Protectia datelor cu

caracter personal
Agenda
■ Sesiunea 1: principiile si temeiurile prelucrarii,
drepturile persoanei vizate, obligatiile
operatorilor, obligatiile imputernicitilor, sanctiuni

■ Sesiunea 2: cum se asigura conformarea cu

RGPD (evaluare de impact, certificarea, codul
de conduita), transferul datelor, responsabilul
pentru protectia datelor, mecanismul de
coerenta, sanctiuni
■ Regulamentul 2016/679 privind protecţia persoanelor fizice în
ceea ce priveşte prelucrarea datelor cu caracter personal şi
libera circulaţie a acestor date

■ Directiva 95/46/CE privind protecţia persoanelor fizice în ceea

ce priveşte prelucrarea datelor cu caracter personal şi libera
circulaţie a acestor date
Regulamentul General pentru Protectia Datelor (1)

▪ Regulamentul nr. 679 din 27 aprilie 2016 privind protectia

persoanelor fizice in ceea ce priveste prelucrarea datelor cu
caracter personal si privind libera circulatie a acestor date si
de abrogare a Directivei 95/46/CE (Regulamentul General
pentru Protectia Datelor)

▪ Aplicare: 25 mai 2018

▪ Aplicare DIRECTA in statele membre

▪ Abroga Directiva 95/46/CE

Regulamentul General pentru Protectia Datelor (2)

■ Necesitate:

➢ pentru actualizarea cadrului normativ european aplicabil in

domeniul protectiei datelor cu caracter personal;

➢ pentru o abordare armonizata in cadrul Uniunii Europene.

Regulamentul General pentru Protectia Datelor (3)

■ Pachet legislativ in domeniul protectiei datelor cu

caracter personal:
➢ Regulamentul General pentru Protectia Datelor
➢ Directiva (UE) 2016/680 din 27 aprilie 2016 privind protectia
persoanelor fizice referitoare la prelucrarea datelor cu caracter
personal de catre autoritatile competente in scopul prevenirii,
depistarii, investigarii sau urmaririi penale a infractiunilor sau al
executarii pedepselor si privind libera circulatie a acestor date
■ Acte normative cu caracter special in curs de elaborare:
➢ Regulamentul 45/2001 privind prelucrarea datelor personale de
catre institutiile comunitare;
➢ Propunerea de regulament e-Privacy (respectarea vietii
private si a datelor cu caracter personal in sectorul
comunicatiilor electronice)
Regulamentul General pentru Protectia Datelor (4)

■ Ghiduri pentru interpretarea si aplicarea RGPD elaborate de Grupul de

Lucru Art. 29
➢ Emise:
✓ Ghid cu privire la Portabilitatea datelor
✓ Ghid cu privire la responsabilul pentru protectia datelor (DPO)
✓ Ghid cu privire la stabilirea Autoritatii de supraveghere principala
✓ Ghid cu privire la Evaluarea de Impact asupra Protectiei Datelor
(DPIA)
✓ Ghid cu privire la profilare
✓ Ghid cu privire la notificarea incalcarilor de securitate
➢ In curs de emitere:
❖ Ghid cu privire la consimtamant
❖ Ghid cu privire la transparenta
Protectia datelor: termeni si definitii (1)

Operator Date cu
Date cu caracter
caracter special
personal

Imputernicit
Prelucrare Reprezentant
Protectia datelor: termeni si definitii (2)
Date cu caracter personal
Orice informatii privind o persoana
fizica identificata sau identificabila
(persoana vizata), direct sau indirect,
cum ar fi nume, prenume, numar de
identificare, date de geolocalizare,
identificator online (adresa IP, cookie
IP) si orice elemente specifice
identitatii sale fizice, fiziologice,
genetice, psihice, economice, culturale
sau sociale
Date cu caracter special
date privind originea etnica sau rasiala
date privind opiniile politice
date privind confesiunea religioasa
sau convingerile filozofice
apartenenta la sindicate
date genetice, data biometrice
date privind sanatatea
date privind viata sexuala sau
orientarea sexuala
Protectia datelor: termeni si definitii (3)

operatiune
set de operatiuni
colectarea inregistrarea organizarea
structurarea stocarea
Prelucrare adaptarea sau modificarea extragerea
consultarea utilizarea
divulgarea prin transmitere
diseminarea sau punerea la dispozitie prin orice alt mod
alinierea sau combinarea restrictionarea
stergerea sau distrugerea
Protectia datelor: termeni si definitii (4)
Operator
Persoana fizica sau juridica,
autoritatea publica, agentia sau
al organism care, singur sau
impreuna cu altele, stabileste
scopurile si mijloacele de
prelucrare a datelor cu caracter
personal; atunci cand scopurile
si mijloacele prelucrarii sunt
stabilite prin dreptul Uniunii sau
dreptul intern, operatorul sau
criteriile specifice pentru
desemnarea acestuia pot fi
prevazute in dreptul Uniunii sau
in dreptul intern
Persoana
imputernicita de
operator
Persoana fizica sau juridica,
autoritatea publica, agentia sau
alt organism care prelucreaza
datele cu caracter personal in
numele operatorului
temeiul Regulamentului General
Reprezentant
Persoana fizica sau juridica
stabilita in Uniune, desemnata
in scris de operator sau
persoana imputernicita de
operator, care reprezinta
operatorul sau persoana
imputernicita de operator in
ceea ce priveste obligatiile lor
respective care le revin in
pentru Protectia Datelor
Aplicabilitate materiala

Toate prelucrările de date cu

caracter personal

■ prelucrări efectuate de o
persoană fizică în cadrul unei
activități exclusiv personale
sau domestice
■ prelucrări realizate de
autoritățile competente în
scopul prevenirii și combaterii
infracțiunilor – Directiva
2016/680
Exceptii ■ activități care nu intră sub
incidența dreptului UE
■ activități care intră sub
incidența cap. 2 titlul V din
Tratatul UE
Aplicabilitate teritoriala (1)

RGPD este aplicabil:

■ Prelucrarilor de date personal in cadrul activitatilor unui sediu al unui

operator sau al unui imputernicit pe teritoriu Uniunii
➢ chiar daca prelucrarea nu are loc pe teritoriul Uniunii;
➢ sediul presupune exercitarea unei activiati in mod efectiv si real
indiferent de dimentsiune.

■ Prelucrărilor de date personale ale unor persoane vizate aflate în

Uniune, efectuate de un operator sau împuternicit care nu e stabilit
în Uniune, dacă prelucrarile sunt legate de:
➢ oferirea de bunuri sau servicii către persoane aflate în Uniune
➢ monitorizarea comportamentului persoanelor din Uniune
Aplicabilitate teritoriala (2)

■ Regulamentul se poate aplica unor imputerniciti din afara

Uniunii atunci cand:
➢ incheie un contract cu un operator sau imputernicit care este
stabilit in Uniune
➢ incheie un contract cu un operator sau un imputernicit care nu
este stabilit in Uniune, dar ofera bunuri si servicii/monitorizeaza
comportamentul unor persoane din Uniune.

■ In caz de extrateritorialitate, ca regula, operatorul sau

imputernicitul are obligatia numirii unui reprezentant in
statul membru in care se afla persoanele vizate.
Principiile si temeiurile prelucrarii

■ Orice prelucrare trebuie realizata:

➢ cu respectarea principiilor prelucrarii datelor,

➢ in baza unuia dintre temeiurile expres prevazute de
Regulament General pentru Protectia Datelor,
➢ avand capacitatea de a demonstra respectarea prevederilor
Regulamentului General pentru Protectia Datelor.

■ Prelucrarea datelor fara respectarea principiilor sau fara

existenta unui temei pentru prelucrare poate fi sanctionata cu
amenda (i) pana la 4% din cifra de afaceri globala anuala sau (ii)
pana 20.000.000 EUR, luandu-se in calcul cea mai mare valoare.
Principiile prelucrarii datelor (1)

Legalitate Scop Adecvata,

Echitate determinat Relevanta,
Transparenta Explicit Necesara
Legitim

DEMONSTRAREA CONFORMITATII

Exactitate, Stocare Integritate

Actualitate limitata Confidentialitate
Principiile prelucrarii datelor (2)

■ Modificari aduse de Regulamentul General pentru Protectia Datelor:

➢ principiile sunt actualizate, mai bine definite;
➢ principiul prelucrarii neexcesive este inlocuit cu principiul
prelucrarii limitate la ceea ce este necesar (principiul
minimizarii datelor);
➢ principiul stocarii limitate trebuie vazut prin comparatie cu noul
drept al persoanei vizate – dreptul de a fi uitat;
➢ principiul prelucrarii transparente trebuie avut in vedere de
operatori la definirea si implementarea operatiunilor de
prelucrare;
➢ principiul responsabilitatii (accountability) este introdus;
operatorul nu trebuie numai sa asigure respectarea principiilor,
trebuie sa fie capabil sa dovedeasca faptul ca le respecta.
Temeiurile prelucrarii datelor

Obligatie
Executarea legala a
unui operatorului
contract

Consimtamant
explicit

Interesul
legitim
al operatorului
Interesele
vitale ale
persoanei
vizate
Interes public
Temeiurile prelucrarii datelor cu caracter special

Raporturi de Sanatate
Arhivare, publica
munca
si protectie cercetare,
sociala statistica

Diagnoza
Protejarea si
intereselor Consimtamant tratament
vitale ale expres
medical
persoanei
vizate
Interes
public
Date facute major
Activitati ale publice
Actiuni
organizatiilor de persoana
vizata judiciare
non-profit
(membri)
Conditii – consimtamant valabil (1)

Directiva 95/46 vs. Regulamentul General

■ Consimtamant: ■ Consimtamant:
➢ Orice indicatie libera, ➢ Orice indicatie liber exprimata,
specifica, in cunostinta de specifica, in cunostinta de
cauza si clara; cauza si clara acordata printr-
o declaratie sau o actiune
fara echivoc;

■ Liber exprimat: ■ Liber exprimat:

➢ Desi Directiva nu ofera
informatii cu privire la aceasta
semnificatie, sintagma rezulta
din Opiniile Grupului de Lucru
Articolul 29
➢ Consimtamantul nu este
valabil daca persoana vizata
nu are o alegere reala sau
este in imposibilitatea de a
refuza sau de a-si retrage
consimtamantul cand exista
un dezechilibru intre operator
si persoana vizata.
 Conditii – consimtamant valabil (2)

Directiva 95/46 vs. Regulamentul General

■ In cunostinta de cauza (informat): ■ In cunostinta de cauza (informat):

➢ Directiva nu ofera informatii cu ➢ Operatorul se asigura ca:

privire la aceasta semnificatie;
▪ Foloseste o maniera
inteligibila si usor accesibila,
utilizand un limbaj clar si
simplu;
▪ Informeaza persoana vizata
cel putin cu privire la
identitatea operatorului,
datele de contact ale
responsabilului cu protectia
datelor, dupa caz,
scopul(urile) prelucrarii,
destinatarii datelor, statele
catre care sunt transferate
datele, dupa caz.
 Conditii – consimtamant valabil (3)

Directiva 95/46 vs. Regulamentul General

■ Tacerea nu reprezinta ■ Tacerea nu reprezinta consimtamant:

consimtamant:
➢ Exemplu: absenta unui raspuns,
casuta bifata in prealabil, acceptare
“Silence is not consent” tacita;

■ Metode de obtinere a
■ Metode de obtinere a consimtamantului:
consimtamantului: ➢ Regulamentul recunoaste validitatea
➢ Orice metoda care asigura un unor metode general utilizate;
consimtamant valabil; ➢ Exemplu: bifarea unor casute,
alegerea unor caracteristici ale unor
aplicatii sau orice alta declaratie care
indica in mod clar acordul;
Conditii – consimtamant valabil (4)
Directiva 95/46 vs.
■ Cererea de consimtamant
distincta de orice ale aspecte:
➢ Directiva nu reglementeaza in
mod specific acest aspect;
■ Dovada consimtamantului:
➢ Directiva nu impune in mod
expres operatorului obligatia
de a dovedi obtinerea
consimtamantului;
Regulamentul General
■ Cererea de consimtamant
distincta de orice alte aspecte:
➢ In cazul unei declaratii care se
refera si la alte aspecte,
cererea privind obinerea
consimtamantului trebuie sa
fie prezentata distinct, intr-o
maniera inteligibila, accesibila,
utilizant un limbaj clar si
simplu;
■ Dovada consimtamantului:
➢ Regulamentul prevede in mod
expres ca operatorul trebuie
sa fie capabil sa dovedeasca
obtinerea consimtamantului;
Conditii – consimtamant valabil (5)
Directiva 95/46 vs.
■ Dreptul persoanei vizate de a-si
retrage consimtamantul:
➢ Directiva nu reglementeaza in
mod specicif acest aspect;
Regulamentul General
■ Dreptul persoanei vizate de a-si
retrage consimtamantul:
➢ Regulamentul recunoaste in
mod expres acest drept;
➢ persoana vizata trebuie
informata cu privire la dreptul
de retragere anterior obtinerii
consimtamantului;
➢ dreptul de retragere trebuie sa
poata fi exercitat usor (in
aceeasi maniera in care a fost
acordat);
➢ dupa retragerea
consimtamantului, prelucrarea
poate continua numai daca
exista un alt temei pentru
prelucrare.
Conditii – consimtamant valabil (6)

■ Consimtamantul acordat anterior datei de 25 mai 2018 poate ramane temei

legal pentru prelucrarea datelor cu caracter personal ulterior datei de
aplicare a Regulamentului General pentru Protectia Datelor daca
intruneste conditiile de validitate prevazute de Regulament:

retractabil
limbaj clar si simplu

alegere libera
autentica actiune afirmativa clara

fara dezechilibru distinct de alte aspecte

de forte

pentru orice scop al

pentru orice activitate prelucrarii
de prelucrare
(granular)
Drepturile persoanelor vizate

Lista drepturi (in prezent) Lista drepturi (dupa 25 mai 2018)

Informare (art. 12) Informare (art. 13, art. 14)
Acces (art. 13) Acces (art. 15)
Interventie (art. 14) Rectificare (art. 16, art. 19)
Stergere (art. 17, art. 19)

Restrictionare (art. 18, art. 19)

Portabilitate (art. 20)

Opozitie (art. 15) Opozitie (art. 21)

Decizii automate individuale (art. 17) Decizii automate, profilare (art. 22)
Restrictii (art. 16) Restrictii (art. 23)
Dreptul de informare – sursa directa

✓Identitatea si datele de contact ale operatorului

✓Datele de contact ale DPO
✓Scopurile, temeiul juridic, interesul legitim urmarit
1

✓Destinatarii, detalii privind un eventual transfer

✓Perioada de stocare (criteriile utilizate)

✓Existenta drepturilor de acces, rectificare, stergere, opozitie,
restrictionarea prelucrarii, portabilitatea datelor, a dreptului de
retragere a consimtamantului, de a depune o plangere
✓Daca furnizarea datelor decurge dintr-o obligatie legala sau
2

contractuala si care sunt consecintele refuzului

✓Existenta unui proces decizional, crearea de profiluri, logica
utilizata,
importanta si efectele unei astfel de prelucrari

✓Scopul prelucrarii ulterioare

3

✓Informatiile de la punctul 2
Dreptul de informare – sursa indirecta
✓Identitatea si datele de contact ale operatorului
✓Datele de contact ale DPO
✓Scopurile, temeiul juridic
1

✓Categorii de date
✓Destinatarii, detalii privind un eventual transfer

✓Perioada de stocare (criteriile utilizate)

✓Existenta drepturilor de acces, rectificare, stergere, opozitie,
restrictionarea prelucrarii, portabilitatea datelor, a dreptului de
retragere a consimtamantului, de a depune o plangere
✓Sursa datelor
2

✓Daca furnizarea datelor decurge dintr-o obligatie legala sau

contractuala si care sunt consecintele refuzului
✓Existenta unui proces decizional, crearea de profiluri, logica
utilizata,
importanta si efectele unei astfel de prelucrari

✓Scopul prelucrarii ulterioare

3

✓Informatiile de la punctul 2
Dreptul de informare – exceptii

■ Sursa directa
➢ Persoana detine deja informatiile
■ Sursa indirecta
➢ Persoana detine deja informatiile
➢ Furnizarea se dovedeste imposibila sau implica eforturi
disproportionate (in special arhivare, cercetare sau statistica)
➢ In masura in care obligatia este susceptibila sa faca imposibila
sau sa afecteze in mod grav realizarea obiectivelor prelucrarii
respective
▪ cu conditia de a lua masuri adecvate pentru a proteja
drepturile, libertatile si interesele legitime ale persoanei vizate,
inclusiv punerea informatiilor la dispozitia publicului
➢ Obtinerea sau divulgarea este prevazuta de dreptul UE/intern
➢ Respectarea confidențialității conform unei obligații statutare/legale de
păstrare a secretului
Pictograma informare
 Dreptul de acces
■ Confirmare ca sunt sau nu prelucrate datele
■ Acces la date si la urmatoarele informatii:
➢ scopurile prelucrarii
➢ categoriile de date
➢ destinatarii, inclusiv din state/organizatii internationale terte
➢ perioada de stocare (criteriile utilizate)
➢ existenta drepturilor de acces, rectificare, stergere, opozitie, restrictionare,
portabilitate, a dreptului de retragere a consimtamantului, de a depune
plangere
➢ sursa de colectare a datelor
➢ existenta unui proces decizional, crearea de profiluri, logica utilizata,
importanta si efectele unei astfel de prelucrari
➢ garantiile ce insotesc un eventual transfer
■ Copie a datelor prelucrate
■ Copii ulterioare - taxa rezonabila (costuri administrative)

LIMITE
Furnizarea copiei sa nu aduca atingere drepturilor si libertatilor altor persoane
Dreptul la rectificare

■ Rectificarea datelor cu caracter personal inexacte care

o privesc, fara intarzieri nejustificate

■ Completarea datelor cu caracter personal care sunt

incomplete, inclusiv prin furnizarea unei declaratii
suplimentare
Dreptul la stergere (“dreptul de a fi uitat”) (1)

■ Stergerea datelor, fara intarzieri nejustificate, daca:

➢ datele nu mai sunt necesare pentru indeplinirea scopurilor
➢ persoana vizata isi retrage consimtamantul
➢ persoana se opune prelucrarii si nu exista motive de prevalenta
a intereselor operatorului
➢ datele au fost prelucrate ilegal
➢ datele trebuie sterse conform obligatiilor dreptului Uniunii/intern
➢ datele au fost furnizate in legatura cu oferirea de servicii ale
societatii informationale

■ Informarea operatorilor care prelucreaza datele în legatura cu

cererea persoanei vizate de stergere a unor linkuri, copii sau
reproduceri, daca datele au fost publicate (masuri rezonabile,
inclusiv tehnice)
Dreptul la stergere (“dreptul de a fi uitat”) (2)

EXCEPTII

Prelucrarea este necesara pentru:

➢ exercitarea dreptului la libera exprimare si la informare

➢ respectarea unei obligatii legale conform dreptului Uniunii/intern
ori a unei sarcini publice/autoritati oficiale
➢ motive de interes public in domeniul sanatatii publice
➢ scopuri de arhivare in interes public, in scopuri de cercetare
stiintifica sau istorica ori in scopuri statistice, in masura in care
dreptul la stergere este susceptibil sa faca imposibila sau sa
afecteze in mod grav realizarea obiectivelor prelucrarii
respective
➢ constatarea, exercitarea sau apararea unui drept in instanta
Dreptul la restrictionare (1)

■ Marcarea datelor cu caracter personal stocate cu scopul de a

limita prelucrarea viitoare a acestora

SITUATII
➢ se contesta exactitatea datelor, pentru o perioada care ii permite
operatorului sa verifice exactitatea datelor
➢ prelucrarea este ilegala, iar persoana vizata se opune stergerii
datelor cu caracter personal, solicitand in schimb restrictionarea
utilizarii lor
➢ operatorul nu mai are nevoie de datele cu caracter personal in
scopul prelucrarii, dar persoana vizata i le solicita pentru
constatarea, exercitarea sau apararea unui drept in instanta
➢ persoana vizata s-a opus prelucrarii, pentru intervalul de timp in
care se verifica daca drepturile legitime ale operatorului
prevaleaza asupra celor ale persoanei vizate
Dreptul la restrictionare (2)

LIMITE

Prelucrare posibila pe perioada restrictionarii:

✓ cu consimtamantul persoanei vizate
✓ pentru constatarea, exercitarea sau apararea unui
drept in instanta
✓ pentru protectia drepturilor unei alte persoane fizice
sau juridice
✓ din motive de interes public important al Uniunii sau al
unui stat membru
Dreptul la portabilitate

■ Primirea datelor (si) transmiterea catre alt operator, intr-un format

structurat, utilizat in mod curent si care poate fi citit automat,
interoperabil
■ Conditii de exercitare:
✓ datele privesc solicitantul (persoana vizata)
✓ datele au fost furnizate de persoana vizata
✓ prelucrarea se bazeaza pe consimtamant/contract
✓ prelucrarea se efectueaza prin mijloace automate

LIMITE
■ prelucrarea necesara pentru indeplinirea unei sarcini executate in
interes public sau in cadrul exercitarii unei autoritati oficiale cu care
este investit operatorul
■ nu aduce atingere drepturilor si libertatilor altora
Dreptul la opozitie

■ Opozitia fata de prelucrarea datelor si crearea de profiluri, din motive

legate de situatia particulara in care se afla persoana vizată / marketing
direct
■ Conditii suplimentare:
➢ informare cu privire la existenta acestui drept in mod explicit, prezentat
in mod clar si separat de orice alte informatii, cel tarziu in momentul
primei comunicari cu persoana vizata

LIMITE
■ motive legitime si imperioase care justifica prelucrarea si care prevaleaza
asupra intereselor, drepturilor si libertăatilor persoanei vizate
■ scopul este constatarea, exercitarea sau apararea unui drept in instanta
■ in scopuri de cercetare stiintifica sau istorica sau in scopuri statistice,
prelucrarea este necesara pentru indeplinirea unei sarcini din motive de
interes public
Proces decizional individual automatizat, inclusiv
crearea de profiluri

■ Dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea

automata, inclusiv crearea de profiluri, care produce efecte juridice care
privesc persoana vizata sau o afecteaza in mod similar intr-o masura
semnificativa
■ Decizia nu trebuie sa aiba la baza date sensibile

LIMITE
■ decizia este necesara pentru incheierea sau executarea unui contract intre
persoana vizata si un operator de date
■ decizia are la baza consimtamantul explicit al persoanei vizate.
» operatorul de date pune in aplicare masuri corespunzatoare pentru
protejarea drepturilor, libertatilor si intereselor legitime ale persoanei
vizate, cel putin dreptul acesteia de a obtine interventie umana din partea
operatorului, de a-si exprima punctul de vedere si de a contesta decizia
■ decizia este autorizata prin dreptul Uniunii sau dreptul intern care se aplica
operatorului si care prevede, de asemenea, masuri corespunzatoare pentru
protejarea drepturilor, libertatilor si intereselor legitime ale persoanei vizate
Exercitarea drepturilor

■ Transparenta

■ Conditii
➢ limbaj clar, simplu (minor)
➢ forma concisa, transparenta, inteligibila si
usor accesibila
➢ in scris/electronic/verbal
➢ gratuit (exceptii – refuz, taxa rezonabila)

■ Termene
➢ > 1 luna
➢ maximum 3 luni
➢ 1 luna – prelungire termen/refuz adoptare
masuri + motive + drept plangere
ANSPDCP + actiune in instanta
Drepturi noi pentru persoana vizata – sum up

■ Unul din obiectivele Regulamentului General pentru Protectia

Datelor este acela de a oferi persoanelor vizate un control asupra
propriilor date cu caracter personal:

➢ pastreaza drepturile existente;

➢ consolideaza drepturile existente;
➢ reglementeaza drepturi noi: dreptul de a fi uitat, dreptul la
restrictionarea prelucrarii, dreptul la portabilitatea datelor;

■ Nerespectarea drepturilor persoanei vizate poate fi sanctionata cu

amenda (i) pana la 4% din cifra de afaceri globala anuala sau (ii)
pana la 20.000.000 EUR, luandu-se in calcul cea mai mare valoare
Recomandari de bune practici

■ Transparență (site)
■ Proceduri privind exercitarea drepturilor
■ Formulare specifice
■ Instruirea personalului
■ Consultarea DPO/ANSPDCP
Principalele obligatii ale operatorilor (1)

■ Regulamentul General pentru Protectia Datelor creeaza un

cadrul din care rezulta o serie de obligatii pentru operatorii de
date, inclusiv:
➢ se supun principiului responsabilitatii (accountability) potrivit
caruia trebuie sa se conformeze si sa demonstreze
conformitatea;
➢ asigura respectarea principiilor protectiei datelor cu caracter
personal atat la momentul conceperii activitatilor de prelucrare
(privacy by design), cat si in mod implicit (privacy by default);
➢ Au obligatia de a notifica incalcarea securitatii datelor;
➢ Incalcalcarea unei obligatii poate fi santionata cu amenda (i)
pana la 2% sau pana la 4% din cifra de afaceri globala anuala
sau (ii) pana la 10.000.000 EUR sau 20.000.000 EUR, luandu-
se in calcul cea mai mare valoare.
Principalele obligatii ale operatorilor (2)
SECURITATEA
PRELUCRARII

■ Prin masuri tehnice si organizatori, incluzand printre altele:

➢ pseudonimizarea si criptarea datelor cu caracter personal;
➢ capacitatea de a restabili disponibilitatea datelor cu caracter
personal si accesul la acestea in caz de incident;
➢ testare si evaluare periodice ale masurilor implementate;
➢ capacitatea de a asigura confidentialitatea, integritatea,
disponibilitatea si rezistenta sistemelor de prelucrare;

■ Aderarea la un cod de conduita sau la un mecanism de certificare

aprobat poate fi o forma de a demonstra indeplinirea obligatiei de
asigurare a securitatii datelor.
Principalele obligatii ale operatorilor (3)
NOTIFICAREA INCALCARII

o incalcare a securitatii care duce, in

mod accidental sau ilegal, la
distrugerea, pierderea, modificarea sau
divulgarea neautorizata a
Incalcarea
securitatii datelor cu caracter personal
datelor transmise, stocate sau prelucrate intr-un
alt mod sau la accesul neautorizat la
acestea
Principalele obligatii ale operatorilor (4)
NOTIFICAREA INCALCARII

■ Operatorul tine evidenta tuturor

incalcarilor;
■ Daca incalcarea genereaza un
risc pentru persoana vizata:
✓ incalcarea este notificata
ANSPDCP fara intarzieri
nejustificate, in termen de
cel mult 72 de ore;
✓ notificarea include
descrierea incalcarii, posibile
consecinte si masuri de
remediere sau diminuare a
efectelor, precum si
contactarea DPO;
Principalele obligatii ale operatorilor (5)
NOTIFICAREA INCALCARII

■ In situatia in care incalcarea genereaza un risc ridicat pentru drepturile si

libertatile persoanelor fizice incalcarea este notificata fara intarzieri
nejustificate persoanei vizate;
■ Risc pentru drepturile si libertatile persoanelor fizice - prejudicii fizice,
materiale sau morale:
Pierderea sau limitarea controlului Pierdere financiara
Discriminare Compromiterea reputatiei
Furt de identitate Dezavantaj economic sau social

EXCEPTIE
■ Operatorul poate fi exonerat de notificarea catre persoana vizata daca
datele sunt protejate (prin criptare), au fost luate masuri de protectie sau
notificarea cere eforturi disproportionate
Principalele obligatii ale operatorilor (7)
CARTOGRAFIEREA
CINE?
(numele si
Art. 30 din RGPD se aplică: coordonatele
operatorului)
▪ Operatorilor din sistemul DE CE?
public CE? (scopul)
▪ Persoanelor împuternicite (categoriile de
date)
de operator
▪ Operatorilor din sectorul UNDE?
privat cu peste 250 de (destinatarii,
angajați transferuri)
CAT?
(perioada de
Desfiinţarea actualului stocare)
sistem de notificare a
prelucrărilor de date la
ANSPDCP CUM?
(masuri de securitate)
Principalele obligatii ale operatorilor (8)

■ Obligatia de a numi un responsabil cu protectia datelor,

daca sunt indeplinite conditiile prevazute de Regulamentul
General pentru Protectia Datelor;

■ Raspundere solidara in situatia operatorilor asociati;

■ Raspund la solicitarile de exercitare a drepturilor reglementate

de Regulamentul General pentru Protectia Datelor.
Obligatiile persoanelor imputernicite (1)

■ Obligatia de pastra evidenta activitatilor de prelucrare desfasurate in

numele operatorului;
■ Obligatia de a notifica operatorului fara intarzieri nejustificative orice
incalcare a securitatii datelor cu caracter personal;
■ Obligatia de a numi un responsabil cu protectia datelor, daca sunt
indeplinite conditiile prevazute de Regulamentul General pentru Protectia
Datelor;
■ Obligatia de a respecta regulile privind transferul de date in afara
tarii/Uniunii
■ Raspundere directa fata de persoana vizata daca (i) a incalcat o obligatie
prevazuta de Regulamentul General pentru Protectia Datelor direct in
sarcina sa sau (ii) a actionat in afara instructiunilor operatorului;
■ In situatia in care o persoana imputernicita incalca prevederile
Regulamentului General pentru Protectia Datlor, prin luarea de decizii cu
privire la scopul si mijloacele prelucrarii datelor cu caracter personal, devine
ea insasi operator cu toate obligatiile asociate.
Obligatiile persoanelor imputernicite (2)
Operatori:
1. nume, detalii de contact,
operatori asociati,
reprezentanti, DPO;
2. scopul prelucrarii;
3. categorii de persoane
vizate si categorii de date
personale;
4. categorii de destinatari;
5. detalii legate de transfer;
6. perioada de stocare;
7. descriere generala a
masurilor de securitate.
Persoane imputernicite:
1. nume, detalii de contact,
reprezentanti, DPO;
2. nume, detalii de contact
ale fiecarui operator,
reprezentanti si DPO;
3. categorii de activitati de
prelucrare pentru fiecare
operator;
4. detalii legate de transfer;
5. descriere generala a
masurilor de securitate.
QUESTION TIME
Evaluarea impactului asupra protectiei datelor
Evaluarea impactului: ce reprezinta, cand este necesara (1)

■ O analiza pas cu pas a activitatilor de prelucrare care sa ajute operatorul sa

identifice si sa analizeze toate riscurile pe care acestea le pot genera;
■ Realizata de operator cu sprijinul responsabilului cu protectia datelor;
■ Se impune in cazul prelucrarilor susceptibile sa genereze un risc ridicat
precum:
➢ evaluarea sistematica si cuprinzatoare prin mijloace automate care stau
la baza unei decizii care produce efecte juridice asupra persoanei fizice
(ex. profiling, predicting)
➢ prelucrarea pe scara larga a unor categorii speciale de date cu caracter
personal (ex. date biometrice, date genetice) sau date privind
condamnarile penale si infractiuni
➢ monitorizarea sistematica pe scara larga a unei zone accesibile
publicului (ex. CCTV).
Evaluarea impactului: ce reprezinta, cand este necesara (2)

■ O lista a tipurilor de operatiuni pentru care este necesara evaluarea

intocmita si publicata de autoritatea de supraveghere;
■ Criterii pentru stabilirea prelucrarilor cu risc ridicat:
➢ prelucrarea este de tip evaluare, scoring, profiling, predicting;
➢ produce efecte juridice asupra persoanei fizice;
➢ presupune monitorizare sistematica;
➢ presupune date personale cu caracter special;
➢ presupune prelucrare la scara larga (numar de persoane vizate,
volum de date, durata prelucrarii, intinderea geografica a prelucrarii);
➢ presupune combinarea unor date provenite din prelucrari diferite;
➢ priveste persoane vulnerabile (angajati, minori);
➢ presupune tehnologii noi.
Evaluarea impactului: ce reprezinta, cand este necesara (3)

■ Factori pentru determinarea unei prelucrari la scara larga:

➢ numarul persoanelor vizate;
➢ volumul datelor;
➢ durata/permanenta activitatii de prelucrare;
➢ extinderea geografica a prelucrarii.
■ Exemple pentru care evaluarea de impact este necesara:
➢ prelucrarea de catre un spital de date medicale sau genetice;
➢ culegerea de profiluri de social media pentru a genera profiluri
pentru listele de contact.
■ Revizuirea evaluarii de impact
Evaluarea impactului: ce reprezinta, cand este necesara (4)

■ Evaluarea de impact va cuprinde:

➢ descrierea operatiunilor de prelucrare si a scopurilor;

➢ evaluarea necesitatii si proportionalitatii operatiunilor de
prelucrare;
➢ evaluarea riscurilor pentru drepturile si libertatile persoanelor
vizate;
➢ masurile avute in vedere pentru abordarea riscurilor.

■ Atunci cand nu sunt stabilite masuri suficiente pentru atenuarea

riscurilor ridicate se consulta autoritatea de supraveghere.
Evaluarea impactului: ce reprezinta, cand este necesara (5)

Risc ridicat
Prelucrare Consultare
Evaluare (care nu
susceptibila prealabila cu
de impact poate
de risc ridicat autoritatea
fi redus)
Certificare, sigilii, marci: ce reprezinta?

■ Instrumente voluntare prin care operatorul/persoana imputernicita

poate demonstra conformitatea fara a fi exonerat de raspundere in
cazul unei incalcari;
■ Certificarile pot fi acordate de ANSPDCP sau de organisme
certificate de organismul national de certificare sau de ANSPDCP;
■ Certificarea se realizeaza in baza unor criterii adoptate de
ANSPDCP sau de Comitetul European pentru Protectia Datelor
(sigiliu european);
■ Certificarile se emit pe o perioada maxima de 3 ani, cu posibilitate
de reinnoire si pot fi retrase de ANSPDCP/organismul de certificare;
■ Pot constitui temei pentru un transfer in afara Uniunii;
■ Acreditarea organismelor de certificare se emite pe o perioada
maxima de 5 ani, cu posibilitate de reinnoire.
Codul de conduita: ce reprezinta?

■ Instrument voluntar prin care operatorul si/sau persoana

imputernicita poate demonstra conformitatea fara a fi exonerat de
raspundere in cazul unui incalcari;
■ Sunt supuse aprobarii de catre ANSPDCP sau de catre Comisia
European daca privesc activitati de prelucrare in mai multe state
membre;
■ Poate reprezenta un temei pentru transferul in afara Uniunii;
■ Monitorizarea respectarii unui cod de conduita poate fi realizata de
un organism independent acreditat de ANSDPCP pe baza unor
criterii privind independenta si nivelul de expertiza, detinerea unor
proceduri de conformare si solutionare a plangerilor referitoare la
incalcari ale codului;
Responsabilul cu protectia datelor (1)

OBLIGATORIU:

■ autoritățile publice, cu excepția

instanțelor judecătorești
■ operatorii care realizează o
monitorizare pe scară largă a
persoanelor fizice
■ operatorii care prelucrează pe scară
largă unele categorii speciale de date
prevăzute de art. 9 și 10
(ex. origine etnică, orientare politică,
religioasă, date genetice, biometrice, privind
sănătate sau referitoare la infracțiuni)
Responsabilul cu protectia datelor (2)

■ din cadrul operatorului/împuternicitului, în subordinea

directă a conducătorului – statut special

■ pe bază de contract de prestări servicii

Responsabilul cu protectia datelor (3)

Condiții de numire – art. 37 (5)

■ calități profesionale

■ cunoștințe de specialitate în dreptul

și practicile din domeniul protecției
datelor

■ capacitatea de îndeplinire a
sarcinilor
Responsabilul cu protectia datelor (4)

■ Independență - nu primește niciun fel de instrucțiuni în

ceea ce privește îndeplinirea sarcinilor
■ răspunde direct în fața celui mai înalt nivel al
conducerii operatorului / persoanei împuternicite
■ protecție specială - nu poate fi demis sau sancționat de
către operator/împuternicit pentru îndeplinirea sarcinilor
sale
■ obligația de a respecta confidențialitatea în îndeplinirea
sarcinilor sale
Responsabilul cu protectia datelor (5)

Obligatii si responsabilitati
• operatorului
Informarea si • persoanei imputernicite
consilierea • angajatilor
Monitorizarea
respectarii
legislatiei
Furnizarea de consiliere
(evaluarea de impact)

Cooperarea cu
ANSPDCP

Punct de contact • consultare prealabila

pentru ANSPDCP • consultare
Responsabilul cu protectia datelor (6)

Operatorul/persoana împuternicită de operator are obligația:

■ de a publica datele de contact ale responsabilului cu protecția

datelor
(adresa operatorului, număr de telefon și/sau o adresă de e-
mail profesională a responsabilului)

■ de a comunica ANSDPCP datele de contact ale

responsabilului cu protecția datelor
Transferul de date in state terte

■ Regulile privind transferul de date in afara Uniunii/ZEE nu s-au

modificat dramatic;
■ Transferurile de date sunt posibile doar:
➢ Catre un stat caruia Comisia Europeana i-a recunoscut un nivel
de protectie adecvat (Andora, Argentina, Canada, Elvetia,
Insulele Feroe, Guernsey, Israel, Insula Man, Jersey, Ururguay
si Noua Zeelanda) sau
➢ Daca transferul are loc in baza unor garantii adecvate;
■ Transferul in baza oricaruia dintre temeiurile de mai sus nu necesita
vreo aprobare/autorizare din partea Comisiei Europene sau a
autoritatii de supraveghere;
■ Regulamentul General pentru Protectia Datelor prevede ca sunt
supuse acelorasi reguli si transferurile ulterioare (onward
transfers).
Nivel de protectie adecvat

■ Recunoasterea unui nivel de protectie adecvat a unui stat sau a

unui sector sau teritoriu se face de catre Comisia Europeana pe
baza:
➢ Evaluarii prevederilor legale din statul tert;
➢ Existentei si functionalitatii unei autoritati de supraveghere in
statul tert;
➢ Angajamentelor internationale si a altor obligatii ale statului tert
in legatura cu protectia datelor cu caracter personal;
■ Decizia de recunoastere este revizuita cel putin la fiecare 4 ani si
poate fi abrogata, modificata sau suspendata daca nivelul de
protectie adecvat nu mai este asigurat, fara efect retroactiv;
■ Deciziile adoptate in temeiul Directivei 95/46/CE raman in vigoare
pana la modificare, inlocuire sau abrogare.
Scutul de Confidentialitate UE-SUA

■ Comisia Europeana a recunoscut un nivel de protectie adecvat

pentru Statele Unite prin Decizia 2016/1250 din iulie 2016 (Privacy
Shield EU-US) care inlocuieste instrumentul anterior (Safe Harbor),
invalidat de CJUE;
■ Pentru ca transferul catre SUA sa poata avea loc in temeiul Scutului
de Confidentialitate UE-SUA, entitatile partenere din SUA trebuie sa
adere la Scutul de Confidentialitate;
■ In temeiul Scutului de Confidentialitate se pot realiza atat transferuri
intra-grup, cat si transferuri catre entitati din afara grupului;
■ Adeziunea se face pe o perioada limitata de 1 an, dupa care este
necesara o noua adeziune;
■ Decizia privind Scutul de Confidentialitate UE-SUA a fost atacata de
autoritatea pentru protectia datelor din Irlanda (aceeasi care a
atacat si decizia privind Safe Harbor), cauza fiind in fata CJUE.
Garantii adecvate
Certificari
dublate de
angajament
e
obligatorii
Acorduri Coduri de
Conduita
intre dublate de
autoritati angajamente
obligatorii
publice Reguli
corporatiste
Obligatorii

(BCR)
Clauze Sub rezerva
Clauze autorizarii
standard contractuale din partea DPA
(Comisie)
Clauze
standard
(DPA)
Reguli corporatiste obligatorii
■ Reprezinta politici cu privire la prelucrarea datelor cu caracter
personal si transferurile de date, adoptate in cadrul unui grup de
intreprinderi;
■ Pot constitui temei doar pentru transfer intre companiile din cadrul
aceluiasi grup situate in state terte, prin urmare nu acopera
transferul catre terte parti;
■ Sunt adoptate de autoritatea de supraveghere in urma aplicarii
mecanismului de coerenta.

Directiva 95/46 vs. Regulamentul General

- Reglementare expresa cu
- Recomandari WP29
privire la cerinte si
- Aprobare de catre
procedura
autoritatea
- Aprobare de catre autoritate
lider si autoritatile locale
- BCR anterioare
Regulamentului
raman valabile
Contracte cu clauze standard

■ Pot constitui temei pentru transfer in relatia operator –

operator sau in relatia operator – persoana imputernicita;

■ Pot fi emise de Comisia Europeana sau de autoritatea de

supraveghere si aprobate de Comisia Europeana;

■ Nu mai necesita autorizare din partea autoritatilor de

supraveghere nationale.
 Derogari
■ In absenta unui nivel de protectie adecvat sau a
unor garantii adecvate, un transfer se poate realiza
avand drept temei:
➢ consimtamantul expres al persoanei vizate;
➢ executarea unui contract intre persoana vizata si
operator sau intre operator si un tert, in interesul
persoanei vizate;
➢ interesul public;
➢ exercitarea sau apararea unui drept in instanta;
➢ protejarea intereselor vitale ale persoanei vizate; Exceptii
➢ date din registre publice;
➢ un transfer fara caracter repetitiv care priveste
un numar limitat de persoane, este justificat de
interese legitime care prevaleaza asupra
drepturilor si libertatilor persoanelor vizate, cu
informarea autoritatii de supraveghere si a
persoanelor vizate).
Cooperare internationala

■ Măsuri corespunzătoare ale CE și autorităților de supraveghere

➢ elaborarea de mecanisme de cooperare internaţională

➢ acordarea de asistenţă internaţională reciprocă

➢ implicarea părţilor interesate relevante, în scopul

intensificării cooperării internaționale

➢ promovarea schimbului reciproc şi a documentaţiei

(legislație, practici, conflicte jurisdicționale)
Autoritatea de supraveghere principala (one stop shop)

■ Autoritatile de supraveghere vor avea in continuare competenta de

a reglementa si aplica prevederile in domeniul protectiei datelor cu
caracter personal care afecteaza statul membru;
■ In cazul organizatiilor care isi desfasoara activitatile in mai multe
state membre, autoritatea de supraveghere de la sediul principal va
fi autoritate de supraveghere principala;
■ Autoritatea de supraveghere din statul membru in care se afla
persoana vizata actioneaza ca punct de contact atunci cand
operatorul este stabilit intr-un alt stat.
Mecanismul de coerenta

■ Schimburi de informatii intre autoritatile de supraveghere;

■ Cooperare intre autoritatea de supraveghere principala si
autoritatile de supraveghere vizate;
■ Mecanismul de coerenta presupune avizarea de catre Comitetul
European pentru Protectia Datelor a oricarui/oricarei:
➢ liste de operatiuni care fac obiectul evaluarii de impact;
➢ proiect de cod de conduita care priveste activitatile de
prelucrare din mai multe state membre;
➢ criteriile de acreditare a oricarui organism de monitorixare a
unui cod de conduita si a oricarui organism de certificare;
➢ clauze standard adoptate de o autoritate de supraveghere;
➢ clauze corporatiste obligatorii (BCRs).
 Sanctiuni
2% din cifra de afaceri mondiala totala 4% din cifra de afaceri mondiala totala
anuala sau 10.000.000 EUR, luandu-se anuala sau 20.000.000 EUR, luandu-se
in calcul cea mai mare valoare in calcul cea mai mare valoare

Incalcarea obligatiilor de catre Incalcarea principiilor pentru prelucrare,

operator/persoana imputernicita
Incalcarea obligatiilor de catre organismul
de certificare
Incalcarea obligatiilor de catre organismul
de monitorizare a unui cod de conduita
inclusiv conditiile privind consimtamantul
Incalcarea drepturilor persoanelor vizate
Incalcarea regulilor privind transferul de
date cu caracter personal catre state terte
sau organizatii internationale
Incalcarea legislatiei emise in temeiul
marjei nationale de reglementare
Incalcarea unui ordin sau a unei limitari
temporare sau definitive asupra prelucrarii
sau a suspendarii fluxurilor de date emisa
de autoritatea de supraveghere