament care revin în mod specific persoanelor împuternicite de
operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale
operatorului.
• Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere
în temeiul alineatului (2) dacă dovedește că nu este răspunzător (răspunzătoare) în
niciun fel pentru evenimentul care a cauzat prejudiciul.
1/15/2019 www.rogdpr.ro 19
Temeiuri pentru prelucrarea datelor cu caracter
personal și scopuri (legalitatea prelucrării) – art. 6
GDPR
Necesitatea
Consimtământul prelucrării în Pentru a proteja În scopul
Prelucrarea este
persoanei vizate vederea interesele vitale intereselor
necesară pentru
pentru unul sau îndeplinirii unei ale persoanei Interes public legitime urmărite
executarea unui
mai multe scopuri obligații legale vizate sau ale altei de operator sau de
contract
specifice care îi revine persoane fizice o parte terță
operatorului
1/15/2019 www.rogdpr.ro 20
Consimțământul – art. 7 GDPR
1/15/2019 www.rogdpr.ro 21
Consimțământul trebuie sa fie neechivoc (GDPR: “printr-o
declarație sau printr-o acțiune fără echivoc”)
Exemple de actiuni:
1) bifarea unei căsuțe când persoana vizitează o pagină web
3) orice altă declarație sau acțiune care indică în mod clar într-un context dat acceptarea de către
persoana vizată a prelucrării propuse.
4) furnizarea adresei de e-mail în contextul creării unui cont pe o platformă on-line într-o căsuță în
dreptul căreia este indicat faptul că se vor trimite mesaje privind activitatea societății sau privind
campaniile promoționale
1/15/2019 www.rogdpr.ro 22
Consimțământul trebuie să fie liber (GDPR: “manifestare de
voință liberă”)
Potrivit GDPR consimțământul NU va fi liber exprimat dacă:
Prelucrarea este legală doar dacă copilul are cel puțin vârsta de 16 ani
Pentru copiii mai mici de 16 ani: consimțământul pentru prelucrare este acordat de părinte
„consimțământ informat” - notele de informare care stau la baza consimțământului trebuie să fie
exprimate într-un limbaj simplu și clar, astfel încât minorii să îl poată înțelege cu ușurință.
Exigențele în ceea ce privește simplitatea și accesibilitatea limbajului sunt și mai stricte
operatorii vor trebui să depună eforturi rezonabile (pe baza tehnologiilor disponibile) pentru a
verifica dacă părintele / tutorele și-a dat acordul sau a autorizat consimțământul minorului.
1/15/2019 www.rogdpr.ro 24
Studiu de caz
• ORDIN nr. 2152 din 14 iulie 2017 privind publicarea în Monitorul Oficial al României,
Partea I, a Protocolului de colaborare în vederea schimbului de informații dintre
Agenția Națională de Administrare Fiscală şi Institutul National de Cercetare-
Dezvoltare în Informatică - ICI București
• ANEXĂ: PROTOCOL DE COLABORARE pentru schimb de date cu caracter personal
Art. 1: Scopul protocolului
• În conformitate cu atribuțiile specifice ale ICI - București şi cele ale A.N.A.F., scopul
Protocolului îl reprezintă asigurarea cadrului de colaborare în vederea punerii la
dispoziția A.N.A.F. a datelor necesare, în baza unei motivări temeinic justificate,
pentru îndeplinirea unor măsuri de interes public naţional în scopul prevenirii şi
combaterii fenomenelor de evaziune, fraudă fiscală şi vamală, precum şi al
creşterii gradului de colectare a impozitelor, taxelor şi contribuţiilor sociale în
România.
1/15/2019 www.rogdpr.ro 25
“Art. 2: Obiectul protocolului
• Protocolul are ca obiect colaborarea părților în vederea transmiterii datelor de
identificare, așa cum sunt definite de Codul de procedură fiscală, raportat la
datele de identificare (nume, prenume, adresă de domiciliu, CNP) din baza de
date a ICI - București ale deţinătorilor dreptului de utilizare a domeniilor cu
extensia "ro" către A.N.A.F.”
“Art. 4: Modalități de realizare a schimbului de informaţii
• 4.1.Comunicarea informaţiilor între părţi se va realiza Operativ cu asigurarea
securităţii transmiterii datelor printr-o conexiune securizată, precum şi potrivit
prevederilor procedurilor Registrului RoTLD.
• 4.2.Orice modificare adusă de una dintre părţi la formatul şi structura
informaţiilor ce fac obiectul schimbului va fi notificată, în termen de 10 zile
calendaristice, celeilalte părţi.”
1/15/2019 www.rogdpr.ro 26
“Art. 5: Protecția datelor cu caracter personal
• 5.1.Prelucrarea datelor ce constituie obiectul prezentului protocol intră sub
incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea
datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi
completările ulterioare.
• 5.2.Datele cu caracter personal vor fi utilizate exclusiv pentru realizarea scopului
prevăzut la art. 1 din prezentul protocol, cu respectarea legislaţiei în vigoare.
• 5.3.Prelucrarea datelor se face de către cele două părţi, cu respectarea dreptului
persoanei vizate, de informare, de acces, de intervenţie asupra datelor, de opoziţie,
de a nu fi supus unei decizii individuale şi de a se adresa justiţiei.
• 5.4.Prelucrarea datelor se face de ambele părţi cu respectarea confidenţialităţii şi
securităţii datelor; în acest sens, părţile se obligă să aplice măsurile tehnice şi
organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva
distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului
neautorizat, precum şi împotriva oricărei altei forme de prelucrare ilegală.
Respectivele măsuri trebuie să asigure un nivel de securitate adecvat în ceea ce
priveşte riscurile pe care le reprezintă prelucrarea, raportat la natura datelor care
trebuie protejate şi la tehnologia utilizată în procesul de prelucrare.
1/15/2019 www.rogdpr.ro 27
• 5.5.În situaţia în care părţile constată existenţa unui incident cu privire la securitatea
datelor, se vor informa reciproc şi vor suspenda imediat orice transmisie de date
până la remedierea şi reglementarea situaţiei apărute, după caz.
• 5.6.În vederea asigurării respectării prevederilor Legii nr. 677/2001 pentru protecţia
persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a
acestor date, cu modificările şi completările ulterioare, părţile vor publica prezentul
protocol pe site-ul propriu, după aprobarea publicării acestuia în Monitorul Oficial al
României, Partea I, prin ordin al preşedintelui A.N.A.F.”
“Art. 6: Dispoziţii finale
• 6.6.Începând cu data de 25 mai 2018, când va intra în vigoare, de fapt şi de drept,
Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27
aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea
datelor cu caracter personal şi privind libera circulaţie a acestor date, prezentele
părţi contractante se obligă să modifice şi/sau să completeze, după caz, prezentul
protocol în conformitate cu prevederile legale europene şi naţionale aplicabile.”
1/15/2019 www.rogdpr.ro 28
OBSERVAȚII
• La încheierea unui contract cu ICI RoTLD persoana vizată trebuie să fie informată cu
privire la faptul că Institutul va prelucra datele sale cu caracter personal, că la
cererea ANAF, datele sale vor fi transmise către aceasta din urmă și să iși exprime
consimțământul în mod neechivoc
• Atunci când se evaluează “libertatea” consimțământului se verifică dacă executarea
unui contract este condiționată sau nu de consimțământul cu privire la prelucrarea
datelor cu caracter personal care NU este necesară pentru executarea acestui
contract
• Din perspectiva GDPR consimțământul persoanei vizate nu este liber exprimat, având
în vedere faptul că persoana vizată nu poate încheia un contract cu RoTLD fără să
agreeze în prealabil transmiterea datelor sale către ANAF
• Dreptul de folosință asupra unui nume de domeniu, contra cost, nu ar trebui să fie
condiționat de această clauză – dezechilibru evident – încalcare GDPR
1/15/2019 www.rogdpr.ro 29
Responsabilitatea operatorului
1/15/2019 www.rogdpr.ro 30
Persoana împuternicită (Art 28 GDPR)
1/15/2019 www.rogdpr.ro 31
GDPR – un proces continuu
• Mapare date cu caracter personal
Do
• Transparenta,
• Legal compliance
• Masuri tehnice si organizatorice
• Post implementare
1/15/2019 www.rogdpr.ro 32
Măsuri tehnice si organizatorice
• Organizatoric = Administrativ
• Proceduri
• Politici
• Regulamente
• Instrucțiuni etc.
• Detectare
• Corectare
• Prevenire
1/15/2019 www.rogdpr.ro 34
Managementul riscului
• Managementul riscului
• Cantitativ
• Calitativ
• Este un principiu care promovează respectarea vieții private și protecția datelor încă de la început
prin adaptare la domeniul de aplicare, contextul și scopul prelucrării
• GDPR încurajează organizațiile să se asigure că protecția vieții private și a datelor reprezintă un
element-cheie în primele etape ale oricărui proiect și apoi pe tot parcursul ciclului său de viață
• Folosește o abordare caracterizată prin măsuri proactive mai degrabă decât reactive
1/15/2019 www.rogdpr.ro 36
Principii Privacy by Design and by Default
Proactiv vs. Reactiv
• Anticiparea incidentelor de securitate înainte ca acestea sa se petreacă.
Default setting
• Incorporare cerinţe de securitate ca şi funcţionalităţi standard.
Vizibilitate şi transparenţă
• “Încrederea este bună, controlul este mai bun”.
1/15/2019 www.rogdpr.ro 37
Responsabilul cu protecția datelor personale (DPO)
Atribuții, obligații, drepturi și limitări profesionale.
1/15/2019 www.rogdpr.ro 38
Date Protection Officer?
• Când se impune angajarea unui DPO?
1/15/2019 www.rogdpr.ro 39
Atribuții și obligații (Fișa de post)
• este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecția datelor cu
caracter personal
• poate fi contactat în mod direct de către persoanele vizate cu privire la toate chestiunile legate de
prelucrarea datelor lor şi la exercitarea drepturilor lor în temeiul GDPR
• are obligația de a respecta secretul sau confidențialitatea în ceea ce privește îndeplinirea
sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern
• se ocupă de informarea şi consilierea operatorului, sau a persoanei împuternicite de operator,
precum şi a angajaților care se ocupă de prelucrare cu privire la obligaţiile care le revin în temeiul
GDPR şi al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecţia datelor
• monitorizează respectarea GDPR și alte dispoziții de drept intern sau dreptul Uniunii
• contribuie la redactarea politicilor de securitate privind protecția datelor la nivel de instituție
precum și a procedurilor interne necesare conformării la GDPR
• realizează auditul prelucrării datelor cu caracter personal
1/15/2019 www.rogdpr.ro 40
• monitorizează permanent respectarea politicilor interne ale operatorului sau ale persoanei
împuternicite
• se asigură de alocarea responsabilităților de formare profesională
• furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi
monitorizarea funcţionării acesteia
• cooperarea cu autoritatea de supraveghere
• asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de
prelucrare, inclusiv consultarea prealabilă menţionată la articolul 36, precum şi, dacă este cazul,
consultarea cu privire la orice altă chestiune
• în îndeplinirea sarcinilor sale, responsabilul cu protecţia datelor ţine seama în mod corespunzător de
riscul asociat operaţiunilor de prelucrare, luând în considerare natura, domeniul de aplicare,
contextul şi scopurile prelucrării
• DPO este desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în
dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini
sarcinile prevăzute de GDPR
1/15/2019 www.rogdpr.ro 41
Drepturi responsabilului cu protecția datelor
1/15/2019 www.rogdpr.ro 42
Limitări profesionale
• responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții.
Operatorul sau persoana împuternicită de operator se asigură că niciuna
dintre aceste sarcini și atribuții nu generează un conflict de interese
• în cazul dublei funcții se vor delimita clar activitățile ce țin de funcția
“principală” și cea de DPO
• se va stabili la nivel de instituție care sunt funcțiile incompatibile cu
calitatea de DPO pentru a se evita un eventual conflict de interese
• de principiu nu poate ocupa o funcție de decizie (Ex. Șef departament IT
întrucât ar trebui să se monitorizeze pe el însuși; șef departament financiar
întrucât ar putea fi influențat în a lua o decizie de a finanța sau nu măsurile
de conformare la GDPR)
• Ok - consilierul juridic putând reprezenta instituția și în fața instanței în
cazul unui litigiu privind protecția datelor personale
1/15/2019 www.rogdpr.ro 43
Sumar implementare GDPR
1. Cartografiere / inventariere date cu caracter personal
2. Stabilirea scopurilor de prelucrare
3. Stabilirea temeiului legal
4. Obținerea consimțământului
5. Exercitarea drepturilor persoanelor vizate
6. Revizuirea contractelor existente
7. Evidenta activităților de prelucrare
8. Securizarea datelor cu caracter personal
9. Procedura de notificare autoritate
10. Evaluarea impactului asupra protecției datelor cu caracter
personal
11. DPO
1/15/2019 www.rogdpr.ro 44
Documente și proceduri pe care trebuie să le pregatească un
operator de date cu caracter personal – recomandare
nelimitativă
1. Politica de securitate IT (uz intern)
2. Politica de confidențialitate (uz extern) - principii ale companiei
privind protecția datelor, existența unor politici interne de
confidențialitate și a unei politici de securitate, drepturile persoanelor
vizate etc. (un cadrul general)
3. Acordul de prelucrare a datelor cu caracter personal (se
particularizează, în principiu, anexa unde sunt specificate doar
informații concrete-categorii de date, persoane împuternicite, etc);
4. Matricea de riscuri (completată conform anexei A);
5. Registrul de prelucrare (cartografierea pentru autoritate);
1/15/2019 www.rogdpr.ro 45
6. Politica de confidențialitate (uz intern) – obligații generale ale
angajaților conform procedurilor (anexele la această politică),
răspunderea acestora:
• Procedura pentru Evaluarea Riscului asupra Protecției Datelor (uz
intern)
• Procedura pentru informarea persoanelor vizate (uz intern)
• Procedura pentru retenția, actualizarea, restricționarea și ștergerea
datelor (uz intern)
• Procedura în cazul unei solicitări de Informații de la Persoana Vizată
(uz intern);
• Procedura în cazul constatării unei breșe de securitate (uz intern) etc.
1/15/2019 www.rogdpr.ro 46
Managementul breșelor de securitate.
1/15/2019 www.rogdpr.ro 48
Conținutul notificării
• descrie caracterul încălcării securității datelor cu caracter personal, inclusiv,
acolo unde este posibil, categoriile şi numărul aproximativ al persoanelor
vizate în cauză, precum şi categoriile şi numărul aproximativ al înregistrărilor
de date cu caracter personal în cauză;
• comunică numele şi datele de contact ale responsabilului cu protecția
datelor sau un alt punct de contact de unde se pot obține mai multe
informații;
• descrie consecințele probabile ale încălcării securității datelor cu caracter
personal;
• descrie măsurile luate sau propuse spre a fi luate de operator pentru a
remedia problema încălcării securității datelor cu caracter personal, inclusiv,
după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
1/15/2019 www.rogdpr.ro 49
Informarea persoanelor vizate
• în cazul în care încălcarea securității datelor cu caracter personal este
susceptibilă să genereze un risc ridicat pentru drepturile şi libertățile
persoanelor fizice, operatorul informează persoana vizată fără întârzieri
nejustificate cu privire la această încălcare.
• în informarea transmisă persoanei vizate se include o descriere într-un limbaj
clar şi simplu a caracterului încălcării securității datelor cu caracter personal,
precum şi cel puțin numele şi datele de contact ale responsabilului cu
protecția datelor sau un alt punct de contact de unde se pot obține mai multe
informații și se descriu consecințele probabile ale încălcării securității datelor
cu caracter personal;
N.B. în cazul în care operatorul nu a comunicat deja încălcarea securității
datelor cu caracter personal către persoana vizată, autoritatea de
supraveghere, după ce a luat în considerare probabilitatea ca încălcarea
securității datelor cu caracter personal să genereze un risc ridicat, poate să îi
solicite acestuia să facă acest lucru.
1/15/2019 www.rogdpr.ro 50
Transferuri interne și internaționale ale datelor cu
caracter personal
Principiul general al transferurilor
Orice date cu caracter personal care fac obiectul prelucrării sau care
urmează a fi prelucrate după ce sunt transferate vor respecta condițiile GDPR
în integralitate și se va asigura protecția datelor personale într-un mod cat
mai adecvat prin masuri speciale – procedura transfer intern de date
Transferul într-o ţară terță sau către o organizație internațională poate
fi făcut doar dacă, sub rezerva celorlalte dispoziții ale GDPR, se iau măsuri
inclusiv în ceea ce privește transferurile ulterioare de date cu caracter
personal din țară terță sau de la organizația internațională către o altă ţară
terţă sau către o altă organizație internațională.
Toate procedurile ce urmează a fi avute în vedere au rolul de a da un
veritabil efect dispozițiilor GDPR si de a se asigura nivelul de protecție a
persoanelor fizice garantat prin GDPR
1/15/2019 www.rogdpr.ro 51
Operatorul sau persoana împuternicită de operator poate transfera date cu
caracter personal către o ţară terţă sau o organizaţie internaţională numai dacă
operatorul sau persoana împuternicită de operator a oferit garanţii adecvate şi cu
condiţia să existe drepturi opozabile şi căi de atac eficiente pentru persoanele vizate.
• Garanţiile adecvate pot fi furnizate fără să fie nevoie de nicio autorizaţie specifică din
partea unei autorităţi de supraveghere, prin:
a) un instrument obligatoriu din punct de vedere juridic şi executoriu între autorităţile
sau organismele publice;
b) “reguli corporatiste obligatorii” în conformitate cu articolul 47 GDPR - teritorial;
d) clauze standard de protecţie a datelor adoptate de o autoritate de supraveghere şi
aprobate de Comisie în conformitate cu procedura de examinare menţionată de
GDPR;
e) un cod de conduită aprobat în conformitate cu articolul 40 GDPR, însoţit de un
angajament obligatoriu şi executoriu din partea operatorului sau a persoanei
împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire
la drepturile persoanelor vizate; sau
f) un mecanism de certificare aprobat în conformitate cu articolul 42 GDPR, însoţit de
un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei
împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire
la drepturile persoanelor vizate.
1/15/2019 www.rogdpr.ro 52
Prelucrarea CNP-ului (art 87 GDPR)
ANSPDCP: DECIZIE nr. 132 din 20 decembrie 2011
Conform GDPR numărul de identificare național sau orice alt identificator cu
aplicabilitate generală este folosit numai în temeiul unor garanții corespunzătoare
pentru drepturile şi libertățile persoanei vizate și lasă libertatea fiecărui stat de a
reglementa intern condiții specifice.
INTERN
“Art. 6 Colectarea şi prelucrarea datelor prevăzute la art. 1, inclusiv dezvăluirea
acestora, prin efectuarea şi reținerea de copii de pe cartea de identitate sau de pe
documente care le conțin, sunt interzise, cu excepția situațiilor prevăzute la art. 2.”
Art. 2 Prelucrarea datelor prevăzute la art. 1, inclusiv dezvăluirea acestora către terți,
se face numai ….:
a) persoana vizată și-a dat în mod expres consimțământul; sau
b) prelucrarea este prevăzută în mod expres de o dispoziție legală; sau
c) în alte cazuri, cu avizul Autorităţii Naţionale de Supraveghere a Prelucrării Datelor
cu Caracter Personal şi numai cu condiția instituirii unor garanții adecvate pentru
respectarea drepturilor persoanelor vizate.”
1/15/2019 www.rogdpr.ro 53
STUDII DE CAZ
• ANAF - GHID DE COMPLETARE A DECLARAȚIEI INFORMATIVE 394:
“Referitor la CNP/NIF/Adresa furnizor/beneficiar, persoană fizică -
completarea CNP/NIF este obligatorie în situația în care persoana
impozabilă îl colectează de la persoana fizică din facturi, contracte (de
prestări servicii, de furnizare utilități, vânzări de bunuri mobile și
imobile, etc); în lipsa acestuia, se vor declara numele, prenumele și
adresa persoanei fizice.”
• CODUL FISCAL– art. 319 alin 20:
“Facturarea” - menționează tot ce este obligatoriu a fi menționat într-o
factură (nu apare menționat CNP-ul)
1/15/2019 www.rogdpr.ro 54
Politica folosirii camerelor de luat vederi
• Decizia ANSPDCP nr. 52/2012 privind prelucrarea datelor cu caracter
personal prin utilizarea mijloacelor de supraveghere video
• Ghid privind prelucrările de date cu caracter personal efectuate prin
intermediul sistemelor de supraveghere instalate în cadrul asociațiilor
de proprietari
“Este interzisă utilizarea mijloacelor de supraveghere video ascunse”
“Prelucrarea datelor cu caracter personal prin utilizarea sistemelor de
supraveghere video se efectuează cu consimțământul expres și neechivoc
al persoanei vizate”
1/15/2019 www.rogdpr.ro 55
Art 8 din Decizia ANSPDCP Nr. 52/2012
“(1) Prelucrarea datelor cu caracter personal ale angajaților prin mijloace de
supraveghere video este permisă pentru îndeplinirea unor obligații legale exprese
sau în temeiul unui interes legitim, cu respectarea drepturilor persoanelor
angajate, în special a informării prealabile a acestora.
(2) În situația în care nu sunt aplicabile prevederile alin. (1), prelucrarea datelor cu
caracter personal ale angajaților prin mijloace de supraveghere video nu se poate
efectua decât pe baza consimțământului expres şi liber exprimat al acestora, cu
respectarea drepturilor persoanelor angajate, în special a informării prealabile a
acestora.
(3) Nu este permisă prelucrarea datelor cu caracter personal ale angajaților prin
mijloace de supraveghere video în interiorul birourilor unde aceștia își desfășoară
activitatea la locul de muncă, cu excepția situațiilor prevăzute expres de lege sau a
avizului Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter
Personal.”
1/15/2019 www.rogdpr.ro 56
Curtea Europeană a Drepturilor Omului
CASE OF LÓPEZ RIBALDA AND OTHERS v. SPAIN –
1874/13 ȘI 8567/13
HOTĂRÂREA DIN 09.01.2018
• obligația de informare prealabilă, explicită, precisă și lipsită de
ambiguitate a celor vizați despre existența și caracteristicile
particulare ale unui sistem care colectează date cu caracter personal.
• Curtea a hotărât că a avut loc o încălcarea a art. 8 din CEDO, respectiv
dreptul la respectarea vieții private și de familie
• CEDO nu a declarat că supravegherea secretă a angajaților este
interzisă în mod absolut. În situații excepționale, aceasta ar putea fi
justificată. Trebuie, luate în calcul două principii:
transparența și proporționalitatea.
1/15/2019 www.rogdpr.ro 57
Curtea Europeană a Drepturilor Omului
Cauza Köpke v. Germania Decizia din 05.10.2010
1/15/2019 www.rogdpr.ro 58
Controlul și sancțiunile aplicabile potrivit GDPR
1/15/2019 www.rogdpr.ro 59
Competențe corective
1/15/2019 www.rogdpr.ro 60
ANSPDCP
1/15/2019 www.rogdpr.ro 61
AMENZI – Art. 83 GDPR
• “(4)Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul 2, se aplică amenzi
administrative de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra de
afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior […]
a) obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu articolele 8, 11,
25-39, 42 şi 43”
• (5) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul 2, se aplică amenzi
administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de
afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior […]
a) principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu
articolele 5, 6, 7 şi 9;
b) drepturile persoanelor vizate în conformitate cu articolele 12-22;
c) transferurile de date cu caracter personal către un destinatar dintr-o ţară terță
d) orice obligații în temeiul legislației naționale adoptate în temeiul capitolului IX; e)nerespectarea unui
ordin sau a unei limitări temporare sau definitive asupra prelucrării, sau a suspendării fluxurilor de date,
emisă de către autoritatea de supraveghere.
e) nerespectarea unui ordin sau a unei limitări temporare
1/15/2019 www.rogdpr.ro 62
Asociația pentru Bune Practici GDPR
www.rogdpr.ro
1/15/2019 www.rogdpr.ro 63