General Data Protection

Regulation
Protecția datelor cu caracter

GDPR

1/15/2019 1 www.rogdpr.ro
Conștientizarea schimbării
GDPR impune GDPR – Principii privind protecția datelor cu
nevoia de caracter personal
reconsiderare a
1 Utilizarea datelor personale într-o manieră legitimă si
percepției privind transparentă
prelucrarea datelor 2 Colectarea datelor personale doar in scopul declarat.
cu caracter
personal 3 Asigurarea unei colectări adecvate, relevante si neexcesive.

4 Actualizarea informațiilor cu caracter personal.

5 Păstrarea informațiilor cu caracter personal doar pentru o
durată de timp adecvată scopului colectării.
6 Securizarea datelor cu caracter personal.
7 Transferarea informației in afara Uniunii Europene doar in tari
care pot garanta un nivel adecvat din punct de vedere al
protecției datelor cu caracter personal.
1/15/2019 www.rogdpr.ro 2
Legislație relevantă

1. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția

persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date
2. Ghid orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat
operatorilor emis de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter
Personal (ANSPDCP)
3. Decizia ANSPDCP nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea
mijloacelor de supraveghere video (M.Of. nr. 389 din 11.06.2012)
4. ANSPDCP: Ghidul “Responsabilul cu protecția datelor (DPO)”
5. ANSPDCP: DECIZIE nr. 132 din 20.12.2011 privind condițiile prelucrării codului numeric
personal şi a altor date cu caracter personal având o funcție de identificare de aplicabilitate
general
6. Directiva (UE) 2016/680 referitoare la protecția datelor personale în cadrul activităților
specifice desfășurate de autoritățile de aplicare a legii.

1/15/2019 www.rogdpr.ro 3
GDPR – extindere semnificativa a cadrului legal

Drepturi sporite Extinderea ariei de Impact la nivelul Amenzi / raportare:

pentru cetățenii EU: date personale: peroanelor juridice:
• Informare / acces /
rectificare / • Informații privind • Responsabilitate • Introducerea onor
obiecție / identificarea comună amenzi consistente
portabilitate etc. directă sau • Obligații legale in caz de
• Acordare vs. indirectă. privind asigurarea neconformitate
retragere consens • Date protecției datelor • Drepturi sporite
• Acord privind comportamentale, • Crearea unei noi pentru autoritatea
prelucrarea derivate , poziții in cadrul națională
automată, profilare nestructurate organizației • Raportarea
breșelor de
1/15/2019 www.rogdpr.ro securitate 4
Noutăți GDPR (fata de Directiva 95/46/CE si legea
677/2001)
• accent pe transparența fată de persoana vizată și responsabilizarea operatorului
• numirea DPO-ului (Data Protection Officer)
• obligația operatorului de a face dovada obținerii consimțământului persoanei
vizate
• GDPR consolidează drepturile garantate persoanelor vizate și introduce noi
drepturi: dreptul de a fi uitat și dreptul la portabilitatea datelor
• studii de impact în cazul prelucrării de date care presupune un grad de risc ridicat
• stabilește o serie de garanții specifice pentru a proteja cât mai eficient viața
privată a minorilor, în special în mediul on-line
• introduce sancțiuni severe, până la 10 – 20 milioane de euro sau între 2% și 4%
din cifra de afaceri la nivel internațional, pentru operatorii din sectorul privat.

1/15/2019 www.rogdpr.ro 5
Date cu caracter personal
• Categorii de persoane
• Date personal ale clientelor, furnizorilor, angajaților proprii (viitori, foști, existenți) etc.

• Categorii de date cu caracter personal:

• Date privind aptitudinile si calificările
• Date privind identitatea
• Date privind obiceiurile
• Date privind caracteristicile individuale
• Date privind locația

• Tipuri de date cu caracter personal

• Adresă IP, vârsta, înălțime, scoală absolvita, istoric achiziții, rating acordat, statut
social, salariu, nr. factură, nr. matricol, nr. client, cod client, adresă MAC, setări
browser, ID user, serie laptop, poziție in cadrul companiei etc.

1/15/2019 www.rogdpr.ro 6
Categorii de informații ce fac obiectul protecției

• “date cu caracter personal” – orice informații privind o persoană fizică identificată

sau identificabilă (persoana vizată):
• nume și prenume, numele membrilor de famile, sexul, data și locul nașterii,
cetățenia, cod numeric personal, număr de identificare, seria și numărul cărții de
identitate, date din actele de stare civilă, număr dosar de pensie, etc.
• user, adresa de e-mail, număr de telefon, date de localizare, alți identificatori
online, semnătura, etc.
• profesia, locul de muncă, formarea profesională (diplome de studii), situația
economico - financiară, bunurile deținute, date bancare, etc.

1/15/2019 www.rogdpr.ro 7
Categoriile speciale de date cu caracter personal

• “date genetice” – datele cu caracter personal referitoare la caracteristicile

genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații
unice privind fiziologia sau sănătatea persoanei respective
• “date biometrice” – date cu caracter personal care rezultă în urma unor tehnici de
prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau
comportamentale ale unei persoane fizice, care permit sau confirmă identificarea
unică a persoanei, cum ar fi imaginile faciale sau datele dactiloscopice
• date cu caracter personal care dezvăluie originea rasială sau etnică
• opinii politice, confesiunea religioasă, convingerile filosofice sau de natură
asemănătoare
• apartenența la sindicate sau alte organizații

1/15/2019 www.rogdpr.ro 8
• date privind sănătatea fizică sau mentală a unei persoane – inclusiv prestarea de
servicii de asistență medicală care dezvăluie informații despre starea de sănătate
a acesteia
• date privind viața sexuală sau orientarea sexuală a unei persoane
• date privind sancțiuni disciplinare ale persoanei la locul de muncă
• date privind săvârșirea de contravenții sau infracțiuni
• date privind condamnări penale sau măsuri de siguranță
• date privind cazierul judiciar

1/15/2019 www.rogdpr.ro 9
Noile drepturi ale persoanelor vizate

Informare şi
Rectificare Ştergere
acces

Restricţionare Portabilitate

Ce reprezintă aceste drepturi pentru operatorii

si persoanele împuternicite de aceştia?
1/15/2019 www.rogdpr.ro 10
 Drepturile persoanelor vizate

Dreptul la Informare
• măsuri adecvate ale operatorilor în vederea punerii la dispoziția persoanei vizate a tuturor
informațiilor într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un
limbaj clar şi simple
• se referă si la momentul anterior prelucrării datelor și în timpul prelucrării precum și după
ce a încetat prelucrarea
• termen rezonabil de răspuns la cererile persoanei vizate – 1 lună
• gratuitatea informațiilor si soluționării cererilor neexcesive
• se oferă date privind operatorul sau persoana împuternicită de acesta
• se precizează temeiul prelucrării, durata, măsurile de siguranță pe care le-a luat operatorul
în vederea protecției datelor cu caracter personal – Exemplu: procedură Autoritatea
Națională Pentru Protecția Consumatorilor afișată pe site-ul public al acesteia
http://www.anpc.gov.ro/anpcftp/interes_public/procedura_date_caracter_personal_1503
20.pdf

1/15/2019 www.rogdpr.ro 11
Dreptul de acces

Persoana vizată are dreptul de acces cel puțin la accesarea următoarelor informații:
• scopurile prelucrării;
• categoriile de date cu caracter personal vizate;
• destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate,
în special destinatari din țări terțe sau organizații internaționale;
• acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă
acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
• existenta dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea
prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
• dreptul de a depune o plângere în fata unei autorități de supraveghere;
• în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind
sursa acestora;
• existenta unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și
(4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată şi privind importanta și
consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

1/15/2019 www.rogdpr.ro 12
Dreptul la rectificarea și la ștergerea datelor
• persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate,
rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama
de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a
obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin
furnizarea unei declarații suplimentare
• persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu
caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are
obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul
în care se aplică unul dintre următoarele motive:
a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor
pentru care au fost colectate sau prelucrate;
b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în
conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera
(a), și nu există niciun alt temei juridic pentru prelucrarea;

1/15/2019 www.rogdpr.ro 13
Dreptul la rectificarea și la ștergerea datelor
c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) şi nu există motive
legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în
temeiul articolului 21 alineatul (2);
d) datele cu caracter personal au fost prelucrate ilegal;
e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine
operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află
operatorul;
f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății
informaționale menționate la articolul 8 alineatul (1).
În cazul în care operatorul a făcut publice datele cu caracter personal și este obligat, în temeiul
alineatului (1), să le șteargă, operatorul, ținând seama de tehnologia disponibilă şi de costul
implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care
prelucrează datele cu caracter personal că persoana vizată a solicitat ștergerea de către acești
operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date
cu caracter personal.

1/15/2019 www.rogdpr.ro 14
Dreptul la restricționarea prelucrării
Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în cazul în
care se aplică unul din următoarele cazuri:
• persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să
verifice exactitatea datelor;
• prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal,
solicitând în schimb restricționarea utilizării lor;
• operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar persoana
vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau
• persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1), pentru intervalul de
timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale
persoanei vizate.
Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice
rectificare sau ștergere a datelor cu caracter personal sau restricționare a prelucrării efectuate în
conformitate cu articolul 16, articolul 17 alineatul (1) și articolul 18, cu excepția cazului în care acest
lucru se dovedește imposibil sau presupune eforturi disproporționate. Operatorul informează
persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.

1/15/2019 www.rogdpr.ro 15
Dreptul la portabilitatea datelor
Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe
care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care
poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără
obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter
personal, în cazul în care:
• prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera
(a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului
6 alineatul (1) litera (b); și
• prelucrarea este efectuată prin mijloace automate.
În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1),
persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la
un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

1/15/2019 www.rogdpr.ro 16
Dreptul la opoziție şi procesul decizional individual automatizat
În orice moment, persoana vizată are dreptul de a se opune, din motive legate de
situația particulară în care se află, prelucrării datelor cu caracter personal care o
privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai
prelucrează datele cu caracter personal, cu excepția cazului în care operatorul
demonstrează că are motive legitime și imperioase care justifică prelucrarea şi care
prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că
scopul este constatarea, exercitarea sau apărarea unui drept în instanță
• Persoana vizată poate formula o cerere pe care o poate adresa operatorului de
date sau împuternicitului acestuia
• Operatorul de date va avea o procedură specifică de soluționare a cererii
Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe
prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care
privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

1/15/2019 www.rogdpr.ro 17
Dreptul de a face plângere la autoritatea de supraveghere și de se adresa justiției
Orice persoană vizată are dreptul de a se adresa cu o plângere la Autoritatea
Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal care va fi
soluționată printr-o decizie ce va fi comunicată ambelor părți.
Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare
persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă
împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de
supraveghere care o vizează.
Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile,
inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul
articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac
judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în
temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale
cu caracter personal fără a se respecta prezentul regulament.
1/15/2019 www.rogdpr.ro 18
Dreptul la despăgubiri și răspunderea
• Orice persoană care a suferit un prejudiciu materiale sau moral ca urmare a unei
încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator
sau de la persoana împuternicită de operator pentru prejudiciul suferit.
• Orice operator implicat în operațiunile de prelucrare este răspunzător pentru
prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul
regulament. Persoana împuternicită de operator este răspunzătoare pentru
prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligațiile din
prezentul regulament care revin în mod specific persoanelor împuternicite de
operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale
operatorului.
• Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere
în temeiul alineatului (2) dacă dovedește că nu este răspunzător (răspunzătoare) în
niciun fel pentru evenimentul care a cauzat prejudiciul.

1/15/2019 www.rogdpr.ro 19
Temeiuri pentru prelucrarea datelor cu caracter
personal și scopuri (legalitatea prelucrării) – art. 6
GDPR

Necesitatea
Consimtământul prelucrării în Pentru a proteja În scopul
Prelucrarea este
persoanei vizate vederea interesele vitale intereselor
necesară pentru
pentru unul sau îndeplinirii unei ale persoanei Interes public legitime urmărite
executarea unui
mai multe scopuri obligații legale vizate sau ale altei de operator sau de
contract
specifice care îi revine persoane fizice o parte terță
operatorului

1/15/2019 www.rogdpr.ro 20
 Consimțământul – art. 7 GDPR

• “orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a

persoanei vizate prin care aceasta acceptă printr-o declarație sau printr-o acțiune
fără echivoc ca datele cu caracter personal care o privesc să fie prelucrate”
• Operatorul trebuie să poată dovedi că persoana vizată și-a dat consimțământul
• În cazul în care consimțământul persoanei vizate este dat în contextul unei
declaraţii scrise care se referă şi la alte aspecte, cererea privind consimțământul
trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte
aspecte, într-o formă inteligibilă şi ușor accesibilă, utilizând un limbaj clar şi simplu
• Persoana vizată poate să iși retragă consimțământul oricând și la fel de ușor cum a
fost dat
• Atunci când se evaluează dacă consimţământul este dat în mod liber, se ţine
seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv
prestarea unui serviciu, este condiţionată sau nu de consimţământul cu privire la
prelucrarea datelor cu caracter personal care nu este necesară pentru executarea
acestui contract.

1/15/2019 www.rogdpr.ro 21
Consimțământul trebuie sa fie neechivoc (GDPR: “printr-o
declarație sau printr-o acțiune fără echivoc”)
Exemple de actiuni:
1) bifarea unei căsuțe când persoana vizitează o pagină web

2) alegerea setărilor pentru serviciile societății informaționale

3) orice altă declarație sau acțiune care indică în mod clar într-un context dat acceptarea de către
persoana vizată a prelucrării propuse.

4) furnizarea adresei de e-mail în contextul creării unui cont pe o platformă on-line într-o căsuță în
dreptul căreia este indicat faptul că se vor trimite mesaje privind activitatea societății sau privind
campaniile promoționale

5) Acceptarea de cookie-uri pentru profilare

Important: căsuțele bifate în prealabil în paginile web sau aplicațiile software nu vor putea fi
invocate drept mecanisme viabile de exprimare a consimțământului.

1/15/2019 www.rogdpr.ro 22
Consimțământul trebuie să fie liber (GDPR: “manifestare de
voință liberă”)
Potrivit GDPR consimțământul NU va fi liber exprimat dacă:

• Persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în

măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată;
• Există un dezechilibru evident între persoana vizată și operator (exemplu:
operatorul este o autoritate publică sau angajatorul persoanei vizate)
• Modul de acordare a consimțământului nu permite ca acesta să fie dat pe diferite
operațiuni de prelucrare a datelor. Operatorii nu vor mai putea să folosească
declarații de consimțământ de tipul ”catch all”;
• Executarea unui contract sau prestarea unui serviciu este condiționată de
consimțământ, deși consimțământul nu este necesar pentru executarea
contractului.
1/15/2019 www.rogdpr.ro 23
Consimțământul copiilor

Prelucrarea este legală doar dacă copilul are cel puțin vârsta de 16 ani

Pentru copiii mai mici de 16 ani: consimțământul pentru prelucrare este acordat de părinte

„consimțământ informat” - notele de informare care stau la baza consimțământului trebuie să fie
exprimate într-un limbaj simplu și clar, astfel încât minorii să îl poată înțelege cu ușurință.
Exigențele în ceea ce privește simplitatea și accesibilitatea limbajului sunt și mai stricte

operatorii vor trebui să depună eforturi rezonabile (pe baza tehnologiilor disponibile) pentru a
verifica dacă părintele / tutorele și-a dat acordul sau a autorizat consimțământul minorului.

1/15/2019 www.rogdpr.ro 24
 Studiu de caz
• ORDIN nr. 2152 din 14 iulie 2017 privind publicarea în Monitorul Oficial al României,
Partea I, a Protocolului de colaborare în vederea schimbului de informații dintre
Agenția Națională de Administrare Fiscală şi Institutul National de Cercetare-
Dezvoltare în Informatică - ICI București
• ANEXĂ: PROTOCOL DE COLABORARE pentru schimb de date cu caracter personal
Art. 1: Scopul protocolului
• În conformitate cu atribuțiile specifice ale ICI - București şi cele ale A.N.A.F., scopul
Protocolului îl reprezintă asigurarea cadrului de colaborare în vederea punerii la
dispoziția A.N.A.F. a datelor necesare, în baza unei motivări temeinic justificate,
pentru îndeplinirea unor măsuri de interes public naţional în scopul prevenirii şi
combaterii fenomenelor de evaziune, fraudă fiscală şi vamală, precum şi al
creşterii gradului de colectare a impozitelor, taxelor şi contribuţiilor sociale în
România.

1/15/2019 www.rogdpr.ro 25
“Art. 2: Obiectul protocolului
• Protocolul are ca obiect colaborarea părților în vederea transmiterii datelor de
identificare, așa cum sunt definite de Codul de procedură fiscală, raportat la
datele de identificare (nume, prenume, adresă de domiciliu, CNP) din baza de
date a ICI - București ale deţinătorilor dreptului de utilizare a domeniilor cu
extensia "ro" către A.N.A.F.”
“Art. 4: Modalități de realizare a schimbului de informaţii
• 4.1.Comunicarea informaţiilor între părţi se va realiza Operativ cu asigurarea
securităţii transmiterii datelor printr-o conexiune securizată, precum şi potrivit
prevederilor procedurilor Registrului RoTLD.
• 4.2.Orice modificare adusă de una dintre părţi la formatul şi structura
informaţiilor ce fac obiectul schimbului va fi notificată, în termen de 10 zile
calendaristice, celeilalte părţi.”

1/15/2019 www.rogdpr.ro 26
“Art. 5: Protecția datelor cu caracter personal
• 5.1.Prelucrarea datelor ce constituie obiectul prezentului protocol intră sub
incidenţa Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea
datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi
completările ulterioare.
• 5.2.Datele cu caracter personal vor fi utilizate exclusiv pentru realizarea scopului
prevăzut la art. 1 din prezentul protocol, cu respectarea legislaţiei în vigoare.
• 5.3.Prelucrarea datelor se face de către cele două părţi, cu respectarea dreptului
persoanei vizate, de informare, de acces, de intervenţie asupra datelor, de opoziţie,
de a nu fi supus unei decizii individuale şi de a se adresa justiţiei.
• 5.4.Prelucrarea datelor se face de ambele părţi cu respectarea confidenţialităţii şi
securităţii datelor; în acest sens, părţile se obligă să aplice măsurile tehnice şi
organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva
distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului
neautorizat, precum şi împotriva oricărei altei forme de prelucrare ilegală.
Respectivele măsuri trebuie să asigure un nivel de securitate adecvat în ceea ce
priveşte riscurile pe care le reprezintă prelucrarea, raportat la natura datelor care
trebuie protejate şi la tehnologia utilizată în procesul de prelucrare.

1/15/2019 www.rogdpr.ro 27
• 5.5.În situaţia în care părţile constată existenţa unui incident cu privire la securitatea
datelor, se vor informa reciproc şi vor suspenda imediat orice transmisie de date
până la remedierea şi reglementarea situaţiei apărute, după caz.
• 5.6.În vederea asigurării respectării prevederilor Legii nr. 677/2001 pentru protecţia
persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a
acestor date, cu modificările şi completările ulterioare, părţile vor publica prezentul
protocol pe site-ul propriu, după aprobarea publicării acestuia în Monitorul Oficial al
României, Partea I, prin ordin al preşedintelui A.N.A.F.”
“Art. 6: Dispoziţii finale
• 6.6.Începând cu data de 25 mai 2018, când va intra în vigoare, de fapt şi de drept,
Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27
aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea
datelor cu caracter personal şi privind libera circulaţie a acestor date, prezentele
părţi contractante se obligă să modifice şi/sau să completeze, după caz, prezentul
protocol în conformitate cu prevederile legale europene şi naţionale aplicabile.”

1/15/2019 www.rogdpr.ro 28
 OBSERVAȚII
• La încheierea unui contract cu ICI RoTLD persoana vizată trebuie să fie informată cu
privire la faptul că Institutul va prelucra datele sale cu caracter personal, că la
cererea ANAF, datele sale vor fi transmise către aceasta din urmă și să iși exprime
consimțământul în mod neechivoc
• Atunci când se evaluează “libertatea” consimțământului se verifică dacă executarea
unui contract este condiționată sau nu de consimțământul cu privire la prelucrarea
datelor cu caracter personal care NU este necesară pentru executarea acestui
contract
• Din perspectiva GDPR consimțământul persoanei vizate nu este liber exprimat, având
în vedere faptul că persoana vizată nu poate încheia un contract cu RoTLD fără să
agreeze în prealabil transmiterea datelor sale către ANAF
• Dreptul de folosință asupra unui nume de domeniu, contra cost, nu ar trebui să fie
condiționat de această clauză – dezechilibru evident – încalcare GDPR

1/15/2019 www.rogdpr.ro 29
Responsabilitatea operatorului

• Măsuri tehnice și organizatorice conforme cu GDPR

• Implementarea de politici adecvate de protecție a datelor
• Aderarea la coduri de conduită aprobate
• Minimizarea datelor colectate (doar cele care sunt necesare scopului)
• Se asigură că dreptul de acces la datele colectate nu este disponibil
unui număr nelimitat de persoane
• Datele se prelucrează strict pentru perioada necesară contextului
• Protecția datelor cu caracter personal “by default” și “by design”

1/15/2019 www.rogdpr.ro 30
Persoana împuternicită (Art 28 GDPR)

1. Trebuie să ofere garanții suficiente prin punerea in aplicare a unor

masuri tehnice si organizatorice adecvate
2. Recomandat: încheierea unei anexe privind datele cu caracter
personal la contractul încheiat de parți (in cazul contractelor noi) si a
unui act adițional in cazul contractelor existente – Data Processing
Agreement
• Nu subcontractează fără acordul operatorului
• Se stabilește obiectul si durata prelucrării, natura si scopul, tipul de
date, drepturile si obligațiile

1/15/2019 www.rogdpr.ro 31
GDPR – un proces continuu
• Mapare date cu caracter personal

Plan • Identificare procese care utilizează date cu

caracter personal.
• DPIA , Data Privacy By Design

Do
• Transparenta,
• Legal compliance
• Masuri tehnice si organizatorice

• Post implementare

Check • Proces continuu de evaluare a gradului de

conformitate

Act • Modificări procese, fluxuri informaționale

• Ajustare politici etc.

1/15/2019 www.rogdpr.ro 32
Măsuri tehnice si organizatorice
• Organizatoric = Administrativ
• Proceduri
• Politici
• Regulamente
• Instrucțiuni etc.

• Tehnic = Fizic + Logic

• Sisteme de alarmă, seif, sistem de
supraveghere video, carduri de acces
etc.
• Firewall, antivirus software, criptarea
mediilor de stocare, utilizarea de “To measure is
softuri de anonimizare etc.
to know”
1/15/2019 www.rogdpr.ro 33
Măsuri tehnice si organizatorice – funcționalitate
Funcţionalitatea măsurilor
tehnice si organizatorice:

• Detectare

• Corectare

• Prevenire

1/15/2019 www.rogdpr.ro 34
Managementul riscului
• Managementul riscului
• Cantitativ
• Calitativ

• Acceptare, Evitare, Reducere,

Transferare

• Rolul managementului riscului

• Identificare si definire riscuri
• Stabilire responsabilități
• Identificare măsuri de tratare a
riscului etc. “To measure is
to know”
1/15/2019 www.rogdpr.ro 35
Principii Privacy by Design and by Default
Privacy “by default”
• Setările privind confidențialitatea și protecția datelor trebuie sa existe de la inițierea oricărui
produs sau serviciu
• Nu trebuie să existe niciun efort suplimentar din partea user-ului în vederea protejării datelor
sale personale, responsabilitatea fiind în totalitate a operatorului sau a împuternicitului acestuia

Privacy “by design”

• Este un principiu care promovează respectarea vieții private și protecția datelor încă de la început
prin adaptare la domeniul de aplicare, contextul și scopul prelucrării
• GDPR încurajează organizațiile să se asigure că protecția vieții private și a datelor reprezintă un
element-cheie în primele etape ale oricărui proiect și apoi pe tot parcursul ciclului său de viață
• Folosește o abordare caracterizată prin măsuri proactive mai degrabă decât reactive

1/15/2019 www.rogdpr.ro 36
Principii Privacy by Design and by Default
Proactiv vs. Reactiv
• Anticiparea incidentelor de securitate înainte ca acestea sa se petreacă.

Default setting
• Incorporare cerinţe de securitate ca şi funcţionalităţi standard.

Embedded into Design

• Cerinţele de securitate IT sunt incluse din momentul definirii documentaţiei tehnice.

End to End security

• Ciclu securizat end to end din punct de vedere al managementului informaţiei.

Vizibilitate şi transparenţă
• “Încrederea este bună, controlul este mai bun”.

1/15/2019 www.rogdpr.ro 37
Responsabilul cu protecția datelor personale (DPO)
Atribuții, obligații, drepturi și limitări profesionale.

• Ordinul Ministerului Muncii nr. 1.786/2017: Responsabilul cu protecția

datelor cu caracter personal (COR 242231)
• Funcția de DPO trebuie reflectată în organigrama instituției sau se va
preciza dacă funcția se externalizează – contract de servicii
• Trebuie evitat conflictul de interese în cazul numirii în funcția de DPO a
unui angajat al instituției
• Este necesară trasarea clară a sarcinilor și atribuțiilor DPO-ului prin fișa
postului sau prin contractul încheiat cu DPO-ul (care să includă sarcini de
raportare periodică către conducerea instituției)
• Trebuie să fie ușor accesibil. Pot fi mai mulți dacă se constată a fi necesar
• Datele sale se publică și se comunică autorității de supraveghere (Art. 37
alin 7 GDPR)

1/15/2019 www.rogdpr.ro 38
Date Protection Officer?
• Când se impune angajarea unui DPO?

• Ce aptitudini trebuie să aibă acesta?

• Care este rolul său?

• Cui este subordonat?

• Care sunt sarcinile sale curente?

1/15/2019 www.rogdpr.ro 39
Atribuții și obligații (Fișa de post)
• este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecția datelor cu
caracter personal
• poate fi contactat în mod direct de către persoanele vizate cu privire la toate chestiunile legate de
prelucrarea datelor lor şi la exercitarea drepturilor lor în temeiul GDPR
• are obligația de a respecta secretul sau confidențialitatea în ceea ce privește îndeplinirea
sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern
• se ocupă de informarea şi consilierea operatorului, sau a persoanei împuternicite de operator,
precum şi a angajaților care se ocupă de prelucrare cu privire la obligaţiile care le revin în temeiul
GDPR şi al altor dispoziții de drept al Uniunii sau drept intern referitoare la protecţia datelor
• monitorizează respectarea GDPR și alte dispoziții de drept intern sau dreptul Uniunii
• contribuie la redactarea politicilor de securitate privind protecția datelor la nivel de instituție
precum și a procedurilor interne necesare conformării la GDPR
• realizează auditul prelucrării datelor cu caracter personal

1/15/2019 www.rogdpr.ro 40
• monitorizează permanent respectarea politicilor interne ale operatorului sau ale persoanei
împuternicite
• se asigură de alocarea responsabilităților de formare profesională
• furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi
monitorizarea funcţionării acesteia
• cooperarea cu autoritatea de supraveghere
• asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de
prelucrare, inclusiv consultarea prealabilă menţionată la articolul 36, precum şi, dacă este cazul,
consultarea cu privire la orice altă chestiune
• în îndeplinirea sarcinilor sale, responsabilul cu protecţia datelor ţine seama în mod corespunzător de
riscul asociat operaţiunilor de prelucrare, luând în considerare natura, domeniul de aplicare,
contextul şi scopurile prelucrării
• DPO este desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în
dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini
sarcinile prevăzute de GDPR

1/15/2019 www.rogdpr.ro 41
Drepturi responsabilului cu protecția datelor

• operatorul și persoana împuternicită de operator sprijină responsabilul cu

protecția datelor în îndeplinirea sarcinilor menționate la articolul 39 GDPR,
asigurându-i resursele necesare pentru executarea acestor sarcini, precum şi
accesarea datelor cu caracter personal și a operațiunilor de prelucrare, şi pentru
menținerea cunoștințelor sale de specialitate
• autonomie în îndeplinirea sarcinilor – nu primește instrucțiuni
• nu este demis sau sancționat de către operator sau de persoana împuternicită de
operator pentru îndeplinirea sarcinilor sale
• responsabilul cu protecția datelor răspunde direct în față celui mai înalt nivel al
conducerii operatorului sau persoanei împuternicite de operator
• se poate propune voluntar pentru calitatea de responsabil cu protecția datelor

1/15/2019 www.rogdpr.ro 42
 Limitări profesionale
• responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții.
Operatorul sau persoana împuternicită de operator se asigură că niciuna
dintre aceste sarcini și atribuții nu generează un conflict de interese
• în cazul dublei funcții se vor delimita clar activitățile ce țin de funcția
“principală” și cea de DPO
• se va stabili la nivel de instituție care sunt funcțiile incompatibile cu
calitatea de DPO pentru a se evita un eventual conflict de interese
• de principiu nu poate ocupa o funcție de decizie (Ex. Șef departament IT
întrucât ar trebui să se monitorizeze pe el însuși; șef departament financiar
întrucât ar putea fi influențat în a lua o decizie de a finanța sau nu măsurile
de conformare la GDPR)
• Ok - consilierul juridic putând reprezenta instituția și în fața instanței în
cazul unui litigiu privind protecția datelor personale

1/15/2019 www.rogdpr.ro 43
Sumar implementare GDPR
1. Cartografiere / inventariere date cu caracter personal
2. Stabilirea scopurilor de prelucrare
3. Stabilirea temeiului legal
4. Obținerea consimțământului
5. Exercitarea drepturilor persoanelor vizate
6. Revizuirea contractelor existente
7. Evidenta activităților de prelucrare
8. Securizarea datelor cu caracter personal
9. Procedura de notificare autoritate
10. Evaluarea impactului asupra protecției datelor cu caracter
personal
11. DPO
1/15/2019 www.rogdpr.ro 44
Documente și proceduri pe care trebuie să le pregatească un
operator de date cu caracter personal – recomandare
nelimitativă
1. Politica de securitate IT (uz intern)
2. Politica de confidențialitate (uz extern) - principii ale companiei
privind protecția datelor, existența unor politici interne de
confidențialitate și a unei politici de securitate, drepturile persoanelor
vizate etc. (un cadrul general)
3. Acordul de prelucrare a datelor cu caracter personal (se
particularizează, în principiu, anexa unde sunt specificate doar
informații concrete-categorii de date, persoane împuternicite, etc);
4. Matricea de riscuri (completată conform anexei A);
5. Registrul de prelucrare (cartografierea pentru autoritate);

1/15/2019 www.rogdpr.ro 45
 6. Politica de confidențialitate (uz intern) – obligații generale ale
angajaților conform procedurilor (anexele la această politică),
răspunderea acestora:
• Procedura pentru Evaluarea Riscului asupra Protecției Datelor (uz
intern)
• Procedura pentru informarea persoanelor vizate (uz intern)
• Procedura pentru retenția, actualizarea, restricționarea și ștergerea
datelor (uz intern)
• Procedura în cazul unei solicitări de Informații de la Persoana Vizată
(uz intern);
• Procedura în cazul constatării unei breșe de securitate (uz intern) etc.

1/15/2019 www.rogdpr.ro 46
Managementul breșelor de securitate.

"încălcarea securității datelor cu caracter personal"

înseamnă o încălcare a securității care duce, în
mod accidental sau ilegal, la distrugerea, pierderea,
modificarea, sau divulgarea neautorizată a datelor
cu caracter personal transmise, stocate sau
prelucrate într-un alt mod, sau la accesul
neautorizat la acestea;
1/15/2019 www.rogdpr.ro 47
 Notificarea autorității
• în cazul în care are loc o încălcare a securității datelor cu caracter
personal, operatorul notifică acest lucru autorității de supraveghere
competente, fără întârzieri nejustificate și, dacă este posibil, în termen
de cel mult 72 de ore de la data la care a luat cunoștință de aceasta,
cu excepția cazului în care este susceptibilă să genereze un risc pentru
drepturile şi libertățile persoanelor fizice. În cazul în care notificarea
nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație
motivată din partea autorității de supraveghere
• persoana împuternicită de operator înștiințează operatorul fără
întârzieri nejustificate după ce ia cunoștință de o încălcare a securității
datelor cu caracter personal.

1/15/2019 www.rogdpr.ro 48
Conținutul notificării
• descrie caracterul încălcării securității datelor cu caracter personal, inclusiv,
acolo unde este posibil, categoriile şi numărul aproximativ al persoanelor
vizate în cauză, precum şi categoriile şi numărul aproximativ al înregistrărilor
de date cu caracter personal în cauză;
• comunică numele şi datele de contact ale responsabilului cu protecția
datelor sau un alt punct de contact de unde se pot obține mai multe
informații;
• descrie consecințele probabile ale încălcării securității datelor cu caracter
personal;
• descrie măsurile luate sau propuse spre a fi luate de operator pentru a
remedia problema încălcării securității datelor cu caracter personal, inclusiv,
după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

1/15/2019 www.rogdpr.ro 49
Informarea persoanelor vizate
• în cazul în care încălcarea securității datelor cu caracter personal este
susceptibilă să genereze un risc ridicat pentru drepturile şi libertățile
persoanelor fizice, operatorul informează persoana vizată fără întârzieri
nejustificate cu privire la această încălcare.
• în informarea transmisă persoanei vizate se include o descriere într-un limbaj
clar şi simplu a caracterului încălcării securității datelor cu caracter personal,
precum şi cel puțin numele şi datele de contact ale responsabilului cu
protecția datelor sau un alt punct de contact de unde se pot obține mai multe
informații și se descriu consecințele probabile ale încălcării securității datelor
cu caracter personal;
N.B. în cazul în care operatorul nu a comunicat deja încălcarea securității
datelor cu caracter personal către persoana vizată, autoritatea de
supraveghere, după ce a luat în considerare probabilitatea ca încălcarea
securității datelor cu caracter personal să genereze un risc ridicat, poate să îi
solicite acestuia să facă acest lucru.

1/15/2019 www.rogdpr.ro 50
Transferuri interne și internaționale ale datelor cu
caracter personal
Principiul general al transferurilor
Orice date cu caracter personal care fac obiectul prelucrării sau care
urmează a fi prelucrate după ce sunt transferate vor respecta condițiile GDPR
în integralitate și se va asigura protecția datelor personale într-un mod cat
mai adecvat prin masuri speciale – procedura transfer intern de date
Transferul într-o ţară terță sau către o organizație internațională poate
fi făcut doar dacă, sub rezerva celorlalte dispoziții ale GDPR, se iau măsuri
inclusiv în ceea ce privește transferurile ulterioare de date cu caracter
personal din țară terță sau de la organizația internațională către o altă ţară
terţă sau către o altă organizație internațională.
Toate procedurile ce urmează a fi avute în vedere au rolul de a da un
veritabil efect dispozițiilor GDPR si de a se asigura nivelul de protecție a
persoanelor fizice garantat prin GDPR

1/15/2019 www.rogdpr.ro 51
 Operatorul sau persoana împuternicită de operator poate transfera date cu
caracter personal către o ţară terţă sau o organizaţie internaţională numai dacă
operatorul sau persoana împuternicită de operator a oferit garanţii adecvate şi cu
condiţia să existe drepturi opozabile şi căi de atac eficiente pentru persoanele vizate.
• Garanţiile adecvate pot fi furnizate fără să fie nevoie de nicio autorizaţie specifică din
partea unei autorităţi de supraveghere, prin:
a) un instrument obligatoriu din punct de vedere juridic şi executoriu între autorităţile
sau organismele publice;
b) “reguli corporatiste obligatorii” în conformitate cu articolul 47 GDPR - teritorial;
d) clauze standard de protecţie a datelor adoptate de o autoritate de supraveghere şi
aprobate de Comisie în conformitate cu procedura de examinare menţionată de
GDPR;
e) un cod de conduită aprobat în conformitate cu articolul 40 GDPR, însoţit de un
angajament obligatoriu şi executoriu din partea operatorului sau a persoanei
împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire
la drepturile persoanelor vizate; sau
f) un mecanism de certificare aprobat în conformitate cu articolul 42 GDPR, însoţit de
un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei
împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire
la drepturile persoanelor vizate.

1/15/2019 www.rogdpr.ro 52
 Prelucrarea CNP-ului (art 87 GDPR)
ANSPDCP: DECIZIE nr. 132 din 20 decembrie 2011
Conform GDPR numărul de identificare național sau orice alt identificator cu
aplicabilitate generală este folosit numai în temeiul unor garanții corespunzătoare
pentru drepturile şi libertățile persoanei vizate și lasă libertatea fiecărui stat de a
reglementa intern condiții specifice.
INTERN
“Art. 6 Colectarea şi prelucrarea datelor prevăzute la art. 1, inclusiv dezvăluirea
acestora, prin efectuarea şi reținerea de copii de pe cartea de identitate sau de pe
documente care le conțin, sunt interzise, cu excepția situațiilor prevăzute la art. 2.”
Art. 2 Prelucrarea datelor prevăzute la art. 1, inclusiv dezvăluirea acestora către terți,
se face numai ….:
a) persoana vizată și-a dat în mod expres consimțământul; sau
b) prelucrarea este prevăzută în mod expres de o dispoziție legală; sau
c) în alte cazuri, cu avizul Autorităţii Naţionale de Supraveghere a Prelucrării Datelor
cu Caracter Personal şi numai cu condiția instituirii unor garanții adecvate pentru
respectarea drepturilor persoanelor vizate.”

1/15/2019 www.rogdpr.ro 53
STUDII DE CAZ
• ANAF - GHID DE COMPLETARE A DECLARAȚIEI INFORMATIVE 394:
“Referitor la CNP/NIF/Adresa furnizor/beneficiar, persoană fizică -
completarea CNP/NIF este obligatorie în situația în care persoana
impozabilă îl colectează de la persoana fizică din facturi, contracte (de
prestări servicii, de furnizare utilități, vânzări de bunuri mobile și
imobile, etc); în lipsa acestuia, se vor declara numele, prenumele și
adresa persoanei fizice.”
• CODUL FISCAL– art. 319 alin 20:
“Facturarea” - menționează tot ce este obligatoriu a fi menționat într-o
factură (nu apare menționat CNP-ul)

1/15/2019 www.rogdpr.ro 54
 Politica folosirii camerelor de luat vederi
• Decizia ANSPDCP nr. 52/2012 privind prelucrarea datelor cu caracter
personal prin utilizarea mijloacelor de supraveghere video
• Ghid privind prelucrările de date cu caracter personal efectuate prin
intermediul sistemelor de supraveghere instalate în cadrul asociațiilor
de proprietari
“Este interzisă utilizarea mijloacelor de supraveghere video ascunse”
“Prelucrarea datelor cu caracter personal prin utilizarea sistemelor de
supraveghere video se efectuează cu consimțământul expres și neechivoc
al persoanei vizate”

1/15/2019 www.rogdpr.ro 55
Art 8 din Decizia ANSPDCP Nr. 52/2012
“(1) Prelucrarea datelor cu caracter personal ale angajaților prin mijloace de
supraveghere video este permisă pentru îndeplinirea unor obligații legale exprese
sau în temeiul unui interes legitim, cu respectarea drepturilor persoanelor
angajate, în special a informării prealabile a acestora.
(2) În situația în care nu sunt aplicabile prevederile alin. (1), prelucrarea datelor cu
caracter personal ale angajaților prin mijloace de supraveghere video nu se poate
efectua decât pe baza consimțământului expres şi liber exprimat al acestora, cu
respectarea drepturilor persoanelor angajate, în special a informării prealabile a
acestora.
(3) Nu este permisă prelucrarea datelor cu caracter personal ale angajaților prin
mijloace de supraveghere video în interiorul birourilor unde aceștia își desfășoară
activitatea la locul de muncă, cu excepția situațiilor prevăzute expres de lege sau a
avizului Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter
Personal.”
1/15/2019 www.rogdpr.ro 56
Curtea Europeană a Drepturilor Omului
CASE OF LÓPEZ RIBALDA AND OTHERS v. SPAIN –
1874/13 ȘI 8567/13
HOTĂRÂREA DIN 09.01.2018
• obligația de informare prealabilă, explicită, precisă și lipsită de
ambiguitate a celor vizați despre existența și caracteristicile
particulare ale unui sistem care colectează date cu caracter personal.
• Curtea a hotărât că a avut loc o încălcarea a art. 8 din CEDO, respectiv
dreptul la respectarea vieții private și de familie
• CEDO nu a declarat că supravegherea secretă a angajaților este
interzisă în mod absolut. În situații excepționale, aceasta ar putea fi
justificată. Trebuie, luate în calcul două principii:
transparența și proporționalitatea.

1/15/2019 www.rogdpr.ro 57
Curtea Europeană a Drepturilor Omului
Cauza Köpke v. Germania Decizia din 05.10.2010

• amplasarea de camere video ascunse a fost urmarea unei suspiciuni

anterioare dovedite împotriva angajaților;
• camerele video se refereau la persoane determinate, doi angajați
bănuiți de fraudă, iar nu la întregul personal;
• măsura supravegherii a fost una limitată în timp – două săptămâni.

1/15/2019 www.rogdpr.ro 58
Controlul și sancțiunile aplicabile potrivit GDPR

• competență națională - Autoritatea Națională de Supraveghere a Prelucrării Datelor

cu Caracter Personal (ANSPDCP)
• ANSPDCP are atribuții de control și investigare precum și de impunere a amenzilor
administrative pentru încălcarea Regulamentului 2016/679 UE
• poate solicita operatorilor să furnizeze orice informații pe care autoritatea de
supraveghere le solicită in vederea îndeplinirii sarcinilor sale precum și accesul la
toate datele deținute de operator
• poate realiza audituri privind protecția datelor
• verifică, avizează și monitorizează codurile de conduită prevăzute la art. 40 GDPR
• notifică operatorul cu privire la presupusa încălcare
• poate obține accesul în toate incintele operatorului, inclusiv la echipamentele
tehnice ale acestuia sau ale persoanei împuternicite de acesta

1/15/2019 www.rogdpr.ro 59
Competențe corective

• de a emite avertizări în atenția unui operator sau a unei persoane împuternicite de

operator cu privire la posibilitatea ca operațiunile de prelucrare prevăzute să
încalce Regulamentul
• de a emite mustrări adresate unui operator sau unei persoane împuternicite de
operator
• de a da dispoziții operatorului sau persoanei împuternicite de operator să respecte
cererile persoanei vizate de a-şi exercita drepturile în temeiul Regulamentului
• de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure
conformitatea operațiunilor de prelucrare cu dispozițiile GDPR specificând, după
caz, modalitatea şi termenul-limită pentru aceasta
• de a impune amenzi administrative în conformitate cu articolul 83

1/15/2019 www.rogdpr.ro 60
 ANSPDCP

• Proiect de lege pentru modificarea și completarea Legii nr. 102/2005

privind înființarea, organizarea și funcționarea ANSPDCP, precum și pentru
abrogarea Legii nr. 677/2001: „Personalul de control are dreptul să
efectueze investigații, inclusiv inopinate, să ceară și să obțină, de la
operator și persoana împuternicită de operator precum și, după caz, de la
reprezentantul acestora, la fața locului și/sau în termenul stabilit, orice
informații și documente indiferent de suportul de stocare, să ridice copii de
pe acestea, să aibă acces la oricare dintre incintele operatorului și
persoanei împuternicite de operator, precum și să aibă acces și să verifice
orice echipament, mijloc sau suport de stocare a datelor, necesare
desfășurării investigației, în condițiile legii”
• În prezent: atribuțiile ANSPDCP sunt mai restrânse pe partea de controale.

1/15/2019 www.rogdpr.ro 61
 AMENZI – Art. 83 GDPR
• “(4)Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul 2, se aplică amenzi
administrative de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra de
afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior […]
a) obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu articolele 8, 11,
25-39, 42 şi 43”
• (5) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul 2, se aplică amenzi
administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de
afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior […]
a) principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu
articolele 5, 6, 7 şi 9;
b) drepturile persoanelor vizate în conformitate cu articolele 12-22;
c) transferurile de date cu caracter personal către un destinatar dintr-o ţară terță
d) orice obligații în temeiul legislației naționale adoptate în temeiul capitolului IX; e)nerespectarea unui
ordin sau a unei limitări temporare sau definitive asupra prelucrării, sau a suspendării fluxurilor de date,
emisă de către autoritatea de supraveghere.
e) nerespectarea unui ordin sau a unei limitări temporare

1/15/2019 www.rogdpr.ro 62
 Asociația pentru Bune Practici GDPR

www.rogdpr.ro

Vă mulțumește pentru atenție!

@Copyright Asociația pentru Bune Practici GDPR

Prezentul material este protejat de drepturi de autor, conform dispozițiilor Legii 8/1996 privind drepturile de autor și drepturile
conexe și este interzisă utilizarea acestuia fără consimțământul prealabil al autorilor. Suport realizat de membrii Asociației pentru
Bune Practici GDPR.

1/15/2019 www.rogdpr.ro 63