absolute school suport de curs - pregatire.net
TRANSCRIPT
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
1
ABSOLUTE SCHOOL
SUPORT DE CURS
RESPONSABIL CU PROTECŢIA
DATELOR CU CARACTER
PERSONAL
CONFORM REGULAMENTULUI UE 2016/79 (GDPR)
TEL. 021.31.41.444 / 072. 357.623 / 0766.48.73.48
Web : www.AbsoluteSchool.net
www.pregatire.net
E-mail : [email protected]
V. 15.10.2019
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
2
ABSOLUTE SCHOOL in cifre
- un singur obiect de activitate - formarea profesionala a adultilor
- peste 14 ani experienta in training
- peste 50000 de cursanti scolarizati
- peste 45 de tipuri de cursuri diferite
- 7 domenii de training (IT, Contabilitate, HR, SSM, Protectia
mediului, Limbi straine, Protectia datelor)
- peste 20 de traineri dedicati, cu experienta profesionala si
pedagogica semnificativa
- grad de satisfactie a cursantilor: 98,5% (masurat exact, prin
chestionare de evaluare)
Detalii complete: www.pregatire.net
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
3
Trainerul cursului: CRISTIAN HĂRĂBOR
membru al IAPP (The International Association of Privacy Professionals)
este certificat IAPP, detinand cele mai prestigioase certificari recunoscute
international in domeniul protectiei datelor (CIPP/E - Certified Information
Privacy Professional/Europe si CIPM - Certified Information Privacy Manager)
CIPP/E atesta cunoasterea legislatiei
europene privind protectia datelor, precum
si aspectele practice privind aplicarea
legislatiei in cadrul organizatiilor.
CIPM este prima si singura certificare din
lume privind gestionarea programelor de
protectia datelor si atesta atat
cunoasterea reglementarilor, cat si
aspetele practice privind modul in care un
program de confidentialitate functioneaza
in organizatii
DPO atestat de CNIL (Autoritatea de Supraveghere pentru protectia datelor din
Franta; este prima persoana din Romania care a obtinut aceasta certificare)
licenţiat în Contabilitate şi Informatică de gestiune (media 9,87)
absolvent al unui masterat în Informatică economică
absolvent al unor cursuri de specializare: Train of Trainers, Managementul
performanţei în organizaţii, Protecţia datelor, Managementul proiectelor
peste 20 de ani experienţă în dezvoltarea de software (fazele de: analiză,
proiectare, dezvoltare, implementare, suport, protecţia informaţiilor)
experienţă în training: 1997 – prezent
experienţă în training în cadrul Absolute School: 2004 – prezent
(peste 500 de grupe și peste 7000 de cursanți școlarizați)
Consultant fiscal, membru al Camerei Consultanţilor Fiscali
experienţă profesională în companii din România, Franţa, Elveţia
Domenii de interes
- Aplicarea GDPR (principii, proceduri, implementare, consultanta, training, etc.)
- Susţinerea trainingurilor de Contabilitate, Fiscalitate şi Protecţia datelor
- Dezvoltarea de aplicaţii software pentru domeniul economic, managementul
performanţei, protecţia datelor
- Fiscalitate (TVA, impozit pe profit, preţuri de transfer, etc.)
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
4
STRUCTURA CURSULUI
1. Prezentarea Regulamentului (UE) 2016/679 (GDPR).
Concepte de bază. Terminologia utilizată.
2. Cele 6 principii ale GDPR.
3. Drepturile persoanelor vizate. Identificarea datelor
personale. Aspecte legale privind prelucrarea datelor.
4. Operatorul de date şi persoana imputernicită de operator.
5. Desemnarea unui DPO. Atribuţiile unui DPO. Comunicarea
cu autorităţile.
6. Transferurile de date cu caracter personal către țări terțe sau
organizații internaționale
7. Căi de atac, răspunderi şi sancţiuni.
8. Cookie-urile in contextul GDPR
Materialele suplimentare se pot descarca de la adresa:
www.pregatire.net/dpo (parola: dpo2018)
Adresa de e-mail a trainerului: [email protected]
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
5
SECTIUNEA I
REGULAMENTUL (UE) 2016/679
(GENERAL DATA PROTECTION REGULATION – GDPR).
CONCEPTE DE BAZĂ. TERMINOLOGIA UTILIZATĂ.
INTRODUCERE
Începând cu 25 mai 2018, Regulamentul 2016/679 abrogă și înlocuiește
Directiva nr. 95/46/EC privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și libera circulație a acestor date.
Regulamentul are APLICABILITATE DIRECTĂ în toate Statele Membre în baza
Tratatului pentru Funcționarea Uniunii Europene. În consecință, începând cu 25
mai 2018 Regulamentul 2016/679 înlocuiește și actul normativ de
reglementare internă (Legea nr. 677/2001 pentru protecția persoanelor cu privire
la prelucrarea datelor cu caracter personal și libera circulație a acestor date).
Observaţie:
Aplicabilitatea directă a GDPR implica faptul că Regulamentul este obligatoriu
de aplicat pentru toate statele membre UE, fără a mai fi nevoie de o
transpunere în legislaţia naţională.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
6
PRINCIPALELE PREVEDERI ALE REGULAMENTULUI 2016/679
(GDPR)
Punctul 1 din Preambulul Regulamentului prevede faptul ca
“Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu
caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta
drepturilor fundamentale a Uniunii Europene și articolul 16 alineatul (1) din Tratatul
privind funcționarea Uniunii Europene prevăd dreptul oricărei persoane la protecția
datelor cu caracter personal care o privesc.”
Articolul 2 - Domeniul de aplicare material
(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal,
efectuată total sau parțial prin mijloace automatizate, precum și prelucrării
prin alte mijloace decât cele automatizate a datelor cu caracter personal care
fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă
parte dintr-un sistem de evidență a datelor.
Observatie
GDPR se aplica si pentru prelucrarea manuala a datelor. De exemplu, in cazul in
care un angajat preia numele/adresa/e-mail-ul unei persoane fizice, atunci datele
persoanei fizice trebuie protejate conform GDPR.
(2) Prezentul regulament nu se aplică prelucrării datelor cu caracter
personal:
de către o persoană fizică în cadrul unei activități exclusiv personale sau
domestice;
de către autoritățile competente în scopul prevenirii, investigării,
depistării sau urmăririi penale a infracțiunilor, sau al executării
sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa
siguranței publice și al prevenirii acestora.
Observatie
Acest ultim punct se refera la institutii care au atributii legate de aceste scopuri:
Politie, Parchet, ONPCSB, etc.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
7
Articolul 3 - Domeniul de aplicare teritorial
(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal în
cadrul activităților unui sediu al unui operator sau al unei persoane
împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are
loc sau nu pe teritoriul Uniunii.
(2) Prezentul regulament se aplică prelucrării datelor cu caracter personal
ale unor persoane vizate care se află în Uniune de către un operator sau o
persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci
când activitățile de prelucrare sunt legate de: (a) oferirea de bunuri sau servicii
unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu
efectuarea unei plăți de către persoana vizată; sau (b) monitorizarea
comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
Observatie
Articolul 3 prevede ca GDPR-ul se aplica:
-datelor prelucrate de catre o companie din UE, chiar si daca prelucrarea s-ar face
in afara UE, printr-un imputernicit (subcontractant)
-datelor prelucrate de catre o companie cu sediul in afara UE, daca:
1. respectiva companie vinde bunuri/servicii catre persoane din UE
2. monitorizeaza comportamentul persoanelor care se afla in UE
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
8
ARTICOLUL 4 – DEFINIȚII
În sensul prezentului regulament:
1. „date cu caracter personal” înseamnă ORICE INFORMAȚII privind o
persoană fizică identificată sau identificabilă („persoana vizată”); o persoană
fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în
special prin referire la un element de identificare, cum ar fi un nume, un număr de
identificare, date de localizare, un identificator online, sau la unul sau mai multe
elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice,
economice, culturale sau sociale;
Observaţie:
Dintre datele cu caracter personal putem enumera: numele, prenumele, CNP,
adresa, numarul de inmatriculare al masinii, data nasterii, locul nasterii, numele
parintilor, varsta, cetatenia, etnia, identificatorul masinii (VIN), religia, numarul
cardului bancar, afilierea politica, starea civila, adresa de email personala,
imaginea, salariul, numarul de telefon, adresa IP a unui calculator/terminal, datele
de trafic si localizare, codul de bare incorporat intr-un document de identitate,
raspunsurile date la un examen, identificatori cookie, prezenta/absenta unor
substante din sange, etichetele de identificare prin frecvenţe radio, tratamentul
prescris de un medic unui pacient, amprente, rezultatul analizelor medicale,
semnatura, date biometrice, ADN, date genetice, functia publica, bonitatea unui
imprumutat persoana fizica, vocea, log-uri, istoricul de cautare intr-un
browser/motor de cautare, comportamentul on-line, informatiile stocate pe telefonul
personal, un tatuaj distinctiv, etc. etc.
2. „prelucrare” înseamnă ORICE OPERAȚIUNE sau set de operațiuni
efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu
caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi
colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau
modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere,
diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau
combinarea, restricționarea, ștergerea sau distrugerea;
Observaţie:
Va rugam sa remarcati ca prelucrarea NU inseamna doar modificare/agregare
de date, ci cuprinde toate operatiile mentionate in acest articol.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
9
3. „restricționarea prelucrării” înseamnă marcarea datelor cu caracter
personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
Observaţie:
Acest lucru poate insemna in practica, de exemplu, existenta intr-o tabela dintr-o
baza de date cu clientii unei companii a unui camp (numit mai jos restrict, cu doua
valori posibile: DA sau NU).
id nume prenume email oras restrict data
1 Ionescu George [email protected] Bucuresti NU 15.01.2018
2 Enescu Ana [email protected] Buzau NU 20.01.2018
3 Popa George [email protected] Brasov DA 22.01.2018
4 Vasiliu Nina [email protected] Bucuresti NU 25.01.2018
5 Anitei Mihaela [email protected] Bucuresti NU 27.01.2018
In situatia in care exista o restrictionare a prelucrarii (cum este cazul persoanei cu id-
ul 3 de mai sus), atunci compania nu prelucreaza datele persoanei respective. Acest
aspect se va detalia la art. 18; restrictionarea prelucrarii poate fi legata, de exemplu,
de dreptul de a initia o actiune in instanta.
4. „creare de profiluri” (în engleză “profiling”, în română “profilare”)
înseamnă orice formă de prelucrare automată a datelor cu caracter personal
care constă în utilizarea datelor cu caracter personal pentru a evalua anumite
aspecte personale referitoare la o persoană fizică, în special pentru a analiza
sau prevedea aspecte privind performanța la locul de muncă, situația economică,
sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în
care se află persoana fizică respectivă sau deplasările acesteia.
Profilarea-exemplul nr.1 (cazul evaluarii unui angajat)
Angajat Popescu Ana
Anul Indicatorul de performanta (%)
2013 89
2014 87
2015 95,75
2016 97
2017 96,5
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
10
Profilarea-exemplul nr.2 (preferintele privind cumparaturile efectuate on-line de un client)
Categoria Valoare achizitii %
Telefoane-tablete
8000 9,5%
Electronice 20000 23,8%
Mobilier 35000 41,7%
Ingrijire 15000 17,9%
Bricolaj 6000 7,1%
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
11
5. „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-
un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane
vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații
suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură
tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter
personal unei persoane fizice identificate sau identificabile;
PSEUDONIMIZAREA - EXEMPLU
Nume Ana Popescu Nume Qj5ymsd7$2q0
Pseudonim Qj5ymsd7$2q0 Istoric intrari 02.05.2018 2500 lei
Data nasterii 10-12-1989 03.05.2018 4000 lei
Sex F 05.05.2018 350 lei
Observatie
In exemplu de mai sus, datele privind istoricul tranzactiilor se gasesc pe
computerul nr.2; in cazul in care are loc o bresa de securitate si datele din
computerul 2 sunt accesate, acesta NU contine date personale; datele personale
sunt stocate pe computerul 1, pentru care e necesar sa se asigure un nivel inalt de
securitate (de exemplu, datele de pe computerul 1 pot fi criptate). Evident, aceste
masuri de securitate sunt implementate de catre departamentul IT; un responsabil
cu protectia datelor este doar in masura sa propuna aceste modalitati dde
securizare a datelor.
6. „sistem de evidență a datelor” înseamnă orice set structurat de date cu
caracter personal accesibile conform unor criterii specifice, fie ele centralizate,
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
12
descentralizate sau repartizate după criterii funcționale sau geografice;
7. „operator” (in engleza “CONTROLLER”) înseamnă persoana fizică sau
juridică, autoritatea publică, agenția sau alt organism care, singur sau
împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor
cu caracter personal;
8. „persoană împuternicită de operator” (in engleza “PROCESSOR”)
înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt
organism care prelucrează datele cu caracter personal în numele operatorului
Exemplu:
O companie X externalizeaza catre firma de contabilitate Y serviciile de
Contabilitate, resurse umane si salarizare in baza unui contract de prestari servicii.
In acest scenariu, rolul celor doua companii este urmatorul:
- compania X este Operatorul, intrucat stabileste scopul si mijloacele (in acest
exemplu, exista trei scopuri: tinerea evidentei contabile; intocmirea
contractelor de munca si calculul salariilor)
- compania Y este Imputernicitul, deoarece Y prelucreaza datele salariatilor
firmei X in numele acesteia
9. „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică,
agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter
personal, indiferent dacă este sau nu o parte terță.
Observatie:
Pentru exemplul anterior (privind companiile X si Y), destinatari sunt ANAF si ITM.
10. „parte terță” înseamnă o persoană fizică sau juridică, autoritate publică,
agenție sau organism altul decât persoana vizată, operatorul, persoana
împuternicită de operator și persoanele care, sub directa autoritate a operatorului
sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu
caracter personal;
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
13
Exemplu
O companie X externalizeaza catre firma Y serviciile de Contabilitate, resurse
umane si salarizare in baza unui contract de prestari servicii.
Pe perioada derularii contractului, la un moment dat firma Y subcontracteaza catre
o alta firma Z serviciile de Salarizare.
In acest caz, sunt necesare urmatoarele demersuri:
1. un contract intre firma X si firma Y (cu mentionarea obligatiilor fiecarei parti
privind respectarea GDPR)
2. firma Y cere acordul firmei X pentru subcontractarea serviciilor de Salarizare
catre Z; fara acordul firmei X, firma Y nu poate subcontracta serviciile
3. un contract intre firma Y si firma Z (cu mentionarea obligatiilor fiecarei parti
privind respectarea GDPR) – a se vedea si art.28 privind obligatiile
persoanei imputernicite de operator.
11. „consimțământ” al persoanei vizate înseamnă orice manifestare de
voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate
prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără
echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
Observatie:
A se vedea art. 7 din GDPR (in sectiunea urmatoare), in care vom avea exemple
detaliate.
12. „încălcarea securității datelor cu caracter personal” înseamnă o
încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea,
pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter
personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul
neautorizat la acestea
Observatie
Divulgarea accidentala/neautorizata poate sa apara si in cazul:
-pierderii unui stick cu date personale in clar
-date personale scrise pe post-it-uri lasate pe birou/ecran.
Inclusiv aceste tipuri de incalcari pot duce la plangeri/sanctiuni.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
14
13. „date genetice” înseamnă datele cu caracter personal referitoare la
caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care
oferă informații unice privind fiziologia sau sănătatea persoanei respective și care
rezultă în special în urma unei analize a unei mostre de material biologic
recoltate de la persoana în cauză;
Observatie:
Datele genetice ar trebui definite drept date cu caracter personal referitoare la
caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care
rezultă în urma unei analize a unei mostre de material biologic al persoanei fizice
în cauză, în special a unei analize cromozomiale, a unei analize a acidului
dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a
oricărui alt element ce permite obținerea unor informații echivalente.
14. „date biometrice” înseamnă o date cu caracter personal care rezultă în
urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice,
fiziologice sau comportamentale ale unei persoane fizice care permit sau
confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale
sau datele dactiloscopice
Observatie
Este cazul sistemelor de acces pe baza recunoasterii faciale (facial recognition
system) sau sisteme de acces pe baza de amprenta.
15. „date privind sănătatea” înseamnă date cu caracter personal legate de
sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii
de asistență medicală, care dezvăluie informații despre starea de sănătate a
acesteia;
16. „sediu principal” înseamnă:
(a) în cazul unui operator cu sedii în cel puțin două state membre, locul în
care se află administrația centrală a acestuia în Uniune, cu excepția cazului în
care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter
personal se iau într-un alt sediu al operatorului din Uniune, sediu care are
competența de a dispune punerea în aplicare a acestor decizii, caz în care sediul
care a luat deciziile respective este considerat a fi sediul principal;
(b) în cazul unei persoane împuternicite de operator cu sedii în cel puțin două
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
15
state membre, locul în care se află administrația centrală a acesteia în Uniune,
sau, în cazul în care persoana împuternicită de operator nu are o administrație
centrală în Uniune, sediul din Uniune al persoanei împuternicite de operator în care
au loc activitățile principale de prelucrare, în contextul activităților unui sediu al
persoanei împuternicite de operator, în măsura în care aceasta este supusă unor
obligații specifice în temeiul prezentului regulament;
Exemplu
O companie are sediul in Germania si filiale in Romania si in Austria. By default,
sediul principal din punct de vedere al GDPR este in Germania. Totusi, daca
pentru anumite activitati de prelucrare deciziile privind scopul si mijloacele sunt
luate in Romania, atunci filiala din Romania este considerata sediul principal din
punct de vedere al GDPR.
17. „reprezentant” înseamnă o persoană fizică sau juridică stabilită în Uniune,
desemnată în scris de către operator sau persoana împuternicită de operator în
temeiul articolului 27, care reprezintă operatorul sau persoana împuternicită în
ceea ce privește obligațiile lor respective care le revin în temeiul prezentului
regulament;
Observatie
Este vorba de situatia in care operatorul sau persoana împuternicită de operator
nu-si au sediul in UE si este necesar sa desemneze un reprezentant (care se
gaseste in UE).
18. „întreprindere” înseamnă o PERSOANĂ FIZICĂ SAU JURIDICĂ CE
DESFĂȘOARĂ O ACTIVITATE ECONOMICĂ, indiferent de forma juridică a
acesteia, inclusiv parteneriate sau asociații care desfășoară în mod regulat o
activitate economică
19. „grup de întreprinderi” înseamnă o întreprindere care exercită controlul și
întreprinderile controlate de aceasta;
20. „reguli corporatiste obligatorii” (in engleza “binding corporate rules” -
BCR) înseamnă politicile în materie de protecție a datelor cu caracter personal
care trebuie respectate de un operator sau de o persoană împuternicită de
operator stabilită pe teritoriul unui stat membru, în ceea ce privește transferurile
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
16
sau seturile de transferuri de date cu caracter personal către un operator sau o
persoană împuternicită de operator în una sau mai multe țări terțe în cadrul unui
grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate
economică comună;
21. „autoritate de supraveghere” înseamnă o autoritate publică independentă
instituită de un stat membru;
Observatie: în România autoritatea de supraveghere in domeniu protectiei datelor
este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter
Personal (ANSPDCP), B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, Bucuresti;
www.dataprotection.ro
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
17
SECŢIUNEA a II-a
Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal
(1) Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată
(„legalitate, echitate și transparență”)
Observatie
Cele trei componente ale acestui principiu (legalitate, echitate și transparență)
sunt intr-o strânsă legatură.
Potrivit principiului legalităţii, trebuie sa existe un temei legal pentru prelucrare; in
caz contrar , prelucrarea este nelegala (a se vedea art.6, 9 si 10 din GDPR).
Echitatea (corectitudinea) presupune ca persoanele în cauză trebuie să fie
informate că datele lor cu caracter personal sunt prelucrate, inclusiv modul în care
acestea sunt colectate, stocate și utilizate, pentru a le permite să ia decizii în
cunoștință de cauză cu privire la datele lor și să își exercite drepturile in materie de
protecția datelor; in plus, operatorul prelucrează datele doar în modurile pe
care persoana vizată în cauză le-ar aștepta în mod rezonabil şi nu utilizează
datele intr-un fel care ar putea afecta negativ persoana vizată. Cu toate
acestea, în unele cazuri, tratamentul este impus prin lege, prin urmare, este
considerat echitabil, indiferent de cunoștințele sau preferințele persoanei în cauză.
Transparența este legata direct de echitate si impune operatorului să comunice
persoanei vizate în mod clar și deschis cum va prelucra datele cu caracter
personal.
(b) colectate în scopuri determinate, explicite și legitime și nu sunt
prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea
ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică
sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile
inițiale („limitări legate de scop”);
Exemplu:
O companie incheie cu un client (persoana fizica) un contract de prestari servicii,
colectand de la aceasta numele, adresa postala si adresa de e-mail; in
concordanta cu acest contract, serviciile se presteaza lunar, iar facturile se transmit
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
18
catre persoana fizica prin e-mail.
Ulterior, compania trimite catre persoana fizica e-mail-uri cu informatii comerciale
referitoare la unele bunuri pe care le ofera spre vanzare.
Limitarea legata de scop este respectata in acest caz? Va rugam sa argumentati.
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu
scopurile în care sunt prelucrate („reducerea la minimum a datelor”);
Exemplu:
O companie presteaza servicii unei persoane fizice, la cererea acesteia. Compania
colecteaza de la persoana fizica numele, CNP, adresa postala si adresa de e-mail;
conform intelegerii dintre parti, facturile se transmit catre persoana fizica prin e-
mail. Conform regulilor interne ale prestatorului, pe facturile emise este mentionat
numele persoanei emitente si CNP-ul acesteia.
Precizati ce implica „reducerea la minimum a datelor” in acest caz.
Exemplu:
In cadrul unui proces de recrutare, recruiterul ii adreseaza unui candidat diverse
intrebari si noteaza raspunsurile acestuia. Dati exemple de cateva intrebari care ar
fi susceptibile sa nu respecte principiul reducerii la minimum a datelor.
(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia
toate măsurile necesare pentru a se asigura că datele cu caracter personal care
sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse
sau rectificate fără întârziere („exactitate”)
Observatie
In acest sens, e necesara o procedura de editere/modificare a datelor atunci cand
este necesar.
De exemplu, un client ne anunta faptul ca si-a schimbat adresa de e-mail, intrucat
vechea adresa de e-mail a fost compromisa. Ca atare, aceasta schimbare trebuie
sa se reflecte imediat la noi in sistem. Care ar fi riscul neefectuarii modificarii
sau al modificarii cu intarziere?
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
19
(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o
perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care
sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai
lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în
interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice,
sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate
prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților
persoanei vizate („limitări legate de stocare”);
Exemplu (1)
O companie presteaza servicii unei persoane fizice, colectand de la aceasta
numele, adresa postala si adresa de e-mail;conform intelegerii dintre parti, facturile
se transmit catre persoana fizica prin e-mail.
Mentionati ce implica „limitările legate de stocare” in acest caz.
Exemplu (2)
O companie prelucreaza datele personale ale salariatilor in vederea intocmirii
statului de salarii. Un salariat este angajat in companie in perioada 01.01.2014-
31.12.2017. In luna precedenta celei in care ne aflam (deci dupa incetarea
contractului si intrarea GDPR in vigoare) salariatul solicita companiei stergerea
datelor personale.
Mentionati ce implica „limitările legate de stocare” in acest caz.
Observatie
Daca exista un termen legal de pastrare, e necesar sa fie respectat acel termen;
de exemplu, termenul de pastrare a facturilor este de 10 ani, iar statele de salarii
se pastreaza 50 de ani (conform legii Contabilitatii); daca legislatia nu prevede un
termen de pastrare, e necesar sa stabilim printr-o procedura interna un termen cat
mai mic posibil.
(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu
caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale
și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
20
măsuri tehnice sau organizatorice corespunzătoare („integritate și
confidențialitate”).
Observatie:
Pentru a respecta acest principiu („integritate și confidențialitate”), putem avea
in vedere mai multe aspecte privind protectia datelor, dintre care mentionam:
Controlul accesului Utilizarea unui firewall Instruirea periodica a
personalului
Parolarea
calculatoarelor
Realiz rea copiilor de
siguranta a datelor (back-up)
Existenta unei politici
documentate de
protectie a datelor la
nivel de companie
Utilizarea de
parole “puternice”
Criptarea datelor Utilizarea distrugatoarelor
de documente
Utilizarea unui soft
antivirus actualizat
Stocarea documentelor tiparite
in dulapuri metalice inchise
Pseudonimizarea
(2) OPERATORUL ESTE RESPONSABIL DE RESPECTAREA ALINEATULUI
(1) ȘI POATE DEMONSTRA ACEASTĂ RESPECTARE
(„RESPONSABILITATE”).
Observatie
Alineatul 2 precizeaza obligatia operatorului de a asigura integritatea si
confidentialitatea datelor, precum si obligatia de a demonstra ca acestea sunt
respectate; demonstrarea respectarii ar insemna, printer altele, existenta unei
politici scrise de protectie a datelor, instruirea periodica a personalului implicat si
luarea efectiva a masurilor de securitate necesare.
Observatie
A se vedea Anexa 1 – Studiu de caz privind aplicarea celor 6 principii GDPR si
Anexa 2 – Instruirea periodica a angajatilor.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
21
Articolul 6 - Legalitatea prelucrării
(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel
puțin una dintre următoarele condiții:
(a) persoana vizată și-a dat CONSIMȚĂMÂNTUL pentru prelucrarea datelor
sale cu caracter personal pentru unul sau mai multe scopuri specifice
Observatie
A se vedea si art.7 (privitor la consimtamant).
(b) prelucrarea este necesară pentru EXECUTAREA UNUI CONTRACT la
care persoana vizată este parte sau pentru a face demersuri la cererea
persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale
care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei
vizate sau ale altei persoane fizice
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește
unui interes public sau care rezultă din exercitarea autorității publice cu care este
învestit operatorul;
Exemplu
Doua persoane fizice PF1 si PF2 sunt intr-un litigiu si ajung in instanta. Pentru
aceasta, fiecare persoana apeleaza la serviciile unui avocat, respectiv A1 si A2.
Avocatul A1 prelucreaza datele clientului sau in baza contractului de prestari
servicii; pe de alta parte, A1 va prelucra si datele partii adverse (PF2), precum si
datele unor eventuali terti (spre exemplu martorii la proces). Prelucrarea datelor
partii adverse se va face in baza unui interes public, respectiv infaptuirea actului de
justitie; avocatul A1 NU poate prelucra datele persoanei PF2 in baza contractului
sau in baza consimtamantului.
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de
operator sau de o parte terță, cu excepția cazului în care prevalează interesele
sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită
protejarea datelor cu caracter personal, în special atunci când persoana vizată
este un copil. Litera (f) din primul paragraf nu se aplică în cazul prelucrării
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
22
efectuate de autorități publice în îndeplinirea atribuțiilor lor.
Exemple
1. prelucrarea datelor privind performanta angajatilor se poate face in temeiul
interesului legitim al operatorului de a avea performanta in activitatea sa
2. prelucrarea datelor de localizare pentru un salariat ce conduce un autovehicul al
companiei dotat cu GPS se face in baza interesului legitim al companiei de a putea
localiza autovehiculul, ca mijloc de protectie impotriva furtului
3. urmarirea istoricului de navigare a vizitatorilor unui site se face in temeiul
interesului legitim al proprietarului site-ului in vederea protectiei impotriva atacurilor
informatice asupra site-ului
Observatie
In concluzie, prelucrarea este legala daca se aplica cel putin un principiu, iar
incadrarea este corecta si conforma cu respectivul principiu. In caz contrar,
prelucrarea NU este una legala.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
23
ARTICOLUL 7 - CONDIȚII PRIVIND CONSIMȚĂMÂNTUL
(1) În cazul în care prelucrarea se bazează pe consimțământ, operatorul
trebuie să fie în măsură să demonstreze că persoana vizată și-a dat
consimțământul pentru prelucrarea datelor sale cu caracter personal.
Observatie
Cu alte cuvinte, alineatul 1 prevede obligaţia operatorului de a demonstra ulterior
că persoana vizata si-a acordat consimţământul anterior prelucrării.
Exemplu
O companie primeşte prin e-mail o ofertă de la o persoană care-i oferă spre
vânzare “o baza de date cu peste 4.000.000 de adrese de e-mail valide ce aparţin
unor persoane fizice din România” la preţul de 500 lei. Compania dă curs ofertei,
achizitionând baza de date.
Vă rugăm să analizaţi situaţia vânzătorului si a cumpărătorului bazei de date vis-à-
vis de consimţământul persoanelor vizate.
(2) În cazul în care consimțământul persoanei vizate este dat în contextul
unei declarații scrise care se referă și la alte aspecte, cererea privind
consimțământul trebuie să fie prezentată într-o formă care o diferențiază în
mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă,
utilizând un limbaj clar și simplu. Nicio parte a respectivei declarații care
constituie o încălcare a prezentului regulament nu este obligatorie.
Exemplu
O persoana fizica acceseaza un magazin on-line si finalizeaza o comanda de
cumparare pe site-ul vanzatorului Y SRL. La finalizarea fiecarei comenzi,
vanzatorul solicita consimtamantul clientului pentru a-i prelucra adresa de e-mail in
scop de marketing. In acest caz, e necesar acordul explicit al clientului in mod
diferentiat pentru cele doua scopuri, de exemplu:
(3) Persoana vizată are dreptul să își retragă în orice moment
consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării
efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
24
acordarea consimțământului, persoana vizată este informată cu privire la acest
lucru. Retragerea consimțământului se face la fel de simplu ca acordarea
acestuia.
Exemplu
O persoana fizica acceseaza un site al unei companii si isi da consimtamantul pentru
a primi e-mail-uri in scop de marketing.
Dupa o anumita perioada, persoana fizica nu mai doreste sa primeasca mesaje si
acceseaza pagina in care se gasesc detalii privind renuntarea la inregistrare. In
aceasta pagina se mentioneaza, printre altele:
“Aveti posibilitatea sa renuntati oricand la inregistrare; in acest sens, va rugam sa
apelati call-center-ul nostru la numarul de telefon 021/123.45 67, de luni pana vineri
intre orele 9-17. Va multumim!”.
Va rugam sa precizati daca aceasta procedura de retragere a consimtamantului este
in conformitate cu alin.3.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
25
Observatie (1)
Preambulul 32 al GDPR: “Consimțământul ar trebui acordat printr-o acțiune
neechivocă care să constituie o manifestare liber exprimată, specifică, în
cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor
sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în
format electronic, sau verbal. Acesta ar putea include bifarea unei căsuțe atunci când
persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății
informaționale sau orice altă declarație sau acțiune care indică în mod clar în
acest context acceptarea de către persoana vizată a prelucrării propuse a datelor
sale cu caracter personal. Prin urmare, absența unui răspuns, căsuțele bifate în
prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ.
Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același
scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe
scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul
în care consimțământul persoanei vizate trebuie acordat în urma unei cereri
transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să
nu perturbe în mod inutil utilizarea serviciului pentru care se acordă
consimțământul.”
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
26
Observatie (2)
Conform “Orientărilor privind consimțământul” adoptate de Comitetul
European pentru Protectia datelor (European Data Protection Board – EDPB)
cuprinse in documentul WP259, elementul „liber” implică o alegere reală și un
control real din partea persoanelor vizate. GDPR prevede că dacă persoana
vizată nu beneficiază de o alegere reală, se simte obligată să consimtă sau va
suporta consecințe negative dacă nu consimte, consimțământul nu va fi valabil.
Dacă consimțământul este înglobat, ca parte ce nu poate fi negociată, în cuprinsul
termenelor și condițiilor, se prezumă că acesta nu a fost exprimat în mod liber. În
consecință, consimțământul nu va fi considerat liber exprimat dacă persoana
vizată nu este în măsură să refuze sau să-și retragă consimțământul fără a fi
prejudiciată. Un dezechilibru apare, de asemenea, în contextul relațiilor de
muncă., fiind puțin probabil ca persoana vizată să poată refuza să-și acorde
consimțământul față de angajatorul său pentru prelucrarea datelor fără a se
confrunta cu temerea sau cu riscul real de consecințe negative ca urmare a unui
refuz. Este puțin probabil ca un angajat să poată răspunde în mod liber la o cerere
de consimțământ din partea angajatorului său, de exemplu pentru a activa camere
de supraveghere la locul de muncă sau pentru a completa formulare de evaluare,
fără a simți presiunea de a consimți. Prin urmare, EDPB consideră că este foarte
dificil ca angajatorii să prelucreze datele personale ale angajaților pe baza
consimțământului, întrucât este puțin probabil ca acesta să fie acordat în
mod liber. Pentru cea mai mare parte a activității de prelucrare a unor astfel
de date la locul de muncă, temeiul legal nu poate și nu ar trebui să fie
consimțământul angajaților, având în vedere natura relației dintre angajator și
angajat. Angajații își pot da consimțământul în mod liber numai în
circumstanțe excepționale, și anume atunci când nu va exista nicio
consecință negativă, indiferent dacă aceștia consimt sau nu. De exemplu,
daca un echipaj de televiziune urmează să filmeze într-un birou al unei companii,
angajatorul le solicită angajaților care își desfășoară activitatea în zona respectivă
consimțământul de a fi filmați, întrucât aceștia ar putea apărea pe fundalul filmării.
Cei care nu vor să fie filmați nu vor fi sancționați în niciun mod, fiind relocati in
birouri aflate în altă parte a clădirii pe durata filmărilor.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
27
INCORECT CONFORM GDPR
Nr.crt. Denumire p odus
Cantitate Pret unitar Valoare
1 Produsul 1 2 buc. 30 lei 60 lei
2 Produsul 2 1 buc. 40 lei 40 lei
TOTAL 100 lei
Prin apasarea butonului de mai jos va dati acordul pentru a primi e-mail-uri in scop de marketing.
INCORECT CONFORM GDPR – casuta bifata in prealabil
Nr.crt. Denumire produs
Cantitate Pret unitar Valoare
1 Produsul 1 2 buc. 30 lei 60 lei
2 Produsul 2 1 buc. 40 lei 40 lei
TOTAL 100 lei
ARTICOLUL 8 - CONDIȚII APLICABILE ÎN CEEA CE PRIVEȘTE
CONSIMȚĂMÂNTUL COPIILOR ÎN LEGĂTURĂ CU SERVICIILE SOCIETĂȚII
INFORMAȚIONALE
(1)În cazul în care se aplică articolul 6 alineatul (1) litera (a), în ceea ce
privește oferirea de servicii ale societății informaționale în mod direct unui
copil, prelucrarea datelor cu caracter personal ale unui copil este legală dacă
copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani,
respectiva prelucrare este legală numai dacă și în măsura în care
consimțământul respectiv este acordat sau autorizat de titularul răspunderii
părintești asupra copilului.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
28
ARTICOLUL 9 - PRELUCRAREA DE CATEGORII SPECIALE DE DATE CU
CARACTER PERSONAL
(1) SE INTERZICE PRELUCRAREA DE DATE cu caracter personal care
dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă
sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date
genetice, de date biometrice pentru identificarea unică a unei persoane fizice,
de date privind sănătatea sau de date privind viața sexuală sau orientarea
sexuală ale unei persoane fizice.
(2) Alineatul (1) nu se aplică în următoarele situații:
(a) persoana vizată și-a dat consimțământul explicit pentru prelucrarea
acestor date cu caracter personal pentru unul sau mai multe scopuri
specifice;
(b) prelucrarea este necesară în scopul îndeplinirii obligațiilor și al
exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în
domeniul ocupării forței de muncă și al securității sociale și protecției
sociale;
(c) prelucrarea este necesară pentru protejarea intereselor vitale ale
persoanei vizate sau ale unei alte persoane fizice, atunci când persoana
vizată se află în incapacitate fizică sau juridică de a-și da consimțământul;
(d) prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții
adecvate de către o fundație, o asociație sau orice alt organism fără scop lucrativ și
cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se
refere numai la membrii sau la foștii membri ai organismului respectiv sau la
persoane cu care acesta are contacte permanente în legătură cu scopurile sale și
ca datele cu caracter personal să nu fie comunicate terților fără consimțământul
persoanelor vizate;
(e) prelucrarea se referă la date cu caracter personal care sunt făcute
publice în mod manifest de către persoana vizată;
(f) prelucrarea este necesară pentru constatarea, exercitarea sau
apărarea unui drept în instanță sau ori de câte ori instanțele acționează în
exercițiul funcției lor judiciare;
(g) prelucrarea este necesară din motive de interes public major, în baza
dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit,
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
29
respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și
specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei
vizate;
(h) prelucrarea este necesară în scopuri legate de medicina preventivă
sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea
unui diagnostic medical, de furnizarea de asistență medicală sau socială sau
a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate
sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în
temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării
condițiilor și garanțiilor prevăzute la alineatul (3);
(i) prelucrarea este necesară din motive de interes public în domeniul
sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave
la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a
asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul
dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice
pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului
profesional; sau
(j) prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri
de cercetare științifică sau istorică ori în scopuri statistice.
Observatie
Alineatul 2 al articolului 9 precizeaza cazurile in care este legala prelucrarea
categoriilor special de date. In consecinta, prelucrarea categoriilor special de date
in alte situatii este nelegala.
ARTICOLUL 10 - PRELUCRAREA DE DATE CU CARACTER PERSONAL
REFERITOARE LA CONDAMNĂRI PENALE ȘI INFRACȚIUNI
Prelucrarea de date cu caracter personal referitoare la condamnări penale și
infracțiuni se efectuează numai sub controlul unei autorități de stat SAU
ATUNCI CÂND PRELUCRAREA ESTE AUTORIZATĂ DE DREPTUL UNIUNII
SAU DE DREPTUL INTERN care prevede garanții adecvate pentru drepturile și
libertățile persoanelor vizate.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
30
Observatie (1)
!!! Putem solicita cazierul la angajare numai daca exista o prevedere legala in
acest sens!
Acest lucru este valabil, de exemplu, pentru urmatoarele cazuri/ocupatii:
- agent de paza (conform Legii 333/2003)
- gestionar (conform Legii 22/1969)
- consilier juridic (conform Legii 514/2003)
- funcționar public (conform HG 611/2008)
Observatie (2)
In cazul profesiilor reglementate (de exemplu: avocat, expert contabil, consultant
fiscal, medic, farmacist, etc.), persoanelor care au obtinut aceste calitati si fac parte
din respectivul corp profesional li se solicita cazierul la examenul de admitere in
profesie si trebuie prezentat organismului profesional, nefiind necesar la
angajare.
Studiu de caz
Tinand cont de prevederile articolelor 6,9,si 10, precizati temeiul legal al
prelucrarii in urmatoarele situatii:
1. angajarea unei persoane cu CIM
2. prelucrarea datelor medicale ale unui salariat (de ex. un concediu medical
adus de un salariat)
3. calculul salariilor angajatilor
4. retinerea contributiilor sociale pentru un angajat pe statul de plata
5. primirea unui CV (candidatura spontana) pe adresa de e-mail a companiei
6. o persoana fizica solicita unei agentii de recrutare gasirea unui job in functie
de anumite criterii
7. o persoana fizica aplica pentru un job publicat de companie pe un portal de
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
31
job-uri
8. o agentie de recrutare “deblocheaza” datele unui candidat pe un portal de
job-uri si apoi il contacteaza
9. o companie solicita cazierul unei persoane care va fi angajata pe post de
Operator call-center
10. o companie solicita cazierul unei persoane care va fi angajata pe post de
Agent de paza
11. intr-un proces de recrutare pentru un anumit post, compania organizeaza
interviuri cu 15 persoane, una fiind selectata. Precizati:
a. temeiul legal al prelucrarii CV-ului candidatilor
b. temeiul legal al prelucrarii ulterioare a CV-urilor candidatilor respinsi
c. care ar fi termenul de stocare a CV-urilor candidatilor respinsi?
12. evaluarea performantelor angajatilor. Care considerati ca este termenul de
pastrare a rezultatelor evaluarii?
13. prelucrarea datelor unei PFA care ne presteaza un serviciu
14. externalizarea salarizarii catre o firma de payroll.
15. prestarea de servicii catre un client - persoana fizica
16. un client efectueaza o comanda telefonica si solicita livrarea unui produs la
domiciliul sau. Compania efectueaza livrarea si incaseaza suma aferenta
fara a exista un contract in forma scrisa.
17. un medic evalueaza starea de sanatate a unui pacient si-i prescrie un
tratament
18. transferul datelor salariatilor unei companii din Romania catre firma-mama
din Austria
19. o firma organizeaza un concert in Piata Constitutiei, la care participa 50.000
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
32
de spectatori. Inainte si in timpul spectacolului, firma organizatoare
utilizeaza o drona pentru a capta imagini. Care este temeiul legal al
prelucrarii imaginilor?
20. o firma de utilitati utilizeaza un contor inteligent care se monteaza in
locuinta fiecarui abonat. Contorul transmite periodic (prin GSM) catre firma
de utilitati valorile consumului. In acest caz, se prelucreaza date personale?
Daca da, care este temeiul legal al prelucrarii?
21. publicarea fotografiilor, numelui si a functiei salariatilor pe site-ul companiei
22. transmiterea de e-mail-uri catre client in scop de marketing
23. o firma de consultanta acorda acces (pe baza de user si parola) la platforma
sa on-line, unde abonatii au acces la informatii de specialitate.
24. captarea imaginilor vizitatorilor unui magazin/centru comercial/depozit
25. pe site-ul companiei exista un formular de contact, prin intermediul caruia o
persoana fizica trimite o comanda pentru un serviciu. Formularul preia
numele, telefonul, e-mail-ul persoanei, precum si cererea acesteia.
26. o persoana fizica (fost client) ne solicita pe pagina de Facebook a companiei
sa-i transmitem prin e-mail ce date personale ii prelucram. Persoana
respectiva a cumparat de la companie un produs in urma cu 7 ani.
27. o companie cu 2000 de angajati ocupa o cladire de birouri din Pipera.
Pentru accesul in cladire, fiecare angajat utilizeaza o cartela de acces
(badge), pe care sunt stocate date personale.
ARTICOLUL 12 TRANSPARENȚA INFORMAȚIILOR, A COMUNICĂRILOR ȘI A
MODALITĂȚILOR DE EXERCITARE A DREPTURILOR PERSOANEI VIZATE
(1) Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice
informații menționate la articolele 13 și 14 și orice comunicări în temeiul
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
33
articolelor 15-22 și 34 referitoare la prelucrare, într-o formă concisă,
transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu,
în special pentru orice informații adresate în mod specific unui copil. Informațiile
se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este
oportun, în format electronic. La solicitarea persoanei vizate, informațiile pot fi
furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte
mijloace.
(3) Operatorul furnizează persoanei vizate informații privind acțiunile
întreprinse în urma unei cereri, fără întârzieri nejustificate și în orice caz în
cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu
două luni atunci când este necesar, ținându-se seama de complexitatea și numărul
cererilor. Operatorul informează persoana vizată cu privire la orice astfel de
prelungire, în termen de o lună de la primirea cererii, prezentând și motivele
întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic,
informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția
cazului în care persoana vizată solicită un alt format.
(4) Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul
informează persoana vizată, fără întârziere și în termen de cel mult o lună de
la primirea cererii, cu privire la motivele pentru care nu ia măsuri și la
posibilitatea de a depune o plângere în fața unei autorități de supraveghere și
de a introduce o cale de atac judiciară.
(5) Informațiile furnizate în temeiul articolelor 13 și 14 și orice comunicare și
orice măsuri luate în temeiul articolelor 15-22 și 34 sunt oferite gratuit. În
cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate
sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:
(a) fie să perceapă o taxă rezonabilă ținând cont de costurile administrative
pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor
solicitate;
(b) fie să refuze să dea curs cererii.
TRATAREA CERERILOR VENITE DIN PARTEA PERSOANELOR VIZATE (P.V.)
CAZUL 1 – raspuns initial favorabil
CERERE P.V. >>> RASPUNS IN 30 DE ZILE
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
34
CAZUL 2 – raspuns amanat
CERERE P.V. >>> INFORMARE IN 30 DE ZILE + MOTIVAM AMANAREA +
MENTIONAM CA POATE DEPUNE PLANGERE LA AUTORITATE SI
INTRODUCE O CALE DE ATAC JUDICIARA >>> RASPUNS IN 90 DE ZILE
CAZUL 3 – cererea este vadit nefondata sau excesiva
Varianta 1 – percepem P.V. o taxa administrativa rezonabila
Varianta 2 – refuzam sa dam curs cererii
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
35
ARTICOLUL 13 - INFORMAȚII CARE SE FURNIZEAZĂ ÎN CAZUL ÎN CARE
DATELE CU CARACTER PERSONAL SUNT COLECTATE DE LA PERSOANA
VIZATĂ
(1) În cazul în care datele cu caracter personal referitoare la o persoană
vizată sunt colectate de la aceasta, operatorul, în momentul obținerii acestor
date cu caracter personal, furnizează persoanei vizate toate informațiile
următoare:
(a) identitatea și datele de contact ale operatorului și, după caz, ale
reprezentantului acestuia;
(b) datele de contact ale responsabilului cu protecția datelor, după caz;
(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și
temeiul juridic al prelucrării;
(d) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera
(f), interesele legitime urmărite de operator sau de o parte terță;
(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
(f) dacă este cazul, intenția operatorului de a transfera date cu caracter
personal către o țară terță sau o organizație internațională și o trimitere la garanțiile
adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora, în
cazul în care acestea au fost puse la dispoziție.
(2) În plus față de informațiile menționate la alineatul (1), în momentul în
care datele cu caracter personal sunt obținute, operatorul furnizează
persoanei vizate următoarele informații suplimentare necesare pentru a
asigura o prelucrare echitabilă și transparentă:
(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă
acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
(b) existența dreptului de a solicita operatorului, în ceea ce privește datele cu
caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea
sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se
opune prelucrării, precum și a dreptului la portabilitatea datelor;
(c) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau
pe articolul 9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul
în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza
consimțământului înainte de retragerea acestuia;
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
36
(d) dreptul de a depune o plângere în fața unei autorități de supraveghere;
(e) dacă furnizarea de date cu caracter personal reprezintă o obligație legală
sau contractuală sau o obligație necesară pentru încheierea unui contract, precum
și dacă persoana vizată este obligată să furnizeze aceste date cu caracter
personal și care sunt eventualele consecințe ale nerespectării acestei obligații;
(f) existența unui proces decizional automatizat incluzând crearea de profiluri,
precum și, cel puțin în cazurile respective, informații pertinente privind logica
utilizată și privind importanța și consecințele preconizate ale unei astfel de
prelucrări pentru persoana vizată.
(3) În cazul în care operatorul intenționează să prelucreze ulterior datele cu
caracter personal într-un alt scop decât cel pentru care acestea au fost colectate,
operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară,
informații privind scopul secundar respectiv și orice informații suplimentare
relevante, în conformitate cu alineatul (2).
Studiu de caz
Precizati momentul si modul in care se efectueaza informarea persoanelor fizice in
toate cele 27 de cazuri din studiul de caz precedent (cel dinaintea art.12).
Exemplu
A se vedea Anexa 3 - MODEL INFORMARE ANGAJATI.
Exemplu
A se vedea si in Anexa 1 pag.1 (in exemplul de la principiul 1)– MODEL INFORMARE CLIENT
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
37
ARTICOLUL 14 - INFORMAȚII CARE SE FURNIZEAZĂ ÎN CAZUL ÎN CARE
DATELE CU CARACTER PERSONAL NU AU FOST OBȚINUTE DE LA
PERSOANA VIZATĂ
(1)În cazul în care datele cu caracter personal nu au fost obținute de la persoana
vizată, operatorul furnizează persoanei vizate următoarele informații:
(a) identitatea și datele de contact ale operatorului și, după caz, ale
reprezentantului acestuia;
(b) datele de contact ale responsabilului cu protecția datelor, după caz;
(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul
juridic al prelucrării;
(d) categoriile de date cu caracter personal vizate;
(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după
caz;
(f) dacă este cazul, intenția operatorului de a transfera date cu caracter personal
către un destinatar dintr-o țară terță sau o organizație internațională și existența
sau absența unei decizii a Comisiei privind caracterul adecvat sau, în cazul
transferurilor menționate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al
doilea paragraf, o trimitere la garanțiile adecvate sau corespunzătoare și la
mijloacele de a obține o copie a acestora, în cazul în care acestea au fost puse la
dispoziție.
(2)Pe lângă informațiile menționate la alineatul (1), operatorul furnizează persoanei
vizate următoarele informații necesare pentru a asigura o prelucrare echitabilă și
transparentă în ceea ce privește persoana vizată:
(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest
lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
(b) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f),
interesele legitime urmărite de operator sau de o parte terță;
(c) existența dreptului de a solicita operatorului, în ceea ce privește datele cu
caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea
sau ștergerea acestora sau restricționarea prelucrării și a dreptului de a se opune
prelucrării, precum și a dreptului la portabilitatea datelor;
(d) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe
articolul 9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
38
orice moment, fără a afecta legalitatea prelucrării efectuate pe baza
consimțământului înainte de retragerea acestuia;
(e) dreptul de a depune o plângere în fața unei autorități de supraveghere;
(f) sursa din care provin datele cu caracter personal și, dacă este cazul, dacă
acestea provin din surse disponibile public;
(g) existența unui proces decizional automatizat incluzând crearea de profiluri,
menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile
respective, informații pertinente privind logica utilizată și privind importanța și
consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.
(3)Operatorul furnizează informațiile menționate la alineatele (1) și (2):
(a) într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu
mai mare de o lună, ținându-se seama de circumstanțele specifice în care sunt
prelucrate datele cu caracter personal;
(b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea
cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată
respectivă; sau
(c) dacă se intenționează divulgarea datelor cu caracter personal către un alt
destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.
(4)În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter
personal într-un alt scop decât cel pentru care acestea au fost obținute, operatorul
furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații
privind scopul secundar respectiv și orice informații suplimentare relevante, în
conformitate cu alineatul (2).
(5)Alineatele (1)-(4) nu se aplică dacă și în măsura în care:
(a) persoana vizată deține deja informațiile;
(b) furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi
disproporționate, în special în cazul prelucrării în scopuri de arhivare în interes
public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice;
(c) obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul
Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care prevede
măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau
(d) în cazul în care datele cu caracter personal trebuie să rămână confidențiale în
temeiul unei obligații statutare de secret profesional reglementate de dreptul
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
39
Uniunii sau de dreptul intern, inclusiv al unei obligații legale de a păstra secretul.
ARTICOLUL 15 - DREPTUL DE ACCES AL PERSOANEI VIZATE
(1) Persoana vizată are dreptul de a obține din partea operatorului o
confirmare că se prelucrează sau nu date cu caracter personal care o privesc
și, în caz afirmativ, acces la datele respective și la următoarele informații:
(a) scopurile prelucrării;
(b) categoriile de date cu caracter personal vizate;
(c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal
le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau
organizații internaționale;
(d) acolo unde este posibil, perioada pentru care se preconizează că vor fi
stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile
utilizate pentru a stabili această perioadă;
(e) existența dreptului de a solicita operatorului rectificarea sau ștergerea
datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter
personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării;
(f) dreptul de a depune o plângere în fața unei autorități de supraveghere;
(g) în cazul în care datele cu caracter personal nu sunt colectate de la
persoana vizată, orice informații disponibile privind sursa acestora;
(h) existența unui proces decizional automatizat incluzând crearea de profiluri,
precum și, cel puțin în cazurile respective, informații pertinente privind logica
utilizată și privind importanța și consecințele preconizate ale unei astfel de
prelucrări pentru persoana vizată.
(2) În cazul în care datele cu caracter personal sunt transferate către o țară terță
sau o organizație internațională, persoana vizată are dreptul să fie informată cu
privire la garanțiile adecvate în temeiul articolului 46 referitoare la transfer.
(3) Operatorul furnizează o copie a datelor cu caracter personal care fac
obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată,
operatorul poate percepe o taxă rezonabilă, bazată pe costurile
administrative. În cazul în care persoana vizată introduce cererea în format
electronic și cu excepția cazului în care persoana vizată solicită un alt format,
informațiile sunt furnizate într-un format electronic utilizat în mod curent.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
40
Exemplu
A se vedea Anexa nr. 4 – model raspuns cerere client
Articolul 16 - Dreptul la rectificare
Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate,
rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se
seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul
de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv
prin furnizarea unei declarații suplimentare.
Observatie
Este necesar ca Departamentul IT sa asigure o procedura de rectificare/modificare
a datelor personale.
Articolul 17 - Dreptul la ștergerea datelor („dreptul de a fi uitat”)
(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea
datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar
operatorul are obligația de a șterge datele cu caracter personal fără întârzieri
nejustificate în cazul în care se aplică unul dintre următoarele motive:
(a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea
scopurilor pentru care au fost colectate sau prelucrate;
(b) persoana vizată își retrage consimțământul pe baza căruia are loc
prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9
alineatul (2) litera (a), și nu există niciun alt temei juridic pentru prelucrare;
(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1)
și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau
persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);
(d) datele cu caracter personal au fost prelucrate ilegal;
(e) datele cu caracter personal trebuie șterse pentru respectarea unei
obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului
intern sub incidența căruia se află operatorul;
(2) În cazul în care operatorul a făcut publice datele cu caracter personal și este
obligat, în temeiul alineatului (1), să le șteargă, operatorul, ținând seama de
tehnologia disponibilă și de costul implementării, ia măsuri rezonabile, inclusiv
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
41
măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter
personal că persoana vizată a solicitat ștergerea de către acești operatori a
oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale
acestor date cu caracter personal.
Observatie
Este necesar ca Departamentul IT sa asigure o procedura de stergere a datelor
personale, tinand cont de prevederile art.17 alin.1.
Observatie referitoare la alin.2
Spre exemplu, o revista on-line R1 publica intr-un articol datele personale ale unei
persoane vizate. Dupa o anumita perioada, revista isi da acordul ca respectivul
articol sa fie preluat de alte doua publicatii on-line (R2 si R3). Persoana vizata
solicita revistei R1 stergerea datelor sale cu caracter personal. In acest caz, R1
trebuie sa informeze R2 si R3 că persoana vizată a solicitat ștergerea datelor sale
de către acești operatori.
Observatie
A se vedea Anexa 8 - CAZUL MARIO COSTEJA GONZÁLEZ VS. GOOGLE SPANIA.
Articolul 18 - Dreptul la restricționarea prelucrării
(1) Persoana vizată are dreptul de a obține din partea operatorului
restricționarea prelucrării în cazul în care se aplică unul din următoarele
cazuri:
(a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi
permite operatorului să verifice exactitatea datelor;
(b) prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu
caracter personal, solicitând în schimb restricționarea utilizării lor;
(c) operatorul nu mai are nevoie de datele cu caracter personal în scopul
prelucrării, dar persoana vizată i le solicită pentru constatarea, exercitarea sau
apărarea unui drept în instanță; sau
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
42
(d) persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul
(1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale
operatorului prevalează asupra celor ale persoanei vizate.
Observatie
Metodele de restricționare a prelucrării de date cu caracter personal ar putea
include, printre altele, mutarea temporară a datelor cu caracter personal
selectate într-un alt sistem de prelucrare, sau anularea accesului utilizatorilor
la datele selectate sau înlăturarea temporară a datelor publicate de pe un
site. În ceea ce privește sistemele automatizate de evidență a datelor,
restricționarea prelucrării ar trebui, în principiu, asigurată prin mijloace tehnice în
așa fel încât datele cu caracter personal să nu facă obiectul unor operațiuni
de prelucrare ulterioară și să nu mai poată fi schimbate. Faptul că prelucrarea
datelor cu caracter personal este restricționată ar trebui indicat în mod clar în
sistem.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
43
Articolul 20- Dreptul la portabilitatea datelor
(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o
privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat
în mod curent și care poate fi citit automat și are dreptul de a transmite
aceste date altui operator, fără obstacole din partea operatorului căruia i-au
fost furnizate datele cu caracter personal, în cazul în care:
(a) prelucrarea se bazează pe consimțământ sau pe un contract și
(b) prelucrarea este efectuată prin mijloace automate
(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1),
persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct
de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere
tehnic.
Observatie:
Portabilitatea datelor presupune, in esenta:
- fie transferul datelor de la operator catre persoana vizata
- fie transferul datelor de la un operator la altul la cererea persoanei vizate,
intr-un format structurat si care poate fi citit automat.
De exemplu, datele se pot transmite sub forma tabelara sau in format .txt (tab
delimited), .csv sau .xml. NU este recomandat in acest caz formatul .pdf!
Observatie
Noul drept la portabilitatea datelor facilitează mutarea, copierea sau
transmiterea cu ușurință a datelor cu caracter personal dintr-un mediu
informatic în altul (în sistemele proprii, în sistemele unor terți de încredere sau în
cele ale unor operatori noi).
Observatie:
Dreptul la portabilitate este aplicabil doar daca:
a) prelucrarea se bazează pe consimțământ sau pe un contract ȘI
(b) prelucrarea este efectuată prin mijloace automate.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
44
Exemplu de date structurate tabelar
nume prenume email oras data
Ionescu George [email protected] B curesti 15.01.2016
Exemplu de date structurate in format txt (tab delimited)
nume prenume email oras data
Ionescu George [email protected] Bucuresti 15.01.2016
Exemplu de date structurate in format csv
nume;prenume;email;oras;data
Ionescu;George;[email protected];Bucuresti;15.01.2016
Exemple de situatii in care ar fi utila portabilitatea datelor pentru persoana vizata:
1. Un istoric al sumelor intrate intr-un cont bancar al unei persoane fizice, necesar
acestei persoane la o alta banca decat cea la care are contul deschis si la care
doreste sa aplice pentru un credit
2. Un istoric medical al unei persoane, care se trimite de la medic la o firma de
asigurari in vederea incheierii unei asigurari de viata
Articolul 21 - Dreptul la opoziție
(1) În orice moment, persoana vizată are dreptul de a se opune, din motive
legate de situația particulară în care se află, prelucrării datelor cu caracter
personal care o privesc, inclusiv creării de profiluri pe baza respectivelor
dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu
excepția cazului în care operatorul demonstrează că are motive legitime și
imperioase care justifică prelucrarea și care prevalează asupra intereselor,
drepturilor și libertăților persoanei vizate sau că scopul este constatarea,
exercitarea sau apărarea unui drept în instanță.
(2) Atunci când prelucrarea datelor cu caracter personal are drept scop
marketingul direct, persoana vizată are dreptul de a se opune în orice
moment prelucrării în acest scop a datelor cu caracter personal care o
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
45
privesc, inclusiv creării de profiluri, în măsura în care este legată de
marketingul direct respectiv.
(3) În cazul în care persoana vizată se opune prelucrării în scopul
marketingului direct, datele cu caracter personal nu mai sunt prelucrate în
acest scop.
Observatie:
Practic, in cazul marketingului direct, in situatia in care persoana se opune,
prelucrarea trebuie sa inceteze imediat (in acest caz, ar fi necesar un link
functional de unsubscribe).
(4) Cel târziu în momentul primei comunicări cu persoana vizată, dreptul
menționat la alineatele (1) și (2) este adus în mod explicit în atenția persoanei
vizate și este prezentat în mod clar și separat de orice alte informații.
(5) În contextal utilizării serviciilor societății informaționale și în pofida Directivei
2002/58/CE, persoana vizată își poate exercita dreptul de a se opune prin mijloace
automate care utilizează specificații tehnice.
Articolul 22 - Procesul decizional individual automatizat, inclusiv crearea de
profiluri
(1) Persoana vizată are dreptul de a nu face obiectul unei decizii bazate
exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce
efecte juridice care privesc persoana vizată sau o afectează în mod similar
într-o măsură semnificativă.
(2) Alineatul (1) nu se aplică în cazul în care decizia:
(a) este necesară pentru încheierea sau executarea unui contract între
persoana vizată și un operator de date;
(b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică
operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru
protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate; sau
(c) are la bază consimțământul explicit al persoanei vizate
Exemplu
Un operator (institutie financiara) utilizează „scorul de credit” pentru a evalua și a
aproba/respinge o cerere de împrumut a unei persoane. Scorul poate fi furnizat de
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
46
o agenție de referință de credit sau calculat direct pe baza informațiilor deținute de
operator.
Indiferent de sursă (și informațiile privind sursa trebuie să fie furnizate persoanei
vizate în conformitate cu articolul 14, în cazul în care datele cu caracter personal
nu au fost obținute de la persoana vizată), atunci cand care operatorul se bazează
pe acest punctaj, trebuie să-i explice și să-i motiveze rezultatul persoanei vizate.
Operatorul explică faptul că acest proces îl ajută să ia decizii corecte și
responsabile privind împrumutul. Acesta oferă detalii despre principalele
caracteristici luate în considerare în luarea deciziei, despre sursa acestor informații
și despre relevanța acestora. Aceasta poate include, de exemplu:
- informațiile furnizate de persoana vizată în formularul de cerere;
- informații despre conduita financiara anterioară a persoanei (eventualele restanțe
la plată);
- informații publice oficiale, cum ar fi informații privind eventualele fraude și
insolvența.
Operatorul informează persoana vizată că metodele de evaluare a creditului
utilizate sunt testate periodic pentru a se asigura că acestea rămân corecte,
eficiente și imparțiale.
Operatorul furnizează datele de contact pentru ca persoana vizată sa poata solicita
reconsiderarea unei eventuale decizii respinse, în conformitate cu dispozițiile
articolului 22.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
47
SECTIUNEA A IV-A
Articolul 24 - Responsabilitatea operatorului
(1) Ținând seama de natura, domeniul de aplicare, contextul și scopurile
prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate
pentru drepturile și libertățile persoanelor fizice, OPERATORUL PUNE ÎN
APLICARE MĂSURI TEHNICE ȘI ORGANIZATORICE ADECVATE PENTRU A
GARANTA ȘI A FI ÎN MĂSURĂ SĂ DEMONSTREZE CĂ PRELUCRAREA SE
EFECTUEAZĂ ÎN CONFORMITATE CU PREZENTUL REGULAMENT.
Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.
(2) Atunci când sunt proporționale în raport cu operațiunile de prelucrare,
măsurile menționate la alineatul (1) includ punerea în aplicare de către
operator a unor politici adecvate de protecție a datelor.
(3) Aderarea la coduri de conduită aprobate, menționate la articolul 40, sau
la un mecanism de certificare aprobat, menționat la articolul 42, poate fi
utilizată ca element care să demonstreze respectarea obligațiilor de către
operator.
Observatie
Articolul 24 prevede obligatia operatorului de a pune în aplicare măsuri tehnice și
organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că
prelucrarea se efectuează în conformitate cu GDPR. Prin urmare, raspunderea
revine operatorului, iar nu DPO-ului.
Articolul 25 - Asigurarea protecției datelor începând cu momentul conceperii
(“privacy by design”) și în mod implicit (“privacy by default”)
(1) Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura,
domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade
diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice
pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor
de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri
tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt
destinate să pună în aplicare în mod eficient principiile de protecție a datelor,
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
48
precum reducerea la minimum a datelor, și să integreze garanțiile necesare
în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a
proteja drepturile persoanelor vizate.
(2) Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate
pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter
personal care sunt necesare pentru fiecare scop specific al prelucrării.
Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a
acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri
asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără
intervenția persoanei, de un număr nelimitat de persoane.
(3) Un mecanism de certificare aprobat în conformitate cu articolul 42 poate fi
utilizat drept element care să demonstreze îndeplinirea cerințelor prevăzute la
alineatele (1) și (2) ale prezentului articol.
Observatie
Conceptul de “privacy by design” are in vedere “asigurarea protecției datelor
începând cu momentul conceperii” sistemului de prelucrare. Altfel spus, un
sistem nou trebuie proiectat si conceput tinand cont de cerintele GDPR privind
protectia datelor. Acest lucru inseamna, de exemplu:
- o analiza initiala a proceselor de prelucrare
- masuri de confidentialitate (parolare, fise de post pentru angajati, etc)
- reducerea la minimum a datelor prelucrate
- stabilirea unei perioade limitate de stocare a datelor
- posibilitatea de renuntare automata (unsubscribe simplu si usor)
- criptarea/pseudonimizarea datelor
- acces limitat la date, etc
Observatie
Conceptul de “privacy by default” implica, intre altele, faptul ca un sistem de
prelucrare a datelor proiectat, conceput si utilizat inaintea intrarii GDPR in vigoare
trebuie updatat astfel incat sa respecte GDPR in privinta drepturilor persoanelor
vizate/obligatiilor utilizatorului sistemului.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
49
ARTICOLUL 26 OPERATORI ASOCIAȚI
(1)În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și
mijloacele de prelucrare, aceștia sunt operatori asociați. Ei stabilesc într-un mod
transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor
care le revin în temeiul prezentului regulament, în special în ceea ce privește
exercitarea drepturilor persoanelor vizate și îndatoririle fiecăruia de furnizare a
informațiilor prevăzute la articolele 13 și 14, prin intermediul unui acord între ei, cu
excepția cazului și în măsura în care responsabilitățile operatorilor sunt stabilite în
dreptul Uniunii sau în dreptul intern care se aplică acestora. Acordul poate să
desemneze un punct de contact pentru persoanele vizate.
(2)Acordul menționat la alineatul (1) reflectă în mod adecvat rolurile și raporturile
respective ale operatorilor asociați față de persoanele vizate. Esența acestui acord
este făcută cunoscută persoanei vizate.
(3)Indiferent de clauzele acordului menționat la alineatul (1), persoana vizată își
poate exercita drepturile în temeiul prezentului regulament cu privire la și în
raport cu fiecare dintre operatori.
Observatii Pentru a clarifica incadrarea ca “operator” sau “operator asociat”, dam urmatoarele
exemple:
Exemplu (1)
O agenție de turism transmite datele personale ale clienților săi unor linii aeriene și
lanțuri hoteliere, în vederea efectuării unor rezervări pentru un pachet de călătorie.
Linia aeriană și hotelul confirmă disponibilitatea locurilor și camerelor solicitate.
Agenția de turism emite documentele de călătorie și cupoanele pentru clienții săi.
În acest caz, agenția de turism, linia aeriană și hotelul vor fi trei operatori de date
distincți, fiecare dintre aceștia având obligații privind protecția datelor în legătură cu
propriile procese de prelucrare.
Altfel spus, fiecare entitate implicata stabileste propriile scopuri si mijloace de
prelucrare.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
50
Exemplu (2)
Agenția de turism, lanțul hotelier și linia aeriană decid să creeze un portal web
pentru a-și îmbunătăți cooperarea cu privire la procesul de rezervare a călătoriilor.
Acestea convin asupra elementelor importante ale mijloacelor care vor fi utilizate,
cum ar fi datele care vor fi stocate, modul în care vor fi alocate și confirmate
rezervările și persoanele care pot avea acces la informațiile stocate. În plus,
acestea decid să utilizeze în comun datele privind clienții lor, în vederea realizării
unor acțiuni de marketing integrate.
În acest caz, agenția de turism, linia aeriană și lanțul hotelier vor controla în
comun modul în care sunt prelucrate datele personale ale clienților lor și vor
avea astfel rolul de operatori asociați în ceea ce privește operațiunile de
prelucrare în legătură cu platforma comună de rezervări prin internet. Totuși,
fiecare va deține controlul exclusiv în ceea ce privește alte activități de prelucrare,
de exemplu cele legate de managementul resurselor umane.
Exemplu (3)
O companie angajeaza un salariat cu CIM si apeleaza la o firma de medicina
muncii in scopul efectuarii examenului de medicina muncii specific pentru postul
respectiv.
Compania angajatoare, respectiv firma de medicina muncii :
a. sunt operatori distincti
b. compania angajatoare este operator, iar firma de medicina muncii este
imputernicit
c. compania angajatoare si firma de medicina muncii sunt operatori asociati
Justificati raspunsul dvs.
Articolul 28 - Persoana împuternicită de operator
(1) În cazul în care prelucrarea urmează să fie realizată în numele unui
operator, operatorul recurge doar la persoane împuternicite care oferă
garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și
organizatorice adecvate, astfel încât prelucrarea să respecte cerințele
prevăzute în prezentul regulament și să asigure protecția drepturilor
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
51
persoanei vizate.
(2) Persoana împuternicită de operator nu recrutează o altă persoană
împuternicită de operator fără a primi în prealabil o autorizație scrisă,
specifică sau generală, din partea operatorului. În cazul unei autorizații
generale scrise, persoana împuternicită de operator informează operatorul cu
privire la orice modificări preconizate privind adăugarea sau înlocuirea altor
persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a
formula obiecții față de aceste modificări.
(3) Prelucrarea de către o persoană împuternicită de un operator este
reglementată printr-un contract sau alt act juridic în temeiul dreptului Uniunii
sau al dreptului intern care are caracter obligatoriu pentru persoana
împuternicită de operator în raport cu operatorul și care stabilește obiectul și
durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și
categoriile de persoane vizate și obligațiile și drepturile operatorului. Respectivul
contract sau act juridic prevede în special că persoană împuternicită de
operator:
(a) prelucrează datele cu caracter personal numai pe baza unor
instrucțiuni documentate din partea operatorului, inclusiv în ceea ce privește
transferurile de date cu caracter personal către o țară terță sau o organizație
internațională, cu excepția cazului în care această obligație îi revine persoanei
împuternicite în temeiul dreptului Uniunii sau al dreptului intern care i se aplică; în
acest caz, notifică această obligație juridică operatorului înainte de prelucrare, cu
excepția cazului în care dreptul respectiv interzice o astfel de notificare din motive
importante legate de interesul public;
(b) se asigură că persoanele autorizate să prelucreze datele cu caracter
personal s-au angajat să respecte confidențialitatea sau au o obligație
statutară adecvată de confidențialitate;
(c) adoptă toate măsurile necesare în conformitate cu articolul 32;
(d) respectă condițiile menționate la alineatele (2) și (4) privind recrutarea unei
alte persoane împuternicite de operator;
(e) ținând seama de natura prelucrării, oferă asistență operatorului prin măsuri
tehnice și organizatorice adecvate, în măsura în care acest lucru este posibil,
pentru îndeplinirea obligației operatorului de a răspunde cererilor privind
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
52
exercitarea de către persoana vizată a drepturilor prevăzute în capitolul III;
(f) ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele
32-36, ținând seama de caracterul prelucrării și informațiile aflate la dispoziția
persoanei împuternicite de operator;
(g) la alegerea operatorului, șterge sau returnează operatorului toate
datele cu caracter personal după încetarea furnizării serviciilor legate de
prelucrare și elimină copiile existente, cu excepția cazului în care dreptul Uniunii
sau dreptul intern impune stocarea datelor cu caracter personal;
(h) pune la dispoziția operatorului toate informațiile necesare pentru a
demonstra respectarea obligațiilor prevăzute la prezentul articol, permite
desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt
auditor mandatat și contribuie la acestea.
În ceea ce privește primul paragraf litera (h), persoana împuternicită de operator
informează imediat operatorul în cazul în care, în opinia sa, o instrucțiune încalcă
prezentul regulament sau alte dispoziții din dreptul intern sau din dreptul Uniunii
referitoare la protecția datelor.
(5) Aderarea persoanei împuternicite de operator la un cod de conduită
aprobat, menționat la articolul 40, sau la un mecanism de certificare aprobat,
menționat la articolul 42, poate fi utilizată ca element prin care să se
demonstreze existența garanțiilor suficiente menționate la alineatele (1) și (4)
din prezentul articol.
Observatie
Practic, acest lucru presupune includerea unor clauze privind protectia datelor
personale in contractile incheiate intre Operator si Imputernicit.
In cazul in care contractul a fost incheiat inainte de intrarea in vigoare a GDPR, e
necesara incheierea unui act aditional la contract. In contract (sau in actul
aditional) sunt necesare clauze asiguratorii care sa acopere prevederile art.28.
Nota: a se vedea Anexa nr. 5 - clauze contractuale intre Operator si Imputernicit.
Observatie (2)
GDPR nu precizeaza daca demersurile pentru incheierea clauzelor contractuale
sunt initiate de operator sau de imputernicit.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
53
In aceste conditii, este necesar sa verificam existenta unor asemenea clauze
contractuale in relatia cu toti operatorii/imputernicitii, indiferent in ce postura ne
aflam. Spre exemplu, in relatia cu proprii angajati suntem operator, insa in situatia
in care prestam servicii care presupun prelucrarea datelor pentru angajatii unei alte
companii, atunci suntem imputerniciti.
Articolul 30 - Evidențele activităților de prelucrare
(1) Fiecare operator și, după caz, reprezentantul acestuia păstrează o
evidență a activităților de prelucrare desfășurate sub responsabilitatea lor.
Respectiva evidență cuprinde toate următoarele informații:
(a) numele și datele de contact ale operatorului și, după caz, ale
operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu
protecția datelor;
(b) scopurile prelucrării;
(c) o descriere a categoriilor de persoane vizate și a categoriilor de date
cu caracter personal;
(d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu
caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
(e) dacă este cazul, transferurile de date cu caracter personal către o țară
terță sau o organizație internațională, inclusiv identificarea țării terțe sau a
organizației internaționale respective și, în cazul transferurilor menționate la
articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește existența
unor garanții adecvate;
(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea
diferitelor categorii de date;
(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și
organizatorice de securitate menționate la articolul 32 alineatul (1).
Observaţie:
Va rog sa consultati fisierul-suport numit
Evidenta-activitati-prelucrare-1-PT.OPERATOR.xls
(care va trebui adaptat la specificul activitatii companiei dvs.)
(2) Fiecare persoană împuternicită de operator şi, după caz, reprezentantul
persoanei împuternicite de operator păstrează o evidenţă a tuturor categoriilor
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
54
de activităţi de prelucrare desfăşurate în numele operatorului, care cuprind:
(a) numele și datele de contact ale persoanei sau persoanelor
împuternicite de operator și ale fiecărui operator în numele căruia acționează
această persoană (aceste persoane), precum și ale reprezentantului operatorului
sau al persoanei împuternicite de operator, după caz;
(b) categoriile de activități de prelucrare desfășurate în numele fiecărui
operator;
(c) dacă este cazul, transferurile de date cu caracter personal către o țară
terță sau o organizație internațională, inclusiv identificarea țării terțe sau a
organizației internaționale respective și, în cazul transferurilor prevăzute la articolul
49 alineatul (1) al doilea paragraf, documentația care dovedește existența unor
garanții adecvate;
(d) acolo unde este posibil, o descriere generală a măsurilor tehnice și
organizatorice de securitate menționate la articolul 32 alineatul (1).
(3) Evidențele menționate la alineatele (1) și (2) se formulează în scris,
inclusiv în format electronic.
(4) Operatorul sau persoana împuternicită de acesta, precum și, după caz,
reprezentantul operatorului sau al persoanei împuternicite de operator pun
evidențele la dispoziția autorității de supraveghere, la cererea acesteia.
Observaţie:
Va rog sa consultati fisierul-suport numit
Evidenta-activitati-prelucrare-2-PT.IMPUTERNICIT.xls
(care va trebui adaptat la specificul activitatii companiei dvs.)
(5) Obligațiile menționate la alineatele 1 și 2 nu se aplică unei întreprinderi sau
organizații cu mai puțin de 250 de angajați, cu excepția cazului în care prelucrarea
pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și
libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea
include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1),
sau date cu caracter personal referitoare la condamnări penale și infracțiuni.
Explicatie
Alin.5 prevede exceptii de la obligatia de a tine registrele dacă organizația are mai
puțin de 250 de angajați, in anumite conditii; insa, daca prelucrarea:
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
55
- este susceptibilă să genereze risc sau
- nu este ocazională sau
- include categorii speciale de date sau
- include date cu caracter personal referitoare la condamnări penale și infracțiuni,
atunci evidența activităților de prelucrare este obligatorie.
Articolul 31 - Cooperarea cu autoritatea de supraveghere
Operatorul și persoana împuternicită de operator și, după caz, reprezentantul
acestora cooperează, la cerere, cu autoritatea de supraveghere în îndeplinirea
sarcinilor lor.
Articolul 32 - Securitatea prelucrării
(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura,
domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite
grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice,
operatorul și persoana împuternicită de acesta implementează măsuri
tehnice și organizatorice adecvate în vederea asigurării unui nivel de
securitate corespunzător acestui risc, incluzând printre altele, după caz:
(a) pseudonimizarea și criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confidențialitatea, integritatea,
disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și
accesul la acestea în timp util în cazul în care are loc un incident de natură fizică
sau tehnică;
(d) un proces pentru testarea, evaluarea și aprecierea periodice ale
eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea
prelucrării.
(2) La evaluarea nivelului adecvat de securitate, se ține seama în special de
riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal,
de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul
neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un
alt mod.
(3) Aderarea la un cod de conduită aprobat, menționat la articolul 40, sau la
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
56
un mecanism de certificare aprobat, menționat la articolul 42, poate fi utilizată
ca element prin care să se demonstreze îndeplinirea cerințelor prevăzute la
alineatul (1) din prezentul articol.
(4) Operatorul și persoana împuternicită de acesta iau măsuri pentru a
asigura faptul că orice persoană fizică care acționează sub autoritatea
operatorului sau a persoanei împuternicite de operator și care are acces la
date cu caracter personal nu le prelucrează decât la cererea operatorului, cu
excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau
al dreptului intern.
Observatie
A se consulta fiserele: Anexa-HR-acord de confidentialitate angajati, respectiv
Anexa-HR-cu prevederi GDPR necesare in regulamentul intern
Articolul 33 - Notificarea autorității de supraveghere în cazul încălcării
securității datelor cu caracter personal
(1) În cazul în care are loc o încălcare a securității datelor cu caracter
personal, operatorul notifică acest lucru autorității de supraveghere
competente fără întârzieri nejustificate și, dacă este posibil, în termen de cel
mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția
cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile
persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore,
aceasta este însoțită de o explicație motivată.
(2) Persoana împuternicită de operator înștiințează operatorul fără întârzieri
nejustificate după ce ia cunoștință de o încălcare a securității datelor cu
caracter personal.
(3) Notificarea menționată la alineatul (1) cel puțin:
(a) descrie caracterul încălcării securității datelor cu caracter personal,
inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor
vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de
date cu caracter personal în cauză;
(b) comunică numele și datele de contact ale responsabilului cu protecția
datelor sau un alt punct de contact de unde se pot obține mai multe informații;
(c) descrie consecințele probabile ale încălcării securității datelor cu
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
57
caracter personal;
(d) descrie măsurile luate sau propuse spre a fi luate de operator pentru a
remedia problema încălcării securității datelor cu caracter personal, inclusiv,
după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
(5) Operatorul păstrează documente referitoare la toate cazurile de încălcare a
securității datelor cu caracter personal, care cuprind o descriere a situației de fapt
în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor
acesteia și a măsurilor de remediere întreprinse. Această documentație permite
autorității de supraveghere să verifice conformitatea cu prezentul articol.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
58
Articolul 34 - Informarea persoanei vizate cu privire la încălcarea securității
datelor cu caracter personal
(1) În cazul în care încălcarea securității datelor cu caracter personal este
susceptibilă să genereze un risc ridicat pentru drepturile și libertățile
persoanelor fizice, operatorul informează persoana vizată fără întârzieri
nejustificate cu privire la această încălcare.
(2) În informarea transmisă persoanei vizate prevăzută la alineatul (1) din
prezentul articol se include o descriere într-un limbaj clar și simplu a caracterului
încălcării securității datelor cu caracter personal, precum și cel puțin informațiile și
măsurile menționate la articolul 33 alineatul (3) literele (b), (c) și (d).
(3) Informarea persoanei vizate menționată la alineatul (1) nu este necesară
în cazul în care oricare dintre următoarele condiții este îndeplinită:
(a) operatorul a implementat măsuri de protecție tehnice și organizatorice
adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal
afectate de încălcarea securității datelor cu caracter personal, în special măsuri
prin care se asigură că datele cu caracter personal devin neinteligibile oricărei
persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
(b) operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat
pentru drepturile și libertățile persoanelor vizate menționat la alineatul (1) nu mai
este susceptibil să se materializeze;
(c) ar necesita un efort disproporționat. În această situație, se efectuează în
loc o informare publică sau se ia o măsură similară prin care persoanele vizate
sunt informate într-un mod la fel de eficace.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
59
ARTICOLUL 37 - DESEMNAREA RESPONSABILULUI CU PROTECȚIA
DATELOR (in engleza “DATA PROTECTION OFFICER” – DPO)
(1) Operatorul și persoana împuternicită de operator desemnează un
responsabil cu protecția datelor ori de câte ori:
(a) prelucrarea este efectuată de o autoritate sau un organism public, cu
excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
(b) activitățile principale ale operatorului sau ale persoanei împuternicite
de operator constau în operațiuni de prelucrare care, prin natura, domeniul
de aplicare și/sau scopurile lor, necesită o monitorizare periodică și
sistematică a persoanelor vizate pe scară largă; sau
(c) activitățile principale ale operatorului sau ale persoanei împuternicite
de operator constau în prelucrarea pe scară largă a unor categorii speciale
de date, menționată la articolul 9, sau a unor date cu caracter personal
privind condamnări penale și infracțiuni
(2) Un grup de întreprinderi poate numi un responsabil cu protecția datelor unic,
cu condiția ca responsabilul cu protecția datelor să fie ușor accesibil din fiecare
întreprindere.
(5) Responsabilul cu protecția datelor este desemnat pe baza CALITĂȚILOR
PROFESIONALE și, în special, a CUNOȘTINȚELOR DE SPECIALITATE în
dreptul și practicile din domeniul protecției datelor, precum și pe baza
CAPACITĂȚII DE A ÎNDEPLINI SARCINILE prevăzute la articolul 39.
Observatie: Regulamentul impune ca DPO-ul sa aiba:
- CALITĂȚI profesionale
- CUNOȘTINȚE de specialitate
- CAPACITATEA de a îndeplini sarcinile
(aceste cerinte s-ar putea numi “regula celor 3C” ).
GDPR NU prevede niciun fel de certificare pentru DPO.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
60
(6) Responsabilul cu protecția datelor poate fi un membru al personalului
operatorului sau persoanei împuternicite de operator sau poate să își
îndeplinească sarcinile în baza unui contract de servicii.
(7) Operatorul sau persoana împuternicită de operator publică datele de
contact ale responsabilului cu protecția datelor și le comunică autorității de
supraveghere.
Articolul 38 - Funcția responsabilului cu protecția datelor
(1) Operatorul și persoana împuternicită de operator se asigură că
responsabilul cu protecția datelor este implicat în mod corespunzător și în
timp util în toate aspectele legate de protecția datelor cu caracter personal.
(2) Operatorul și persoana împuternicită de operator sprijină responsabilul
cu protecția datelor în îndeplinirea sarcinilor menționate la articolul 39,
asigurându-i resursele necesare pentru executarea acestor sarcini, precum și
accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și
pentru menținerea cunoștințelor sale de specialitate.
(3) Operatorul și persoana împuternicită de operator se asigură că
responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în
ceea ce privește îndeplinirea acestor sarcini. ACESTA NU ESTE DEMIS SAU
SANCȚIONAT DE CĂTRE OPERATOR SAU DE PERSOANA ÎMPUTERNICITĂ
DE OPERATOR PENTRU ÎNDEPLINIREA SARCINILOR SALE. Responsabilul cu
protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii
operatorului sau persoanei împuternicite de operator.
(4) Persoanele vizate pot contacta responsabilul cu protecția datelor cu privire la
toate chestiunile legate de prelucrarea datelor lor și la exercitarea drepturilor lor în
temeiul prezentului regulament.
(5) Responsabilul cu protecția datelor are obligația de a respecta secretul sau
confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu
dreptul Uniunii sau cu dreptul intern.
(6) Responsabilul cu protecția datelor poate îndeplini și alte sarcini și
atribuții. Operatorul sau persoana împuternicită de operator se asigură că
niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
61
Observatie
Aceasta presupune, în mod specific, faptul că DPO nu poate deține o funcție în
cadrul organizației, prin care să stabilească scopurile și mijloacele de prelucrare a
datelor cu caracter personal. Datorită organigramei specifice din cadrul fiecărei
organizații, acest aspect trebuie să fie analizat de la caz la caz. Ca regulă
generală, printre funcțiile contradictorii din cadrul organizației se pot include
funcțiile personalului de conducere de nivel superior (precum funcția de director
general, de director general administrativ, de director financiar, de medic primar, de
șef al departamentului de marketing, de șef al serviciului de resurse umane sau de
șef al departamentelor IT), însă și alte roluri de rang inferior în organigramă dacă
astfel de poziții sau roluri conduc la stabilirea scopurilor și a mijloacelor de
prelucrare. În plus, ar putea să apară un conflict de interese, spre exemplu, și dacă
i se solicită unui DPO de la nivel extern să reprezinte operatorul sau persoana
împuternicită de către operator în instanță în cauze care implică probleme legate
de protecția datelor.
În funcție de activitățile, dimensiunea și structura organizației, următoarele pot fi
considerate bune practici pentru operatori sau persoanele împuternicite de către
operatori:
- identificarea de funcții care să fie incompatibile cu funcția DPO
- elaborarea de norme interne în acest sens pentru a se evita conflictele de
interese
- includerea unei explicații mai generale cu privire la conflictele de interese
- declararea faptului că DPO din cadrul organizației lor nu are niciun conflict de
interese în ceea ce privește funcția sa de DPO, ca mijloc de sensibilizare cu privire
la această cerință
- includerea de garanții în normele interne ale organizației și asigurarea faptului că
anunțul de post vacant pentru postul de DPO sau contractul de prestări servicii
este suficient de precis și de detaliat pentru a evita un conflict de interese. În acest
context, ar trebui să se rețină, de asemenea, faptul că ar putea exista diferite forme
ale conflictelor de interese în funcție de faptul dacă DPO este recrutat pe plan
intern sau extern.
Articolul 39 - Sarcinile responsabilului cu protecția datelor
(1) Responsabilul cu protecția datelor are cel puțin următoarele sarcini:
(a) informarea și consilierea operatorului, sau a persoanei împuternicite
de operator, precum și a angajaților care se ocupă de prelucrare cu privire la
obligațiile care le revin în temeiul prezentului regulament și al altor dispoziții de
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
62
drept al Uniunii sau drept intern referitoare la protecția datelor;
(b) monitorizarea respectării prezentului regulament, a altor dispoziții de
drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor
operatorului sau ale persoanei împuternicite de operator în ceea ce privește
protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și
acțiunile de sensibilizare și de formare a personalului implicat în operațiunile
de prelucrare, precum și auditurile aferente;
(c) furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului
asupra protecției datelor și monitorizarea funcționării acesteia;
(d) cooperarea cu autoritatea de supraveghere;
(e) asumarea rolului de punct de contact pentru autoritatea de
supraveghere privind aspectele legate de prelucrare, inclusiv consultarea
prealabilă menționată la articolul 36, precum și, dacă este cazul, consultarea cu
privire la orice altă chestiune.
(2) În îndeplinirea sarcinilor sale, responsabilul cu protecția datelor ține seama în
mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în
considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.
Nota
A se vedea si fisierul-suport WP29-DPO.pdf si Anexa 6 – Fisa postului pentru DPO
Articolul 40 - Coduri de conduită
(1) Statele membre, autoritățile de supraveghere, comitetul și Comisia
încurajează elaborarea de coduri de conduită menite să contribuie la buna
aplicare a prezentului regulament, ținând seama de caracteristicile specifice ale
diverselor sectoare de prelucrare și de nevoile specifice ale microîntreprinderilor
și ale întreprinderilor mici și mijlocii.
Articolul 42 - Certificare
(1) Statele membre, autoritățile de supraveghere, comitetul și Comisia
încurajează, în special la nivelul Uniunii, instituirea de mecanisme de
certificare în domeniul protecției datelor, precum și de sigilii și mărci în acest
domeniu, care să permită demonstrarea faptului că operațiunile de prelucrare
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
63
efectuate de operatori și de persoanele împuternicite de operatori respectă
prezentul regulament. Sunt luate în considerare necesitățile specifice ale
microîntreprinderilor și ale întreprinderilor mici și mijlocii.
(2) Mecanismele de certificare din domeniul protecției datelor, sigiliile sau
mărcile aprobate în temeiul alineatului (5) din prezentul articol sunt instituite nu
numai pentru a fi respectate de operatorii sau de persoanele împuternicite de
operatori care fac obiectul prezentului regulament, ci și pentru a demonstra
existența unor garanții adecvate oferite de operatorii sau de persoanele
împuternicite de operatori care nu fac obiectul prezentului regulament, în
temeiul articolului 3, în cadrul transferurilor de date cu caracter personal către țări
terțe sau organizații internaționale.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
64
SECTIUNEA a VI-a
TRANSFERURILE DE DATE CU CARACTER PERSONAL CĂTRE
ȚĂRI TERȚE SAU ORGANIZAȚII INTERNAȚIONALE
Articolul 44 - Principiul general al transferurilor
Orice date cu caracter personal care fac obiectul prelucrării sau care
urmează a fi prelucrate după ce sunt transferate într-o țară terță sau către o
organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte
dispoziții ale prezentului regulament, condițiile prevăzute în prezentul capitol
sunt respectate de operator și de persoana împuternicită de operator, inclusiv
în ceea ce privește transferurile ulterioare de date cu caracter personal din țara
terță sau de la organizația internațională către o altă țară terță sau către o altă
organizație internațională. Toate dispozițiile din prezentul capitol se aplică
pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin
prezentul regulament nu este subminat.
Articolul 45 - Transferuri în temeiul unei decizii privind caracterul adecvat al
nivelului de protecție
(1) Transferul de date cu caracter personal către o țară terță sau o organizație
internațională se poate realiza atunci când Comisia a decis că țara terță, un
teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau
organizația internațională în cauză asigură un nivel de protecție adecvat.
Transferurile realizate în aceste condiții nu necesită autorizări speciale.
Observatie
Comisia Europeana recunoaste un nivel de protectie adecvat pentru:
- cele 28 de tari din UE
- tarile din Spatiul Economic European (Islanda, Lichtenstein si Norvegia)
- tarile din urmatoarea lista: Andorra, Argentina, Canada (organizatii comerciale),
Elvetia, Insulele Feroe, Guernsey, Israel, Insula Man, Japonia, Jersey, Uruguay,
Noua Zeelanda.
Sunt in desfasurare discutii cu Coreea de Sud.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
65
Articolul 46 - Transferuri în baza unor garanții adecvate
(1) Operatorul sau persoana împuternicită de operator poate transfera date
cu caracter personal către o țară terță sau o organizație internațională numai
dacă operatorul sau persoana împuternicită de operator a oferit garanții
adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente
pentru persoanele vizate.
(2) Garanțiile adecvate menționate la alineatul 1 pot fi furnizate fără să fie nevoie
de nicio autorizație specifică din partea unei autorități de supraveghere, prin:
(a) un instrument obligatoriu din punct de vedere juridic și executoriu între
autoritățile sau organismele publice;
(b) reguli corporatiste obligatorii în conformitate cu articolul 47;
(c) clauze standard de protecție a datelor adoptate de Comisie
Observatie:
A se vedea Anexa7-clauze-contractuale-tip-pt-transfer-in-tari-terte.
(d) clauze standard de protecție a datelor adoptate de o autoritate de
supraveghere și aprobate de Comisie;
(e) un cod de conduită aprobat în conformitate cu articolul 40, însoțit de un
angajament obligatoriu și executoriu din partea operatorului sau a persoanei
împuternicite de operator din țara terță de a aplica garanții adecvate, inclusiv cu
privire la drepturile persoanelor vizate; sau
(f) un mecanism de certificare aprobat în conformitate cu articolul 42, însoțit
de un angajament obligatoriu și executoriu din partea operatorului sau a persoanei
împuternicite de operator din țara terță de a aplica garanții adecvate, inclusiv cu
privire la drepturile persoanelor vizate.
(3) Sub rezerva autorizării din partea autorității de supraveghere
competente, garanțiile adecvate menționate la alineatul (1) pot fi furnizate de
asemenea, în special, prin:
(a) clauze contractuale între operator sau persoana împuternicită de
operator și operatorul, persoana împuternicită de operator sau destinatarul
datelor cu caracter personal din țara terță sau organizația internațională; sau
(b) dispoziții care urmează să fie incluse în acordurile administrative dintre
autoritățile sau organismele publice, care includ drepturi opozabile și efective
pentru persoanele vizate.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
66
Articolul 47 - Reguli corporatiste obligatorii (in engleza “binding corporate
rules” - BCR)
(1) Autoritatea de supraveghere competentă aprobă reguli corporatiste
obligatorii, cu condiția ca acestea:
(a) să fie obligatorii din punct de vedere juridic și să se aplice fiecărui
membru vizat al grupului de întreprinderi sau al grupului de întreprinderi
implicate într-o activitate economică comună, inclusiv angajaților acestuia, precum
și să fie puse în aplicare de membrii în cauză;
(b) să confere, în mod expres, drepturi opozabile persoanelor vizate în ceea ce
privește prelucrarea datelor lor cu caracter personal.
Studiu de caz privind transferul intr-o tara terta
O agentie de turism (persoana juridica romana) ofera servicii turistice
(transport+cazare) unui grup de 100 de persoane (dintre care 75 cetateni romani,
20 cetateni din alte state din UE si 5 cetateni din tari din afara UE). Respectivul
grup de persoane va face deplasarea pe ruta Bucuresti-Istanbul, astfel:
- 30 de persoane se vor deplasa cu autocarul, serviciul de transport fiind
asigurat de o firma de transport cu sediul in Turcia
- 70 de persoane se vor deplasa cu avionul, serviciul de transport fiind
asigurat de o companie de transport aerian cu sediul in Turcia
- 60 de persoane vor fi cazate la Hotelul X de 4* din Turcia (apartinand unei
companii cu sediul in Turcia)
- 40 de persoane vor fi cazate la Hotelul Y de 3* din Turcia (apartinand unei
companii cu sediul in Turcia)
Analizati existenta garantiilor adecvate pentru transferul datelor personale ale
persoanelor fizice din grup.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
67
Articolul 49 Derogări pentru situații specifice
(1) În absența unei decizii privind caracterul adecvat al nivelului de protecție
în conformitate cu articolul 45 alineatul (3) sau a unor garanții adecvate în
conformitate cu articolul 46, inclusiv a regulilor corporatiste obligatorii, un transfer
sau un set de transferuri de date cu caracter personal către o țară terță sau o
organizație internațională poate avea loc numai în una dintre condițiile
următoare:
(a) persoana vizată și-a exprimat în mod explicit acordul cu privire la
transferul propus, după ce a fost informată asupra posibilelor riscuri pe care
astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei
decizii privind caracterul adecvat al nivelului de protecție și a unor garanții
adecvate;
(b) transferul este necesar pentru executarea unui contract între persoana
vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate
la cererea persoanei vizate;
(c) transferul este necesar pentru încheierea unui contract sau pentru
executarea unui contract încheiat în interesul persoanei vizate între operator
și o altă persoană fizică sau juridică;
(d) transferul este necesar din considerente importante de interes public;
(e) transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în
instanță;
(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate
sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau
juridică de a-și exprima acordul;
(g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al
dreptului intern, are scopul de a furniza informații publicului și care poate fi
consultat fie de public în general, fie de orice persoană care poate face dovada
unui interes legitim, dar numai în măsura în care sunt îndeplinite condițiile cu
privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz
specific.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
68
SECTIUNEA a VIII-a
CĂI DE ATAC, RĂSPUNDERI ŞI SANCŢIUNI.
Articolul 77 - Dreptul de a depune o plângere la o autoritate de supraveghere
(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare,
orice persoană vizată are dreptul de a depune o plângere la o autoritate de
supraveghere, în special în statul membru în care își are reședința obișnuită, în
care se află locul său de muncă sau în care a avut loc presupusa încălcare, în
cazul în care consideră că prelucrarea datelor cu caracter personal care o
vizează încalcă prezentul regulament.
(2) Autoritatea de supraveghere la care s-a depus plângerea informează
reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de a
exercita o cale de atac judiciară în temeiul articolului 78.
Articolul 78 - Dreptul la o cale de atac judiciară eficientă împotriva unei
autorități de supraveghere
(1) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare,
fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac
judiciară eficientă împotriva unei decizii obligatorii din punct de vedere
juridic a unei autorități de supraveghere care o vizează.
Articolul 79 - Dreptul la o cale de atac judiciară eficientă împotriva unui
operator sau unei persoane împuternicite de operator
(1) Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare
disponibile, inclusiv dreptului de a depune o plângere la o autoritate de
supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a
exercita o cale de atac judiciară eficientă în cazul în care consideră că
drepturile de care beneficiază în temeiul prezentului regulament au fost
încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se
respecta prezentul regulament.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
69
Articolul 82 - Dreptul la despăgubiri și răspunderea
(1) Orice persoană care a suferit un prejudiciu material sau moral ca urmare
a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de
la operator sau de la persoana împuternicită de operator pentru prejudiciul
suferit.
(2) Orice operator implicat în operațiunile de prelucrare este răspunzător
pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă
prezentul regulament. Persoana împuternicită de operator este răspunzătoare
pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat
obligațiile din prezentul regulament care revin în mod specific persoanelor
împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile
legale ale operatorului.
(3) Operatorul sau persoana împuternicită de operator este exonerat(ă) de
răspundere în temeiul alineatului (2) dacă dovedește că nu este răspunzător
(răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.
Articolul 83 - Condiții generale pentru impunerea amenzilor administrative
(1) Fiecare autoritate de supraveghere asigură faptul că impunerea unor
amenzi administrative în conformitate cu prezentul articol pentru încălcările
prezentului regulament menționate la alineatele (4), (5) și, (6) este, ÎN FIECARE
CAZ, EFICACE, PROPORȚIONALĂ ȘI DISUASIVĂ.
(2) În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt
impuse în completarea sau în locul măsurilor menționate la articolul 58 alineatul (2)
literele (a)-(h) și (j). Atunci când se ia decizia dacă să se impună o amendă
administrativă și decizia cu privire la valoarea amenzii administrative în
fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:
(a) natura, gravitatea și durata încălcării, ținându-se seama de natura,
domeniul de aplicare sau scopul prelucrării în cauză, precum și de numărul
persoanelor vizate afectate și de nivelul prejudiciilor suferite de acestea;
(b) dacă încălcarea a fost comisă intenționat sau din neglijență;
(c) orice acțiuni întreprinse de operator sau de persoana împuternicită de
operator pentru a reduce prejudiciul suferit de persoana vizată;
(d) gradul de responsabilitate al operatorului sau al persoanei împuternicite de
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
70
operator ținându-se seama de măsurile tehnice și organizatorice implementate de
aceștia;
(e) eventualele încălcări anterioare relevante comise de operator sau de
persoana împuternicită de operator;
(f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia
încălcarea și a atenua posibilele efecte negative ale încălcării;
(g) categoriile de date cu caracter personal afectate de încălcare;
(h) modul în care încălcarea a fost adusă la cunoștința autorității de
supraveghere, în special dacă și în ce măsură operatorul sau persoana
împuternicită de operator a notificat încălcarea;
(j) aderarea la coduri de conduită aprobate, în conformitate cu articolul
40, sau la mecanisme de certificare aprobate, în conformitate cu articolul 42;
(k) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului,
cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau
indirect de pe urma încălcării.
(3) În cazul în care un operator sau o persoană împuternicită de operator încalcă
în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau
pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul
regulament, cuantumul total al amenzii administrative nu poate depăși suma
prevăzută pentru cea mai gravă încălcare.
(4) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2),
se aplică amenzi administrative de până la 10 000 000 EUR sau, în cazul unei
întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală
corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai
mare valoare:
(a) obligațiile operatorului și ale persoanei împuternicite de operator în
conformitate cu articolele 8, 11, 25-39, 42 și 43;
(b) obligațiile organismului de certificare;
(c) obligațiile organismului de monitorizare
(5) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2),
se aplică amenzi administrative de până la 20 000 000 EUR sau, în cazul unei
întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală
corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
71
mare valoare:
(a) principiile de bază pentru prelucrare, inclusiv condițiile privind
consimțământul, în conformitate cu articolele 5, 6, 7 și 9;
(b) drepturile persoanelor vizate în conformitate cu articolele 12-22;
(c) transferurile de date cu caracter personal către un destinatar dintr-o
țară terță sau o organizație internațională, în conformitate cu articolele 44-49;
(d) orice obligații în temeiul legislației naționale adoptate în temeiul capitolului
IX;
(e) nerespectarea unui ordin sau a unei limitări temporare sau definitive asupra
prelucrării, sau a suspendării fluxurilor de date, emisă de către autoritatea de
supraveghere în temeiul articolului 58 alineatul (2), sau neacordarea accesului,
încălcând articolul 58 alineatul (1).
(6) Pentru încălcarea unui ordin emis de autoritatea de supraveghere în
conformitate cu articolul 58 alineatul (2) se aplică, în conformitate cu alineatul (2)
din prezentul articol, amenzi administrative de până la 20 000 000 EUR sau, în
cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală
corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare
valoare.
(7) Fără a aduce atingere competențelor corective ale autorităților de
supraveghere menționate la articolul 58 alineatul (2), fiecare stat membru poate
prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse
amenzi administrative autorităților publice și organismelor publice stabilite în statul
membru respectiv.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
72
SECTIUNEA IX
COOKIE-URILE IN CONTEXTUL GDPR
Ce sunt cookie-urile?
Fișierele cookie sunt mici fișiere text trimise de un site către un navigator web (web
browser: Chrome, Edge, Internet Explorer, Firefox, Opera, Safari, etc.) și stocate
pe terminalul utilizatorului. Acestea pot fi utilizate cu scopuri diferite, dintre care
amintim:
personalizarea website-ului in functie de nevoile unui anumit utilizator (de
exemplu, un cookie poate retine preferințele utilizatorului, cum ar fi un font de o
anumita marime dorit de utilizator sau o tema/culoare a site-ului)
stocarea informațiilor de conectare ale utilizatorului
publicitatea
Tipuri de cookie-uri
1. Cookie-urile pot fi grupate pe tipuri, astfel:
a) cookie-urile strict necesare - sunt esențiale pentru a permite vizitatorului să
se deplaseze pe site și să utilizeze caracteristicile esențiale ale site-ului. Fără
acestea, așteptările obișnuite ale unui utilizator nu pot fi îndeplinite. Un exemplu
este un cookie-ul care permite conectarea automata pe un site, in vederea
accesului la un serviciu pentru care utilizatorul s-a înregistrat anterior
b) cookie-urile funcționale - permit site-ului să-și amintească preferințele unui
utilizator în ceea ce privește aspectul site-ului, limba (atunci cand un site este
multilingv) sau locația (de exemplu, un utilizator stabileste o locație preferată
pentru a primi știrile locale și prognoza meteo pentru acea zona)
c) cookie-urile de trafic - colectează informații despre zonele site-ului vizitate
de un utilizator, frecvența vizitelor și erorile înregistrate, etc. Aceste informații
ajută proprietarul site-ului să-și îmbunătățească serviciile, ajutându-l să
înțeleagă comportamentul utilizatorilor.
d) cookie-urile de publicitate - colectează informații care ajută la asigurarea
relevanței reclamei pentru un utilizator.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
73
2. Dintr-o alta perspectiva, cookie-urile pot fi clasificate in cookie-uri esențiale
și neesențiale
Cookie-urile esențiale prezintă una dintre următoarele două caracteristici:
• sunt utilizate exclusiv pentru efectuarea sau facilitarea comunicării într-o rețea;
sau
• sunt strict necesare pentru furnizarea unui serviciu online solicitat de utilizator
Cookie-uri neesențiale nu sunt strict necesare pentru functionarea unui site sau a
serviciilor oferite pe acesta, precum cookie-urile utilizate pentru analizarea
comportamentul pe un website (cookie-uri „analitice") sau cookie-urile utilizate
pentru afișarea de reclame.
3. (in sfarsit ) in functie de provenienta lor, cookie-urile pot fi de doua tipuri:
cele care aparțin site-ului vizitat (numite cookie-uri first party) sau cele care
aparțin unor terti (cookie-uri third party)
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
74
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
75
Exemplu
O persoana (cu prenumele sau pseudonimul Mihai si adresa de e-mail
[email protected]) aceeseaza site-ul www.site.ro si completeaza un formular cu
opinia sa in legatura cu un anumit articol de pe acel site.
Proprietarul site-ului doreste ca, in situatia in care user-ul Mihai acceseaza site-ul
ulterior si doreste sa adauge un alt comentariu, in formular sa apara deja
completate numele si adresa de e-mail. In acest caz, site-ul va inregisitra pe
terminalul utilizatorului (calculator/laptop/tableta/smartphone/etc) aceste informatii
in doua cookie-uri.
Name: comment_author_34e4e62edec5878c45e
Content: Mihai
Host: www.site.ro
Expires: Tuesday, January 29, 2019, 1:39:09 PM
Name: comment_author_email_34e4e62edec5878c45e
Content: [email protected]
Host: www.site.ro
Expires: Tuesday, January 29, 2019, 1:39:09 PM
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
76
Mentiuni privind cookie-urile
Identificatorul cookie reprezinta data cu caracter personal, intrucat vizitatorul poate
fi identificat (indirect) cu ajutorul sau. In privinta cookie-urilor, trebuie sa avem in
vedere si Legea 506/2004 privind prelucrarea datelor cu caracter personal şi
protecţia vieţii private în sectorul comunicaţiilor electronice. Aceasta lege
transpune Directiva UE 2002/58 (Directiva asupra confidențialității și
comunicațiilor electronice).
(5)Stocarea de informaţii sau obţinerea accesului la informaţia stocată în
echipamentul terminal al unui abonat ori utilizator este permisă numai cu
îndeplinirea în mod cumulativ a următoarelor condiţii:
a)abonatul sau utilizatorul în cauză şi-a exprimat acordul;
b)abonatului sau utilizatorului în cauză i s-au furnizat, anterior exprimării acordului,
informaţii clare şi complete care:
(i)să fie expuse într-un limbaj uşor de înţeles şi să fie uşor accesibile abonatului
sau utilizatorului;
(ii)să includă menţiuni cu privire la scopul procesării informaţiilor stocate de abonat
sau utilizator ori informaţiilor la care acesta are acces.
În cazul în care furnizorul permite unor terţi stocarea sau accesul la
informaţii stocate în echipamentul terminal al abonatului ori utilizatorului,
informarea în concordanţă cu pct. (i) şi (ii) va include scopul general al
procesării acestor informaţii de către terţi şi modul în care abonatul sau
utilizatorul poate folosi setările aplicaţiei de navigare pe internet ori alte
tehnologii similare pentru a şterge informaţiile stocate sau pentru a refuza
accesul terţilor la aceste informaţii.
(5^1)Acordul prevăzut la alin. (5) lit. a) poate fi dat şi prin utilizarea setărilor
aplicaţiei de navigare pe internet sau a altor tehnologii similare prin intermediul
cărora se poate considera că abonatul ori utilizatorul şi-a exprimat acordul.
6)Prevederile alin. (5) nu aduc atingere posibilităţii de a efectua stocarea sau
accesul tehnic la informaţia stocată în următoarele cazuri:
a)atunci când aceste operaţiuni sunt realizate exclusiv în scopul efectuării
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
77
transmisiei unei comunicări printr-o reţea de comunicaţii electronice;
b)atunci când aceste operaţiuni sunt strict necesare în vederea furnizării unui
serviciu al societăţii informaţionale, solicitat în mod expres de către abonat sau
utilizator.
Analizand prevederile din GDPR si din Directiva UE 2002/58, putem concluziona
urmatoarele:
1. cookie-urile functionale (strict necesare) nu necesita acordul utilizatorului
2. pentru cookie-urile de trafic, prelucrarea se face in baza interesului legitim al
operatorului
3. pentru cookie-urile de publicitate, prelucrarea se face in baza consimtamantului
utilizatorului; consimtamantul trebuie sa poata fi retras la fel de simplu ca si
atunci cand a fost acordat.
Exemplu
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
78
Exemplu de informare pentru un site care utilizeaza Google analytics
Utilizăm urmatoarele cookie-uri pe site-ul nostru www.site.ro:
Nume Esential sau neesential
Tip cookie
Al nostru sau al părților terțe
Data de expirare
Scop
PHPSESSID Essential HTTP Site.ro sesiune Păstrează starea sesiunii utilizatorilor între solicitările de pagini.
__utm.gif Neesențial Statistic google-analytics.com
sesiune Codul de urmărire Google Analytics care înregistrează detalii despre browserul și computerul vizitatorului.
__utma Neesențial Statistic Site.ro 2 ani Colectează date despre numărul de vizite pe care un utilizator le face pe site și despre datele pentru prima vizită și cea mai recentă vizită. Utilizat de Google Analitycs.
__utmb Neesențial Statistic Site.ro Sesiune Înregistrează timpul exact la care un utilizator a accesat website-ul. Utilizat de Google Analitycs pentru a calcula durata unei vizite pe website.
__utmc Neesențial Statistic Site.ro Sesiune Înregistrează timpul exact la care un utilizator a ieșit de pe website-ul. Utilizat de Google Analitycs pentru a calcula durata unei vizite pe website.
__utmt Neesențial Statistic Site.ro Sesiune Utilizat pentru a accelera viteza cererilor către server. Sursa: Google Analytics.
__utmv Neesențial Statistic Site.ro Sesiune Salvează parametrii de urmărire definiți de utilizator pentru utilizarea lor în Google Analytics
__utmz Neesențial Statistic Site.ro 6 luni Colectează date despre locul de proveniență al utilizatorului, despre ce motor de căutare a fost utilizat, despre ce link a fost accesat pentru a intra pe website și despre ce termen de căutare a fost utilizat. Utilizat de Google Analytics.
ABSOLUTE SCHOOL – CURS RESPONSABIL PROTECŢIA DATELOR www.pregatire.net ____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Absolute School - Tel. 021.31.41.444 / 07 27 357 623 / 07 66 48 73 48
79
Bibliografie
1. REGULAMENTUL (UE) 2016/679, https://eur-lex.europa.eu/
2. Grupul de lucru “Articolul 29” pentru protecția datelor (WP29) - Orientări privind
responsabilii cu protecția datelor
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048
3. Grupul de lucru “Articolul 29” pentru protecția datelor (WP29) - Orientări privind
dreptul la portabilitatea datelor
http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48142
4. Grupul de lucru “Articolul 29” pentru protecția datelor (WP29) - Guidelines on
Automated individual decision-making and Profiling for the purposes of
Regulation 2016/679
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053
5. https://ico.org.uk/
6. Legea 190/2018 privind masuri de punere in aplicare a Regulamentului UE
2016/679
7. Capitolul referitor la cookies utilizeaza informatii din urmatoarele surse :
a. http://www.allaboutcookies.org/
b. www.cnil.fr
c. https://techcrunch.com/
d. https://www.aboutcookies.org/