G.D.P.R.cndp.info/wp-content/uploads/2018/11/Regulament-GDPR.pdf · 2018. 11. 26. · de vointa...

G.D.P.R. Regulamentul (UE) 2016/679 privind

protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter

personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei

95/46/CE (Regulamentul general privind protecţia datelor)

http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262

Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu

caracter personal este un drept fundamental. Articolul 8 alineatul (1)

din Carta drepturilor fundamentale a Uniunii Europene ("carta") şi

articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii

Europene (TFUE) prevăd dreptul oricărei persoane la protecţia

datelor cu caracter personal care o privesc.

Principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetăţenia sau de locul de reşedinţă al persoanelor fizice, să respecte drepturile şi libertăţile fundamentale ale acestora,în special dreptul la protecţia datelor cu caracter personal.

* GDPR vizează armonizarea nivelului de protecţie a drepturilor şi

libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte

activităţile de prelucrare şi asigurarea liberei circulaţii a datelor cu

caracter personal între statele membre.

* Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul

cetăţenilor. Dreptul la protecţia datelor cu caracter personal nu este

un drept absolut; acesta trebuie luat în considerare în raport cu

funcţia pe care o îndeplineşte în societate şi echilibrat cu alte

drepturi fundamentale, în conformitate cu principiul

proporţionalităţii.

CE A DUS LA NECESITATEA ADOPTARII GDPR?

* creşterea substanţială a fluxurilor transfrontaliere de date cu

caracter personal,

* evoluţiile tehnologice rapide şi globalizarea,

* amploarea colectării şi a schimbului de date cu caracter personal a

crescut în mod

semnificativ,

* utilizarea de date cu caracter personal la un nivel fără precedent

în cadrul activităţii societatilor private si autoritatilor publice,

* necesitatea unui cadru solid şi mai coerent în materie de protecţie

a datelor în Uniune, însoţit de o aplicare riguroasă a normelor,

* importanţa creării unui climat de încredere care va permite

economiei digitale să se dezvolte pe piaţa internă,

* aplicarea consecventă şi omogenă a normelor care trebuie să fie

asigurată în întreaga Uniune,

* asigurararea unui nivel uniform de protecţie pentru persoanele

fizice în întreaga UE

* preîntâmpinarea discrepanţelor care împiedică libera circulaţie a

datelor în cadrul pieţei interne,

* necesitatea unui regulament în scopul de a furniza securitate

juridică şi transparenţă pentru operatorii economici, inclusiv

microîntreprinderi şi întreprinderi mici şi mijlocii.

* oferirea persoanelor fizice în toate statele membre a aceluiaşi

nivel de drepturi, obligaţii şi responsabilităţi , opozabile din punct

de vedere juridic pentru operatori şi persoanele împuternicite de

aceştia,

* asigurarea unei monitorizari coerente a prelucrării datelor cu

caracter personal,

* sancţiuni echivalente în toate statele membre,

* cooperarea eficace a autorităţilor de supraveghere ale diferitelor

state membre,

* Protecţia conferită de prezentul regulament ar trebui să vizeze

persoanele fizice,

indiferent de cetăţenia sau de locul de reşedinţă al acestora, în ceea

ce priveşte prelucrarea datelor cu caracter personal ale acestora.

NU SE APLICA !

* Prezentul regulament nu se aplică prelucrării datelor cu caracter

personal care privesc persoane juridice şi, în special, întreprinderi cu

personalitate juridică, inclusiv numele şi tipul de persoană juridică şi

datele de contact ale persoanei juridice.

* Prezentul regulament nu se aplică chestiunilor de protecţie a

drepturilor şi libertăţilor fundamentale sau la libera circulaţie a

datelor cu caracter personal referitoare la activităţi care nu intră în

domeniul de aplicare al dreptului Uniunii, de exemplu activităţile

privind securitatea naţională


personal de către statele membre atunci când acestea desfăşoară

activităţi legate de politica externă şi de securitatea comună a

Uniunii.


personal de către o persoană fizică în cadrul unei activităţi exclusiv

personale sau domestice şi care, prin urmare, nu are legătură cu o

activitate profesională sau comercială. Activităţile personale sau

domestice ar putea include corespondenţa şi repertoriul de adrese

sau activităţile din cadrul reţelelor sociale şi activităţile online

desfăşurate în contextul respectivelor activităţi.

* Prezentul regulament nu se aplica persoanelor fizice în ceea ce

priveşte prelucrarea datelor cu caracter personal de către

autorităţile competente în scopul prevenirii, investigării, depistării

sau urmăririi penale a infracţiunilor sau al executării pedepselor,

inclusiv al protejării împotriva ameninţărilor la adresa siguranţei

publice şi al prevenirii acestora, precum şi libera circulaţie a acestor

date .

* Prezentul regulament nu se aplică datelor cu caracter personal

referitoare la persoane decedate. Statele membre pot să prevadă

norme privind prelucrarea datelor cu caracter personal referitoare la

persoane decedate.

Cand este necesara si legala folosirea datelor cu caracter personal?

Potrivit art. 6 din GDPR, prelucrarea este legală numai dacă și în

măsura în care se aplică cel puțin una dintre următoarele condiții:

*persoana vizată şi-a dat consimţământul pentru prelucrarea datelor

sale cu caracter personal pentru unul sau mai multe scopuri specifice;

*prelucrarea este necesară pentru executarea unui contract la care

persoana vizată este parte sau pentru a face demersuri la cererea

persoanei vizate înainte de încheierea unui contract;

*prelucrarea este necesară în vederea îndeplinirii unei obligaţii

legale care îi revine operatorului;

*prelucrarea este necesară pentru a proteja interesele vitale ale

persoanei vizate sau ale altei persoane fizice;

*prelucrarea este necesară pentru îndeplinirea unei sarcini care

serveşte unui interes public sau care rezultă din exercitarea autorităţii

publice cu care este învestit operatorul;

*prelucrarea este necesară în scopul intereselor legitime urmărite

de operator sau de o parte terţă, cu excepţia cazului în care

prevalează interesele sau drepturile şi libertăţile fundamentale ale

persoanei vizate, care necesită protejarea datelor cu caracter

personal, în special atunci când persoana vizată este un copil.

(această prevedere nu se aplică în cazul prelucrării efectuate de

autorităţi publice în îndeplinirea atribuţiilor lor). Acest paragraf nu se

aplică în cazul prelucrării efectuate de autorităţi publice în

îndeplinirea atribuţiilor lor.

UNDE SE APLICA GDPR

* se aplică prelucrării datelor cu caracter personal în cadrul

activităţilor unui sediu al unui operator sau al unei persoane

împuternicite de operator pe teritoriul Uniunii, indiferent dacă

prelucrarea are loc sau nu pe teritoriul Uniunii.

* se aplică prelucrării datelor cu caracter personal ale unor persoane

vizate care se află în Uniune de către un operator sau o persoană

împuternicită de operator care nu este stabilit(ă) în Uniune, atunci

când activităţile de prelucrare sunt legate de:

a)oferirea de bunuri sau servicii unor astfel de persoane vizate în

Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de

către persoana vizată; sau

b)monitorizarea comportamentului lor dacă acesta se manifestă în

cadrul Uniunii.

* se aplică prelucrării datelor cu caracter personal de către un

operator care nu este stabilit în Uniune, ci într-un loc în care dreptul

intern se aplică în temeiul dreptului internaţional public.

* I. NOTIUNI

In prezenta Politica de prelucrare a datelor cu caracter personal

sunt utilizate urmatoarele notiuni:

- date cu caracter personal - orice informatie referitoare la o

persoana fizica identificata sau identificabila (persoana vizata).

Persoana identificabila este persoana care poate fi identificata, direct

sau indirect, prin referire la un număr de identificare sau la unul ori

mai multe elemente specifice identitatii sale fizice, fiziologice, psihice,

economice, culturale sau sociale;

- operator – persoana fizica sau persoana juridica de drept

public sau de drept privat, inclusiv autoritatea publica, orice alta

institutie ori organizatie care, în mod individual sau impreună cu

altele, stabileste scopurile si mijloacele de prelucrare ale datelor cu

caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt

stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau

criteriile specifice pentru desemnarea acestuia pot fi prevazute in

dreptul Uniunii sau in dreptul intern;

- ofiter de protectie a datelor(DPO) – specialist in protectia

datelor al carui rol principal este acela de a coordona si

supraveghea implementarea conditiilor de conformitate GDPR,

precum si ca persoana de legatura intre organizatie si autoritatea

de supraveghere.

- mijloace de protectie a informatiei care contine date cu

caracter personal - mijloace tehnice, de program si tehnico-

aplicative, sisteme si complexe de sisteme ce realizeaza algoritmi de

conversie criptografica a informatiei care contine date cu caracter

personal, destinate sa asigure integritatea si confidentialitatea

informatiei in procesul de prelucrare, depozitare si transmitere a

acesteia prin canalele de comunicatii;

- perimetru de securitate - zona care reprezinta in sine o bariera

de trecere asigurata cu mijloace de control fizic si/sau tehnic al

accesului;

- utilizator – persoana care actioneaza sub autoritatea

detinatorului de date cu caracter personal, cu drept recunoscut de

acces la sistemele informationale de date cu caracter personal;

- sesiune de lucru — perioada care dureaza din momentul

pornirii calculatorului si aplicatiei de utilizare a resursei

informationale sau din momentul pornirii resursei informationale si

pana la momentul opririi acestora;

- prelucrarea datelor cu caracter personal – orice operatiune sau

serie de operatiuni care se efectueaza asupra datelor cu caracter

personal prin mijloace automatizate sau neautomatizate, cum ar fi

colectarea, inregistrarea, organizarea, stocarea, pastrarea,

restabilirea, adaptarea ori modificarea, extragerea, consultarea,

utilizarea, dezvaluirea prin transmitere, diseminare sau in orice alt

mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea;

- stocare - pastrarea pe orice fel de suport a datelor cu caracter

personal;

- sistem de evidenta a datelor cu caracter personal - orice

structura organizata de date cu caracter personal, accesibila potrivit

unor criterii determinate, indiferent dacă aceasta structura este

organizata in mod centralizat ori descentralizat sau este repartizata

dupa criterii functionale ori geografice;

- restrictionarea prelucrarii – inseamna marcarea datelor cu

caracter personal stocate cu scopul de a limitata prelucrarea viitoare

a acestora;

- crearea de profiluri - inseamna orice forma de prelucrare

automata a datelor cu caracter personal care consta in utilizarea

datelor cu caracter personal pentru a evalua anumite aspecte

personale referitoare la o persoana fizica, in special pentru a analiza

sau prevedea aspecte privind performanta la locul de munca, situatia

economica, sanatatea, preferintele personale, interesele, fiabilitatea,

comportamentul, locul in care se afla persoana fizica respectiva sau

deplasarile acesteia;

- pseudonimizare – inseamna prelucrarea datelor cu caracter

personal intr-un asemenea mod incat acestea sa nu mai poata fi

atribuie unei anume persoane vizate fara a se utiliza informatii

suplimentare, cu conditia ca aceste informatii suplimentare sa fie

stocate separat si sa faca obiectul unor masuri de natura tehnica si

organizatorica care sa asigure neatribuirea respectivelor date cu

caracter personal unei persoane fizice identificate sau identificabile;

- persoana imputernicita de operator – persoana fizica sau

juridica, autoritatea publica, agentia sau alt organism care

prelucreaza datele cu caracter personal in numele operatorului;

- destinatar – persoana fizica sau juridica, autoritatea publica,

agentia sau alt organism carora le sunt divulgate datele cu caracter

personal, indiferent daca este sau nu o parte terta. Cu toate acestea,

autoritatile publice carora li se pot comunica date cu caracter

personal in cadrul unei anumite anchete in conformitate cu dreptul

Uniunii sau cu dreptul intern nu sunt considerate destinatari;

prelucrarea acestor date de catre autoritatile publice respective

respecta normele aplicabile in materie de protectie a datelor, in

conformitate cu scopurile prelucrarii;

- parte terta – persoana fizica sau juridica, autoritate publica,

agentie sau organism altul decat persoana vizata, operatorul,

persoana imputernicita de operator si persoane care, sub directa

autoritate a operatorului sau a persoanei imputernicite de operator,

sunt autorizate sa prelucreze date cu caracter personal;

- consimtamant al persoanei vizate – inseamna orice manifestare

de vointa libera, specifica, informata si lipsita de ambiguitate a

persoanei vizate prin care aceasta accepta, printr-o declaratie sau

printr-o actiune fara echivoc, ca datele cu caracter personal care o

privesc sa fie prelucrate;

- incalcarea securitatii datelor cu caracter personal – inseamna o

incalcare a securitatii care duce, in mod accidental sau ilegal, la

distrugerea, pierderea, modificarea, sau divulgarea neautorizata a

datelor cu caracter personal transmise, stocate sau prelucrate intr-un

alt mod, sau la accesul neautorizat la acestea;

- date genetice – inseamna datele cu caracter personal

referitoare la caracteristicile genetice mostenite sau dobandite ale

unei persoane fizice, care ofera informatii unice privind fiziologia sau

sanatatea persoanei respective si care rezulta in special in urma unei

analize a unei mostre de material biologic recoltate de la persoana in

cauza;

- date biometrice – date cu caracter personal care rezulta in urma

unor tehnici de prelucrare specifice referitoare la caracteristicile

fizice, fiziologice sau comportamentale ale unei persoane fizice care

permit sau confirma identificarea unica a respectivei persoane, cum

ar fi imaginile faciale sau datele dactiloscopice;

- date privind sanatatea – date cu caracter personal legate de

sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea

de servicii de asistenta medicala, care dezvaluie informatii despre

starea de sanatate a acesteia;

- autoritate de supraveghere – inseamna o autoritate publica

independenta instituita de un stat membru.

- prelucrare transfrontalieră - înseamnă:

(a)fie prelucrarea datelor cu caracter personal care are loc în

contextul activităţilor sediilor din mai multe state membre ale unui

operator sau ale unei persoane împuternicite de operator pe

teritoriul Uniunii, dacă operatorul sau persoana împuternicită de

operator are sedii în cel puţin două state membre; sau (b)fie

prelucrarea datelor cu caracter personal care are loc în contextul

activităţilor unui singur sediu al unui operator sau al unei persoane

împuternicite de operator pe teritoriul Uniunii, dar care afectează în

mod semnificativ sau este susceptibilă de a afecta în mod

semnificativ persoane vizate din cel puţin două state membre;

- obiecţie relevantă şi motivată - înseamnă o obiecţie la un proiect

de decizie în scopul de a stabili dacă există o încălcare a prezentului

regulament sau dacă măsurile preconizate în ceea ce priveşte

operatorul sau persoana împuternicită de operator respectă

prezentul regulament, care demonstrează în mod clar importanţa

riscurilor pe care le prezintă proiectul de decizie în ceea ce priveşte

drepturile şi libertăţile fundamentale ale persoanelor vizate şi, după

caz, libera circulaţie a datelor cu caracter personal în cadrul Uniunii;

- serviciile societăţii informaţionale - înseamnă un serviciu de

stabilire a unei proceduri pentru furnizarea de informaţii în domeniul

standardelor şi reglementărilor tehnice şi al normelor privind

serviciile societăţii informaţionale.

- organizaţie internaţională - înseamnă o organizaţie şi organismele

sale subordonate

reglementate de dreptul internaţional public sau orice alt organism

care este instituit printr-un acord încheiat între două sau mai multe

ţări sau în temeiul unui astfel de acord.

- prelucrare transfrontalieră - înseamnă:

(a)fie prelucrarea datelor cu caracter personal care are loc în

contextul activităţilor sediilor din mai multe state membre ale unui

operator sau ale unei persoane împuternicite de operator pe

teritoriul Uniunii, dacă operatorul sau persoana împuternicită de

operator are sedii în cel puţin două state membre; sau (b)fie

prelucrarea datelor cu caracter personal care are loc în contextul

activităţilor unui singur sediu al unui operator sau al unei persoane

împuternicite de operator pe teritoriul Uniunii, dar care afectează în

mod semnificativ sau este susceptibilă de a afecta în mod

semnificativ persoane vizate din cel puţin două state membre;

- obiecţie relevantă şi motivată - înseamnă o obiecţie la un proiect

de decizie în scopul de a stabili dacă există o încălcare a prezentului

regulament sau dacă măsurile preconizate în ceea ce priveşte

operatorul sau persoana împuternicită de operator respectă

prezentul regulament, care demonstrează în mod clar importanţa

riscurilor pe care le prezintă proiectul de decizie în ceea ce priveşte

drepturile şi libertăţile fundamentale ale persoanelor vizate şi, după

caz, libera circulaţie a datelor cu caracter personal în cadrul Uniunii;

- serviciile societăţii informaţionale - înseamnă un serviciu de

stabilire a unei proceduri pentru furnizarea de informaţii în domeniul

standardelor şi reglementărilor tehnice şi al normelor privind

serviciile societăţii informaţionale.

- organizaţie internaţională - înseamnă o organizaţie şi organismele

sale subordonate

reglementate de dreptul internaţional public sau orice alt organism

care este instituit printr-un acord încheiat între două sau mai multe

ţări sau în temeiul unui astfel de acord.

* consimtamant- operatorul trebuie să fie în măsură să demonstreze

că persoana vizată și-a dat consimțământul pentru prelucrarea

datelor sale cu caracter personal. În cazul în care consimţământul

persoanei vizate este dat în contextul unei declarații scrise care se

referă şi la alte aspecte, cererea privind consimţământul trebuie să

fie prezentată într-o formă care o diferențiază în mod clar de

celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând

un limbaj clar și simplu. Persoana vizată are dreptul să își retragă în

orice moment consimțământul. Atunci când se evaluează dacă

consimţământul este dat în mod liber, se ţine seama ca executarea

unui contract, este condiționată sau nu de consimțământul cu privire

la prelucrarea datelor cu caracter personal care nu este necesară

pentru executarea acestui contract.

* consimtamantul copilului, ART.8 *****

* prelucrarea de categorii speciale de date cu caracter personal -

originea rasială sau etnică, opiniile politice, confesiunea religioasă sau

convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de

date genetice, de date biometrice pentru identificarea unică a unei

persoane fizice, de date privind sănătatea sau de date privind viaţa

sexuală sau orientarea sexuală ale unei persoane fizice. Art.9

* prelucrarea de date cu caracter personal referitoare la condamnări

penale şi infracţiuni,

* Prelucrarea care nu necesită identificare – informare persoana

vizata in masura in care este posibil,

Drepturile persoanei vizate

- dreptul la informare si acces – inseamna ca persoanele vizate

pot solicita informatii privind activitatile de prelucrare ale datelor cu

caracter personal si ca aveti dreptul de a obtine o confirmare din

partea noastra ca prelucram sau nu datele dumneavoastra, iar daca

da, sa va oferim acces la aceste date precum si informatii despre cum

sunt prelucrate;

- dreptul la portabilitate – se refera la faptul ca puteti primi

datele personale intr-un format structurat, care poate fi citit automat

si la dreptul ca acestea pot fi transmise direct altui operator;

- dreptul la opozitie – vizeaza dreptul de a te opune prelucrarii

datelor personale atunci cand aceasta deserveste un interes public ori

un interes legitim al nostru;

- dreptul de rectificare – se refera la corectarea fara intarzieri

nejustificate, a datelor personale inexacte;

- dreptul la stergere/dreptul de a fi uitat – inseamna ca ai

dreptul sa iti stergem datele colectate fara intarzieri nejustificate, in

oricare din urmatoarele situatii: nu mai sunt necesare pentru

indeplinirea scopurilor pentru care au fost colectate, ti-ai retras

consimtamantul si nu exista alt temei juridic pentru prelucrare, te

opui prelucrarii, datele au fost colectate ilegal, datele trebuie sterse

pentru respectarea unei obligatii legale, colectarea s-a facut cu

oferirea de servicii ale societatii informationale;

- dreptul la restrictionarea prelucrarii – poate fi exercitat in

urmatoarele cazuri: este contestata exactitatea datelor pe o perioada

care ne permite verificarea corectitudinii acestora, prelucrarea este

ilegala, dar nu se doreste stergerea datelor ci doar restrictionarea

acestora, in cazul in care operatorul nu mai are nevoie de datele cu

caracter personal in scopul prelucrarii, dar le soliciti pentru apararea

unui drept in instanta, daca te-ai opus prelucrarii pentru intervalul de

timp cat se verifica daca drepturile legitime prevaleaza asupra

drepturilor tale;

- dreptul de a fi notificat - in caz de incalcari privind securitatea

datelor, de catre operator;

- dreptul de a depune o plângere la autoritatea de

supraveghere.

- dreptul de a se adresa justitiei.

Restricţii

Dreptul Uniunii sau dreptul intern poate restricţiona printr-o măsură

legislativă domeniul de aplicare al obligaţiilor şi al drepturilor

prevăzute la unele articolele pentru a asigura:

a) securitatea naţională; b) apărarea; c) securitatea publică;

d) prevenirea, investigarea, depistarea sau urmărirea penală a

infracţiunilor sau executarea sancţiunilor penale, inclusiv protejarea

împotriva ameninţărilor la adresa securităţii publice şi prevenirea

acestora;

e) alte obiective importante de interes public general ale Uniunii sau

ale unui stat membru, în special un interes economic sau financiar

important al Uniunii sau al unui stat membru, inclusiv în domeniile

monetar, bugetar şi fiscal şi în domeniul sănătăţii publice şi al

securităţii sociale;

f) protejarea independenţei judiciare şi a procedurilor judiciare;

g) prevenirea, investigarea, depistarea şi urmărirea penală a încălcării

eticii în cazul profesiilor reglementate;

h) funcţia de monitorizare, inspectare sau reglementare legată, chiar

şi ocazional, de

exercitarea autorităţii oficiale în cazurile menţionate la literele (a)-(e)

şi (g);

i) protecţia persoanei vizate sau a drepturilor şi libertăţilor altora;

j) punerea în aplicare a pretenţiilor de drept civil.

* Operator,

* Operator asociat,

* Persoana imputernicita de catre operator,

* Evidenţele activităţilor de prelucrare, - ART.30****

* Cooperarea cu autoritatea de supraveghere

- Securitatea prelucrării - a) pseudonimizarea și criptarea datelor cu

caracter personal;

b)capacitatea de a asigura confidențialitatea, integritatea,

disponibilitatea și rezistența

continue ale sistemelor și serviciilor de prelucrare;

c)capacitatea de a restabili disponibilitatea datelor cu caracter

personal şi accesul la acestea

în timp util în cazul în care are loc un incident de natură fizică sau

tehnică;

d)un proces pentru testarea, evaluarea și aprecierea periodice ale

eficacității măsurilor

tehnice și organizatorice pentru a garanta securitatea prelucrării.

- Notificarea autorităţii de supraveghere în cazul încălcării securităţii

datelor cu caracter personal

- Informarea persoanei vizate cu privire la încălcarea securităţii

datelor cu caracter personal

* Evaluarea impactului asupra protecţiei datelor

* Consultarea prealabilă

Responsabilul cu protecţia datelor (DPO)

Operatorul şi persoana împuternicită de operator desemnează un

responsabil cu protecția datelor ori de câte ori:

a)prelucrarea este efectuată de o autoritate sau un organism public,

cu excepţia instanţelor care acţionează în exerciţiul funcţiei lor

jurisdicţionale;

b)activitățile principale ale operatorului sau ale persoanei

împuternicite de operator constau în operaţiuni de prelucrare care,

prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o

monitorizare periodică și sistematică a persoanelor vizate pe scară

largă; sau

c)activităţile principale ale operatorului sau ale persoanei

împuternicite de operator constau în prelucrarea pe scară largă a

unor categorii speciale de date, menţionată la articolul 9, sau a unor

date cu caracter personal privind condamnări penale şi infracţiuni,

menţionată la articolul 10.

Ce înseamnă ”Activităţi principale”? Pentru a stabili activitatea

principală desfăşurată de un operator sau împuternicit, aceasta

trebuie analizată prin raportare la prelucrările de date cu caracter

personal efectuate. La ce se referă „Monitorizarea periodică şi

sistematică”? ***

Aceasta presupune toate formele de urmărire și profilare pe

Internet, inclusiv în scop de publicitate comportamentală, nefiind însă

restrictionată în mediul online. Sintagma ”periodică și sistematică”

presupune o activitate continuă și recurentă, care implică prelucrări

de date.

Ce presupune prelucrarea ”Pe scară largă”?

Pentru a se stabili dacă o prelucrare este pe scară largă trebuie ţinut

cont de 4 criterii: numărul persoanelor vizate – un număr exact ori

un procent din populaţia relevantă; volumul datelor și/sau gama de

elemente diferite de date în curs de prelucrare; durata sau

permanența activității de prelucrare a datelor; suprafața geografică

a activității de prelucrare.

Ce înseamnă ”Categorii speciale de date”?

Categoriile speciale sunt acele date cu caracter personal care

dezvăluie originea rasială sau etnică, opiniile politice, confesiunea

religioasă sau convingerile filozofice sau apartenența la sindicate și

prelucrarea de date genetice, de date biometrice pentru

identificarea unică a unei persoane fizice, de date privind sănătatea

sau de date privind viața sexuală sau orientarea sexuală ale unei

persoane fizice.

Cine poate îndeplini funcţia de responsabil cu protecţia datelor?

Articolul 37 alin. 5 din Regulamentul UE 2016/679 stabileşte ca

responsabilul cu protecţia datelor să fie ”desemnat pe baza calităţilor

profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi

practicile din domeniul protecţiei datelor, precum şi pe baza

capacităţii de a îndeplini sarcinile prevăzute la articolul 39.”

Responsabilul cu protecţia datelor în domeniul public, în domeniul

privat, raportat la situaţiile prevăzute expres de art. 37 RGDP.

Responsabilul cu protecţia datelor poate fi angajat al

operatorului/persoanei împuternicite de operator sau poate să-și

îndeplinească sarcinile pe baza unui contract de prestări servicii. În

domeniul public, poate fi desemnat pentru mai multe autorităţi

sau instituţii publice, luând în considerare structura organizatorică şi

dimensiunea acestora.

Trebuie să aibă anumite calităţi profesionale, astfel:

experienţă în legislaţia şi practicile de protecţie a datelor la nivel

naţional şi european, precum şi o înţelegere adecvată a RGPD;

nivelul necesar de cunoştinţe în domeniul protecţiei datelor în

funcţie de operaţiunile de prelucrare a datelor efectuate şi de nivelul

de protecţie necesar pentru datele cu caracter personal prelucrate; să

înţeleagă operaţiunile de prelucrare efectuate, precum şi sistemele

de informaţii şi necesităţile de securitate şi protecţie a datelor

prelucrate de operator; în cazul unei autorităţi sau instituţii publice,

responsabilul cu protecţia datelor trebuie să deţină, de asemenea,

cunoştinţe privind reglementările legale referitoare la organizarea şi

funcţionarea acestora, precum şi a procedurilor interne

administrative ce vizează desfăşurarea activităţii.

Principala preocupare a responsabilului cu protecţia datelor trebuie

să fie respectarea Regulamentului General privind Protecţia Datelor şi

a reglementărilor naţionale incidente.

Este obligat să păstreze secretul sau confidenţialitatea în ceea ce

priveşte îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii

sau cu dreptul intern.

Operatorul sau persoana împuternicită de operator, în ceea ce

priveşte raporturile cu responsabilul cu protecţia datelor, este

obligat să:

publice datele de contact ale responsabilului (adresă poştală, număr

de telefon alocat special şi/sau o adresă de email alocată special).

comunice datele de contact ale responsabilului către Autoritatea

Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Responsabilului cu protecţia datelor îi este permis să aibă şi alte

funcţii.

Acestuia îi pot fi încredinţate şi alte sarcini şi atribuţii, cu condiţia ca

acestea să nu dea naştere unor conflicte de interese (de ex: nu poate

fi director executiv, director operaţional, director financiar, şeful

serviciului medical, şeful departamentului de marketing, şeful

departamentului de resurse umane sau şeful departamentului IT).

Responsabilul pentru protecţia datelor nu poate fi demis sau

sancţionat de operator sau persoana împuternicită de operator

pentru îndeplinirea sarcinilor sale.

De exemplu, responsabilul nu poate fi demis pentru oferirea unui

sfat conform sacinilor sale.

Un responsabil cu protecţia datelor ar putea fi totuşi demis, în mod

legal, din alte motive decât cele privind îndeplinirea sarcinilor sale în

această calitate.

De exemplu, responsabilul poate fi demis în caz de furt, hărţuire ori o

abatere gravă similară.

III. Sarcinile responsabilului cu protecţia datelor

*de a informa și consilia operatorul, sau persoana împuternicită de

operator, precum şi angajaţii care se ocupă de prelucrările de date;

*de a monitoriza respectarea Regulamentului, a altor dispoziţii de

drept al Uniunii sau de drept intern referitoare la protecţia datelor;

*de a consilia operatorul în ceea ce priveşte realizarea unei analize

de impact asupra protecţiei datelor şi de a monitoriza executarea

acesteia;

*de a coopera cu Autoritatea de Supraveghere şi de a reprezenta

punctul de contact cu aceasta;

de a ţine seama în mod corespunzător de riscul asociat operaţiunilor

de prelucrare, la îndeplinirea sarcinilor sale.

*** Exemple de situaţii care pot constitui o monitorizare periodică şi

sistematică a persoanelor vizate: gestionarea unei reţele de

telecomunicaţii; profilare şi scoring în scopul evaluării riscurilor (de

exemplu, în scopul acordării unui credit, stabilirea primelor de

asigurare, de prevenire a fraudelor, detectarea spălării banilor);

urmărirea locaţiei, spre exemplu prin aplicaţii mobile (geolocalizare);

desfăşurarea de programe de loialitate; monitorizarea stării de

sănătate prin intermediul dispozitivelor portabile; televiziune cu

circuit închis - CCTV; prelucrarea datelor pacienților de către un

spital; prelucrarea datelor datelor de conţinut, locaţie, trafic de către

furnizorii de servicii de internet; prelucrarea datelor personale de

către companii de asigurări; publicitate comportamentală.

Când nu este necesară desemnarea unui responsabil cu protecţia

datelor?

- atunci când nu se prelucrează pe scară largă date cu caracter

personal.

Spre exemplu:

prelucrarea datelor pacientului de către un cabinet medical

individual;

prelucrarea datelor personale referitoare la condamnările penale şi

infracţiuni de către un cabinet individual de avocatură.

**** Art. 30: Evidenţele activităţilor de prelucrare

(1)Fiecare operator şi, după caz, reprezentantul acestuia păstrează o

evidenţă a activităţilor de prelucrare desfăşurate sub

responsabilitatea lor. Respectiva evidenţă cuprinde toate următoarele

informaţii: a)numele şi datele de contact ale operatorului şi, după caz,

ale operatorului asociat, ale reprezentantului operatorului şi ale

responsabilului cu protecţia datelor; b)scopurile prelucrării; c)o

descriere a categoriilor de persoane vizate şi a categoriilor de date cu

caracter personal; d)categoriile de destinatari cărora le-au fost sau le

vor fi divulgate datele cu caracter personal, inclusiv destinatarii din

ţări terţe sau organizaţii internaţionale; e)dacă este cazul,

transferurile de date cu caracter personal către o ţară terţă sau o

organizaţie internaţională, inclusiv identificarea ţării terţe sau a

organizaţiei internaţionale respective şi, în cazul transferurilor

menţionate la articolul 49 alineatul (1) al doilea paragraf,

documentaţia care dovedeşte existenţa unor garanţii adecvate;

f)acolo unde este posibil, termenele-limită preconizate pentru

ştergerea diferitelor categorii de date; g)acolo unde este posibil, o

descriere generală a măsurilor tehnice şi organizatorice de securitate

menţionate la articolul 32 alineatul (1).

(2)Fiecare operator şi, după caz, persoana împuternicită de operator

păstrează o evidenţă a tuturor categoriilor de activităţi de prelucrare

desfăşurate în numele operatorului, care cuprind: a)numele şi datele

de contact ale persoanei sau persoanelor împuternicite de operator şi

ale fiecărui operator în numele căruia acţionează această persoană

(aceste persoane), precum şi ale reprezentantului operatorului sau al

persoanei împuternicite de operator, după caz; b)categoriile de

activităţi de prelucrare desfăşurate în numele fiecărui operator;

c)dacă este cazul, transferurile de date cu caracter personal către o

ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării

terţe sau a organizaţiei internaţionale respective şi, în cazul

transferurilor prevăzute la articolul 49 alineatul (1) al doilea paragraf,

documentaţia care dovedeşte existenţa unor garanţii adecvate;

d)acolo unde este posibil, o descriere generală a măsurilor tehnice şi

organizatorice de securitate menţionate la articolul 32 alineatul (1).

***Art. 8: Condiţii aplicabile în ceea ce priveşte consimţământul

copiilor în legătură

cu serviciile societăţii informaţionale

(1)În cazul în care se aplică articolul 6 alineatul (1) litera (a)***, în

ceea ce priveşte oferirea de

servicii ale societății informaționale în mod direct unui copil,

prelucrarea datelor cu caracter

personal ale unui copil este legală dacă copilul are cel puțin vârsta

de 16 ani. Dacă copilul are

sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă şi

în măsura în care

consimțământul respectiv este acordat sau autorizat de titularul

răspunderii părintești asupra

copilului.

Statele membre pot prevedea prin lege o vârstă inferioară în aceste

scopuri, cu condiţia ca

acea vârstă inferioară să nu fie mai mică de 13 ani. - NU E CAZUL -

(2)Operatorul depune toate eforturile rezonabile pentru a verifica în

astfel de cazuri că

titularul răspunderii părintești a acordat sau a autorizat

consimțământul, ţinând seama de

tehnologiile disponibile.

(3)Alineatul (1) nu afectează dreptul general al contractelor aplicabil

în statele membre, cum

ar fi normele privind valabilitatea, încheierea sau efectele unui

contract în legătură cu un

copil.

***Art. 6: Legalitatea prelucrării

(1)Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre

următoarele condiţii:

a)persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter

personal pentru unul sau mai multe scopuri specifice;

Documentatie

* Registru de evidenta,

* Politici sau proceduri,

* Note de informare si consimtamantul,

* Formular de luare la cunostinta,

* Formular declarare DPO ***, ANSPDCP

* Formular bresa , de incalcare ***,

* Formular electronic de plangere***,

* Model de plangeri ptr exercitarea diverselor drepturi.***

G.D.P.R.cndp.info/wp-content/uploads/2018/11/Regulament-GDPR.pdf · 2018. 11. 26. · de vointa...

Documents

Transcript of G.D.P.R.cndp.info/wp-content/uploads/2018/11/Regulament-GDPR.pdf · 2018. 11. 26. · de vointa...