absolute school suport de curs - pregatire.net

ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48

1

ABSOLUTE SCHOOL

SUPORT DE CURS

RESPONSABIL CU PROTECŢIA

DATELOR CU CARACTER

PERSONAL

CONFORM REGULAMENTULUI UE 2016/79 (GDPR)

TEL. 021.31.41.444 / 072. 357.623 / 0766.48.73.48

Web : www.AbsoluteSchool.net

www.pregatire.net

E-mail : [email protected]

V. 15.10.2019


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


2

ABSOLUTE SCHOOL in cifre

- un singur obiect de activitate - formarea profesionala a adultilor

- peste 14 ani experienta in training

- peste 50000 de cursanti scolarizati

- peste 45 de tipuri de cursuri diferite

- 7 domenii de training (IT, Contabilitate, HR, SSM, Protectia

mediului, Limbi straine, Protectia datelor)

- peste 20 de traineri dedicati, cu experienta profesionala si

pedagogica semnificativa

- grad de satisfactie a cursantilor: 98,5% (masurat exact, prin

chestionare de evaluare)

Detalii complete: www.pregatire.net

http://www.pregatire.net/


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


3

Trainerul cursului: CRISTIAN HĂRĂBOR

membru al IAPP (The International Association of Privacy Professionals)

este certificat IAPP, detinand cele mai prestigioase certificari recunoscute

international in domeniul protectiei datelor (CIPP/E - Certified Information

Privacy Professional/Europe si CIPM - Certified Information Privacy Manager)

CIPP/E atesta cunoasterea legislatiei

europene privind protectia datelor, precum

si aspectele practice privind aplicarea

legislatiei in cadrul organizatiilor.

CIPM este prima si singura certificare din

lume privind gestionarea programelor de

protectia datelor si atesta atat

cunoasterea reglementarilor, cat si

aspetele practice privind modul in care un

program de confidentialitate functioneaza

in organizatii

DPO atestat de CNIL (Autoritatea de Supraveghere pentru protectia datelor din

Franta; este prima persoana din Romania care a obtinut aceasta certificare)

licenţiat în Contabilitate şi Informatică de gestiune (media 9,87)

absolvent al unui masterat în Informatică economică

absolvent al unor cursuri de specializare: Train of Trainers, Managementul

performanţei în organizaţii, Protecţia datelor, Managementul proiectelor

peste 20 de ani experienţă în dezvoltarea de software (fazele de: analiză,

proiectare, dezvoltare, implementare, suport, protecţia informaţiilor)

experienţă în training: 1997 – prezent

experienţă în training în cadrul Absolute School: 2004 – prezent

(peste 500 de grupe și peste 7000 de cursanți școlarizați)

Consultant fiscal, membru al Camerei Consultanţilor Fiscali

experienţă profesională în companii din România, Franţa, Elveţia

Domenii de interes

- Aplicarea GDPR (principii, proceduri, implementare, consultanta, training, etc.)

- Susţinerea trainingurilor de Contabilitate, Fiscalitate şi Protecţia datelor

- Dezvoltarea de aplicaţii software pentru domeniul economic, managementul

performanţei, protecţia datelor

- Fiscalitate (TVA, impozit pe profit, preţuri de transfer, etc.)


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


4

STRUCTURA CURSULUI

1. Prezentarea Regulamentului (UE) 2016/679 (GDPR).

Concepte de bază. Terminologia utilizată.

2. Cele 6 principii ale GDPR.

3. Drepturile persoanelor vizate. Identificarea datelor

personale. Aspecte legale privind prelucrarea datelor.

4. Operatorul de date şi persoana imputernicită de operator.

5. Desemnarea unui DPO. Atribuţiile unui DPO. Comunicarea

cu autorităţile.

6. Transferurile de date cu caracter personal către țări terțe sau

organizații internaționale

7. Căi de atac, răspunderi şi sancţiuni.

8. Cookie-urile in contextul GDPR

Materialele suplimentare se pot descarca de la adresa:

www.pregatire.net/dpo (parola: dpo2018)

Adresa de e-mail a trainerului: [email protected]

http://www.pregatire.net/dpo


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


5

SECTIUNEA I

REGULAMENTUL (UE) 2016/679

(GENERAL DATA PROTECTION REGULATION – GDPR).

CONCEPTE DE BAZĂ. TERMINOLOGIA UTILIZATĂ.

INTRODUCERE

Începând cu 25 mai 2018, Regulamentul 2016/679 abrogă și înlocuiește

Directiva nr. 95/46/EC privind protecția persoanelor fizice în ceea ce privește

prelucrarea datelor cu caracter personal și libera circulație a acestor date.

Regulamentul are APLICABILITATE DIRECTĂ în toate Statele Membre în baza

Tratatului pentru Funcționarea Uniunii Europene. În consecință, începând cu 25

mai 2018 Regulamentul 2016/679 înlocuiește și actul normativ de

reglementare internă (Legea nr. 677/2001 pentru protecția persoanelor cu privire

la prelucrarea datelor cu caracter personal și libera circulație a acestor date).

Observaţie:

Aplicabilitatea directă a GDPR implica faptul că Regulamentul este obligatoriu

de aplicat pentru toate statele membre UE, fără a mai fi nevoie de o

transpunere în legislaţia naţională.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


6

PRINCIPALELE PREVEDERI ALE REGULAMENTULUI 2016/679

(GDPR)

Punctul 1 din Preambulul Regulamentului prevede faptul ca

“Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu

caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta

drepturilor fundamentale a Uniunii Europene și articolul 16 alineatul (1) din Tratatul

privind funcționarea Uniunii Europene prevăd dreptul oricărei persoane la protecția

datelor cu caracter personal care o privesc.”

Articolul 2 - Domeniul de aplicare material

(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal,

efectuată total sau parțial prin mijloace automatizate, precum și prelucrării

prin alte mijloace decât cele automatizate a datelor cu caracter personal care

fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă

parte dintr-un sistem de evidență a datelor.

Observatie

GDPR se aplica si pentru prelucrarea manuala a datelor. De exemplu, in cazul in

care un angajat preia numele/adresa/e-mail-ul unei persoane fizice, atunci datele

persoanei fizice trebuie protejate conform GDPR.

(2) Prezentul regulament nu se aplică prelucrării datelor cu caracter

personal:

de către o persoană fizică în cadrul unei activități exclusiv personale sau

domestice;

de către autoritățile competente în scopul prevenirii, investigării,

depistării sau urmăririi penale a infracțiunilor, sau al executării

sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa

siguranței publice și al prevenirii acestora.

Observatie

Acest ultim punct se refera la institutii care au atributii legate de aceste scopuri:

Politie, Parchet, ONPCSB, etc.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


7

Articolul 3 - Domeniul de aplicare teritorial

(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal în

cadrul activităților unui sediu al unui operator sau al unei persoane

împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are

loc sau nu pe teritoriul Uniunii.

(2) Prezentul regulament se aplică prelucrării datelor cu caracter personal

ale unor persoane vizate care se află în Uniune de către un operator sau o

persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci

când activitățile de prelucrare sunt legate de: (a) oferirea de bunuri sau servicii

unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu

efectuarea unei plăți de către persoana vizată; sau (b) monitorizarea

comportamentului lor dacă acesta se manifestă în cadrul Uniunii.

Observatie

Articolul 3 prevede ca GDPR-ul se aplica:

-datelor prelucrate de catre o companie din UE, chiar si daca prelucrarea s-ar face

in afara UE, printr-un imputernicit (subcontractant)

-datelor prelucrate de catre o companie cu sediul in afara UE, daca:

1. respectiva companie vinde bunuri/servicii catre persoane din UE

2. monitorizeaza comportamentul persoanelor care se afla in UE


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


8

ARTICOLUL 4 – DEFINIȚII

În sensul prezentului regulament:

1. „date cu caracter personal” înseamnă ORICE INFORMAȚII privind o

persoană fizică identificată sau identificabilă („persoana vizată”); o persoană

fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în

special prin referire la un element de identificare, cum ar fi un nume, un număr de

identificare, date de localizare, un identificator online, sau la unul sau mai multe

elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice,

economice, culturale sau sociale;

Observaţie:

Dintre datele cu caracter personal putem enumera: numele, prenumele, CNP,

adresa, numarul de inmatriculare al masinii, data nasterii, locul nasterii, numele

parintilor, varsta, cetatenia, etnia, identificatorul masinii (VIN), religia, numarul

cardului bancar, afilierea politica, starea civila, adresa de email personala,

imaginea, salariul, numarul de telefon, adresa IP a unui calculator/terminal, datele

de trafic si localizare, codul de bare incorporat intr-un document de identitate,

raspunsurile date la un examen, identificatori cookie, prezenta/absenta unor

substante din sange, etichetele de identificare prin frecvenţe radio, tratamentul

prescris de un medic unui pacient, amprente, rezultatul analizelor medicale,

semnatura, date biometrice, ADN, date genetice, functia publica, bonitatea unui

imprumutat persoana fizica, vocea, log-uri, istoricul de cautare intr-un

browser/motor de cautare, comportamentul on-line, informatiile stocate pe telefonul

personal, un tatuaj distinctiv, etc. etc.

2. „prelucrare” înseamnă ORICE OPERAȚIUNE sau set de operațiuni

efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu

caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi

colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau

modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere,

diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau

combinarea, restricționarea, ștergerea sau distrugerea;

Observaţie:

Va rugam sa remarcati ca prelucrarea NU inseamna doar modificare/agregare

de date, ci cuprinde toate operatiile mentionate in acest articol.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


9

3. „restricționarea prelucrării” înseamnă marcarea datelor cu caracter

personal stocate cu scopul de a limita prelucrarea viitoare a acestora;

Observaţie:

Acest lucru poate insemna in practica, de exemplu, existenta intr-o tabela dintr-o

baza de date cu clientii unei companii a unui camp (numit mai jos restrict, cu doua

valori posibile: DA sau NU).

id nume prenume email oras restrict data

1 Ionescu George [email protected] Bucuresti NU 15.01.2018

2 Enescu Ana [email protected] Buzau NU 20.01.2018

3 Popa George [email protected] Brasov DA 22.01.2018

4 Vasiliu Nina [email protected] Bucuresti NU 25.01.2018

5 Anitei Mihaela [email protected] Bucuresti NU 27.01.2018

In situatia in care exista o restrictionare a prelucrarii (cum este cazul persoanei cu id-

ul 3 de mai sus), atunci compania nu prelucreaza datele persoanei respective. Acest

aspect se va detalia la art. 18; restrictionarea prelucrarii poate fi legata, de exemplu,

de dreptul de a initia o actiune in instanta.

4. „creare de profiluri” (în engleză “profiling”, în română “profilare”)

înseamnă orice formă de prelucrare automată a datelor cu caracter personal

care constă în utilizarea datelor cu caracter personal pentru a evalua anumite

aspecte personale referitoare la o persoană fizică, în special pentru a analiza

sau prevedea aspecte privind performanța la locul de muncă, situația economică,

sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în

care se află persoana fizică respectivă sau deplasările acesteia.

Profilarea-exemplul nr.1 (cazul evaluarii unui angajat)

Angajat Popescu Ana

Anul Indicatorul de performanta (%)

2013 89

2014 87

2015 95,75

2016 97

2017 96,5

mailto:[email protected]






____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


10

Profilarea-exemplul nr.2 (preferintele privind cumparaturile efectuate on-line de un client)

Categoria Valoare achizitii %

Telefoane-tablete

8000 9,5%

Electronice 20000 23,8%

Mobilier 35000 41,7%

Ingrijire 15000 17,9%

Bricolaj 6000 7,1%


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


11

5. „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-

un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane

vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații

suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură

tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter

personal unei persoane fizice identificate sau identificabile;

PSEUDONIMIZAREA - EXEMPLU

Nume Ana Popescu Nume Qj5ymsd7$2q0

Pseudonim Qj5ymsd7$2q0 Istoric intrari 02.05.2018 2500 lei

Data nasterii 10-12-1989 03.05.2018 4000 lei

Sex F 05.05.2018 350 lei

Observatie

In exemplu de mai sus, datele privind istoricul tranzactiilor se gasesc pe

computerul nr.2; in cazul in care are loc o bresa de securitate si datele din

computerul 2 sunt accesate, acesta NU contine date personale; datele personale

sunt stocate pe computerul 1, pentru care e necesar sa se asigure un nivel inalt de

securitate (de exemplu, datele de pe computerul 1 pot fi criptate). Evident, aceste

masuri de securitate sunt implementate de catre departamentul IT; un responsabil

cu protectia datelor este doar in masura sa propuna aceste modalitati dde

securizare a datelor.

6. „sistem de evidență a datelor” înseamnă orice set structurat de date cu

caracter personal accesibile conform unor criterii specifice, fie ele centralizate,


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


12

descentralizate sau repartizate după criterii funcționale sau geografice;

7. „operator” (in engleza “CONTROLLER”) înseamnă persoana fizică sau

juridică, autoritatea publică, agenția sau alt organism care, singur sau

împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor

cu caracter personal;

8. „persoană împuternicită de operator” (in engleza “PROCESSOR”)

înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt

organism care prelucrează datele cu caracter personal în numele operatorului

Exemplu:

O companie X externalizeaza catre firma de contabilitate Y serviciile de

Contabilitate, resurse umane si salarizare in baza unui contract de prestari servicii.

In acest scenariu, rolul celor doua companii este urmatorul:

- compania X este Operatorul, intrucat stabileste scopul si mijloacele (in acest

exemplu, exista trei scopuri: tinerea evidentei contabile; intocmirea

contractelor de munca si calculul salariilor)

- compania Y este Imputernicitul, deoarece Y prelucreaza datele salariatilor

firmei X in numele acesteia

9. „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică,

agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter

personal, indiferent dacă este sau nu o parte terță.

Observatie:

Pentru exemplul anterior (privind companiile X si Y), destinatari sunt ANAF si ITM.

10. „parte terță” înseamnă o persoană fizică sau juridică, autoritate publică,

agenție sau organism altul decât persoana vizată, operatorul, persoana

împuternicită de operator și persoanele care, sub directa autoritate a operatorului

sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu

caracter personal;


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


13

Exemplu

O companie X externalizeaza catre firma Y serviciile de Contabilitate, resurse

umane si salarizare in baza unui contract de prestari servicii.

Pe perioada derularii contractului, la un moment dat firma Y subcontracteaza catre

o alta firma Z serviciile de Salarizare.

In acest caz, sunt necesare urmatoarele demersuri:

1. un contract intre firma X si firma Y (cu mentionarea obligatiilor fiecarei parti

privind respectarea GDPR)

2. firma Y cere acordul firmei X pentru subcontractarea serviciilor de Salarizare

catre Z; fara acordul firmei X, firma Y nu poate subcontracta serviciile

3. un contract intre firma Y si firma Z (cu mentionarea obligatiilor fiecarei parti

privind respectarea GDPR) – a se vedea si art.28 privind obligatiile

persoanei imputernicite de operator.

11. „consimțământ” al persoanei vizate înseamnă orice manifestare de

voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate

prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără

echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

Observatie:

A se vedea art. 7 din GDPR (in sectiunea urmatoare), in care vom avea exemple

detaliate.

12. „încălcarea securității datelor cu caracter personal” înseamnă o

încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea,

pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter

personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul

neautorizat la acestea

Observatie

Divulgarea accidentala/neautorizata poate sa apara si in cazul:

-pierderii unui stick cu date personale in clar

-date personale scrise pe post-it-uri lasate pe birou/ecran.

Inclusiv aceste tipuri de incalcari pot duce la plangeri/sanctiuni.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


14

13. „date genetice” înseamnă datele cu caracter personal referitoare la

caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care

oferă informații unice privind fiziologia sau sănătatea persoanei respective și care

rezultă în special în urma unei analize a unei mostre de material biologic

recoltate de la persoana în cauză;

Observatie:

Datele genetice ar trebui definite drept date cu caracter personal referitoare la

caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care

rezultă în urma unei analize a unei mostre de material biologic al persoanei fizice

în cauză, în special a unei analize cromozomiale, a unei analize a acidului

dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a

oricărui alt element ce permite obținerea unor informații echivalente.

14. „date biometrice” înseamnă o date cu caracter personal care rezultă în

urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice,

fiziologice sau comportamentale ale unei persoane fizice care permit sau

confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale

sau datele dactiloscopice

Observatie

Este cazul sistemelor de acces pe baza recunoasterii faciale (facial recognition

system) sau sisteme de acces pe baza de amprenta.

15. „date privind sănătatea” înseamnă date cu caracter personal legate de

sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii

de asistență medicală, care dezvăluie informații despre starea de sănătate a

acesteia;

16. „sediu principal” înseamnă:

(a) în cazul unui operator cu sedii în cel puțin două state membre, locul în

care se află administrația centrală a acestuia în Uniune, cu excepția cazului în

care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter

personal se iau într-un alt sediu al operatorului din Uniune, sediu care are

competența de a dispune punerea în aplicare a acestor decizii, caz în care sediul

care a luat deciziile respective este considerat a fi sediul principal;

(b) în cazul unei persoane împuternicite de operator cu sedii în cel puțin două


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


15

state membre, locul în care se află administrația centrală a acesteia în Uniune,

sau, în cazul în care persoana împuternicită de operator nu are o administrație

centrală în Uniune, sediul din Uniune al persoanei împuternicite de operator în care

au loc activitățile principale de prelucrare, în contextul activităților unui sediu al

persoanei împuternicite de operator, în măsura în care aceasta este supusă unor

obligații specifice în temeiul prezentului regulament;

Exemplu

O companie are sediul in Germania si filiale in Romania si in Austria. By default,

sediul principal din punct de vedere al GDPR este in Germania. Totusi, daca

pentru anumite activitati de prelucrare deciziile privind scopul si mijloacele sunt

luate in Romania, atunci filiala din Romania este considerata sediul principal din

punct de vedere al GDPR.

17. „reprezentant” înseamnă o persoană fizică sau juridică stabilită în Uniune,

desemnată în scris de către operator sau persoana împuternicită de operator în

temeiul articolului 27, care reprezintă operatorul sau persoana împuternicită în

ceea ce privește obligațiile lor respective care le revin în temeiul prezentului

regulament;

Observatie

Este vorba de situatia in care operatorul sau persoana împuternicită de operator

nu-si au sediul in UE si este necesar sa desemneze un reprezentant (care se

gaseste in UE).

18. „întreprindere” înseamnă o PERSOANĂ FIZICĂ SAU JURIDICĂ CE

DESFĂȘOARĂ O ACTIVITATE ECONOMICĂ, indiferent de forma juridică a

acesteia, inclusiv parteneriate sau asociații care desfășoară în mod regulat o

activitate economică

19. „grup de întreprinderi” înseamnă o întreprindere care exercită controlul și

întreprinderile controlate de aceasta;

20. „reguli corporatiste obligatorii” (in engleza “binding corporate rules” -

BCR) înseamnă politicile în materie de protecție a datelor cu caracter personal

care trebuie respectate de un operator sau de o persoană împuternicită de

operator stabilită pe teritoriul unui stat membru, în ceea ce privește transferurile


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


16

sau seturile de transferuri de date cu caracter personal către un operator sau o

persoană împuternicită de operator în una sau mai multe țări terțe în cadrul unui

grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate

economică comună;

21. „autoritate de supraveghere” înseamnă o autoritate publică independentă

instituită de un stat membru;

Observatie: în România autoritatea de supraveghere in domeniu protectiei datelor

este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter

Personal (ANSPDCP), B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, Bucuresti;

www.dataprotection.ro


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


17

SECŢIUNEA a II-a

Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal

(1) Datele cu caracter personal sunt:

(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată

(„legalitate, echitate și transparență”)

Observatie

Cele trei componente ale acestui principiu (legalitate, echitate și transparență)

sunt intr-o strânsă legatură.

Potrivit principiului legalităţii, trebuie sa existe un temei legal pentru prelucrare; in

caz contrar , prelucrarea este nelegala (a se vedea art.6, 9 si 10 din GDPR).

Echitatea (corectitudinea) presupune ca persoanele în cauză trebuie să fie

informate că datele lor cu caracter personal sunt prelucrate, inclusiv modul în care

acestea sunt colectate, stocate și utilizate, pentru a le permite să ia decizii în

cunoștință de cauză cu privire la datele lor și să își exercite drepturile in materie de

protecția datelor; in plus, operatorul prelucrează datele doar în modurile pe

care persoana vizată în cauză le-ar aștepta în mod rezonabil şi nu utilizează

datele intr-un fel care ar putea afecta negativ persoana vizată. Cu toate

acestea, în unele cazuri, tratamentul este impus prin lege, prin urmare, este

considerat echitabil, indiferent de cunoștințele sau preferințele persoanei în cauză.

Transparența este legata direct de echitate si impune operatorului să comunice

persoanei vizate în mod clar și deschis cum va prelucra datele cu caracter

personal.

(b) colectate în scopuri determinate, explicite și legitime și nu sunt

prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea

ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică

sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile

inițiale („limitări legate de scop”);

Exemplu:

O companie incheie cu un client (persoana fizica) un contract de prestari servicii,

colectand de la aceasta numele, adresa postala si adresa de e-mail; in

concordanta cu acest contract, serviciile se presteaza lunar, iar facturile se transmit


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


18

catre persoana fizica prin e-mail.

Ulterior, compania trimite catre persoana fizica e-mail-uri cu informatii comerciale

referitoare la unele bunuri pe care le ofera spre vanzare.

Limitarea legata de scop este respectata in acest caz? Va rugam sa argumentati.

(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu

scopurile în care sunt prelucrate („reducerea la minimum a datelor”);

Exemplu:

O companie presteaza servicii unei persoane fizice, la cererea acesteia. Compania

colecteaza de la persoana fizica numele, CNP, adresa postala si adresa de e-mail;

conform intelegerii dintre parti, facturile se transmit catre persoana fizica prin e-

mail. Conform regulilor interne ale prestatorului, pe facturile emise este mentionat

numele persoanei emitente si CNP-ul acesteia.

Precizati ce implica „reducerea la minimum a datelor” in acest caz.

Exemplu:

In cadrul unui proces de recrutare, recruiterul ii adreseaza unui candidat diverse

intrebari si noteaza raspunsurile acestuia. Dati exemple de cateva intrebari care ar

fi susceptibile sa nu respecte principiul reducerii la minimum a datelor.

(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia

toate măsurile necesare pentru a se asigura că datele cu caracter personal care

sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse

sau rectificate fără întârziere („exactitate”)

Observatie

In acest sens, e necesara o procedura de editere/modificare a datelor atunci cand

este necesar.

De exemplu, un client ne anunta faptul ca si-a schimbat adresa de e-mail, intrucat

vechea adresa de e-mail a fost compromisa. Ca atare, aceasta schimbare trebuie

sa se reflecte imediat la noi in sistem. Care ar fi riscul neefectuarii modificarii

sau al modificarii cu intarziere?


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


19

(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o

perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care

sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai

lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în

interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice,

sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate

prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților

persoanei vizate („limitări legate de stocare”);

Exemplu (1)

O companie presteaza servicii unei persoane fizice, colectand de la aceasta

numele, adresa postala si adresa de e-mail;conform intelegerii dintre parti, facturile

se transmit catre persoana fizica prin e-mail.

Mentionati ce implica „limitările legate de stocare” in acest caz.

Exemplu (2)

O companie prelucreaza datele personale ale salariatilor in vederea intocmirii

statului de salarii. Un salariat este angajat in companie in perioada 01.01.2014-

31.12.2017. In luna precedenta celei in care ne aflam (deci dupa incetarea

contractului si intrarea GDPR in vigoare) salariatul solicita companiei stergerea

datelor personale.

Mentionati ce implica „limitările legate de stocare” in acest caz.

Observatie

Daca exista un termen legal de pastrare, e necesar sa fie respectat acel termen;

de exemplu, termenul de pastrare a facturilor este de 10 ani, iar statele de salarii

se pastreaza 50 de ani (conform legii Contabilitatii); daca legislatia nu prevede un

termen de pastrare, e necesar sa stabilim printr-o procedura interna un termen cat

mai mic posibil.

(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu

caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale

și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


20

măsuri tehnice sau organizatorice corespunzătoare („integritate și

confidențialitate”).

Observatie:

Pentru a respecta acest principiu („integritate și confidențialitate”), putem avea

in vedere mai multe aspecte privind protectia datelor, dintre care mentionam:

Controlul accesului Utilizarea unui firewall Instruirea periodica a

personalului

Parolarea

calculatoarelor

Realiz rea copiilor de

siguranta a datelor (back-up)

Existenta unei politici

documentate de

protectie a datelor la

nivel de companie

Utilizarea de

parole “puternice”

Criptarea datelor Utilizarea distrugatoarelor

de documente

Utilizarea unui soft

antivirus actualizat

Stocarea documentelor tiparite

in dulapuri metalice inchise

Pseudonimizarea

(2) OPERATORUL ESTE RESPONSABIL DE RESPECTAREA ALINEATULUI

(1) ȘI POATE DEMONSTRA ACEASTĂ RESPECTARE

(„RESPONSABILITATE”).

Observatie

Alineatul 2 precizeaza obligatia operatorului de a asigura integritatea si

confidentialitatea datelor, precum si obligatia de a demonstra ca acestea sunt

respectate; demonstrarea respectarii ar insemna, printer altele, existenta unei

politici scrise de protectie a datelor, instruirea periodica a personalului implicat si

luarea efectiva a masurilor de securitate necesare.

Observatie

A se vedea Anexa 1 – Studiu de caz privind aplicarea celor 6 principii GDPR si

Anexa 2 – Instruirea periodica a angajatilor.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


21

Articolul 6 - Legalitatea prelucrării

(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel

puțin una dintre următoarele condiții:

(a) persoana vizată și-a dat CONSIMȚĂMÂNTUL pentru prelucrarea datelor

sale cu caracter personal pentru unul sau mai multe scopuri specifice

Observatie

A se vedea si art.7 (privitor la consimtamant).

(b) prelucrarea este necesară pentru EXECUTAREA UNUI CONTRACT la

care persoana vizată este parte sau pentru a face demersuri la cererea

persoanei vizate înainte de încheierea unui contract;

(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale

care îi revine operatorului;

(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei

vizate sau ale altei persoane fizice

(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește

unui interes public sau care rezultă din exercitarea autorității publice cu care este

învestit operatorul;

Exemplu

Doua persoane fizice PF1 si PF2 sunt intr-un litigiu si ajung in instanta. Pentru

aceasta, fiecare persoana apeleaza la serviciile unui avocat, respectiv A1 si A2.

Avocatul A1 prelucreaza datele clientului sau in baza contractului de prestari

servicii; pe de alta parte, A1 va prelucra si datele partii adverse (PF2), precum si

datele unor eventuali terti (spre exemplu martorii la proces). Prelucrarea datelor

partii adverse se va face in baza unui interes public, respectiv infaptuirea actului de

justitie; avocatul A1 NU poate prelucra datele persoanei PF2 in baza contractului

sau in baza consimtamantului.

(f) prelucrarea este necesară în scopul intereselor legitime urmărite de

operator sau de o parte terță, cu excepția cazului în care prevalează interesele

sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită

protejarea datelor cu caracter personal, în special atunci când persoana vizată

este un copil. Litera (f) din primul paragraf nu se aplică în cazul prelucrării


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


22

efectuate de autorități publice în îndeplinirea atribuțiilor lor.

Exemple

1. prelucrarea datelor privind performanta angajatilor se poate face in temeiul

interesului legitim al operatorului de a avea performanta in activitatea sa

2. prelucrarea datelor de localizare pentru un salariat ce conduce un autovehicul al

companiei dotat cu GPS se face in baza interesului legitim al companiei de a putea

localiza autovehiculul, ca mijloc de protectie impotriva furtului

3. urmarirea istoricului de navigare a vizitatorilor unui site se face in temeiul

interesului legitim al proprietarului site-ului in vederea protectiei impotriva atacurilor

informatice asupra site-ului

Observatie

In concluzie, prelucrarea este legala daca se aplica cel putin un principiu, iar

incadrarea este corecta si conforma cu respectivul principiu. In caz contrar,

prelucrarea NU este una legala.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


23

ARTICOLUL 7 - CONDIȚII PRIVIND CONSIMȚĂMÂNTUL

(1) În cazul în care prelucrarea se bazează pe consimțământ, operatorul

trebuie să fie în măsură să demonstreze că persoana vizată și-a dat

consimțământul pentru prelucrarea datelor sale cu caracter personal.

Observatie

Cu alte cuvinte, alineatul 1 prevede obligaţia operatorului de a demonstra ulterior

că persoana vizata si-a acordat consimţământul anterior prelucrării.

Exemplu

O companie primeşte prin e-mail o ofertă de la o persoană care-i oferă spre

vânzare “o baza de date cu peste 4.000.000 de adrese de e-mail valide ce aparţin

unor persoane fizice din România” la preţul de 500 lei. Compania dă curs ofertei,

achizitionând baza de date.

Vă rugăm să analizaţi situaţia vânzătorului si a cumpărătorului bazei de date vis-à-

vis de consimţământul persoanelor vizate.

(2) În cazul în care consimțământul persoanei vizate este dat în contextul

unei declarații scrise care se referă și la alte aspecte, cererea privind

consimțământul trebuie să fie prezentată într-o formă care o diferențiază în

mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă,

utilizând un limbaj clar și simplu. Nicio parte a respectivei declarații care

constituie o încălcare a prezentului regulament nu este obligatorie.

Exemplu

O persoana fizica acceseaza un magazin on-line si finalizeaza o comanda de

cumparare pe site-ul vanzatorului Y SRL. La finalizarea fiecarei comenzi,

vanzatorul solicita consimtamantul clientului pentru a-i prelucra adresa de e-mail in

scop de marketing. In acest caz, e necesar acordul explicit al clientului in mod

diferentiat pentru cele doua scopuri, de exemplu:

(3) Persoana vizată are dreptul să își retragă în orice moment

consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării

efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


24

acordarea consimțământului, persoana vizată este informată cu privire la acest

lucru. Retragerea consimțământului se face la fel de simplu ca acordarea

acestuia.

Exemplu

O persoana fizica acceseaza un site al unei companii si isi da consimtamantul pentru

a primi e-mail-uri in scop de marketing.

Dupa o anumita perioada, persoana fizica nu mai doreste sa primeasca mesaje si

acceseaza pagina in care se gasesc detalii privind renuntarea la inregistrare. In

aceasta pagina se mentioneaza, printre altele:

“Aveti posibilitatea sa renuntati oricand la inregistrare; in acest sens, va rugam sa

apelati call-center-ul nostru la numarul de telefon 021/123.45 67, de luni pana vineri

intre orele 9-17. Va multumim!”.

Va rugam sa precizati daca aceasta procedura de retragere a consimtamantului este

in conformitate cu alin.3.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


25

Observatie (1)

Preambulul 32 al GDPR: “Consimțământul ar trebui acordat printr-o acțiune

neechivocă care să constituie o manifestare liber exprimată, specifică, în

cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor

sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în

format electronic, sau verbal. Acesta ar putea include bifarea unei căsuțe atunci când

persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății

informaționale sau orice altă declarație sau acțiune care indică în mod clar în

acest context acceptarea de către persoana vizată a prelucrării propuse a datelor

sale cu caracter personal. Prin urmare, absența unui răspuns, căsuțele bifate în

prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ.

Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același

scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe

scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul

în care consimțământul persoanei vizate trebuie acordat în urma unei cereri

transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să

nu perturbe în mod inutil utilizarea serviciului pentru care se acordă

consimțământul.”


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


26

Observatie (2)

Conform “Orientărilor privind consimțământul” adoptate de Comitetul

European pentru Protectia datelor (European Data Protection Board – EDPB)

cuprinse in documentul WP259, elementul „liber” implică o alegere reală și un

control real din partea persoanelor vizate. GDPR prevede că dacă persoana

vizată nu beneficiază de o alegere reală, se simte obligată să consimtă sau va

suporta consecințe negative dacă nu consimte, consimțământul nu va fi valabil.

Dacă consimțământul este înglobat, ca parte ce nu poate fi negociată, în cuprinsul

termenelor și condițiilor, se prezumă că acesta nu a fost exprimat în mod liber. În

consecință, consimțământul nu va fi considerat liber exprimat dacă persoana

vizată nu este în măsură să refuze sau să-și retragă consimțământul fără a fi

prejudiciată. Un dezechilibru apare, de asemenea, în contextul relațiilor de

muncă., fiind puțin probabil ca persoana vizată să poată refuza să-și acorde

consimțământul față de angajatorul său pentru prelucrarea datelor fără a se

confrunta cu temerea sau cu riscul real de consecințe negative ca urmare a unui

refuz. Este puțin probabil ca un angajat să poată răspunde în mod liber la o cerere

de consimțământ din partea angajatorului său, de exemplu pentru a activa camere

de supraveghere la locul de muncă sau pentru a completa formulare de evaluare,

fără a simți presiunea de a consimți. Prin urmare, EDPB consideră că este foarte

dificil ca angajatorii să prelucreze datele personale ale angajaților pe baza

consimțământului, întrucât este puțin probabil ca acesta să fie acordat în

mod liber. Pentru cea mai mare parte a activității de prelucrare a unor astfel

de date la locul de muncă, temeiul legal nu poate și nu ar trebui să fie

consimțământul angajaților, având în vedere natura relației dintre angajator și

angajat. Angajații își pot da consimțământul în mod liber numai în

circumstanțe excepționale, și anume atunci când nu va exista nicio

consecință negativă, indiferent dacă aceștia consimt sau nu. De exemplu,

daca un echipaj de televiziune urmează să filmeze într-un birou al unei companii,

angajatorul le solicită angajaților care își desfășoară activitatea în zona respectivă

consimțământul de a fi filmați, întrucât aceștia ar putea apărea pe fundalul filmării.

Cei care nu vor să fie filmați nu vor fi sancționați în niciun mod, fiind relocati in

birouri aflate în altă parte a clădirii pe durata filmărilor.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


27

INCORECT CONFORM GDPR

Nr.crt. Denumire p odus

Cantitate Pret unitar Valoare

1 Produsul 1 2 buc. 30 lei 60 lei


TOTAL 100 lei

Prin apasarea butonului de mai jos va dati acordul pentru a primi e-mail-uri in scop de marketing.

INCORECT CONFORM GDPR – casuta bifata in prealabil

Nr.crt. Denumire produs

Cantitate Pret unitar Valoare



TOTAL 100 lei

ARTICOLUL 8 - CONDIȚII APLICABILE ÎN CEEA CE PRIVEȘTE

CONSIMȚĂMÂNTUL COPIILOR ÎN LEGĂTURĂ CU SERVICIILE SOCIETĂȚII

INFORMAȚIONALE

(1)În cazul în care se aplică articolul 6 alineatul (1) litera (a), în ceea ce

privește oferirea de servicii ale societății informaționale în mod direct unui

copil, prelucrarea datelor cu caracter personal ale unui copil este legală dacă

copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani,

respectiva prelucrare este legală numai dacă și în măsura în care

consimțământul respectiv este acordat sau autorizat de titularul răspunderii

părintești asupra copilului.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


28

ARTICOLUL 9 - PRELUCRAREA DE CATEGORII SPECIALE DE DATE CU

CARACTER PERSONAL

(1) SE INTERZICE PRELUCRAREA DE DATE cu caracter personal care

dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă

sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date

genetice, de date biometrice pentru identificarea unică a unei persoane fizice,

de date privind sănătatea sau de date privind viața sexuală sau orientarea

sexuală ale unei persoane fizice.

(2) Alineatul (1) nu se aplică în următoarele situații:

(a) persoana vizată și-a dat consimțământul explicit pentru prelucrarea

acestor date cu caracter personal pentru unul sau mai multe scopuri

specifice;

(b) prelucrarea este necesară în scopul îndeplinirii obligațiilor și al

exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în

domeniul ocupării forței de muncă și al securității sociale și protecției

sociale;

(c) prelucrarea este necesară pentru protejarea intereselor vitale ale

persoanei vizate sau ale unei alte persoane fizice, atunci când persoana

vizată se află în incapacitate fizică sau juridică de a-și da consimțământul;

(d) prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții

adecvate de către o fundație, o asociație sau orice alt organism fără scop lucrativ și

cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se

refere numai la membrii sau la foștii membri ai organismului respectiv sau la

persoane cu care acesta are contacte permanente în legătură cu scopurile sale și

ca datele cu caracter personal să nu fie comunicate terților fără consimțământul

persoanelor vizate;

(e) prelucrarea se referă la date cu caracter personal care sunt făcute

publice în mod manifest de către persoana vizată;

(f) prelucrarea este necesară pentru constatarea, exercitarea sau

apărarea unui drept în instanță sau ori de câte ori instanțele acționează în

exercițiul funcției lor judiciare;

(g) prelucrarea este necesară din motive de interes public major, în baza

dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit,


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


29

respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și

specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei

vizate;

(h) prelucrarea este necesară în scopuri legate de medicina preventivă

sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea

unui diagnostic medical, de furnizarea de asistență medicală sau socială sau

a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate

sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în

temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării

condițiilor și garanțiilor prevăzute la alineatul (3);

(i) prelucrarea este necesară din motive de interes public în domeniul

sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave

la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a

asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul

dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice

pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului

profesional; sau

(j) prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri

de cercetare științifică sau istorică ori în scopuri statistice.

Observatie

Alineatul 2 al articolului 9 precizeaza cazurile in care este legala prelucrarea

categoriilor special de date. In consecinta, prelucrarea categoriilor special de date

in alte situatii este nelegala.

ARTICOLUL 10 - PRELUCRAREA DE DATE CU CARACTER PERSONAL

REFERITOARE LA CONDAMNĂRI PENALE ȘI INFRACȚIUNI

Prelucrarea de date cu caracter personal referitoare la condamnări penale și

infracțiuni se efectuează numai sub controlul unei autorități de stat SAU

ATUNCI CÂND PRELUCRAREA ESTE AUTORIZATĂ DE DREPTUL UNIUNII

SAU DE DREPTUL INTERN care prevede garanții adecvate pentru drepturile și

libertățile persoanelor vizate.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


30

Observatie (1)

!!! Putem solicita cazierul la angajare numai daca exista o prevedere legala in

acest sens!

Acest lucru este valabil, de exemplu, pentru urmatoarele cazuri/ocupatii:

- agent de paza (conform Legii 333/2003)

- gestionar (conform Legii 22/1969)

- consilier juridic (conform Legii 514/2003)

- funcționar public (conform HG 611/2008)

Observatie (2)

In cazul profesiilor reglementate (de exemplu: avocat, expert contabil, consultant

fiscal, medic, farmacist, etc.), persoanelor care au obtinut aceste calitati si fac parte

din respectivul corp profesional li se solicita cazierul la examenul de admitere in

profesie si trebuie prezentat organismului profesional, nefiind necesar la

angajare.

Studiu de caz

Tinand cont de prevederile articolelor 6,9,si 10, precizati temeiul legal al

prelucrarii in urmatoarele situatii:

1. angajarea unei persoane cu CIM

2. prelucrarea datelor medicale ale unui salariat (de ex. un concediu medical

adus de un salariat)

3. calculul salariilor angajatilor

4. retinerea contributiilor sociale pentru un angajat pe statul de plata

5. primirea unui CV (candidatura spontana) pe adresa de e-mail a companiei

6. o persoana fizica solicita unei agentii de recrutare gasirea unui job in functie

de anumite criterii

7. o persoana fizica aplica pentru un job publicat de companie pe un portal de


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


31

job-uri

8. o agentie de recrutare “deblocheaza” datele unui candidat pe un portal de

job-uri si apoi il contacteaza

9. o companie solicita cazierul unei persoane care va fi angajata pe post de

Operator call-center

10. o companie solicita cazierul unei persoane care va fi angajata pe post de

Agent de paza

11. intr-un proces de recrutare pentru un anumit post, compania organizeaza

interviuri cu 15 persoane, una fiind selectata. Precizati:

a. temeiul legal al prelucrarii CV-ului candidatilor

b. temeiul legal al prelucrarii ulterioare a CV-urilor candidatilor respinsi

c. care ar fi termenul de stocare a CV-urilor candidatilor respinsi?

12. evaluarea performantelor angajatilor. Care considerati ca este termenul de

pastrare a rezultatelor evaluarii?

13. prelucrarea datelor unei PFA care ne presteaza un serviciu

14. externalizarea salarizarii catre o firma de payroll.

15. prestarea de servicii catre un client - persoana fizica

16. un client efectueaza o comanda telefonica si solicita livrarea unui produs la

domiciliul sau. Compania efectueaza livrarea si incaseaza suma aferenta

fara a exista un contract in forma scrisa.

17. un medic evalueaza starea de sanatate a unui pacient si-i prescrie un

tratament

18. transferul datelor salariatilor unei companii din Romania catre firma-mama

din Austria

19. o firma organizeaza un concert in Piata Constitutiei, la care participa 50.000


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


32

de spectatori. Inainte si in timpul spectacolului, firma organizatoare

utilizeaza o drona pentru a capta imagini. Care este temeiul legal al

prelucrarii imaginilor?

20. o firma de utilitati utilizeaza un contor inteligent care se monteaza in

locuinta fiecarui abonat. Contorul transmite periodic (prin GSM) catre firma

de utilitati valorile consumului. In acest caz, se prelucreaza date personale?

Daca da, care este temeiul legal al prelucrarii?

21. publicarea fotografiilor, numelui si a functiei salariatilor pe site-ul companiei

22. transmiterea de e-mail-uri catre client in scop de marketing

23. o firma de consultanta acorda acces (pe baza de user si parola) la platforma

sa on-line, unde abonatii au acces la informatii de specialitate.

24. captarea imaginilor vizitatorilor unui magazin/centru comercial/depozit

25. pe site-ul companiei exista un formular de contact, prin intermediul caruia o

persoana fizica trimite o comanda pentru un serviciu. Formularul preia

numele, telefonul, e-mail-ul persoanei, precum si cererea acesteia.

26. o persoana fizica (fost client) ne solicita pe pagina de Facebook a companiei

sa-i transmitem prin e-mail ce date personale ii prelucram. Persoana

respectiva a cumparat de la companie un produs in urma cu 7 ani.

27. o companie cu 2000 de angajati ocupa o cladire de birouri din Pipera.

Pentru accesul in cladire, fiecare angajat utilizeaza o cartela de acces

(badge), pe care sunt stocate date personale.

ARTICOLUL 12 TRANSPARENȚA INFORMAȚIILOR, A COMUNICĂRILOR ȘI A

MODALITĂȚILOR DE EXERCITARE A DREPTURILOR PERSOANEI VIZATE

(1) Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice

informații menționate la articolele 13 și 14 și orice comunicări în temeiul


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


33

articolelor 15-22 și 34 referitoare la prelucrare, într-o formă concisă,

transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu,

în special pentru orice informații adresate în mod specific unui copil. Informațiile

se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este

oportun, în format electronic. La solicitarea persoanei vizate, informațiile pot fi

furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte

mijloace.

(3) Operatorul furnizează persoanei vizate informații privind acțiunile

întreprinse în urma unei cereri, fără întârzieri nejustificate și în orice caz în

cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu

două luni atunci când este necesar, ținându-se seama de complexitatea și numărul

cererilor. Operatorul informează persoana vizată cu privire la orice astfel de

prelungire, în termen de o lună de la primirea cererii, prezentând și motivele

întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic,

informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția

cazului în care persoana vizată solicită un alt format.

(4) Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul

informează persoana vizată, fără întârziere și în termen de cel mult o lună de

la primirea cererii, cu privire la motivele pentru care nu ia măsuri și la

posibilitatea de a depune o plângere în fața unei autorități de supraveghere și

de a introduce o cale de atac judiciară.

(5) Informațiile furnizate în temeiul articolelor 13 și 14 și orice comunicare și

orice măsuri luate în temeiul articolelor 15-22 și 34 sunt oferite gratuit. În

cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate

sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:

(a) fie să perceapă o taxă rezonabilă ținând cont de costurile administrative

pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor

solicitate;

(b) fie să refuze să dea curs cererii.

TRATAREA CERERILOR VENITE DIN PARTEA PERSOANELOR VIZATE (P.V.)

CAZUL 1 – raspuns initial favorabil

CERERE P.V. >>> RASPUNS IN 30 DE ZILE


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


34

CAZUL 2 – raspuns amanat

CERERE P.V. >>> INFORMARE IN 30 DE ZILE + MOTIVAM AMANAREA +

MENTIONAM CA POATE DEPUNE PLANGERE LA AUTORITATE SI

INTRODUCE O CALE DE ATAC JUDICIARA >>> RASPUNS IN 90 DE ZILE

CAZUL 3 – cererea este vadit nefondata sau excesiva

Varianta 1 – percepem P.V. o taxa administrativa rezonabila

Varianta 2 – refuzam sa dam curs cererii


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


35

ARTICOLUL 13 - INFORMAȚII CARE SE FURNIZEAZĂ ÎN CAZUL ÎN CARE

DATELE CU CARACTER PERSONAL SUNT COLECTATE DE LA PERSOANA

VIZATĂ

(1) În cazul în care datele cu caracter personal referitoare la o persoană

vizată sunt colectate de la aceasta, operatorul, în momentul obținerii acestor

date cu caracter personal, furnizează persoanei vizate toate informațiile

următoare:

(a) identitatea și datele de contact ale operatorului și, după caz, ale

reprezentantului acestuia;

(b) datele de contact ale responsabilului cu protecția datelor, după caz;

(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și

temeiul juridic al prelucrării;

(d) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera

(f), interesele legitime urmărite de operator sau de o parte terță;

(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(f) dacă este cazul, intenția operatorului de a transfera date cu caracter

personal către o țară terță sau o organizație internațională și o trimitere la garanțiile

adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora, în

cazul în care acestea au fost puse la dispoziție.

(2) În plus față de informațiile menționate la alineatul (1), în momentul în

care datele cu caracter personal sunt obținute, operatorul furnizează

persoanei vizate următoarele informații suplimentare necesare pentru a

asigura o prelucrare echitabilă și transparentă:

(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă

acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(b) existența dreptului de a solicita operatorului, în ceea ce privește datele cu

caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea

sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se

opune prelucrării, precum și a dreptului la portabilitatea datelor;

(c) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau

pe articolul 9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul

în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza

consimțământului înainte de retragerea acestuia;


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


36

(d) dreptul de a depune o plângere în fața unei autorități de supraveghere;

(e) dacă furnizarea de date cu caracter personal reprezintă o obligație legală

sau contractuală sau o obligație necesară pentru încheierea unui contract, precum

și dacă persoana vizată este obligată să furnizeze aceste date cu caracter

personal și care sunt eventualele consecințe ale nerespectării acestei obligații;

(f) existența unui proces decizional automatizat incluzând crearea de profiluri,

precum și, cel puțin în cazurile respective, informații pertinente privind logica

utilizată și privind importanța și consecințele preconizate ale unei astfel de

prelucrări pentru persoana vizată.

(3) În cazul în care operatorul intenționează să prelucreze ulterior datele cu

caracter personal într-un alt scop decât cel pentru care acestea au fost colectate,

operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară,

informații privind scopul secundar respectiv și orice informații suplimentare

relevante, în conformitate cu alineatul (2).

Studiu de caz

Precizati momentul si modul in care se efectueaza informarea persoanelor fizice in

toate cele 27 de cazuri din studiul de caz precedent (cel dinaintea art.12).

Exemplu

A se vedea Anexa 3 - MODEL INFORMARE ANGAJATI.

Exemplu

A se vedea si in Anexa 1 pag.1 (in exemplul de la principiul 1)– MODEL INFORMARE CLIENT


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


37

ARTICOLUL 14 - INFORMAȚII CARE SE FURNIZEAZĂ ÎN CAZUL ÎN CARE

DATELE CU CARACTER PERSONAL NU AU FOST OBȚINUTE DE LA

PERSOANA VIZATĂ

(1)În cazul în care datele cu caracter personal nu au fost obținute de la persoana

vizată, operatorul furnizează persoanei vizate următoarele informații:

(a) identitatea și datele de contact ale operatorului și, după caz, ale

reprezentantului acestuia;

(b) datele de contact ale responsabilului cu protecția datelor, după caz;

(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul

juridic al prelucrării;

(d) categoriile de date cu caracter personal vizate;

(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după

caz;

(f) dacă este cazul, intenția operatorului de a transfera date cu caracter personal

către un destinatar dintr-o țară terță sau o organizație internațională și existența

sau absența unei decizii a Comisiei privind caracterul adecvat sau, în cazul

transferurilor menționate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al

doilea paragraf, o trimitere la garanțiile adecvate sau corespunzătoare și la

mijloacele de a obține o copie a acestora, în cazul în care acestea au fost puse la

dispoziție.

(2)Pe lângă informațiile menționate la alineatul (1), operatorul furnizează persoanei

vizate următoarele informații necesare pentru a asigura o prelucrare echitabilă și

transparentă în ceea ce privește persoana vizată:

(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest

lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(b) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f),

interesele legitime urmărite de operator sau de o parte terță;

(c) existența dreptului de a solicita operatorului, în ceea ce privește datele cu

caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea

sau ștergerea acestora sau restricționarea prelucrării și a dreptului de a se opune

prelucrării, precum și a dreptului la portabilitatea datelor;

(d) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe

articolul 9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


38

orice moment, fără a afecta legalitatea prelucrării efectuate pe baza

consimțământului înainte de retragerea acestuia;

(e) dreptul de a depune o plângere în fața unei autorități de supraveghere;

(f) sursa din care provin datele cu caracter personal și, dacă este cazul, dacă

acestea provin din surse disponibile public;

(g) existența unui proces decizional automatizat incluzând crearea de profiluri,

menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile

respective, informații pertinente privind logica utilizată și privind importanța și

consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(3)Operatorul furnizează informațiile menționate la alineatele (1) și (2):

(a) într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu

mai mare de o lună, ținându-se seama de circumstanțele specifice în care sunt

prelucrate datele cu caracter personal;

(b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea

cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată

respectivă; sau

(c) dacă se intenționează divulgarea datelor cu caracter personal către un alt

destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

(4)În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter

personal într-un alt scop decât cel pentru care acestea au fost obținute, operatorul

furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații

privind scopul secundar respectiv și orice informații suplimentare relevante, în

conformitate cu alineatul (2).

(5)Alineatele (1)-(4) nu se aplică dacă și în măsura în care:

(a) persoana vizată deține deja informațiile;

(b) furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi

disproporționate, în special în cazul prelucrării în scopuri de arhivare în interes

public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice;

(c) obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul

Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care prevede

măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau

(d) în cazul în care datele cu caracter personal trebuie să rămână confidențiale în

temeiul unei obligații statutare de secret profesional reglementate de dreptul


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


39

Uniunii sau de dreptul intern, inclusiv al unei obligații legale de a păstra secretul.

ARTICOLUL 15 - DREPTUL DE ACCES AL PERSOANEI VIZATE

(1) Persoana vizată are dreptul de a obține din partea operatorului o

confirmare că se prelucrează sau nu date cu caracter personal care o privesc

și, în caz afirmativ, acces la datele respective și la următoarele informații:

(a) scopurile prelucrării;

(b) categoriile de date cu caracter personal vizate;

(c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal

le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau

organizații internaționale;

(d) acolo unde este posibil, perioada pentru care se preconizează că vor fi

stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile

utilizate pentru a stabili această perioadă;

(e) existența dreptului de a solicita operatorului rectificarea sau ștergerea

datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter

personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;

(f) dreptul de a depune o plângere în fața unei autorități de supraveghere;

(g) în cazul în care datele cu caracter personal nu sunt colectate de la

persoana vizată, orice informații disponibile privind sursa acestora;

(h) existența unui proces decizional automatizat incluzând crearea de profiluri,

precum și, cel puțin în cazurile respective, informații pertinente privind logica

utilizată și privind importanța și consecințele preconizate ale unei astfel de

prelucrări pentru persoana vizată.

(2) În cazul în care datele cu caracter personal sunt transferate către o țară terță

sau o organizație internațională, persoana vizată are dreptul să fie informată cu

privire la garanțiile adecvate în temeiul articolului 46 referitoare la transfer.

(3) Operatorul furnizează o copie a datelor cu caracter personal care fac

obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată,

operatorul poate percepe o taxă rezonabilă, bazată pe costurile

administrative. În cazul în care persoana vizată introduce cererea în format

electronic și cu excepția cazului în care persoana vizată solicită un alt format,

informațiile sunt furnizate într-un format electronic utilizat în mod curent.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


40

Exemplu

A se vedea Anexa nr. 4 – model raspuns cerere client

Articolul 16 - Dreptul la rectificare

Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate,

rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se

seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul

de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv

prin furnizarea unei declarații suplimentare.

Observatie

Este necesar ca Departamentul IT sa asigure o procedura de rectificare/modificare

a datelor personale.

Articolul 17 - Dreptul la ștergerea datelor („dreptul de a fi uitat”)

(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea

datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar

operatorul are obligația de a șterge datele cu caracter personal fără întârzieri

nejustificate în cazul în care se aplică unul dintre următoarele motive:

(a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea

scopurilor pentru care au fost colectate sau prelucrate;

(b) persoana vizată își retrage consimțământul pe baza căruia are loc

prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9

alineatul (2) litera (a), și nu există niciun alt temei juridic pentru prelucrare;

(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1)

și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau

persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);

(d) datele cu caracter personal au fost prelucrate ilegal;

(e) datele cu caracter personal trebuie șterse pentru respectarea unei

obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului

intern sub incidența căruia se află operatorul;

(2) În cazul în care operatorul a făcut publice datele cu caracter personal și este

obligat, în temeiul alineatului (1), să le șteargă, operatorul, ținând seama de

tehnologia disponibilă și de costul implementării, ia măsuri rezonabile, inclusiv


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


41

măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter

personal că persoana vizată a solicitat ștergerea de către acești operatori a

oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale

acestor date cu caracter personal.

Observatie

Este necesar ca Departamentul IT sa asigure o procedura de stergere a datelor

personale, tinand cont de prevederile art.17 alin.1.

Observatie referitoare la alin.2

Spre exemplu, o revista on-line R1 publica intr-un articol datele personale ale unei

persoane vizate. Dupa o anumita perioada, revista isi da acordul ca respectivul

articol sa fie preluat de alte doua publicatii on-line (R2 si R3). Persoana vizata

solicita revistei R1 stergerea datelor sale cu caracter personal. In acest caz, R1

trebuie sa informeze R2 si R3 că persoana vizată a solicitat ștergerea datelor sale

de către acești operatori.

Observatie

A se vedea Anexa 8 - CAZUL MARIO COSTEJA GONZÁLEZ VS. GOOGLE SPANIA.

Articolul 18 - Dreptul la restricționarea prelucrării

(1) Persoana vizată are dreptul de a obține din partea operatorului

restricționarea prelucrării în cazul în care se aplică unul din următoarele

cazuri:

(a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi

permite operatorului să verifice exactitatea datelor;

(b) prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu

caracter personal, solicitând în schimb restricționarea utilizării lor;

(c) operatorul nu mai are nevoie de datele cu caracter personal în scopul

prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau

apărarea unui drept în instanță; sau


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


42

(d) persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul

(1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale

operatorului prevalează asupra celor ale persoanei vizate.

Observatie

Metodele de restricționare a prelucrării de date cu caracter personal ar putea

include, printre altele, mutarea temporară a datelor cu caracter personal

selectate într-un alt sistem de prelucrare, sau anularea accesului utilizatorilor

la datele selectate sau înlăturarea temporară a datelor publicate de pe un

site. În ceea ce privește sistemele automatizate de evidență a datelor,

restricționarea prelucrării ar trebui, în principiu, asigurată prin mijloace tehnice în

așa fel încât datele cu caracter personal să nu facă obiectul unor operațiuni

de prelucrare ulterioară și să nu mai poată fi schimbate. Faptul că prelucrarea

datelor cu caracter personal este restricționată ar trebui indicat în mod clar în

sistem.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


43

Articolul 20- Dreptul la portabilitatea datelor

(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o

privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat

în mod curent și care poate fi citit automat și are dreptul de a transmite

aceste date altui operator, fără obstacole din partea operatorului căruia i-au

fost furnizate datele cu caracter personal, în cazul în care:

(a) prelucrarea se bazează pe consimțământ sau pe un contract și

(b) prelucrarea este efectuată prin mijloace automate

(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1),

persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct

de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere

tehnic.

Observatie:

Portabilitatea datelor presupune, in esenta:

- fie transferul datelor de la operator catre persoana vizata

- fie transferul datelor de la un operator la altul la cererea persoanei vizate,

intr-un format structurat si care poate fi citit automat.

De exemplu, datele se pot transmite sub forma tabelara sau in format .txt (tab

delimited), .csv sau .xml. NU este recomandat in acest caz formatul .pdf!

Observatie

Noul drept la portabilitatea datelor facilitează mutarea, copierea sau

transmiterea cu ușurință a datelor cu caracter personal dintr-un mediu

informatic în altul (în sistemele proprii, în sistemele unor terți de încredere sau în

cele ale unor operatori noi).

Observatie:

Dreptul la portabilitate este aplicabil doar daca:

a) prelucrarea se bazează pe consimțământ sau pe un contract ȘI

(b) prelucrarea este efectuată prin mijloace automate.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


44

Exemplu de date structurate tabelar

nume prenume email oras data

Ionescu George [email protected] B curesti 15.01.2016

Exemplu de date structurate in format txt (tab delimited)

nume prenume email oras data

Ionescu George [email protected] Bucuresti 15.01.2016

Exemplu de date structurate in format csv

nume;prenume;email;oras;data

Ionescu;George;[email protected];Bucuresti;15.01.2016

Exemple de situatii in care ar fi utila portabilitatea datelor pentru persoana vizata:

1. Un istoric al sumelor intrate intr-un cont bancar al unei persoane fizice, necesar

acestei persoane la o alta banca decat cea la care are contul deschis si la care

doreste sa aplice pentru un credit

2. Un istoric medical al unei persoane, care se trimite de la medic la o firma de

asigurari in vederea incheierii unei asigurari de viata

Articolul 21 - Dreptul la opoziție

(1) În orice moment, persoana vizată are dreptul de a se opune, din motive

legate de situația particulară în care se află, prelucrării datelor cu caracter

personal care o privesc, inclusiv creării de profiluri pe baza respectivelor

dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu

excepția cazului în care operatorul demonstrează că are motive legitime și

imperioase care justifică prelucrarea și care prevalează asupra intereselor,

drepturilor și libertăților persoanei vizate sau că scopul este constatarea,

exercitarea sau apărarea unui drept în instanță.

(2) Atunci când prelucrarea datelor cu caracter personal are drept scop

marketingul direct, persoana vizată are dreptul de a se opune în orice

moment prelucrării în acest scop a datelor cu caracter personal care o


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


45

privesc, inclusiv creării de profiluri, în măsura în care este legată de

marketingul direct respectiv.

(3) În cazul în care persoana vizată se opune prelucrării în scopul

marketingului direct, datele cu caracter personal nu mai sunt prelucrate în

acest scop.

Observatie:

Practic, in cazul marketingului direct, in situatia in care persoana se opune,

prelucrarea trebuie sa inceteze imediat (in acest caz, ar fi necesar un link

functional de unsubscribe).

(4) Cel târziu în momentul primei comunicări cu persoana vizată, dreptul

menționat la alineatele (1) și (2) este adus în mod explicit în atenția persoanei

vizate și este prezentat în mod clar și separat de orice alte informații.

(5) În contextal utilizării serviciilor societății informaționale și în pofida Directivei

2002/58/CE, persoana vizată își poate exercita dreptul de a se opune prin mijloace

automate care utilizează specificații tehnice.

Articolul 22 - Procesul decizional individual automatizat, inclusiv crearea de

profiluri

(1) Persoana vizată are dreptul de a nu face obiectul unei decizii bazate

exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce

efecte juridice care privesc persoana vizată sau o afectează în mod similar

într-o măsură semnificativă.

(2) Alineatul (1) nu se aplică în cazul în care decizia:

(a) este necesară pentru încheierea sau executarea unui contract între

persoana vizată și un operator de date;

(b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică

operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru

protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau

(c) are la bază consimțământul explicit al persoanei vizate

Exemplu

Un operator (institutie financiara) utilizează „scorul de credit” pentru a evalua și a

aproba/respinge o cerere de împrumut a unei persoane. Scorul poate fi furnizat de


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


46

o agenție de referință de credit sau calculat direct pe baza informațiilor deținute de

operator.

Indiferent de sursă (și informațiile privind sursa trebuie să fie furnizate persoanei

vizate în conformitate cu articolul 14, în cazul în care datele cu caracter personal

nu au fost obținute de la persoana vizată), atunci cand care operatorul se bazează

pe acest punctaj, trebuie să-i explice și să-i motiveze rezultatul persoanei vizate.

Operatorul explică faptul că acest proces îl ajută să ia decizii corecte și

responsabile privind împrumutul. Acesta oferă detalii despre principalele

caracteristici luate în considerare în luarea deciziei, despre sursa acestor informații

și despre relevanța acestora. Aceasta poate include, de exemplu:

- informațiile furnizate de persoana vizată în formularul de cerere;

- informații despre conduita financiara anterioară a persoanei (eventualele restanțe

la plată);

- informații publice oficiale, cum ar fi informații privind eventualele fraude și

insolvența.

Operatorul informează persoana vizată că metodele de evaluare a creditului

utilizate sunt testate periodic pentru a se asigura că acestea rămân corecte,

eficiente și imparțiale.

Operatorul furnizează datele de contact pentru ca persoana vizată sa poata solicita

reconsiderarea unei eventuale decizii respinse, în conformitate cu dispozițiile

articolului 22.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


47

SECTIUNEA A IV-A

Articolul 24 - Responsabilitatea operatorului

(1) Ținând seama de natura, domeniul de aplicare, contextul și scopurile

prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate

pentru drepturile și libertățile persoanelor fizice, OPERATORUL PUNE ÎN

APLICARE MĂSURI TEHNICE ȘI ORGANIZATORICE ADECVATE PENTRU A

GARANTA ȘI A FI ÎN MĂSURĂ SĂ DEMONSTREZE CĂ PRELUCRAREA SE

EFECTUEAZĂ ÎN CONFORMITATE CU PREZENTUL REGULAMENT.

Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.

(2) Atunci când sunt proporționale în raport cu operațiunile de prelucrare,

măsurile menționate la alineatul (1) includ punerea în aplicare de către

operator a unor politici adecvate de protecție a datelor.

(3) Aderarea la coduri de conduită aprobate, menționate la articolul 40, sau

la un mecanism de certificare aprobat, menționat la articolul 42, poate fi

utilizată ca element care să demonstreze respectarea obligațiilor de către

operator.

Observatie

Articolul 24 prevede obligatia operatorului de a pune în aplicare măsuri tehnice și

organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că

prelucrarea se efectuează în conformitate cu GDPR. Prin urmare, raspunderea

revine operatorului, iar nu DPO-ului.

Articolul 25 - Asigurarea protecției datelor începând cu momentul conceperii

(“privacy by design”) și în mod implicit (“privacy by default”)

(1) Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura,

domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade

diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice

pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor

de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri

tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt

destinate să pună în aplicare în mod eficient principiile de protecție a datelor,


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


48

precum reducerea la minimum a datelor, și să integreze garanțiile necesare

în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a

proteja drepturile persoanelor vizate.

(2) Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate

pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter

personal care sunt necesare pentru fiecare scop specific al prelucrării.

Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a

acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri

asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără

intervenția persoanei, de un număr nelimitat de persoane.

(3) Un mecanism de certificare aprobat în conformitate cu articolul 42 poate fi

utilizat drept element care să demonstreze îndeplinirea cerințelor prevăzute la

alineatele (1) și (2) ale prezentului articol.

Observatie

Conceptul de “privacy by design” are in vedere “asigurarea protecției datelor

începând cu momentul conceperii” sistemului de prelucrare. Altfel spus, un

sistem nou trebuie proiectat si conceput tinand cont de cerintele GDPR privind

protectia datelor. Acest lucru inseamna, de exemplu:

- o analiza initiala a proceselor de prelucrare

- masuri de confidentialitate (parolare, fise de post pentru angajati, etc)

- reducerea la minimum a datelor prelucrate

- stabilirea unei perioade limitate de stocare a datelor

- posibilitatea de renuntare automata (unsubscribe simplu si usor)

- criptarea/pseudonimizarea datelor

- acces limitat la date, etc

Observatie

Conceptul de “privacy by default” implica, intre altele, faptul ca un sistem de

prelucrare a datelor proiectat, conceput si utilizat inaintea intrarii GDPR in vigoare

trebuie updatat astfel incat sa respecte GDPR in privinta drepturilor persoanelor

vizate/obligatiilor utilizatorului sistemului.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


49

ARTICOLUL 26 OPERATORI ASOCIAȚI

(1)În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și

mijloacele de prelucrare, aceștia sunt operatori asociați. Ei stabilesc într-un mod

transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor

care le revin în temeiul prezentului regulament, în special în ceea ce privește

exercitarea drepturilor persoanelor vizate și îndatoririle fiecăruia de furnizare a

informațiilor prevăzute la articolele 13 și 14, prin intermediul unui acord între ei, cu

excepția cazului și în măsura în care responsabilitățile operatorilor sunt stabilite în

dreptul Uniunii sau în dreptul intern care se aplică acestora. Acordul poate să

desemneze un punct de contact pentru persoanele vizate.

(2)Acordul menționat la alineatul (1) reflectă în mod adecvat rolurile și raporturile

respective ale operatorilor asociați față de persoanele vizate. Esența acestui acord

este făcută cunoscută persoanei vizate.

(3)Indiferent de clauzele acordului menționat la alineatul (1), persoana vizată își

poate exercita drepturile în temeiul prezentului regulament cu privire la și în

raport cu fiecare dintre operatori.

Observatii Pentru a clarifica incadrarea ca “operator” sau “operator asociat”, dam urmatoarele

exemple:

Exemplu (1)

O agenție de turism transmite datele personale ale clienților săi unor linii aeriene și

lanțuri hoteliere, în vederea efectuării unor rezervări pentru un pachet de călătorie.

Linia aeriană și hotelul confirmă disponibilitatea locurilor și camerelor solicitate.

Agenția de turism emite documentele de călătorie și cupoanele pentru clienții săi.

În acest caz, agenția de turism, linia aeriană și hotelul vor fi trei operatori de date

distincți, fiecare dintre aceștia având obligații privind protecția datelor în legătură cu

propriile procese de prelucrare.

Altfel spus, fiecare entitate implicata stabileste propriile scopuri si mijloace de

prelucrare.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


50

Exemplu (2)

Agenția de turism, lanțul hotelier și linia aeriană decid să creeze un portal web

pentru a-și îmbunătăți cooperarea cu privire la procesul de rezervare a călătoriilor.

Acestea convin asupra elementelor importante ale mijloacelor care vor fi utilizate,

cum ar fi datele care vor fi stocate, modul în care vor fi alocate și confirmate

rezervările și persoanele care pot avea acces la informațiile stocate. În plus,

acestea decid să utilizeze în comun datele privind clienții lor, în vederea realizării

unor acțiuni de marketing integrate.

În acest caz, agenția de turism, linia aeriană și lanțul hotelier vor controla în

comun modul în care sunt prelucrate datele personale ale clienților lor și vor

avea astfel rolul de operatori asociați în ceea ce privește operațiunile de

prelucrare în legătură cu platforma comună de rezervări prin internet. Totuși,

fiecare va deține controlul exclusiv în ceea ce privește alte activități de prelucrare,

de exemplu cele legate de managementul resurselor umane.

Exemplu (3)

O companie angajeaza un salariat cu CIM si apeleaza la o firma de medicina

muncii in scopul efectuarii examenului de medicina muncii specific pentru postul

respectiv.

Compania angajatoare, respectiv firma de medicina muncii :

a. sunt operatori distincti

b. compania angajatoare este operator, iar firma de medicina muncii este

imputernicit

c. compania angajatoare si firma de medicina muncii sunt operatori asociati

Justificati raspunsul dvs.

Articolul 28 - Persoana împuternicită de operator

(1) În cazul în care prelucrarea urmează să fie realizată în numele unui

operator, operatorul recurge doar la persoane împuternicite care oferă

garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și

organizatorice adecvate, astfel încât prelucrarea să respecte cerințele

prevăzute în prezentul regulament și să asigure protecția drepturilor


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


51

persoanei vizate.

(2) Persoana împuternicită de operator nu recrutează o altă persoană

împuternicită de operator fără a primi în prealabil o autorizație scrisă,

specifică sau generală, din partea operatorului. În cazul unei autorizații

generale scrise, persoana împuternicită de operator informează operatorul cu

privire la orice modificări preconizate privind adăugarea sau înlocuirea altor

persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a

formula obiecții față de aceste modificări.

(3) Prelucrarea de către o persoană împuternicită de un operator este

reglementată printr-un contract sau alt act juridic în temeiul dreptului Uniunii

sau al dreptului intern care are caracter obligatoriu pentru persoana

împuternicită de operator în raport cu operatorul și care stabilește obiectul și

durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și

categoriile de persoane vizate și obligațiile și drepturile operatorului. Respectivul

contract sau act juridic prevede în special că persoană împuternicită de

operator:

(a) prelucrează datele cu caracter personal numai pe baza unor

instrucțiuni documentate din partea operatorului, inclusiv în ceea ce privește

transferurile de date cu caracter personal către o țară terță sau o organizație

internațională, cu excepția cazului în care această obligație îi revine persoanei

împuternicite în temeiul dreptului Uniunii sau al dreptului intern care i se aplică; în

acest caz, notifică această obligație juridică operatorului înainte de prelucrare, cu

excepția cazului în care dreptul respectiv interzice o astfel de notificare din motive

importante legate de interesul public;

(b) se asigură că persoanele autorizate să prelucreze datele cu caracter

personal s-au angajat să respecte confidențialitatea sau au o obligație

statutară adecvată de confidențialitate;

(c) adoptă toate măsurile necesare în conformitate cu articolul 32;

(d) respectă condițiile menționate la alineatele (2) și (4) privind recrutarea unei

alte persoane împuternicite de operator;

(e) ținând seama de natura prelucrării, oferă asistență operatorului prin măsuri

tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil,

pentru îndeplinirea obligației operatorului de a răspunde cererilor privind


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


52

exercitarea de către persoana vizată a drepturilor prevăzute în capitolul III;

(f) ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele

32-36, ținând seama de caracterul prelucrării și informațiile aflate la dispoziția

persoanei împuternicite de operator;

(g) la alegerea operatorului, șterge sau returnează operatorului toate

datele cu caracter personal după încetarea furnizării serviciilor legate de

prelucrare și elimină copiile existente, cu excepția cazului în care dreptul Uniunii

sau dreptul intern impune stocarea datelor cu caracter personal;

(h) pune la dispoziția operatorului toate informațiile necesare pentru a

demonstra respectarea obligațiilor prevăzute la prezentul articol, permite

desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt

auditor mandatat și contribuie la acestea.

În ceea ce privește primul paragraf litera (h), persoana împuternicită de operator

informează imediat operatorul în cazul în care, în opinia sa, o instrucțiune încalcă

prezentul regulament sau alte dispoziții din dreptul intern sau din dreptul Uniunii

referitoare la protecția datelor.

(5) Aderarea persoanei împuternicite de operator la un cod de conduită

aprobat, menționat la articolul 40, sau la un mecanism de certificare aprobat,

menționat la articolul 42, poate fi utilizată ca element prin care să se

demonstreze existența garanțiilor suficiente menționate la alineatele (1) și (4)

din prezentul articol.

Observatie

Practic, acest lucru presupune includerea unor clauze privind protectia datelor

personale in contractile incheiate intre Operator si Imputernicit.

In cazul in care contractul a fost incheiat inainte de intrarea in vigoare a GDPR, e

necesara incheierea unui act aditional la contract. In contract (sau in actul

aditional) sunt necesare clauze asiguratorii care sa acopere prevederile art.28.

Nota: a se vedea Anexa nr. 5 - clauze contractuale intre Operator si Imputernicit.

Observatie (2)

GDPR nu precizeaza daca demersurile pentru incheierea clauzelor contractuale

sunt initiate de operator sau de imputernicit.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


53

In aceste conditii, este necesar sa verificam existenta unor asemenea clauze

contractuale in relatia cu toti operatorii/imputernicitii, indiferent in ce postura ne

aflam. Spre exemplu, in relatia cu proprii angajati suntem operator, insa in situatia

in care prestam servicii care presupun prelucrarea datelor pentru angajatii unei alte

companii, atunci suntem imputerniciti.

Articolul 30 - Evidențele activităților de prelucrare

(1) Fiecare operator și, după caz, reprezentantul acestuia păstrează o

evidență a activităților de prelucrare desfășurate sub responsabilitatea lor.

Respectiva evidență cuprinde toate următoarele informații:

(a) numele și datele de contact ale operatorului și, după caz, ale

operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu

protecția datelor;

(b) scopurile prelucrării;

(c) o descriere a categoriilor de persoane vizate și a categoriilor de date

cu caracter personal;

(d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu

caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;

(e) dacă este cazul, transferurile de date cu caracter personal către o țară

terță sau o organizație internațională, inclusiv identificarea țării terțe sau a

organizației internaționale respective și, în cazul transferurilor menționate la

articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește existența

unor garanții adecvate;

(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea

diferitelor categorii de date;

(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și

organizatorice de securitate menționate la articolul 32 alineatul (1).

Observaţie:

Va rog sa consultati fisierul-suport numit

Evidenta-activitati-prelucrare-1-PT.OPERATOR.xls

(care va trebui adaptat la specificul activitatii companiei dvs.)

(2) Fiecare persoană împuternicită de operator şi, după caz, reprezentantul

persoanei împuternicite de operator păstrează o evidenţă a tuturor categoriilor


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


54

de activităţi de prelucrare desfăşurate în numele operatorului, care cuprind:

(a) numele și datele de contact ale persoanei sau persoanelor

împuternicite de operator și ale fiecărui operator în numele căruia acționează

această persoană (aceste persoane), precum și ale reprezentantului operatorului

sau al persoanei împuternicite de operator, după caz;

(b) categoriile de activități de prelucrare desfășurate în numele fiecărui

operator;

(c) dacă este cazul, transferurile de date cu caracter personal către o țară

terță sau o organizație internațională, inclusiv identificarea țării terțe sau a

organizației internaționale respective și, în cazul transferurilor prevăzute la articolul

49 alineatul (1) al doilea paragraf, documentația care dovedește existența unor

garanții adecvate;

(d) acolo unde este posibil, o descriere generală a măsurilor tehnice și

organizatorice de securitate menționate la articolul 32 alineatul (1).

(3) Evidențele menționate la alineatele (1) și (2) se formulează în scris,

inclusiv în format electronic.

(4) Operatorul sau persoana împuternicită de acesta, precum și, după caz,

reprezentantul operatorului sau al persoanei împuternicite de operator pun

evidențele la dispoziția autorității de supraveghere, la cererea acesteia.

Observaţie:

Va rog sa consultati fisierul-suport numit

Evidenta-activitati-prelucrare-2-PT.IMPUTERNICIT.xls

(care va trebui adaptat la specificul activitatii companiei dvs.)

(5) Obligațiile menționate la alineatele 1 și 2 nu se aplică unei întreprinderi sau

organizații cu mai puțin de 250 de angajați, cu excepția cazului în care prelucrarea

pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și

libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea

include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1),

sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

Explicatie

Alin.5 prevede exceptii de la obligatia de a tine registrele dacă organizația are mai

puțin de 250 de angajați, in anumite conditii; insa, daca prelucrarea:


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


55

- este susceptibilă să genereze risc sau

- nu este ocazională sau

- include categorii speciale de date sau

- include date cu caracter personal referitoare la condamnări penale și infracțiuni,

atunci evidența activităților de prelucrare este obligatorie.

Articolul 31 - Cooperarea cu autoritatea de supraveghere

Operatorul și persoana împuternicită de operator și, după caz, reprezentantul

acestora cooperează, la cerere, cu autoritatea de supraveghere în îndeplinirea

sarcinilor lor.

Articolul 32 - Securitatea prelucrării

(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura,

domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite

grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice,

operatorul și persoana împuternicită de acesta implementează măsuri

tehnice și organizatorice adecvate în vederea asigurării unui nivel de

securitate corespunzător acestui risc, incluzând printre altele, după caz:

(a) pseudonimizarea și criptarea datelor cu caracter personal;

(b) capacitatea de a asigura confidențialitatea, integritatea,

disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;

(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și

accesul la acestea în timp util în cazul în care are loc un incident de natură fizică

sau tehnică;

(d) un proces pentru testarea, evaluarea și aprecierea periodice ale

eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea

prelucrării.

(2) La evaluarea nivelului adecvat de securitate, se ține seama în special de

riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal,

de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul

neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un

alt mod.

(3) Aderarea la un cod de conduită aprobat, menționat la articolul 40, sau la


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


56

un mecanism de certificare aprobat, menționat la articolul 42, poate fi utilizată

ca element prin care să se demonstreze îndeplinirea cerințelor prevăzute la

alineatul (1) din prezentul articol.

(4) Operatorul și persoana împuternicită de acesta iau măsuri pentru a

asigura faptul că orice persoană fizică care acționează sub autoritatea

operatorului sau a persoanei împuternicite de operator și care are acces la

date cu caracter personal nu le prelucrează decât la cererea operatorului, cu

excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau

al dreptului intern.

Observatie

A se consulta fiserele: Anexa-HR-acord de confidentialitate angajati, respectiv

Anexa-HR-cu prevederi GDPR necesare in regulamentul intern

Articolul 33 - Notificarea autorității de supraveghere în cazul încălcării

securității datelor cu caracter personal

(1) În cazul în care are loc o încălcare a securității datelor cu caracter

personal, operatorul notifică acest lucru autorității de supraveghere

competente fără întârzieri nejustificate și, dacă este posibil, în termen de cel

mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția

cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile

persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore,

aceasta este însoțită de o explicație motivată.

(2) Persoana împuternicită de operator înștiințează operatorul fără întârzieri

nejustificate după ce ia cunoștință de o încălcare a securității datelor cu

caracter personal.

(3) Notificarea menționată la alineatul (1) cel puțin:

(a) descrie caracterul încălcării securității datelor cu caracter personal,

inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor

vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de

date cu caracter personal în cauză;

(b) comunică numele și datele de contact ale responsabilului cu protecția

datelor sau un alt punct de contact de unde se pot obține mai multe informații;

(c) descrie consecințele probabile ale încălcării securității datelor cu


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


57

caracter personal;

(d) descrie măsurile luate sau propuse spre a fi luate de operator pentru a

remedia problema încălcării securității datelor cu caracter personal, inclusiv,

după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

(5) Operatorul păstrează documente referitoare la toate cazurile de încălcare a

securității datelor cu caracter personal, care cuprind o descriere a situației de fapt

în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor

acesteia și a măsurilor de remediere întreprinse. Această documentație permite

autorității de supraveghere să verifice conformitatea cu prezentul articol.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


58

Articolul 34 - Informarea persoanei vizate cu privire la încălcarea securității

datelor cu caracter personal

(1) În cazul în care încălcarea securității datelor cu caracter personal este

susceptibilă să genereze un risc ridicat pentru drepturile și libertățile

persoanelor fizice, operatorul informează persoana vizată fără întârzieri

nejustificate cu privire la această încălcare.

(2) În informarea transmisă persoanei vizate prevăzută la alineatul (1) din

prezentul articol se include o descriere într-un limbaj clar și simplu a caracterului

încălcării securității datelor cu caracter personal, precum și cel puțin informațiile și

măsurile menționate la articolul 33 alineatul (3) literele (b), (c) și (d).

(3) Informarea persoanei vizate menționată la alineatul (1) nu este necesară

în cazul în care oricare dintre următoarele condiții este îndeplinită:

(a) operatorul a implementat măsuri de protecție tehnice și organizatorice

adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal

afectate de încălcarea securității datelor cu caracter personal, în special măsuri

prin care se asigură că datele cu caracter personal devin neinteligibile oricărei

persoane care nu este autorizată să le acceseze, cum ar fi criptarea;

(b) operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat

pentru drepturile și libertățile persoanelor vizate menționat la alineatul (1) nu mai

este susceptibil să se materializeze;

(c) ar necesita un efort disproporționat. În această situație, se efectuează în

loc o informare publică sau se ia o măsură similară prin care persoanele vizate

sunt informate într-un mod la fel de eficace.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


59

ARTICOLUL 37 - DESEMNAREA RESPONSABILULUI CU PROTECȚIA

DATELOR (in engleza “DATA PROTECTION OFFICER” – DPO)

(1) Operatorul și persoana împuternicită de operator desemnează un

responsabil cu protecția datelor ori de câte ori:

(a) prelucrarea este efectuată de o autoritate sau un organism public, cu

excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;

(b) activitățile principale ale operatorului sau ale persoanei împuternicite

de operator constau în operațiuni de prelucrare care, prin natura, domeniul

de aplicare și/sau scopurile lor, necesită o monitorizare periodică și

sistematică a persoanelor vizate pe scară largă; sau

(c) activitățile principale ale operatorului sau ale persoanei împuternicite

de operator constau în prelucrarea pe scară largă a unor categorii speciale

de date, menționată la articolul 9, sau a unor date cu caracter personal

privind condamnări penale și infracțiuni

(2) Un grup de întreprinderi poate numi un responsabil cu protecția datelor unic,

cu condiția ca responsabilul cu protecția datelor să fie ușor accesibil din fiecare

întreprindere.

(5) Responsabilul cu protecția datelor este desemnat pe baza CALITĂȚILOR

PROFESIONALE și, în special, a CUNOȘTINȚELOR DE SPECIALITATE în

dreptul și practicile din domeniul protecției datelor, precum și pe baza

CAPACITĂȚII DE A ÎNDEPLINI SARCINILE prevăzute la articolul 39.

Observatie: Regulamentul impune ca DPO-ul sa aiba:

- CALITĂȚI profesionale

- CUNOȘTINȚE de specialitate

- CAPACITATEA de a îndeplini sarcinile

(aceste cerinte s-ar putea numi “regula celor 3C” ).

GDPR NU prevede niciun fel de certificare pentru DPO.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


60

(6) Responsabilul cu protecția datelor poate fi un membru al personalului

operatorului sau persoanei împuternicite de operator sau poate să își

îndeplinească sarcinile în baza unui contract de servicii.

(7) Operatorul sau persoana împuternicită de operator publică datele de

contact ale responsabilului cu protecția datelor și le comunică autorității de

supraveghere.

Articolul 38 - Funcția responsabilului cu protecția datelor

(1) Operatorul și persoana împuternicită de operator se asigură că

responsabilul cu protecția datelor este implicat în mod corespunzător și în

timp util în toate aspectele legate de protecția datelor cu caracter personal.

(2) Operatorul și persoana împuternicită de operator sprijină responsabilul

cu protecția datelor în îndeplinirea sarcinilor menționate la articolul 39,

asigurându-i resursele necesare pentru executarea acestor sarcini, precum și

accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și

pentru menținerea cunoștințelor sale de specialitate.

(3) Operatorul și persoana împuternicită de operator se asigură că

responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în

ceea ce privește îndeplinirea acestor sarcini. ACESTA NU ESTE DEMIS SAU

SANCȚIONAT DE CĂTRE OPERATOR SAU DE PERSOANA ÎMPUTERNICITĂ

DE OPERATOR PENTRU ÎNDEPLINIREA SARCINILOR SALE. Responsabilul cu

protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii

operatorului sau persoanei împuternicite de operator.

(4) Persoanele vizate pot contacta responsabilul cu protecția datelor cu privire la

toate chestiunile legate de prelucrarea datelor lor și la exercitarea drepturilor lor în

temeiul prezentului regulament.

(5) Responsabilul cu protecția datelor are obligația de a respecta secretul sau

confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu

dreptul Uniunii sau cu dreptul intern.

(6) Responsabilul cu protecția datelor poate îndeplini și alte sarcini și

atribuții. Operatorul sau persoana împuternicită de operator se asigură că

niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


61

Observatie

Aceasta presupune, în mod specific, faptul că DPO nu poate deține o funcție în

cadrul organizației, prin care să stabilească scopurile și mijloacele de prelucrare a

datelor cu caracter personal. Datorită organigramei specifice din cadrul fiecărei

organizații, acest aspect trebuie să fie analizat de la caz la caz. Ca regulă

generală, printre funcțiile contradictorii din cadrul organizației se pot include

funcțiile personalului de conducere de nivel superior (precum funcția de director

general, de director general administrativ, de director financiar, de medic primar, de

șef al departamentului de marketing, de șef al serviciului de resurse umane sau de

șef al departamentelor IT), însă și alte roluri de rang inferior în organigramă dacă

astfel de poziții sau roluri conduc la stabilirea scopurilor și a mijloacelor de

prelucrare. În plus, ar putea să apară un conflict de interese, spre exemplu, și dacă

i se solicită unui DPO de la nivel extern să reprezinte operatorul sau persoana

împuternicită de către operator în instanță în cauze care implică probleme legate

de protecția datelor.

În funcție de activitățile, dimensiunea și structura organizației, următoarele pot fi

considerate bune practici pentru operatori sau persoanele împuternicite de către

operatori:

- identificarea de funcții care să fie incompatibile cu funcția DPO

- elaborarea de norme interne în acest sens pentru a se evita conflictele de

interese

- includerea unei explicații mai generale cu privire la conflictele de interese

- declararea faptului că DPO din cadrul organizației lor nu are niciun conflict de

interese în ceea ce privește funcția sa de DPO, ca mijloc de sensibilizare cu privire

la această cerință

- includerea de garanții în normele interne ale organizației și asigurarea faptului că

anunțul de post vacant pentru postul de DPO sau contractul de prestări servicii

este suficient de precis și de detaliat pentru a evita un conflict de interese. În acest

context, ar trebui să se rețină, de asemenea, faptul că ar putea exista diferite forme

ale conflictelor de interese în funcție de faptul dacă DPO este recrutat pe plan

intern sau extern.

Articolul 39 - Sarcinile responsabilului cu protecția datelor

(1) Responsabilul cu protecția datelor are cel puțin următoarele sarcini:

(a) informarea și consilierea operatorului, sau a persoanei împuternicite

de operator, precum și a angajaților care se ocupă de prelucrare cu privire la

obligațiile care le revin în temeiul prezentului regulament și al altor dispoziții de


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


62

drept al Uniunii sau drept intern referitoare la protecția datelor;

(b) monitorizarea respectării prezentului regulament, a altor dispoziții de

drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor

operatorului sau ale persoanei împuternicite de operator în ceea ce privește

protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și

acțiunile de sensibilizare și de formare a personalului implicat în operațiunile

de prelucrare, precum și auditurile aferente;

(c) furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului

asupra protecției datelor și monitorizarea funcționării acesteia;

(d) cooperarea cu autoritatea de supraveghere;

(e) asumarea rolului de punct de contact pentru autoritatea de

supraveghere privind aspectele legate de prelucrare, inclusiv consultarea

prealabilă menționată la articolul 36, precum și, dacă este cazul, consultarea cu

privire la orice altă chestiune.

(2) În îndeplinirea sarcinilor sale, responsabilul cu protecția datelor ține seama în

mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în

considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.

Nota

A se vedea si fisierul-suport WP29-DPO.pdf si Anexa 6 – Fisa postului pentru DPO

Articolul 40 - Coduri de conduită

(1) Statele membre, autoritățile de supraveghere, comitetul și Comisia

încurajează elaborarea de coduri de conduită menite să contribuie la buna

aplicare a prezentului regulament, ținând seama de caracteristicile specifice ale

diverselor sectoare de prelucrare și de nevoile specifice ale microîntreprinderilor

și ale întreprinderilor mici și mijlocii.

Articolul 42 - Certificare

(1) Statele membre, autoritățile de supraveghere, comitetul și Comisia

încurajează, în special la nivelul Uniunii, instituirea de mecanisme de

certificare în domeniul protecției datelor, precum și de sigilii și mărci în acest

domeniu, care să permită demonstrarea faptului că operațiunile de prelucrare


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


63

efectuate de operatori și de persoanele împuternicite de operatori respectă

prezentul regulament. Sunt luate în considerare necesitățile specifice ale

microîntreprinderilor și ale întreprinderilor mici și mijlocii.

(2) Mecanismele de certificare din domeniul protecției datelor, sigiliile sau

mărcile aprobate în temeiul alineatului (5) din prezentul articol sunt instituite nu

numai pentru a fi respectate de operatorii sau de persoanele împuternicite de

operatori care fac obiectul prezentului regulament, ci și pentru a demonstra

existența unor garanții adecvate oferite de operatorii sau de persoanele

împuternicite de operatori care nu fac obiectul prezentului regulament, în

temeiul articolului 3, în cadrul transferurilor de date cu caracter personal către țări

terțe sau organizații internaționale.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


64

SECTIUNEA a VI-a

TRANSFERURILE DE DATE CU CARACTER PERSONAL CĂTRE

ȚĂRI TERȚE SAU ORGANIZAȚII INTERNAȚIONALE

Articolul 44 - Principiul general al transferurilor

Orice date cu caracter personal care fac obiectul prelucrării sau care

urmează a fi prelucrate după ce sunt transferate într-o țară terță sau către o

organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte

dispoziții ale prezentului regulament, condițiile prevăzute în prezentul capitol

sunt respectate de operator și de persoana împuternicită de operator, inclusiv

în ceea ce privește transferurile ulterioare de date cu caracter personal din țara

terță sau de la organizația internațională către o altă țară terță sau către o altă

organizație internațională. Toate dispozițiile din prezentul capitol se aplică

pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin

prezentul regulament nu este subminat.

Articolul 45 - Transferuri în temeiul unei decizii privind caracterul adecvat al

nivelului de protecție

(1) Transferul de date cu caracter personal către o țară terță sau o organizație

internațională se poate realiza atunci când Comisia a decis că țara terță, un

teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau

organizația internațională în cauză asigură un nivel de protecție adecvat.

Transferurile realizate în aceste condiții nu necesită autorizări speciale.

Observatie

Comisia Europeana recunoaste un nivel de protectie adecvat pentru:

- cele 28 de tari din UE

- tarile din Spatiul Economic European (Islanda, Lichtenstein si Norvegia)

- tarile din urmatoarea lista: Andorra, Argentina, Canada (organizatii comerciale),

Elvetia, Insulele Feroe, Guernsey, Israel, Insula Man, Japonia, Jersey, Uruguay,

Noua Zeelanda.

Sunt in desfasurare discutii cu Coreea de Sud.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


65

Articolul 46 - Transferuri în baza unor garanții adecvate

(1) Operatorul sau persoana împuternicită de operator poate transfera date

cu caracter personal către o țară terță sau o organizație internațională numai

dacă operatorul sau persoana împuternicită de operator a oferit garanții

adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente

pentru persoanele vizate.

(2) Garanțiile adecvate menționate la alineatul 1 pot fi furnizate fără să fie nevoie

de nicio autorizație specifică din partea unei autorități de supraveghere, prin:

(a) un instrument obligatoriu din punct de vedere juridic și executoriu între

autoritățile sau organismele publice;

(b) reguli corporatiste obligatorii în conformitate cu articolul 47;

(c) clauze standard de protecție a datelor adoptate de Comisie

Observatie:

A se vedea Anexa7-clauze-contractuale-tip-pt-transfer-in-tari-terte.

(d) clauze standard de protecție a datelor adoptate de o autoritate de

supraveghere și aprobate de Comisie;

(e) un cod de conduită aprobat în conformitate cu articolul 40, însoțit de un

angajament obligatoriu și executoriu din partea operatorului sau a persoanei

împuternicite de operator din țara terță de a aplica garanții adecvate, inclusiv cu

privire la drepturile persoanelor vizate; sau

(f) un mecanism de certificare aprobat în conformitate cu articolul 42, însoțit

de un angajament obligatoriu și executoriu din partea operatorului sau a persoanei

împuternicite de operator din țara terță de a aplica garanții adecvate, inclusiv cu

privire la drepturile persoanelor vizate.

(3) Sub rezerva autorizării din partea autorității de supraveghere

competente, garanțiile adecvate menționate la alineatul (1) pot fi furnizate de

asemenea, în special, prin:

(a) clauze contractuale între operator sau persoana împuternicită de

operator și operatorul, persoana împuternicită de operator sau destinatarul

datelor cu caracter personal din țara terță sau organizația internațională; sau

(b) dispoziții care urmează să fie incluse în acordurile administrative dintre

autoritățile sau organismele publice, care includ drepturi opozabile și efective

pentru persoanele vizate.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


66

Articolul 47 - Reguli corporatiste obligatorii (in engleza “binding corporate

rules” - BCR)

(1) Autoritatea de supraveghere competentă aprobă reguli corporatiste

obligatorii, cu condiția ca acestea:

(a) să fie obligatorii din punct de vedere juridic și să se aplice fiecărui

membru vizat al grupului de întreprinderi sau al grupului de întreprinderi

implicate într-o activitate economică comună, inclusiv angajaților acestuia, precum

și să fie puse în aplicare de membrii în cauză;

(b) să confere, în mod expres, drepturi opozabile persoanelor vizate în ceea ce

privește prelucrarea datelor lor cu caracter personal.

Studiu de caz privind transferul intr-o tara terta

O agentie de turism (persoana juridica romana) ofera servicii turistice

(transport+cazare) unui grup de 100 de persoane (dintre care 75 cetateni romani,

20 cetateni din alte state din UE si 5 cetateni din tari din afara UE). Respectivul

grup de persoane va face deplasarea pe ruta Bucuresti-Istanbul, astfel:

- 30 de persoane se vor deplasa cu autocarul, serviciul de transport fiind

asigurat de o firma de transport cu sediul in Turcia

- 70 de persoane se vor deplasa cu avionul, serviciul de transport fiind

asigurat de o companie de transport aerian cu sediul in Turcia

- 60 de persoane vor fi cazate la Hotelul X de 4* din Turcia (apartinand unei

companii cu sediul in Turcia)

- 40 de persoane vor fi cazate la Hotelul Y de 3* din Turcia (apartinand unei

companii cu sediul in Turcia)

Analizati existenta garantiilor adecvate pentru transferul datelor personale ale

persoanelor fizice din grup.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


67

Articolul 49 Derogări pentru situații specifice

(1) În absența unei decizii privind caracterul adecvat al nivelului de protecție

în conformitate cu articolul 45 alineatul (3) sau a unor garanții adecvate în

conformitate cu articolul 46, inclusiv a regulilor corporatiste obligatorii, un transfer

sau un set de transferuri de date cu caracter personal către o țară terță sau o

organizație internațională poate avea loc numai în una dintre condițiile

următoare:

(a) persoana vizată și-a exprimat în mod explicit acordul cu privire la

transferul propus, după ce a fost informată asupra posibilelor riscuri pe care

astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei

decizii privind caracterul adecvat al nivelului de protecție și a unor garanții

adecvate;

(b) transferul este necesar pentru executarea unui contract între persoana

vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate

la cererea persoanei vizate;

(c) transferul este necesar pentru încheierea unui contract sau pentru

executarea unui contract încheiat în interesul persoanei vizate între operator

și o altă persoană fizică sau juridică;

(d) transferul este necesar din considerente importante de interes public;

(e) transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în

instanță;

(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate

sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau

juridică de a-și exprima acordul;

(g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al

dreptului intern, are scopul de a furniza informații publicului și care poate fi

consultat fie de public în general, fie de orice persoană care poate face dovada

unui interes legitim, dar numai în măsura în care sunt îndeplinite condițiile cu

privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz

specific.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


68

SECTIUNEA a VIII-a

CĂI DE ATAC, RĂSPUNDERI ŞI SANCŢIUNI.

Articolul 77 - Dreptul de a depune o plângere la o autoritate de supraveghere

(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare,

orice persoană vizată are dreptul de a depune o plângere la o autoritate de

supraveghere, în special în statul membru în care își are reședința obișnuită, în

care se află locul său de muncă sau în care a avut loc presupusa încălcare, în

cazul în care consideră că prelucrarea datelor cu caracter personal care o

vizează încalcă prezentul regulament.

(2) Autoritatea de supraveghere la care s-a depus plângerea informează

reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de a

exercita o cale de atac judiciară în temeiul articolului 78.

Articolul 78 - Dreptul la o cale de atac judiciară eficientă împotriva unei

autorități de supraveghere

(1) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare,

fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac

judiciară eficientă împotriva unei decizii obligatorii din punct de vedere

juridic a unei autorități de supraveghere care o vizează.

Articolul 79 - Dreptul la o cale de atac judiciară eficientă împotriva unui

operator sau unei persoane împuternicite de operator

(1) Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare

disponibile, inclusiv dreptului de a depune o plângere la o autoritate de

supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a

exercita o cale de atac judiciară eficientă în cazul în care consideră că

drepturile de care beneficiază în temeiul prezentului regulament au fost

încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se

respecta prezentul regulament.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


69

Articolul 82 - Dreptul la despăgubiri și răspunderea

(1) Orice persoană care a suferit un prejudiciu material sau moral ca urmare

a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de

la operator sau de la persoana împuternicită de operator pentru prejudiciul

suferit.

(2) Orice operator implicat în operațiunile de prelucrare este răspunzător

pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă

prezentul regulament. Persoana împuternicită de operator este răspunzătoare

pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat

obligațiile din prezentul regulament care revin în mod specific persoanelor

împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile

legale ale operatorului.

(3) Operatorul sau persoana împuternicită de operator este exonerat(ă) de

răspundere în temeiul alineatului (2) dacă dovedește că nu este răspunzător

(răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.

Articolul 83 - Condiții generale pentru impunerea amenzilor administrative

(1) Fiecare autoritate de supraveghere asigură faptul că impunerea unor

amenzi administrative în conformitate cu prezentul articol pentru încălcările

prezentului regulament menționate la alineatele (4), (5) și, (6) este, ÎN FIECARE

CAZ, EFICACE, PROPORȚIONALĂ ȘI DISUASIVĂ.

(2) În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt

impuse în completarea sau în locul măsurilor menționate la articolul 58 alineatul (2)

literele (a)-(h) și (j). Atunci când se ia decizia dacă să se impună o amendă

administrativă și decizia cu privire la valoarea amenzii administrative în

fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:

(a) natura, gravitatea și durata încălcării, ținându-se seama de natura,

domeniul de aplicare sau scopul prelucrării în cauză, precum și de numărul

persoanelor vizate afectate și de nivelul prejudiciilor suferite de acestea;

(b) dacă încălcarea a fost comisă intenționat sau din neglijență;

(c) orice acțiuni întreprinse de operator sau de persoana împuternicită de

operator pentru a reduce prejudiciul suferit de persoana vizată;

(d) gradul de responsabilitate al operatorului sau al persoanei împuternicite de


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


70

operator ținându-se seama de măsurile tehnice și organizatorice implementate de

aceștia;

(e) eventualele încălcări anterioare relevante comise de operator sau de

persoana împuternicită de operator;

(f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia

încălcarea și a atenua posibilele efecte negative ale încălcării;

(g) categoriile de date cu caracter personal afectate de încălcare;

(h) modul în care încălcarea a fost adusă la cunoștința autorității de

supraveghere, în special dacă și în ce măsură operatorul sau persoana

împuternicită de operator a notificat încălcarea;

(j) aderarea la coduri de conduită aprobate, în conformitate cu articolul

40, sau la mecanisme de certificare aprobate, în conformitate cu articolul 42;

(k) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului,

cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau

indirect de pe urma încălcării.

(3) În cazul în care un operator sau o persoană împuternicită de operator încalcă

în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau

pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul

regulament, cuantumul total al amenzii administrative nu poate depăși suma

prevăzută pentru cea mai gravă încălcare.

(4) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2),

se aplică amenzi administrative de până la 10 000 000 EUR sau, în cazul unei

întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală

corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai

mare valoare:

(a) obligațiile operatorului și ale persoanei împuternicite de operator în

conformitate cu articolele 8, 11, 25-39, 42 și 43;

(b) obligațiile organismului de certificare;

(c) obligațiile organismului de monitorizare

(5) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2),

se aplică amenzi administrative de până la 20 000 000 EUR sau, în cazul unei

întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală

corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


71

mare valoare:

(a) principiile de bază pentru prelucrare, inclusiv condițiile privind

consimțământul, în conformitate cu articolele 5, 6, 7 și 9;

(b) drepturile persoanelor vizate în conformitate cu articolele 12-22;

(c) transferurile de date cu caracter personal către un destinatar dintr-o

țară terță sau o organizație internațională, în conformitate cu articolele 44-49;

(d) orice obligații în temeiul legislației naționale adoptate în temeiul capitolului

IX;

(e) nerespectarea unui ordin sau a unei limitări temporare sau definitive asupra

prelucrării, sau a suspendării fluxurilor de date, emisă de către autoritatea de

supraveghere în temeiul articolului 58 alineatul (2), sau neacordarea accesului,

încălcând articolul 58 alineatul (1).

(6) Pentru încălcarea unui ordin emis de autoritatea de supraveghere în

conformitate cu articolul 58 alineatul (2) se aplică, în conformitate cu alineatul (2)

din prezentul articol, amenzi administrative de până la 20 000 000 EUR sau, în

cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală

corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare

valoare.

(7) Fără a aduce atingere competențelor corective ale autorităților de

supraveghere menționate la articolul 58 alineatul (2), fiecare stat membru poate

prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse

amenzi administrative autorităților publice și organismelor publice stabilite în statul

membru respectiv.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


72

SECTIUNEA IX

COOKIE-URILE IN CONTEXTUL GDPR

Ce sunt cookie-urile?

Fișierele cookie sunt mici fișiere text trimise de un site către un navigator web (web

browser: Chrome, Edge, Internet Explorer, Firefox, Opera, Safari, etc.) și stocate

pe terminalul utilizatorului. Acestea pot fi utilizate cu scopuri diferite, dintre care

amintim:

personalizarea website-ului in functie de nevoile unui anumit utilizator (de

exemplu, un cookie poate retine preferințele utilizatorului, cum ar fi un font de o

anumita marime dorit de utilizator sau o tema/culoare a site-ului)

stocarea informațiilor de conectare ale utilizatorului

publicitatea

Tipuri de cookie-uri

1. Cookie-urile pot fi grupate pe tipuri, astfel:

a) cookie-urile strict necesare - sunt esențiale pentru a permite vizitatorului să

se deplaseze pe site și să utilizeze caracteristicile esențiale ale site-ului. Fără

acestea, așteptările obișnuite ale unui utilizator nu pot fi îndeplinite. Un exemplu

este un cookie-ul care permite conectarea automata pe un site, in vederea

accesului la un serviciu pentru care utilizatorul s-a înregistrat anterior

b) cookie-urile funcționale - permit site-ului să-și amintească preferințele unui

utilizator în ceea ce privește aspectul site-ului, limba (atunci cand un site este

multilingv) sau locația (de exemplu, un utilizator stabileste o locație preferată

pentru a primi știrile locale și prognoza meteo pentru acea zona)

c) cookie-urile de trafic - colectează informații despre zonele site-ului vizitate

de un utilizator, frecvența vizitelor și erorile înregistrate, etc. Aceste informații

ajută proprietarul site-ului să-și îmbunătățească serviciile, ajutându-l să

înțeleagă comportamentul utilizatorilor.

d) cookie-urile de publicitate - colectează informații care ajută la asigurarea

relevanței reclamei pentru un utilizator.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


73

2. Dintr-o alta perspectiva, cookie-urile pot fi clasificate in cookie-uri esențiale

și neesențiale

Cookie-urile esențiale prezintă una dintre următoarele două caracteristici:

• sunt utilizate exclusiv pentru efectuarea sau facilitarea comunicării într-o rețea;

sau

• sunt strict necesare pentru furnizarea unui serviciu online solicitat de utilizator

Cookie-uri neesențiale nu sunt strict necesare pentru functionarea unui site sau a

serviciilor oferite pe acesta, precum cookie-urile utilizate pentru analizarea

comportamentul pe un website (cookie-uri „analitice") sau cookie-urile utilizate

pentru afișarea de reclame.

3. (in sfarsit ) in functie de provenienta lor, cookie-urile pot fi de doua tipuri:

cele care aparțin site-ului vizitat (numite cookie-uri first party) sau cele care

aparțin unor terti (cookie-uri third party)


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


74


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


75

Exemplu

O persoana (cu prenumele sau pseudonimul Mihai si adresa de e-mail

[email protected]) aceeseaza site-ul www.site.ro si completeaza un formular cu

opinia sa in legatura cu un anumit articol de pe acel site.

Proprietarul site-ului doreste ca, in situatia in care user-ul Mihai acceseaza site-ul

ulterior si doreste sa adauge un alt comentariu, in formular sa apara deja

completate numele si adresa de e-mail. In acest caz, site-ul va inregisitra pe

terminalul utilizatorului (calculator/laptop/tableta/smartphone/etc) aceste informatii

in doua cookie-uri.

Name: comment_author_34e4e62edec5878c45e

Content: Mihai

Host: www.site.ro

Expires: Tuesday, January 29, 2019, 1:39:09 PM

Name: comment_author_email_34e4e62edec5878c45e

Content: [email protected]

Host: www.site.ro

Expires: Tuesday, January 29, 2019, 1:39:09 PM


http://www.site.ro/


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


76

Mentiuni privind cookie-urile

Identificatorul cookie reprezinta data cu caracter personal, intrucat vizitatorul poate

fi identificat (indirect) cu ajutorul sau. In privinta cookie-urilor, trebuie sa avem in

vedere si Legea 506/2004 privind prelucrarea datelor cu caracter personal şi

protecţia vieţii private în sectorul comunicaţiilor electronice. Aceasta lege

transpune Directiva UE 2002/58 (Directiva asupra confidențialității și

comunicațiilor electronice).

(5)Stocarea de informaţii sau obţinerea accesului la informaţia stocată în

echipamentul terminal al unui abonat ori utilizator este permisă numai cu

îndeplinirea în mod cumulativ a următoarelor condiţii:

a)abonatul sau utilizatorul în cauză şi-a exprimat acordul;

b)abonatului sau utilizatorului în cauză i s-au furnizat, anterior exprimării acordului,

informaţii clare şi complete care:

(i)să fie expuse într-un limbaj uşor de înţeles şi să fie uşor accesibile abonatului

sau utilizatorului;

(ii)să includă menţiuni cu privire la scopul procesării informaţiilor stocate de abonat

sau utilizator ori informaţiilor la care acesta are acces.

În cazul în care furnizorul permite unor terţi stocarea sau accesul la

informaţii stocate în echipamentul terminal al abonatului ori utilizatorului,

informarea în concordanţă cu pct. (i) şi (ii) va include scopul general al

procesării acestor informaţii de către terţi şi modul în care abonatul sau

utilizatorul poate folosi setările aplicaţiei de navigare pe internet ori alte

tehnologii similare pentru a şterge informaţiile stocate sau pentru a refuza

accesul terţilor la aceste informaţii.

(5^1)Acordul prevăzut la alin. (5) lit. a) poate fi dat şi prin utilizarea setărilor

aplicaţiei de navigare pe internet sau a altor tehnologii similare prin intermediul

cărora se poate considera că abonatul ori utilizatorul şi-a exprimat acordul.

6)Prevederile alin. (5) nu aduc atingere posibilităţii de a efectua stocarea sau

accesul tehnic la informaţia stocată în următoarele cazuri:

a)atunci când aceste operaţiuni sunt realizate exclusiv în scopul efectuării


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


77

transmisiei unei comunicări printr-o reţea de comunicaţii electronice;

b)atunci când aceste operaţiuni sunt strict necesare în vederea furnizării unui

serviciu al societăţii informaţionale, solicitat în mod expres de către abonat sau

utilizator.

Analizand prevederile din GDPR si din Directiva UE 2002/58, putem concluziona

urmatoarele:

1. cookie-urile functionale (strict necesare) nu necesita acordul utilizatorului

2. pentru cookie-urile de trafic, prelucrarea se face in baza interesului legitim al

operatorului

3. pentru cookie-urile de publicitate, prelucrarea se face in baza consimtamantului

utilizatorului; consimtamantul trebuie sa poata fi retras la fel de simplu ca si

atunci cand a fost acordat.

Exemplu


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


78

Exemplu de informare pentru un site care utilizeaza Google analytics

Utilizăm urmatoarele cookie-uri pe site-ul nostru www.site.ro:

Nume Esential sau neesential

Tip cookie

Al nostru sau al părților terțe

Data de expirare

Scop

PHPSESSID Essential HTTP Site.ro sesiune Păstrează starea sesiunii utilizatorilor între solicitările de pagini.

__utm.gif Neesențial Statistic google-analytics.com

sesiune Codul de urmărire Google Analytics care înregistrează detalii despre browserul și computerul vizitatorului.

__utma Neesențial Statistic Site.ro 2 ani Colectează date despre numărul de vizite pe care un utilizator le face pe site și despre datele pentru prima vizită și cea mai recentă vizită. Utilizat de Google Analitycs.

__utmb Neesențial Statistic Site.ro Sesiune Înregistrează timpul exact la care un utilizator a accesat website-ul. Utilizat de Google Analitycs pentru a calcula durata unei vizite pe website.

__utmc Neesențial Statistic Site.ro Sesiune Înregistrează timpul exact la care un utilizator a ieșit de pe website-ul. Utilizat de Google Analitycs pentru a calcula durata unei vizite pe website.

__utmt Neesențial Statistic Site.ro Sesiune Utilizat pentru a accelera viteza cererilor către server. Sursa: Google Analytics.

__utmv Neesențial Statistic Site.ro Sesiune Salvează parametrii de urmărire definiți de utilizator pentru utilizarea lor în Google Analytics

__utmz Neesențial Statistic Site.ro 6 luni Colectează date despre locul de proveniență al utilizatorului, despre ce motor de căutare a fost utilizat, despre ce link a fost accesat pentru a intra pe website și despre ce termen de căutare a fost utilizat. Utilizat de Google Analytics.


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


79

Bibliografie

1. REGULAMENTUL (UE) 2016/679, https://eur-lex.europa.eu/

2. Grupul de lucru “Articolul 29” pentru protecția datelor (WP29) - Orientări privind

responsabilii cu protecția datelor

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

3. Grupul de lucru “Articolul 29” pentru protecția datelor (WP29) - Orientări privind

dreptul la portabilitatea datelor

http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48142

4. Grupul de lucru “Articolul 29” pentru protecția datelor (WP29) - Guidelines on

Automated individual decision-making and Profiling for the purposes of

Regulation 2016/679


5. https://ico.org.uk/

6. Legea 190/2018 privind masuri de punere in aplicare a Regulamentului UE

2016/679

7. Capitolul referitor la cookies utilizeaza informatii din urmatoarele surse :

a. http://www.allaboutcookies.org/

b. www.cnil.fr

c. https://techcrunch.com/

d. https://www.aboutcookies.org/

https://eur-lex.europa.eu/


http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48142


https://ico.org.uk/

http://www.allaboutcookies.org/

http://www.cnil.fr/

https://techcrunch.com/

https://www.aboutcookies.org/

absolute school suport de curs - pregatire.net

Documents