Riscul de Conformitate cu cerinţele GDPR

partea a-1-a
Facultatea de Științe Juridice și Științe Economice Constanța
Programul de studii universitare de masterat: CEA

Disciplina: Control financiar și audit intern

SEMINAR - 13.05.2020

Conf.univ.dr. Liana Elefterie

13.05.2020
 Ce este GDPR?
Abrevierea :
GENERAL DATA PROTECTION REGULATION

PROTECȚIA DATELOR CU CARACTER PERSONAL

 SUPORTUL LEGAL

• GDPR - Regulamentul (UE) 2016/679 al Parlamentului

European și al Consiliului din 27 aprilie 2016;
• Legea 129/2018 privind înființarea, organizarea și
funcționarea Autorității Naționale de Supraveghere a
Prelucrării Datelor cu Caracter Personal
GDPR a fost adoptată la data de 27 aprilie 2016, a intrat în
vigoare pe 24 mai 2016, se aplică direct începând cu 25 mai 2018
și prevede:
protecţia persoanelor fizice- în ceea ce privește prelucrarea
datelor cu caracter personal;
libera circulaţie a acestor date;
Abrogarea Directivei 95/46/CE (Regulamentul general privind
protecţia datelor);
 Legea 129/2018
privind înființarea, organizarea și
funcționarea Autorității Naționale de
Supraveghere a Prelucrării Datelor cu
Caracter Personal
(Monitorul Oficial - Partea I nr. 503/19 iunie 2018)
ANSPDCP - autoritatea publică centrală autonomă
modifică și completează Legea nr. 102/2005 privind înființarea,
organizarea și funcționarea Autorității Naționale de Supraveghere a
Prelucrării Datelor cu Caracter Personal,
abrogă Legea nr. 677/2001 pentru protecția persoanelor cu privire la
prelucrarea datelor cu caracter personal și libera circulație a acestor date.
DEFINIȚII
 Date cu caracter personal =
orice informații cu privire la o persoană fizică identificată
sau identificabilă
 Exemple:

Nume, prenume,
adresa,
CNP,
serie și număr CI

CI

e-mail
VENIT

DATE BIOMETRICE

IMAGINE
Adresă IP

DATE MEDICALE
 Orice alte informații
cu privire la o persoană fizică identificată sau identificabilă
 domeniu f. f. vast, greu de precizat într-o listă exaustivă a
datelor cu caracter personal RISC
 Operator
entitatea care stabilește scopul și mijloacele
prelucrării datelor
 Împuternicit =
entitatea care prelucrează datele în numele
operatorului
Persoana vizată:

orice persoană fizică în viață.


Regulamentul nu se aplică și datelor privitoare la

persoanele decedate.
 Prelucrarea datelor =
orice operațiune aferentă datelor personale:
colectarea, înregistrarea, organizarea, structurarea,
stocarea, consultarea etc.
 CE SUNT DATELE CU
CARACTER PERSONAL
SPECIALE?
 Originea rasială sau etnică
date genetice, biometrice
pentru identificarea unică a
unei persoane fizice
Datele medicale;
Datele cu privire la viața sexuală;
Convingerile politice, religioase, filozofice, etc.
Datele speciale pot fi prelucrate doar în condiții foarte stricte:
date privitoare la fapte penale sau contravenții

Stabilește scopul și
mijloacele prelucrării
E obligat să contracteze doar
cu împuterniciții care au
garanții de confidențialitate
și securitate
Are majoritatea obligațiilor
impuse de Regulament
OPERATOR SAU ÎMPUTERNICIT?
• NU este un raport
de muncă
Are acces la datele personale ale
• Relație contractuală
operatorului, dar le prelucrează doar în
externalizată: numele și conform instrucțiunilor
- agenții de marketing, operatorului
- contabili,
- avocați, Este subordonat operatorului și are
obligația de a nu se abate de la instrucțiuni
- furnizori de servicii
IT,
- furnizori de servicii Are obligații precum: a se asigura de
de monitorizare video securitate, a nu contracta cu un alt
subîmputernicit fără acordul operatorului, a
raporta un incident de securitate
 RISC:Pentru încălcarea obligațiilor,
împuternicitul poate fi amendat de Autoritate!
 6 PRINCIPII ALE PRELUCRĂRII DATELOR
1. Legalitate, echitate și transparență
Datele sunt prelucrate în mod legal, echitabil și transparent
faţă de persoana vizată.
2. Limitare la scop
Datele sunt colectate în scopuri determinate, explicite și
legitime și nu sunt prelucrate ulterior într-un mod incompatibil
cu aceste scopuri.
3. Reducerea la minimum a datelor
Datele sunt adecvate, relevante și limitate la ceea ce este
necesar în raport cu scopurile în care sunt prelucrate.
 6 PRINCIPII ALE PRELUCRĂRII DATELOR
4. Exactitate
Datele sunt exacte și, în cazul în care este necesar, sunt
actualizate.
5. Limitări legate de stocare
Datele nu trebuie păstrate mai mult decât e necesar.
6. Securitate și confidențialitate
Datele sunt prelucrate într-un mod care asigură securitatea
adecvată.
Cele șase principii trebuie respectate simultan!
 Ce drepturi are persoana vizată?
Dreptul la informare
Persoana vizată are dreptul de a fi informată asupra tuturor aspectelor
enumerate anterior.
Dreptul de acces la date
Persoana vizată are dreptul de a obține din partea operatorului o confirmare
că se prelucrează sau nu date cu caracter personal care o privesc și, în caz
afirmativ, are dreptul de acces la datele respective.
Dreptul la rectificare
Persoana vizată are dreptul de a obține de la operator, fără întârzieri
nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc.
Ținându-se seama de scopurile în care au fost prelucrate datele, are dreptul de a
obține completarea datelor cu caracter personal, care sunt incomplete, inclusiv
prin furnizarea unei declarații suplimentare.
 Ce drepturi are persoana vizată?
Dreptul la ștergerea datelor în următoarele cazuri:
datele nu mai sunt necesare pentru îndeplinirea scopurilor
stabilite;
s-a retras consimțământul și nu există un alt temei juridic
pentru prelucrare;
persoana se opune prelucrării și nu există motive legitime care
să prevaleze în ceea ce privește prelucrarea lor;
datele cu caracter personal au fost prelucrate ilegal, persoana
are dreptul de a obține ștergerea datelor care o privesc, fără
întârzieri nejustificate.
 Ce drepturi are persoana vizată?
Dreptul la restricționarea prelucrării în următoarele cazuri:
contestă exactitatea datelor, pentru o perioadă care permite
operatorului să verifice exactitatea datelor;
prelucrarea este ilegală, iar persoana se opune ștergerii datelor cu
caracter personal, solicitând în schimb restricționarea utilizării lor;
nu mai este nevoie de datele cu caracter personal în scopul prelucrării,
dar persoana le solicită pentru constatarea, exercitarea sau apărarea
unui drept în instanță;
persoana s-a opus prelucrării în conformitate cu articolul 21 alin. (1)
din GDPR, pentru intervalul de timp în care se verifică dacă interesele
legitime ale operatorului prevalează asupra drepturilor persoanei.
 Ce drepturi are persoana vizată?

Dreptul la opoziție
Persoana vizată are dreptul de a se opune în orice moment la prelucrarea
datelor cu caracter personal. Operatorul va da curs cererii, cu excepția
cazului în care prevalează interesele legitime ale sale sau că scopul este
constatarea, exercitarea sau apărarea unui drept în instanță.
Nu are acest drept în cazul în care decizia
este autorizată prin dreptul Uniunii Europene sau dreptul intern care
se aplică operatorului și care prevede măsuri corespunzătoare pentru
protejarea drepturilor, libertăților și intereselor legitime ale persoanei
vizate.
Drepturile nu sunt absolute și există excepții.
 CÂND SE IMPUNE REALIZAREA UNUI STUDIU DE
IMPACT?

“în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea
noilor tehnologii, este susceptibil să genereze un risc ridicat pentru
drepturile și libertățile persoanelor fizice”.
În situația unui incident de securitate, operatorul este obligat să
notifice de urgență Autoritatea de Supraveghere, de regulă, în cel mult
72 ore. Prin notificare trebuie descris în amănunt incidentul,
consecințele probabile și măsurile luate pentru remedierea problemei.
Incidente de securitate majore, cu risc foarte ridicat, în etapa
pe care o parcurgem, care vor trebui evaluate de auditorul
intern sunt: Covid19 și atacurile cibernetice.
Tema de studiu: GDPR și COVID 19
Bibliografie:
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016;
Legea 129/2018 privind înființarea, organizarea și funcționarea Autorității Naționale de
Supraveghere a Prelucrării Datelor cu Caracter Personal