General Data Protection Regulation (GDPR)

Protecția datelor cu caracte

Regulamentul general privind protecția
datelor (RGPD)

GDPR

03/03/21 1 www.rogdpr.ro
Conștientizarea schimbării
GDPR impune
nevoia de
reconsiderare a
percepției privind
prelucrarea datelor
cu caracter
personal

03/03/21 www.rogdpr.ro 2
Legislație relevantă

1. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția

persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date
2. Ghid orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat
operatorilor emis de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter
Personal (ANSPDCP)
3. Decizia ANSPDCP nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea
mijloacelor de supraveghere video (M.Of. nr. 389 din 11.06.2012)
4. ANSPDCP: Ghidul “Responsabilul cu protecția datelor (DPO)”
5. ANSPDCP: DECIZIE nr. 132 din 20.12.2011 privind condițiile prelucrării codului numeric
personal şi a altor date cu caracter personal având o funcție de identificare de aplicabilitate
general
6. Directiva (UE) 2016/680 referitoare la protecția datelor personale în cadrul activităților
specifice desfășurate de autoritățile de aplicare a legii.

03/03/21 www.rogdpr.ro 3
Noutăți GDPR (fata de Directiva 95/46/CE si legea 677/2001)
• accent pe transparența fată de persoana vizată și responsabilizarea operatorului
• numirea DPO-ului (Data Protection Officer)
• obligația operatorului de a face dovada obținerii consimțământului persoanei
vizate
• GDPR consolidează drepturile garantate persoanelor vizate și introduce noi
drepturi: dreptul de a fi uitat și dreptul la portabilitatea datelor
• studii de impact în cazul prelucrării de date care presupune un grad de risc ridicat
• stabilește o serie de garanții specifice pentru a proteja cât mai eficient viața
privată a minorilor, în special în mediul on-line
• introduce sancțiuni severe, până la 10 – 20 milioane de euro sau între 2% și 4%
din cifra de afaceri la nivel internațional, pentru operatorii din sectorul privat.

03/03/21 www.rogdpr.ro 4
Date cu caracter personal
• Categorii de persoane
• Date personal ale clientelor, furnizorilor, angajaților proprii (viitori, foști, existenți)
etc.

• Categorii de date cu caracter personal:

• Date privind aptitudinile si calificările
• Date privind identitatea
• Date privind obiceiurile
• Date privind caracteristicile individuale
• Date privind locația

• Tipuri de date cu caracter personal

• Adresă IP, vârsta, înălțime, scoală absolvita, istoric achiziții, rating acordat, statut
social, salariu, nr. factură, nr. matricol, nr. client, cod client, adresă MAC, setări
browser, ID user, serie laptop, poziție in cadrul companiei etc.

03/03/21 www.rogdpr.ro 5
Categorii de informații ce fac obiectul protecției

• “date cu caracter personal” – orice informații privind o persoană fizică

identificată sau identificabilă (persoana vizată):
• nume și prenume, numele membrilor de famile, sexul, data și locul nașterii,
cetățenia, cod numeric personal, număr de identificare, seria și numărul cărții de
identitate, date din actele de stare civilă, număr dosar de pensie, etc.
• user, adresa de e-mail, număr de telefon, date de localizare, alți identificatori
online, semnătura, etc.
• profesia, locul de muncă, formarea profesională (diplome de studii), situația
economico - financiară, bunurile deținute, date bancare, etc.

03/03/21 www.rogdpr.ro 6
Categoriile speciale de date cu caracter personal

• “date genetice” – datele cu caracter personal referitoare la caracteristicile

genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații
unice privind fiziologia sau sănătatea persoanei respective
• “date biometrice” – date cu caracter personal care rezultă în urma unor tehnici
de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau
comportamentale ale unei persoane fizice, care permit sau confirmă identificarea
unică a persoanei, cum ar fi imaginile faciale sau datele dactiloscopice
• date cu caracter personal care dezvăluie originea rasială sau etnică
• opinii politice, confesiunea religioasă, convingerile filosofice sau de natură
asemănătoare
• apartenența la sindicate sau alte organizații

03/03/21 www.rogdpr.ro 7
• date privind sănătatea fizică sau mentală a unei persoane – inclusiv prestarea de
servicii de asistență medicală care dezvăluie informații despre starea de sănătate
a acesteia
• date privind viața sexuală sau orientarea sexuală a unei persoane
• date privind sancțiuni disciplinare ale persoanei la locul de muncă
• date privind săvârșirea de contravenții sau infracțiuni
• date privind condamnări penale sau măsuri de siguranță
• date privind cazierul judiciar

03/03/21 www.rogdpr.ro 8
 Drepturile persoanelor vizate

Dreptul la Informare
•măsuri adecvate ale operatorilor în vederea punerii la dispoziția persoanei vizate a tuturor
informațiilor într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un
limbaj clar şi simple
•se referă si la momentul anterior prelucrării datelor și în timpul prelucrării precum și după
ce a încetat prelucrarea
•termen rezonabil de răspuns la cererile persoanei vizate – 1 lună
•gratuitatea informațiilor si soluționării cererilor neexcesive
•se oferă date privind operatorul sau persoana împuternicită de acesta
•se precizează temeiul prelucrării, durata, măsurile de siguranță pe care le-a luat operatorul
în vederea protecției datelor cu caracter personal – Exemplu: procedură Autoritatea
Națională Pentru Protecția Consumatorilor afișată pe site-ul public al acesteia
http://www.anpc.gov.ro/anpcftp/interes_public/procedura_date_caracter_personal_15032
0.pdf

03/03/21 www.rogdpr.ro 9
Dreptul de acces

Persoana vizată are dreptul de acces cel puțin la accesarea următoarelor informații:
•scopurile prelucrării;
•categoriile de date cu caracter personal vizate;
•destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie
divulgate, în special destinatari din țări terțe sau organizații internaționale;
•acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau,
dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
•existenta dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori
restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se
opune prelucrării;
•dreptul de a depune o plângere în fata unei autorități de supraveghere;
•în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile
privind sursa acestora;
•existenta unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele
(1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată şi privind
importanta și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

03/03/21 www.rogdpr.ro 10
Temeiuri pentru prelucrarea datelor cu caracter
personal și scopuri (legalitatea prelucrării) – art. 6
GDPR

03/03/21 www.rogdpr.ro 11
 Consimțământul – art. 7 GDPR

• “orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a

persoanei vizate prin care aceasta acceptă printr-o declarație sau printr-o acțiune
fără echivoc ca datele cu caracter personal care o privesc să fie prelucrate”
• Operatorul trebuie să poată dovedi că persoana vizată și-a dat consimțământul
• În cazul în care consimțământul persoanei vizate este dat în contextul unei
declaraţii scrise care se referă şi la alte aspecte, cererea privind consimțământul
trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte
aspecte, într-o formă inteligibilă şi ușor accesibilă, utilizând un limbaj clar şi simplu
• Persoana vizată poate să iși retragă consimțământul oricând și la fel de ușor cum
a fost dat
• Atunci când se evaluează dacă consimţământul este dat în mod liber, se ţine
seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv
prestarea unui serviciu, este condiţionată sau nu de consimţământul cu privire la
prelucrarea datelor cu caracter personal care nu este necesară pentru executarea
acestui contract.

03/03/21 www.rogdpr.ro 12
Consimțământul trebuie sa fie neechivoc (GDPR: “printr-o
declarație sau printr-o acțiune fără echivoc”)
Exemple de actiuni:
1) bifarea unei căsuțe când persoana vizitează o pagină web

2) alegerea setărilor pentru serviciile societății informaționale

3) orice altă declarație sau acțiune care indică în mod clar într-un context dat acceptarea de către
persoana vizată a prelucrării propuse.

4) furnizarea adresei de e-mail în contextul creării unui cont pe o platformă on-line într-o căsuță în
dreptul căreia este indicat faptul că se vor trimite mesaje privind activitatea societății sau privind
campaniile promoționale

5) Acceptarea de cookie-uri pentru profilare

Important: căsuțele bifate în prealabil în paginile web sau aplicațiile software nu vor putea fi
invocate drept mecanisme viabile de exprimare a consimțământului.

03/03/21 www.rogdpr.ro 13
Consimțământul trebuie să fie liber (GDPR: “manifestare
de voință liberă”)
Potrivit GDPR consimțământul NU va fi liber exprimat dacă:

• Persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în

măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată;
• Există un dezechilibru evident între persoana vizată și operator (exemplu:
operatorul este o autoritate publică sau angajatorul persoanei vizate)
• Modul de acordare a consimțământului nu permite ca acesta să fie dat pe diferite
operațiuni de prelucrare a datelor.
• Executarea unui contract sau prestarea unui serviciu este condiționată de
consimțământ, deși consimțământul nu este necesar pentru executarea
contractului.

03/03/21 www.rogdpr.ro 14