GDPR

Curs (DPO) de inițiere și perfecționare pentru asigurarea

implementării legislației privind protecția datelor cu caracter
personal
organizatori:
EU Privacy &
Camera de Comerț și Industrie a României
 GDPR

Welcome!
parola wi fi ccir_wifi_ _
 GDPR

Catalin Giulescu

DPO – certificat de catre Institutul European de Administratie Publica

14 in experienta in domeniul protectiei datelor cu caracter personal

coordonator al echipei care a participat la negocierile tehnice ale GDPR in

cadrul DAPIX (2012 – 2016)
membru in grupul de experti organizat de Comisia Europeana pentru
asigurarea aplicarii unitare a GDPR si transpunerea Directivei UE 2016/680
(2016 - 2017)
 GDPR

Conștientizare

Dezvăluirea de informaţii personale reprezintă o condiţie a vieţii moderne

 GDPR

Conștientizare
 GDPR

pe care dintre următoarele categorii de informaţii referitoare la dumneavoastră le consideraţi ca fiind personale
 GDPR

Conștientizare
 GDPR

conștientizare
 GDPR

conștientizare
 GDPR

Întrebare

Dispozitiile Regulamentului General privind Protectia Datelor se aplica si

prelucrarii datelor privind persoanele juridice?

Curtea de Apel Oradea – declaraţia unei persoane reprezintă informaţie de interes

public care se supune regulilor prevăzute de Legea nr.544/2001 privind liberul acces
la informaţiile de interes public
Decizia ICCJ nr. 37 din 7 decembrie 2015
referitoare la sesizarea formulată privind pronunţarea unei hotărâri prealabile pentru
dezlegarea chestiunilor de drept referitoare la datele cu caracter personal (doar numele şi
prenumele) definite de către Legea nr. 677/2001 şi refuzul de eliberare a fotocopiilor de
pe documente cu date personale chiar şi cu informaţiile respective anonimizate (înnegrite
cu markerul, acronimizate)

obiectiv: anonimizarea efectivă

 GDPR

introducere

Sisteme de protecție a datelor cu caracter personal (la nivel european și internațional)

Reglementări europene

Reglementări UE

Legislatie nationala

Sistemul institutional european in materia protectiei datelor cu caracter perso

UN GDPR

Sisteme de protecție a datelor cu caracter personal

1990 Guidelines concerning computerized personal data

(Ghid) Principii directoare privind datele cu

caracter personal prelucrate prin sisteme
informatice

caracter orientativ
respectarea este lăsată la latitudinea fiecărui stat
OECD GDPR

Sisteme de protecție a datelor cu caracter personal

1980 Guidelines on the

Protection of Privacy
and Transborder Flows
of Personal Data
Principii directoare privind protecţia vieţii private şi
fluxul transfrontalier de date cu caracter persona

neobligatorii
orientative
 GDPR

Sisteme de protecție a datelor cu caracter personal

Începuturi
USA - 1960
ca răspuns la acţiunile guvernamentale de tip Big Brother
evoluţia tehnică

Europa
Jurisprudenţa CEDO
1970 Germania – Landul Hessen

primele legislaţii naţionale care abordau materia:

Suedia (1973), Republica Federală Germania (1976), Danemarca (1978),
Franţa(1978), Norvegia (1978), Austria (1978), Luxembourg (1979)
 GDPR

Sisteme de protecție a datelor cu caracter personal

Lucrări de specialitate

SUA, 1970
Alan F. Westin, Viaţă privată şi Libertate (Privacy and Freedom),

dreptul la viaţă privată reprezintă:

„Dreptul individului de a decide ce tip de informaţii
personale ar trebui comunicate terţilor şi în ce
condiţii”.
 GDPR

Sisteme de protecție a datelor cu caracter personal

Sistemul European

Convenţia Europeană a drepturilor omului –

art.8 -dreptul la viaţă intimă familială şi privată

Convenția (Consiliului Europei) pentru

protejarea persoanelor față de prelucrarea
automatizată a datelor cu caracter personal,
adoptată la Strasbourg la 28 ianuarie 1981.

Carta drepturilor fundamentale a Uniunii

Europene
 GDPR

Sisteme de protecție a datelor cu caracter personal

Sistemul SUA

centrat pe sistemul de evidență a datelor cu caracter personal

- (în principiu) nu contează modul în care datele sunt colectate, prelucrate,
transferate, elementele cheie fiind reprezentate de protectia consumatorului
si securitatea sistemelor

Sistemul european

avand în centrul atenției persoana vizată, aceasta fiind singura care poate
stabili când și în ce context datele cu caracter personal care o privesc pot
fi prelucrate

Sisteme de protecție a datelor cu caracter personal
EU
legislație europeană
Autoritate Națională de Supraveghere
(DPA) în fiecare stat membru
coperare paneuropeană - între DPA
"special categories of personal data"
limitarea transferului către țări terțe
proporționalitate
retenție limitată
GDPR
USA
nu există lege federală
legislație specifică anumitor sectoare
(sănătate, protecția consumatorilor,
servicii financiare etc.)
multitudine de norme la nivel statal
privind viața privată
Federal Trade Commission (enforcement)
PII - Personal Identifiable Information
"sensitive data" = social security number,
detalii bancare, date referitoare la
minori
nu există reguli privind limitarea
transferului
nu există limite de retenție
consimțământul poate legitima aproape
orice
 GDPR

Sisteme de protecție a datelor cu caracter personal

e-marketing & cookies

EU

doar pe baza consimțământului liber exprimat, specific, informat și lipsit de ambiguitate

SUA

opțiunea opt-out
 GDPR

Reglementări europene

Europa - Consacrare fundamentală

• 1983, Curtea Constituţională a Republicii Federale Germania

a statuat, „dreptul la autodeterminarea informaţională”
(„the right to informational self determination”)

"[...] în contextul prelucrării datelor cu caracter personal prin mijloace moderne,

protecţia indivizilor împotriva colectării, stocării, utilizării şi divulgării nelimitate a
datelor cu caracter personal este cuprinsă ca drept fundamental general în
Constituţia germană. În această privinţă, acest drept de bază garantează, în
principiu, capacitatea individului de a determina divulgarea şi utilizarea
propriilor date cu caracter personal. Limitări referitoare la această
autodeterminare informaţională este permisă doar în caz de interes public major”.
 GDPR

Reglementări europene

Convenţia pentru apărarea drepturilor omului şi a libertăţilor

fundamentale
Ratificată prin Legea nr.30/1994

Articolul 8
1. Orice persoană are dreptul la respectarea vieţii sale
private şi de familie, a domiciliului său şi a corespondenţei
sale.
2. Nu este admis amestecul unei autorităţi publice în
exercitarea acestui drept decât în măsura în care acest
amestec este prevăzut de lege şi dacă constituie o măsura
care, într-o societate democratică, este necesară pentru
securitatea naţională, siguranţa publică, bunăstarea
economică a ţării, apărarea ordinii şi prevenirea faptelor
penale, protejarea sănătăţii sau a moralei, ori protejarea
drepturilor şi libertăţilor altora.
 GDPR

Reglementări europene

Convenția pentru protejarea persoanelor față de prelucrarea automatizată

a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981.

28 ianuarie - ziua protecției datelor cu caracter personal

ratificată prin Legea nr.682/2001

 GDPR

Reglementări UE

Carta drepturilor fundamentale a Uniunii Europene

Articolul 8
Protecţia datelor cu caracter personal
(1) Orice persoană are dreptul la protecţia datelor cu caracter personal care
o privesc.
(2) Asemenea date trebuie tratate în mod corect, în scopurile precizate şi pe
baza consimţământului persoanei interesate sau în temeiul unui alt motiv
legitim prevăzut de lege. Orice persoană are dreptul de acces la datele
colectate care o privesc, precum şi dreptul de a obţine rectificarea
acestora.
(3) Respectarea acestor norme se supune controlului unei autorităţi
independente.
 GDPR

Reglementări UE

Cadrul legal UE

Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24

Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului
octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte
din 27 aprilie 2016 - Regulamentul General privind Protecția Datelor
prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date

Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie

2002 privind prelucrarea datelor personale și protejarea confidențialității în
sectorul comunicațiilor publice (Directiva asupra confidențialității și
comunicațiilor electronice)

Decizia-cadru
Directiva 2008/977/JAI
(UE) 2016/680 a Consiliului
a Parlamentului din şi27
European noiembrieprivind
a Consiliului 2008 privind
protecția
protecția datelor cufizice
persoanelor caracter personal
referitor prelucrate
la prelucrarea datelorîncucadrul cooperării
caracter personal de
polițienești
către și judiciare
autoritățile competenteînînmaterie penală depistării, investigării sau urmăririi
scopul prevenirii,
penale a infracțiunilor sau al executării pedepselor și privind libera circulație a
acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului
 GDPR

Reglementări UE

vizează doar instituţii europene

Regulamentul (CE) nr. 45/2001 al Parlamentului

European și al Consiliului din 18 decembrie
2000privind protecția persoanelor fizice cu
privire la prelucrarea datelor cu caracter
personal de către instituțiile și organele
comunitare și privind libera circulație a acestor
date

Legislaţie specifică
EUROPOL
EUROJUST
 GDPR

Istoric reglementări UE

instituţii UE - Regulamentul 45/2001 Regulament EUROPOL

Regulament EUROJUST

PILONUL III (JAI) PILONUL I (COMUNITAR)

Decizia cadru 2008/977/JAI Directiva 95/46/CE

Convențía STE 108 Directiva 58/2002/CE

Recomandarea (87) 15
Directiva 136/2009/CE

• Decizia 2008/615/JAI (PRUM)

• Decizia 2006/960/JAI
• Decizia 2007/533/JAI (SIS II)
 GDPR

Legislatie nationala

Constituţia României, republicată

Art.26

Viata intima, familială şi privată

(1) Autorităţile publice respectă şi ocrotesc viata intimă,
familială şi privată.
(2) Persoana fizică are dreptul să dispună de ea însăşi, dacă nu
încalcă drepturile şi libertăţile altora, ordinea publică sau bunele
moravuri.
 GDPR

Legislatie nationala

Legea nr. 102/2005 privind înfiinţarea, organizarea şi

funcţionarea Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal.

proiect de lege pentru modificare și completare pe

websitul MAI
 GDPR

Legislatie nationala

LEGEA nr. 506/2004 privind prelucrarea datelor cu caracter

personal şi protecţia vieţii private în sectorul comunicaţiilor
electronice, cu modificările şi completările ulterioare

• OuG nr.13/2012
• Legea nr.82/2012
 GDPR

Sistemul institutional european in materia protectiei datelor cu caracter persona

EDPS

Autoritatea Europeană pentru Protecţia Datelor

Scop
garantarea respectării dreptului fundamental la protecţia datelor cu caracter
personal de către instituţiile şi organismele UE

- opinii
- controale
- verificări prealabile
- rezolvarea plângerilor
 GDPR

Regulamentul (UE) 2016/679

state membre Directiva (UE) 2016/680
Directiva 2002/58/CE
autorități naționale de supraveghere DPA s

Comitetul european pentru European Data

protecția datelor Protection Board

Autoritatea Europeană pentru

Protecția Datelor EDPS Europol
Consiliul UE
Regulamentul (CE) nr. 45/2001 EU-LISA
Parlamentul
European Banca
Comisia Europeană de
Europeană Comitetul Investiții
Banca Central
Curtea de Comitetul European al
Europeană
Conturi Economic și Regiunilor
Social
 GDPR

Sistemul institutional european in materia protectiei datelor cu caracter persona

GL art.29 Grupul de lucru pentru protecția persoanelor în ceea ce

EDPB
priveşte prelucrarea datelor cu caracter personal
Instituit în baza art.68
art.29 GDPR
din Directiva 95/46/CE
•organ al Uniunii
caracter și are personalitate juridică
consultativ
•alcătuit
Acționează independent
din șeful unei autorități de supraveghere din fiecare stat
membru și din Autoritatea Europeană pentru Protecția Datelor
Constituit din: un reprezentant al autorității sau al autorităților
Comisia are dreptul de adesemnate
de supraveghere participa la activitățile
de fiecare și reuniunile comitetului
stat membru, fără
dintr-un
a avea drept de votal autorității sau al autorităților create pentru
reprezentant
instituțiile
Comitetul şi organismele
acționează independentcomunitare și dintr-un reprezentant
al Comisiei
emite orientări, recomandări și bune practici
 GDPR

Sistemul institutional european in materia protectiei datelor cu caracter persona

Comitetul art.31
Articolul 93 GDPR

Constituit dinasistată
Comisia este reprezentanți ai statelor membre şi prezidat de un reprezentant
de un comitet
al Comisiei
Regulamentul (UE) nr. 182/2011
Avizează deciziile Comisiei
 GDPR

Sistemul institutional
ANSPDCP www.dataprotection.ro
Autoritatea Naţională de
Supraveghere a Autoritate publică
Prelucrării Datelor cu
Caracter Personal -Autonomă şi independentă faţă de orice altă autoritate a administraţiei
publice centrale ori persoană fizică sau juridică

Independenţa preşedintele este ales de către Senat pentru un mandat de 5 ani

- are buget propriu

apărarea drepturilor şi libertăţilor fundamentale ale persoanelor

Scop & activitate fizice, în special a dreptului la viata intima, familială şi privată, în
legătură cu prelucrarea datelor cu caracter personal şi cu libera
circulaţie a acestor date

supraveghează şi controlează legalitatea prelucrării datelor cu

caracter personal
 GDPR

Dezbateri

GDPR
 GDPR

fundamente

GDPR – (Regulamentul General privind Protecția Datelor) – terminologie si fundament

GDPR – principiile prelucrării

GDPR – temeiul legal al prelucrarii

GDPR – consimțământul (obtinere/revocare, consimțământ informat)

GDPR – categorii speciale de date

 GDPR

scop: să cunosc spiritul GDPR

Regulamentul (UE) 2016/679 al Parlamentului

European şi al Consiliului din 27 aprilie 2016
privind protecţia persoanelor fizice în ceea ce
privește prelucrarea datelor cu caracter personal şi
privind libera circulaţie a acestor date și de
abrogare a Directivei 95/46/CE
(Regulamentul General privind Protecția Datelor - RGPD)

este un REGULAMENT
GDPR
 GDPR

REGULAMENT
ART. 288 TFUE

Regulamentul are aplicabilitate generală. Acesta este obligatoriu în

toate elementele sale și se aplică direct în fiecare stat membru.

Regulamentul este un act legislativ cu caracter

obligatoriu. Trebuie aplicat în integralitatea sa, în toate
statele membre.

Directiva este obligatorie pentru fiecare stat membru destinatar cu

privire la rezultatul care trebuie atins, lăsând autorităților naționale
competența în ceea ce privește forma și mijloacele.
 GDPR

Protectia datelor cu caracter personal

Regulamentul
General privind
Protectia Cum? echilibru doar in spatiul UE
Datelor
 GDPR

Protectia datelor cu caracter personal

≠
= Securitatea datelor
Necesitate

Proporționalitate

Transparență

Responsabilitate
 GDPR

Protecția datelor cu caracter personal în cadrul entităţii

măsuri organizatorice

măsuri tehnice
crearea unei
consiliere culturi
organizaționale
instruire

audit
 GDPR

terminologie

date cu caracter personal

orice informaţie
privind
o persoana fizică
identificată sau identificabilă;

o persoană fizică identificabilă este o persoană care poate fi

identificată, direct sau indirect, in special prin referire la un element
de identificare, cum ar fi un nume, un număr de identificare, date
de localizare, un identificator online, sau la unul sau mai multe
elemente specifice, proprii identității sale fizice, fiziologice, genetice,
psihice, economice, culturale sau sociale
 GDPR

terminologie

creare de profiluri
orice formă de prelucrare automată a datelor cu caracter personal care constă în
utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale
referitoare la o persoană fizică,

în special pentru a analiza sau prevedea aspecte privind

performanța la locul de muncă,
situația economică,
sănătatea,
preferințele personale,
interesele,
fiabilitatea,
comportamentul,
locul în care se află persoana fizică respectivă sau deplasările acesteia;
 GDPR

terminologie

pseudonimizare

prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea

să nu mai poată fi atribuite unei anume persoane vizate

fără a se utiliza informații suplimentare,

cu condiția ca aceste informații suplimentare să fie stocate separat

și să facă obiectul unor măsuri de natură tehnică și organizatorică
care să asigure neatribuirea respectivelor date cu caracter personal
unei persoane fizice identificate sau identificabile;
 GDPR

terminologie

consimțământ

orice manifestare de voință

liberă,
specifică,
informată și
lipsită de ambiguitate

a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o
acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie
prelucrate;
 GDPR

terminologie
Operator

persoana fizică sau juridică, autoritatea publică,

agenția sau alt organism care
- singur sau împreună cu altele,
1. stabileşte scopurile şi
2. mijloacele de prelucrare a datelor cu caracter
personal

atunci când scopurile și mijloacele prelucrării sunt stabilite prin

dreptul Uniunii sau dreptul intern, operatorul sau criteriile
specifice pentru desemnarea acestuia pot fi prevăzute în dreptul
Uniunii sau în dreptul intern
 GDPR

legalitatea prelucrarilor

Art.6 persoana vizată și-a dat consimțământul pentru prelucrarea datelor

sale cu caracter personal pentru unul sau mai multe scopuri specifice
Regulament
prelucrarea este necesară pentru executarea unui contract la care
UE 2016/679
persoana vizată este parte sau pentru a face demersuri la cererea
- persoanei vizate înainte de încheierea unui contract
prelucrarea este necesară în vederea îndeplinirii unei obligații
legale care îi revine operatorului
prelucrarea este necesară pentru a proteja interesele vitale ale
Se aplică persoanei vizate sau ale altei persoane fizice
direct fără a prelucrarea este necesară pentru îndeplinirea unei sarcini care
mai fi servește unui interes public sau care rezultă din exercitarea
necesare autorității publice cu care este învestit operatorul
măsuri de prelucrarea este necesară în scopul intereselor legitime urmărite
transpunere de operator sau de o parte terță, cu excepția cazului în care
prevalează interesele sau drepturile și libertățile fundamentale ale
naționale
persoanei vizate, care necesită protejarea datelor cu caracter
personal, în special atunci când persoana vizată este un copil
 GDPR

Legalitatea prelucrării
Regulamentul UE 2016/679 (art.6)
a) consimţământul persoanei vizate
b) executarea unui contract
c) obligaţie legală a operatorului
d) interes vital
e) interes public sau prerogative de autoritate
f) interes legitim / proporţional cu interesul persoanei vizate
 GDPR

Principiile prelucrarii
Legea nr.677/2001
datele cu caracter personal trebuie sa fie:

- colectate in scopuri determinate, explicite si legitime

Directiva 95/46/CE
datele cu caracter personal trebuie sa fie:

- colectate în
scopuri determinate, explicite și legitime și
să nu mai fie prelucrate ulterior într-un mod incompatibil
cu aceste scopuri
 GDPR
Regulamentul (UE) 2016/679

principiile prelucrării
prelucrate în mod legal, echitabil și transparent față de
persoana vizată

colectate în scopuri determinate, explicite și

legitime și nu sunt prelucrate ulterior într-un mod
incompatibil cu aceste scopuri

adecvate, relevante și limitate la ceea ce este necesar în

raport cu scopurile în care sunt prelucrate

exacte și, în cazul în care este necesar, să fie actualizate

păstrate într-o formă care permite identificarea persoanelor

vizate pe o perioadă care nu depășește perioada necesară
îndeplinirii scopurilor în care sunt prelucrate datele

prelucrate într-un mod care asigură securitatea adecvată a

datelor cu caracter personal, inclusiv protecția împotriva
prelucrării neautorizate sau ilegale și împotriva pierderii, a
distrugerii sau a deteriorării accidentale, prin luarea de măsuri
tehnice sau organizatorice corespunzătoare
 GDPR

Regulamentul (UE) 2016/679

principiile prelucrării

legal, echitabil și transparent („legalitate, echitate și transparență”)

scopuri determinate, explicite și legitime și nu sunt
prelucrate ulterior („limitări legate de scop”)
adecvate, relevante și limitate („reducerea la minimum a datelor”)
exacte și ...actualizate („exactitate”)
perioadă de păstrare limitată („limitări legate de stocare”)
securitatea adecvată („integritate și confidențialitate”)

Operatorul este responsabil de respectarea principiilor și

poate demonstra această respectare („responsabilitate”).
 GDPR

Principiile prelucrarii (limitari legate de scop)

Regulamentul UE 2016/679 (art.5 lit.b)
Datele cu caracter personal sunt:
colectate în scopuri determinate, explicite și
legitime și nu sunt prelucrate ulterior într-un
mod incompatibil cu aceste scopuri

prelucrarea ulterioară în scopuri privilegiate (arhivare in

interes public, cercetare istorica sau stiintifica ori in scopuri
statistice) nu este considerata incompatibila
(garanții instituite potrivit art.89)
 GDPR

Legalitatea prelucrarii
Regulamentul UE 2016/679 (art.6)
consimtamantul persoanei vizate
executarea unui contract
obligatie legala a operatorului
interes vital
interes public sau prerogative de autoritate publică (!!)
interes legitim

Prelucrarea in alt scop (art.6 alin.4)

nu se poate baza pe : consimtamantul persoanei vizate
dispozitie legala
trebuie să se bazeze pe acelasi temei juridic ca si prelucrarea initiala
scopuri privilegiate
 GDPR

Prelucrarea in alt scop

elemente de compatibilitate (art.6 alin.4)
orice legătură dintre scopuri

contextul în care datele cu caracter personal au fost colectate,

în special în ceea ce privește relația dintre persoanele vizate și
operator
natura datelor cu caracter personal, în special în cazul
prelucrării unor categorii speciale de date
posibilele consecințe asupra persoanelor vizate ale prelucrării
ulterioare preconizate
existența unor garanții adecvate, care pot include criptarea sau
pseudonimizarea
 GDPR
Regulamentul (UE) 2016/679

consimțământul

operatorul trebuie să fie în măsură să demonstreze că persoana vizată

și-a dat consimțământul pentru prelucrarea datelor sale cu caracter
personal

consimțământul trebuie să fie prezentată într-o formă care o diferențiază în

mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă,
utilizând un limbaj clar și simplu

persoana vizată are dreptul să își retragă în orice moment

consimțământul
înainte de acordarea consimțământului, persoana vizată este
informată cu privire la acest lucru.
retragerea consimțământului se face la fel de simplu ca
acordarea acestuia.
 GDPR
Regulamentul (UE) 2016/679

consimțământul

consimțământul este dat în mod liber

se ține seama cât mai mult de faptul că, printre altele, executarea unui
contract, inclusiv prestarea unui serviciu, este condiționată sau nu de
consimțământul cu privire la prelucrarea datelor cu caracter personal care
nu este necesară pentru executarea acestui contract
 GDPR

categorii speciale de date cu caracter personal

date cu caracter personal care dezvăluie

originea rasială sau etnică,
opiniile politice,
confesiunea religioasă sau convingerile filozofice
apartenența la sindicate

prelucrarea de
date genetice,
date biometrice pentru identificarea unică a unei persoane fizice
date privind sănătatea
date privind viața sexuală sau orientarea sexuală ale unei
persoane fizice
 GDPR

categorii speciale de date cu caracter personal

excepții
consimțământul explicit pentru prelucrarea acestor date cu caracter personal
pentru unul sau mai multe scopuri specifice
cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția

îndeplinirea obligațiilor și al exercitării unor drepturi specifice ale operatorului sau

ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale
și protecției sociale
dacă este prevăzut de dreptul UE sau național
ori acord colectiv de munca cu instituirea unor garanții

protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice,
atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da
consimțământul
 GDPR

categorii speciale de date cu caracter personal

excepții
activități legitime și cu garanții adecvate ale unei fundații, asociații sau orice alt
organism fără scop lucrativ și cu specific politic, filozofic, religios sau sindical
prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau
la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și
ca datele cu caracter personal să nu fie comunicate terților fără consimțământul persoanelor vizate;

date cu caracter personal care sunt făcute publice în mod manifest de către
persoana vizată

prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui

drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției
lor judiciare
 GDPR

categorii speciale de date cu caracter personal

excepții

interes public major, în baza dreptului Uniunii sau a dreptului intern, care este
proporțional cu obiectivul urmărit,
respectă esența dreptului la protecția datelor și
prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor
fundamentale și a intereselor persoanei vizate

medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului,

de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau
socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor
de sănătate sau de asistență socială
în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical
sunt prelucrate de către un profesionist supus obligației de păstrare a secretului profesional sau sub
responsabilitatea acestuia sau de o altă persoană supusă acestor obligații
 GDPR

categorii speciale de date cu caracter personal

excepții

interes public în domeniul sănătății publice, în temeiul dreptului Uniunii sau al

dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea
drepturilor și libertăților persoanei vizate, în special a secretului profesional

arhivare în interes public, în scopuri de cercetare științifică sau istorică ori

în scopuri statistice,
în baza dreptului Uniunii sau a dreptului intern,

care este proporțional cu obiectivul urmărit,

respectă esența dreptului la protecția datelor și
prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și
a intereselor persoanei vizate
 GDPR

Dezbateri
 GDPR

întrebări?

sfârșitul primei zile

 GDPR

Conformitatea cu Regulamentul (UE) 2016/679

etape de considerat
1. conştientizare
2. audit identificarea prelucrărilor de date / inventarul datelor
identificarea fluxurilor de date
separarea fluxurilor funcţionale / administrative
3. identificarea politicilor / procedurilor interne şi reevaluare
determinarea responsabilitatilor – imputerniciti / destinatari / alti operatori
4. determinarea/stabilirea bazei legale pentru fiecare prelucrare şi catalogare
5. consimtamantul
6. date referitoare la minori
 GDPR

Conformitatea cu Regulamentul (UE) 2016/679

etape de considerat

7. evaluarea riscurilor de securitate/politica de raspuns la incidente de securitate

8. Data Protection by design / data protection by default

9. drepturile persoanei vizate

10. DPO
11. DPIA – evaluarea impactului
12. transferul de date cu caracter personal catre state terte