PROTECŢIA DATELOR CU CARACTER PERSONAL

POTRIVIT REGULAMENTULUI GENERAL

PENTRU PROTECŢIA DATELOR
(UE) 2016/679
 Conștientizare
Dezvăluirea de informaţii personale reprezintă o condiţie a vieţii moderne
Conștientizare
care dintre următoarele categorii de informaţii referitoare la dumneavoastră
le consideraţi ca fiind personale
Conștientizare
conștientizare
 Întrebare

datele colectate prin intermediul cartelelor pentru intrarea si iesirea pe poarta a

salariatilor,
datele personale ale vizitatorilor care sunt scrise in registrele de intrare-iesire pe
poarta,
datele stocate prin intermediul cardurile de fidelitate acordate,
imaginile video ( din magazine, incinte, sectii de productie, etc.),
inregistrarile de pe GPS-urile montate pe autvehiculele de serviciu,
inregistrarile ( convorbiri, nr. de telefon, SMS-uri, e-mail, etc. ) din telefoanele de
serviciu,
mesajele trimise prin e-mailul de serviciu,
sunt considerate prelucrari de date date cu
caracter personal?
Daca da, pentru prelucrarea acestora trebuie trimisa notificare catre
autoritatea de supraveghere, potrivit dispozitiilor Legii nr. 677/2001 ?
 scop: să cunosc spiritul GDPR
Regulamentul (UE) 2016/679 al Parlamentului
European şi al Consiliului European din 27 aprilie
2016 privind protecţia persoanelor fizice în ceea ce
privește prelucrarea datelor cu caracter personal şi
privind libera circulaţie a acestor date și de
abrogare a Directivei 95/46/CE
(Regulament General privind Protecția Datelor - RGPD)

este un REGULAMENT
 REGULAMENT

ART. 288 TFUE

Regulamentul are aplicabilitate generală. Acesta este obligatoriu în

toate elementele sale și se aplică direct în fiecare stat membru.

Regulamentul este un act legislativ cu caracter

obligatoriu. Trebuie aplicat în integralitatea sa, în toate
statele membre.

Directiva este obligatorie pentru fiecare stat membru destinatar cu

privire la rezultatul care trebuie atins, lăsând autorităților naționale
competența în ceea ce privește forma și mijloacele.
 Protectia datelor cu caracter personal

Regulamentul
General privind
Protectia Cum? echilibru doar in spatiul UE
Datelor
 Protectia datelor cu caracter personal

≠
= Securitatea datelor
Necesitate
Proporționalitate

Transparență

Responsabilitate
Protecția datelor cu caracter personal în cadrul entităţii

măsuri organizatorice

măsuri tehnice
crearea unei
consiliere culturi
organizaționale
instruire

audit
 REGULAMENTUL (UE) 2016/679

Date cu caracter personal

orice informaţie
privind
o persoana fizică
identificată sau identificabilă;

o persoană fizică identificabilă este o persoană care poate fi

identificată, direct sau indirect, in special prin referire la un element
de identificare, cum ar fi un nume, un număr de identificare, date
de localizare, un identificator online, sau la unul sau mai multe
elemente specifice, proprii identității sale fizice, fiziologice, genetice,
psihice, economice, culturale sau sociale
 REGULAMENTUL (UE) 2016/679

Operator

persoana fizică sau juridică, autoritatea publică,

agenția sau alt organism care
- singur sau împreună cu altele,
1. stabileşte scopurile şi
2. mijloacele de prelucrare a datelor cu caracter
personal

atunci când scopurile și mijloacele prelucrării sunt stabilite prin

dreptul Uniunii sau dreptul intern, operatorul sau criteriile
specifice pentru desemnarea acestuia pot fi prevăzute în dreptul
Uniunii sau în dreptul intern
 Regulamentul (UE) 2016/679

legalitatea prelucrarilor

Art.6 persoana vizată și-a dat consimțământul pentru prelucrarea datelor

sale cu caracter personal pentru unul sau mai multe scopuri specifice
Regulament
prelucrarea este necesară pentru executarea unui contract la care
UE 2016/679
persoana vizată este parte sau pentru a face demersuri la cererea
- persoanei vizate înainte de încheierea unui contract
prelucrarea este necesară în vederea îndeplinirii unei obligații
legale care îi revine operatorului
prelucrarea este necesară pentru a proteja interesele vitale ale
Se aplică persoanei vizate sau ale altei persoane fizice
direct fără a prelucrarea este necesară pentru îndeplinirea unei sarcini care
mai fi servește unui interes public sau care rezultă din exercitarea
necesare autorității publice cu care este învestit operatorul
măsuri de prelucrarea este necesară în scopul intereselor legitime urmărite
transpunere de operator sau de o parte terță, cu excepția cazului în care
prevalează interesele sau drepturile și libertățile fundamentale ale
naționale
persoanei vizate, care necesită protejarea datelor cu caracter
personal, în special atunci când persoana vizată este un copil
 Legalitatea prelucrării
Regulamentul UE 2016/679 (art.6)
a) consimţământul persoanei vizate
b) executarea unui contract
c) obligaţie legală a operatorului
d) interes vital
e) interes public sau prerogative de autoritate
f) interes legitim / proporţional cu interesul persoanei vizate
 Regulamentul (UE) 2016/679

Principiile prelucrarii
Legea nr.677/2001
datele cu caracter personal trebuie sa fie:

- colectate in scopuri determinate, explicite si legitime

Directiva 95/46/CE
datele cu caracter personal trebuie sa fie:

- colectateîn scopuri determinate, explicite și legitime și

să nu mai fie prelucrate ulterior într-un mod incompatibil
cu aceste scopuri
 Regulamentul (UE) 2016/679

principiile prelucrării
prelucrate în mod legal, echitabil și transparent față de
persoana vizată

colectate în scopuri determinate, explicite și

legitime și nu sunt prelucrate ulterior într-un mod
incompatibil cu aceste scopuri

adecvate, relevante și limitate la ceea ce este necesar în

raport cu scopurile în care sunt prelucrate

exacte și, în cazul în care este necesar, să fie actualizate

păstrate într-o formă care permite identificarea persoanelor

vizate pe o perioadă care nu depășește perioada necesară
îndeplinirii scopurilor în care sunt prelucrate datele

prelucrate într-un mod care asigură securitatea adecvată a

datelor cu caracter personal, inclusiv protecția împotriva
prelucrării neautorizate sau ilegale și împotriva pierderii, a
distrugerii sau a deteriorării accidentale, prin luarea de măsuri
tehnice sau organizatorice corespunzătoare
 Regulamentul (UE) 2016/679

principiile prelucrării

legal, echitabil și transparent („legalitate, echitate și transparență”)

scopuri determinate, explicite și legitime și nu sunt
prelucrate ulterior („limitări legate de scop”)
adecvate, relevante și limitate („reducerea la minimum a datelor”)
exacte și ...actualizate („exactitate”)
perioadă de păstrare limitată („limitări legate de stocare”)
securitatea adecvată („integritate și confidențialitate”)

Operatorul este responsabil de respectarea principiilor și

poate demonstra această respectare („responsabilitate”).
 Principiile prelucrarii (limitari legate de scop)

Regulamentul UE 2016/679 (art.5 lit.b)

Datele cu caracter personal sunt:
colectate în scopuri determinate, explicite și
legitime și nu sunt prelucrate ulterior într-un
mod incompatibil cu aceste scopuri

prelucrarea ulterioară în scopuri privilegiate (arhivare in

interes public, cercetare istorica sau stiintifica ori in scopuri
statistice) nu este considerata incompatibila
(garanții instituite potrivit art.89)
 Legalitatea prelucrarii
Regulamentul UE 2016/679 (art.6)
consimtamantul persoanei vizate
executarea unui contract
obligatie legala a operatorului
interes vital
interes public sau prerogative de autoritate publică (!!)
interes legitim

Prelucrarea in alt scop (art.6 alin.4)

nu se poate baza pe : consimtamantul persoanei vizate
dispozitie legala
trebuie să se bazeze pe acelasi temei juridic ca si prelucrarea initiala
scopuri privilegiate
 Prelucrarea in alt scop
elemente de compatibilitate (art.6 alin.4)
orice legătură dintre scopuri

contextul în care datele cu caracter personal au fost colectate,

în special în ceea ce privește relația dintre persoanele vizate și
operator
natura datelor cu caracter personal, în special în cazul
prelucrării unor categorii speciale de date
posibilele consecințe asupra persoanelor vizate ale prelucrării
ulterioare preconizate
existența unor garanții adecvate, care pot include criptarea
sau pseudonimizarea
 Regulamentul (UE) 2016/679

consimțământul

operatorul trebuie să fie în măsură să demonstreze că persoana vizată

și-a dat consimțământul pentru prelucrarea datelor sale cu caracter
personal

consimțământul trebuie să fie prezentată într-o formă care o diferențiază în

mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă,
utilizând un limbaj clar și simplu

persoana vizată are dreptul să își retragă în orice moment

consimțământul
înainte de acordarea consimțământului, persoana vizată este
informată cu privire la acest lucru.
retragerea consimțământului se face la fel de simplu ca
acordarea acestuia.
 Regulamentul (UE) 2016/679

consimțământul

consimțământul este dat în mod liber

se ține seama cât mai mult de faptul că, printre altele, executarea unui
contract, inclusiv prestarea unui serviciu, este condiționată sau nu de
consimțământul cu privire la prelucrarea datelor cu caracter personal care
nu este necesară pentru executarea acestui contract
 categorii speciale de date cu caracter personal

date cu caracter personal care dezvăluie

originea rasială sau etnică,
opiniile politice,
confesiunea religioasă sau convingerile filozofice
apartenența la sindicate

prelucrarea de
date genetice,
date biometrice pentru identificarea unică a unei persoane fizice
date privind sănătatea
date privind viața sexuală sau orientarea sexuală ale unei
persoane fizice
 Conformitatea cu Regulamentul (UE) 2016/679

etape de considerat
1. conştientizare
2. audit identificarea prelucrărilor de date / inventarul datelor
identificarea fluxurilor de date
separarea fluxurilor funcţionale / administrative
3. identificarea politicilor / procedurilor interne şi reevaluare
determinarea responsabilitatilor – imputerniciti / destinatari / alti operatori
4. determinarea/stabilirea bazei legale pentru fiecare prelucrare şi catalogare
5. consimtamantul
6. date referitoare la minori
 Conformitatea cu Regulamentul (UE) 2016/679

etape de considerat

7. evaluarea riscurilor de securitate/politica de raspuns la incidente de securitate

8. Data Protection by design / data protection by default

9. drepturile persoanei vizate

10. DPO

11. DPIA – evaluarea impactului

12. transferul de date cu caracter personal catre state terte
 Responsabilul cu protecția datelor - art.37

Principiul responsabilității - art.5 alin.(2) GDPR

consolidarea rolului operatorului
sporirea responsabilității acestuia

definirea și aplicarea măsurilor adecvate și eficace în vederea garantării

respectării principiilor
să dovedească îndeplinirea acestor măsuri și să verifice eficacitatea acestora
DPO
intermediar între diferiți actori (Autoritatea Națională de Supraveghere,
persoane vizate, entități din cadrul organizației)

desemnare DPO = standard de bune practici - diligență

Responsabilul cu protecția datelor - art.37 GDPR

DPO

“piatra de temelie” în scopul respectării principiului responsabilității

facilitează conformitatea cu GDPR

“Operatorul este responsabil de respectarea

principiilor legate de prelucrarea datelor cu caracter
personal și poate demonstra această respectare
(„responsabilitate”)”

2
 Responsabilul cu protecția datelor - art.37
Desemnare DPO obligatorie
operator
persoana împuternicită de către operator

autoritate sau un organism public, cu excepția instanțelor care

acționează în exercițiul funcției lor jurisdicționale

activitățile principale constau în operațiuni de prelucrare care, prin natura,

domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică
și sistematică a persoanelor vizate pe scară largă

activitățile principale constau în prelucrarea pe scară largă a unor

categorii speciale de date sau a unor date cu caracter personal privind
condamnări penale și infracțiuni
 Responsabilul cu protecția datelor - art.37

DPO

nu este responsabil în caz de neconformitate a prelucrărilor cu GDPR

operatorul sau persoana împuternicită de operator sunt repsonsabili

pentru conformitatea prelucrărilor cu GDPR (art.24 alin.1)

trebuie să beneficieze de suficientă autonomie și de resursele necesare

 Responsabilul cu protecția datelor - art.37

DPO desemnare

analiză internă
poate fi cerut / impus de Autoritatea Națională de Supraveghere
poate fi creat în măsura în care organizația dezvoltă noi funcții
are natură juridică distinctă
rezultă din statutul acestuia în cadrul organizației, poziție sau funcții
entitatea poate să desemneze o persoană care să gestioneze materia,
fără a fi însă DPO dacă nu îndeplinește condițiile exprese ale GDPR
 Responsabilul cu protecția datelor - art.37
EXPRESII
Activități principale

activități care privesc funcțiile de bază ale operatorului / persoanei

împuternicite
trebuie să presupună prelucrări de date cu caracter personal
privește inclusiv persoana împuternicită de operator
 Responsabilul cu protecția datelor - art.37

EXPRESII

scara larga considerentul 91

care au drept obiectiv prelucrarea unui volum considerabil de date cu

caracter personal la nivel regional, național sau supranațional, care ar
putea afecta un număr mare de persoane vizate și care sunt
susceptibile de a genera un risc ridicat, de exemplu, din cauza
sensibilității lor, în cazul în care, în conformitate cu nivelul atins al
cunoștințelor tehnologice, se folosește la scară largă o tehnologie
nouă, precum și altor operațiuni de prelucrare care generează un risc
ridicat pentru drepturile și libertățile persoanelor vizate, în special în
cazul în care operațiunile respective limitează capacitatea persoanelor
vizate de a-și exercita drepturile
 Responsabilul cu protecția datelor - art.37
EXPRESII
Monitorizare periodică și sistematică
orice formă de supraveghere sau profilare prin intermediul internetului,
inclusiv pentru monitorizare comportamentală în scop de marketing
nu se limitează doar la mediul on-line

se desfasoara in mod constant sau periodic; este recurenta; se repeta la intervale

fixe de timp
este prearanjata, organizata sau metodica, se desfasoara potrivit unui sistem
si/sau se desfasoara ca parte a unei strategii
Considerent 24 ipoteza 2 Pentru a se determina dacă o activitate de prelucrare poate fi
considerată ca „monitorizare a comportamentului” persoanelor vizate, ar trebui să se
stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare
ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în
crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la
aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale,
comportamentele și atitudinile acesteia.
 Responsabilul cu protecția datelor - art.37

desemnare DPO

un grup de întreprinderi poate numi un responsabil cu protecția datelor

unic, cu condiția ca responsabilul cu protecția datelor să fie ușor accesibil
din fiecare întreprindere

alin.(4) - desemnarea voluntară sau în temeiul dreptului Uniunii sau

dreptului intern (pot să prevadă desemnarea DPO și în alte cazuri
decât cele prevăzute expres de GDPR)

Desemnare
membru al personalului
în baza unui contract de servicii
 Responsabilul cu protecția datelor - art.37

desemnare DPO

Condiții

calități profesionale
cunoștințe de specialitate în dreptul și practicile din domeniul
protecției datelor
capacitatea de a îndeplini sarcinile prevăzute de GDPR
 Regulamentul (UE) 2016/679

Transferurile de date către state terțe - art.44

posibile

sub rezerva celorlalte dispoziții ale prezentului regulament

condițiile prevăzute în prezentul capitol sunt respectate

inclusiv în ceea ce privește transferurile ulterioare
 Regulamentul (UE) 2016/679

Transferurile de date către state terțe -

transferuri în temeiul unei decizii privind caracterul adecvat al

nivelului de protecție art.45
transferuri în baza unor garanții adecvate art.46
derogări pentru situații specifice art.49
 caracterul adecvat al nivelului de protecție
Directiva 95/46/CE

transferul către o țară terță (...) nu poate avea loc decât dacă,
(...), țara terță asigură un nivel de protecție adecvat

caracterul adecvat al nivelului de protecție oferit de o țară terță se

evaluează ....

Regulamentul (UE) 2016/679

transferul de date cu caracter personal către o țară terță sau o
organizație internațională se poate realiza atunci când Comisia a decis
că țara terță, (...) asigură un nivel de protecție adecvat
mecanism de revizuire periodică, cel puțin o dată la patru ani, care ia în
considerare toate evoluțiile relevante din țara terță
 garanții adecvate
cu condiția să existe drepturi opozabile și căi de
atac eficiente pentru persoanele vizate
fără nicio autorizație specifică

un instrument obligatoriu din punct de vedere juridic și executoriu între

autoritățile sau organismele publice
reguli corporatiste obligatorii

clauze standard de protecție a datelor adoptate de Comisie

clauze standard de protecție a datelor adoptate de o autoritate de
supraveghere și aprobate de Comisie
 garanții adecvate
cu condiția să existe drepturi opozabile și căi de
atac eficiente pentru persoanele vizate
fără nicio autorizație specifică

un cod de conduită (...), însoțit de un angajament obligatoriu și executoriu din

partea operatorului/împuternicitului din țara terță de a aplica garanții
adecvate, inclusiv cu privire la drepturile persoanelor vizate

un mecanism de certificare (...), însoțit de un angajament obligatoriu și

executoriu din partea operatorului/împuternicitului din țara terță de a aplica
garanții adecvate, inclusiv cu privire la drepturile persoanelor vizate.
 garanții adecvate
cu condiția să existe drepturi opozabile și căi de
atac eficiente pentru persoanele vizate

cu autorizație
clauze contractuale între operator sau persoana împuternicită de
operator și operatorul, persoana împuternicită de operator sau
destinatarul datelor cu caracter personal din țara terță sau organizația
internațională; sau
dispoziții care urmează să fie incluse în acordurile administrative dintre
autoritățile sau organismele publice, care includ drepturi opozabile și
efective pentru persoanele vizate.
 întrebări

sanctiunile la care poate fi supus DPO-ul de catre autoritatea de supraveghere;

aspectele teoretice si practice privind responsabilitatile operatorului si persoanelor imputernicite de

operator privind prelucrarea datelor;

aspectele teoretice si practice privind securitatea datelor cu caracter personal;

exemple de declaratii scrise privind consimtamantul persoanei vizate privind prelucrarea datelor cu
caracter personal ( ca ex., daca este cazul, declaratia data de salariatul unei persoane juridice privind
acordul dat de acesta cu privire la prelucrarea datelor sale de catre serviciul personal-salarizare din cadrul
angajatorului sau dupa caz, declaratia data de salariatii dintr-o sectie de productie in care sunt montate
camere de luat vederi, e.t.c.);
 întrebări

desemnarea responsabilului cu protectia datelor este obligatorie si de catre un operator – persoana juridica
privata care are ca obiect de activitate , in principal, fabricarea si comercializarea produselor de panificatie,
patiserie si cofetarie iar activitatile privind prelucrarea datelor cu caracter personal privesc

datele salariatilor prelucrate de serviciul personal -salarizare,

stocarea imaginilor de pe camerele de luat vederi din sectile de
productie, din incintele acesteiasi intreprinderi sau din magazinele proprii,
stocarea datelor clientilor ca urmare a comertului electronic desfasurat de aceasta,
stocarea datelor prin intermediul cartelelor de intrare -iesire pe poarta
si a cardurilor de fidelitate ? volum considerabil?
constant sau periodic; nivel regional, național sau supranațional,
este recurenta; se repeta la număr mare de persoane
intervale fixe de timp risc ridicat sensibilității datelor
este prearanjata, organizata sau tehnologie nouă
metodica, se desfasoara potrivit unui risc ridicat scara larga
sistem si/sau se desfasoara ca parte
a unei strategii
monitorizare periodică și sistematică
 întrebări

operatorul ( angajatorul/ persoana juridica) are obligatia ca la incheierea contractului individual de munca sa solicite
si declaratia scrisa privind consimtamantul persoanei vizate (salariatului) privind prelucrarea datelor sale cu caracter
personal de catre serviciul personal-salarizare din cadrul angajatorului sau dupa caz, declaratia data de salariatii
dintr-o sectie de productie in care sunt montate camere de luat vederi, e.t.c) ? O asemenea declaratie trebuie luata
si tertilor la intrarea -iesirea pe poarta, in si din incinta unei persoane juridice ? In acest sens va rog sa aveti in vedere
si dispozitiile alin. 4 al art. 7 din Regulament

exista ghiduri pentru diversele actiuni/activitati obligatorii pentru Operatori si Responsabili(consimtamant

expres pentru prelucrare/ rectificare/ stergere/ restrictionare/opozitie date, etc.)?

exista deja coduri de conduita in domeniu?

in cazul in care societatea are incheiat contract de prestari servicii de paza cu o alta societate, agentii acesteia
adunand date cu caracter personal, persoanele vizate – vizitatori, furnizori, clienti, potentiali clienti, cum
gestionam problema din punct de vedere a protectiei datelor cu caracter personal?
 întrebări

Exista obligatii speciale ale responsabilului, ale operatorului si ale imputernicitului?

Care sunt principalele obligatii privind gestionarea problemei din perspectiva mediului
IT?
Cum procedam in cazul in care Codurile de Conduita de la cei “reprezentativi” nu sunt
publicate si nu avem la ce sa ne raportam ?

Care este impactul regulamentului asupra licitatiilor publice si ce ar trebui facut

pentru a fi in legalitate? Sunt totusi persoane juridice carora regulamentul nu le este
aplicabil?
Ce ar trebui inclus in acordul pentru procesarea datelor cu caracter personal pentru
angajati (ex. Acord monitorizare video, acord monitorizare gps, acord monitorizare
audio, acord pentru utilizare fotografii in outlook – ar fi util un ghid)
 întrebări

Este nevoie de o solutie de criptare in cazul in care datele sunt transmise prin serverele
companiei , pleaca din locatia x si ajung in locatia y (orase diferite) ?

Evidenţa datelor cu caracter personal.

Ce facem cu datele personale stocate în arhive şi pe unităţi de memorie, procesate

înainte de data de 25 mai a.c ? Cum le protejăm ?

Dacă un operator nu e obligat să numească un DPO şi desemnează totuşi o persoană

care se va asigura că măsurile luate de operator sunt în concordanţă cu GDPR, aceasta
din urmă are aceleaşi drepturi şi obligaţii cu un DPO în sensul stabilit de GDPR ?
 întrebări

Cum ar arata o evaluare a riscurilor pentru drepturile si libertatile persoanelor fizice din
perspectiva unui operator economic ? Concret cum ar trebui sa arate analiza de risc
(puteti da si un exemplu ?) – preambul (pct 75, 76, 77 si 90)

identificarea contextului
identificarea cadrului normativ/de reglementare
identificarea riscurilor incidenta probabila
gravitate

identificarea mijloacelor de reducere a incidentei

aprobare
monitorizare
reevaluare
 întrebări

geolocalizare

riscuri

accesarea ilegala a datelor de catre angajator

accesarea ilegala a datelor de catre un tert (service/concurenta)

accesarea ilegala a datelor de catre furnizorul solutiei tehnice

pierderea accidentala a datelor

modificarea / alterarea accidentala a datelor

furtul datelor / dezvaluirea neautorizata

modificarea intentionata a datelor

 întrebări

Ce facem cu datele personale stocate atât în format de hârtie cât şi electronic atunci
când ni se solicită de persoana vizată să ştergem datele referitoare la ea, în condiţiile în
care societatea are nevoie de documentul respectiv? Cum anonimizăm datele persoanei
vizate ?

În cazul unui grup de societăţi, softul societăţii mama din Anglia e în limba engleză.
Societatea din România poate folosi softul în limba engleză sau trebuie să fie un soft în
limba română ?

Cum îmi sunt protejate datele mele personale de la acest

seminar ?
Cum / ce fel de asigurări dăm persoanei vizate că i-au fost şterse toate datele
personale ?
Baza legala in raport cu GDPR ul pentru colectarea datelor medicale ;
 întrebări

obligativitatea informarii clientilor exitintenti despre noile prevederi ale GDPR –ului.

Autoritatea de supraveghere principala in caz de procesare transcomunitara a datelor.

conditiile de prelucrare a CNP-ului;

cazurile de prelucrare a datelor in care existenta consimtamantului expres este

obligatorie

Care va fi relatia dintre Regulamentul GDP si legislatia nationala actuala? O data cu 25 mai 2018,
Legea 677/2001 si Deciziile Autoritatii se vor abroga sau vor ramane in continuare in vigoare si se
vor aplica in masura in care nu contravin dispozitiilor din Regulament?;

Regulamentul GDP lasa la aprecierea statelor membre, posibilitatea de reglementare in ceea ce priveste conditiile
de prelucrare a cnp-ului. Intentioneaza Autoritatea sa emita vreo decizie noua in acest domeniu? Sau se va aplica
si dupa data de 25 mai 2018, Decizia 132/2011?;
 întrebări

In cazul unor prelucrari de date cu efecte transfrontaliere, in situatia unor incalcari ale securitatii
datelor, potrivit Regulamentului, Autoritatea de Supraveghere din statul in care s-a produs
incalcarea poate dispune aplicarea unei sanctiuni direct operatorului situat in Romania, vinovat
de aceasta incalcare? Daca da, in ce conditii, in ce termene si la ce Autoritate se poate contesta
aceasta sanctiune?;

Care este/sunt termenul/termenele, potrivit Regulamentului, in care operatorul sesizat de catre

persoana vizata cu o plangere privind prelucrarea ilegala a datelor sale, are obligatia de a raspunde
la aceasta? Termenul de o luna de zile prevazut de Regulament este un termen general, unic
pentru toate tipurile de plangeri adresate de persoanele vizate, operatorului sau sunt aplicabile in
anumite cazuri si alte termene speciale, ca de ex. termenul de 15 zile, asa cum este prevazut in
legislatia nationala actuala?;
 întrebări

Care vor fi consecintele pentru operator in cazul in care evaluarea riscurilor facuta de acesta nu
coincide cu situatia de fapt? Este raspunzator operatorul in acest caz, daca demonstreaza ca
potrivit “assessment-ului” sau ajunge la concluzia ca incalcarea de securitate nu prezinta un “risc
ridicat”?;

Cum se vor aplica dispozitiile Regulamentului-art.33 privind notificarea incalcarilor de securitate

a datelor cu caracter personal?
•In toate cazurile in care a avut loc o incalcare,
•in cazurile in care incalcarea prezinta un risc pentru dr si libertatile
persoanelor vizate sau
• in cazurile in care incalcarea prezinta un risc ridicat/semnificativ pentru dr
si libertatile persoanelor vizate;