G.D.P.R.cndp.info/wp-content/uploads/2018/11/Regulament-GDPR.pdf · 2018. 11. 26. · de vointa...
Transcript of G.D.P.R.cndp.info/wp-content/uploads/2018/11/Regulament-GDPR.pdf · 2018. 11. 26. · de vointa...
-
G.D.P.R. Regulamentul (UE) 2016/679 privind
protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter
personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei
95/46/CE (Regulamentul general privind protecţia datelor)
http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262http://www.dataprotection.ro/servlet/ViewDocument?id=1262
-
Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu
caracter personal este un drept fundamental. Articolul 8 alineatul (1)
din Carta drepturilor fundamentale a Uniunii Europene ("carta") şi
articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii
Europene (TFUE) prevăd dreptul oricărei persoane la protecţia
datelor cu caracter personal care o privesc.
Principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetăţenia sau de locul de reşedinţă al persoanelor fizice, să respecte drepturile şi libertăţile fundamentale ale acestora,în special dreptul la protecţia datelor cu caracter personal.
* GDPR vizează armonizarea nivelului de protecţie a drepturilor şi
libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte
activităţile de prelucrare şi asigurarea liberei circulaţii a datelor cu
caracter personal între statele membre.
* Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul
cetăţenilor. Dreptul la protecţia datelor cu caracter personal nu este
un drept absolut; acesta trebuie luat în considerare în raport cu
funcţia pe care o îndeplineşte în societate şi echilibrat cu alte
drepturi fundamentale, în conformitate cu principiul
proporţionalităţii.
-
CE A DUS LA NECESITATEA ADOPTARII GDPR?
* creşterea substanţială a fluxurilor transfrontaliere de date cu
caracter personal,
* evoluţiile tehnologice rapide şi globalizarea,
* amploarea colectării şi a schimbului de date cu caracter personal a
crescut în mod
semnificativ,
* utilizarea de date cu caracter personal la un nivel fără precedent
în cadrul activităţii societatilor private si autoritatilor publice,
* necesitatea unui cadru solid şi mai coerent în materie de protecţie
a datelor în Uniune, însoţit de o aplicare riguroasă a normelor,
* importanţa creării unui climat de încredere care va permite
economiei digitale să se dezvolte pe piaţa internă,
* aplicarea consecventă şi omogenă a normelor care trebuie să fie
asigurată în întreaga Uniune,
* asigurararea unui nivel uniform de protecţie pentru persoanele
fizice în întreaga UE
* preîntâmpinarea discrepanţelor care împiedică libera circulaţie a
datelor în cadrul pieţei interne,
* necesitatea unui regulament în scopul de a furniza securitate
juridică şi transparenţă pentru operatorii economici, inclusiv
microîntreprinderi şi întreprinderi mici şi mijlocii.
* oferirea persoanelor fizice în toate statele membre a aceluiaşi
nivel de drepturi, obligaţii şi responsabilităţi , opozabile din punct
de vedere juridic pentru operatori şi persoanele împuternicite de
aceştia,
* asigurarea unei monitorizari coerente a prelucrării datelor cu
caracter personal,
* sancţiuni echivalente în toate statele membre,
-
* cooperarea eficace a autorităţilor de supraveghere ale diferitelor
state membre,
* Protecţia conferită de prezentul regulament ar trebui să vizeze
persoanele fizice,
indiferent de cetăţenia sau de locul de reşedinţă al acestora, în ceea
ce priveşte prelucrarea datelor cu caracter personal ale acestora.
NU SE APLICA !
* Prezentul regulament nu se aplică prelucrării datelor cu caracter
personal care privesc persoane juridice şi, în special, întreprinderi cu
personalitate juridică, inclusiv numele şi tipul de persoană juridică şi
datele de contact ale persoanei juridice.
* Prezentul regulament nu se aplică chestiunilor de protecţie a
drepturilor şi libertăţilor fundamentale sau la libera circulaţie a
datelor cu caracter personal referitoare la activităţi care nu intră în
domeniul de aplicare al dreptului Uniunii, de exemplu activităţile
privind securitatea naţională
* Prezentul regulament nu se aplică prelucrării datelor cu caracter
personal de către statele membre atunci când acestea desfăşoară
activităţi legate de politica externă şi de securitatea comună a
Uniunii.
* Prezentul regulament nu se aplică prelucrării datelor cu caracter
personal de către o persoană fizică în cadrul unei activităţi exclusiv
personale sau domestice şi care, prin urmare, nu are legătură cu o
activitate profesională sau comercială. Activităţile personale sau
domestice ar putea include corespondenţa şi repertoriul de adrese
sau activităţile din cadrul reţelelor sociale şi activităţile online
-
desfăşurate în contextul respectivelor activităţi.
* Prezentul regulament nu se aplica persoanelor fizice în ceea ce
priveşte prelucrarea datelor cu caracter personal de către
autorităţile competente în scopul prevenirii, investigării, depistării
sau urmăririi penale a infracţiunilor sau al executării pedepselor,
inclusiv al protejării împotriva ameninţărilor la adresa siguranţei
publice şi al prevenirii acestora, precum şi libera circulaţie a acestor
date .
* Prezentul regulament nu se aplică datelor cu caracter personal
referitoare la persoane decedate. Statele membre pot să prevadă
norme privind prelucrarea datelor cu caracter personal referitoare la
persoane decedate.
Cand este necesara si legala folosirea datelor cu caracter personal?
Potrivit art. 6 din GDPR, prelucrarea este legală numai dacă și în
măsura în care se aplică cel puțin una dintre următoarele condiții:
*persoana vizată şi-a dat consimţământul pentru prelucrarea datelor
sale cu caracter personal pentru unul sau mai multe scopuri specifice;
*prelucrarea este necesară pentru executarea unui contract la care
persoana vizată este parte sau pentru a face demersuri la cererea
persoanei vizate înainte de încheierea unui contract;
*prelucrarea este necesară în vederea îndeplinirii unei obligaţii
legale care îi revine operatorului;
*prelucrarea este necesară pentru a proteja interesele vitale ale
persoanei vizate sau ale altei persoane fizice;
*prelucrarea este necesară pentru îndeplinirea unei sarcini care
serveşte unui interes public sau care rezultă din exercitarea autorităţii
publice cu care este învestit operatorul;
-
*prelucrarea este necesară în scopul intereselor legitime urmărite
de operator sau de o parte terţă, cu excepţia cazului în care
prevalează interesele sau drepturile şi libertăţile fundamentale ale
persoanei vizate, care necesită protejarea datelor cu caracter
personal, în special atunci când persoana vizată este un copil.
(această prevedere nu se aplică în cazul prelucrării efectuate de
autorităţi publice în îndeplinirea atribuţiilor lor). Acest paragraf nu se
aplică în cazul prelucrării efectuate de autorităţi publice în
îndeplinirea atribuţiilor lor.
UNDE SE APLICA GDPR
* se aplică prelucrării datelor cu caracter personal în cadrul
activităţilor unui sediu al unui operator sau al unei persoane
împuternicite de operator pe teritoriul Uniunii, indiferent dacă
prelucrarea are loc sau nu pe teritoriul Uniunii.
* se aplică prelucrării datelor cu caracter personal ale unor persoane
vizate care se află în Uniune de către un operator sau o persoană
împuternicită de operator care nu este stabilit(ă) în Uniune, atunci
când activităţile de prelucrare sunt legate de:
a)oferirea de bunuri sau servicii unor astfel de persoane vizate în
Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de
către persoana vizată; sau
b)monitorizarea comportamentului lor dacă acesta se manifestă în
cadrul Uniunii.
* se aplică prelucrării datelor cu caracter personal de către un
operator care nu este stabilit în Uniune, ci într-un loc în care dreptul
intern se aplică în temeiul dreptului internaţional public.
-
* I. NOTIUNI
In prezenta Politica de prelucrare a datelor cu caracter personal
sunt utilizate urmatoarele notiuni:
- date cu caracter personal - orice informatie referitoare la o
persoana fizica identificata sau identificabila (persoana vizata).
Persoana identificabila este persoana care poate fi identificata, direct
sau indirect, prin referire la un număr de identificare sau la unul ori
mai multe elemente specifice identitatii sale fizice, fiziologice, psihice,
economice, culturale sau sociale;
- operator – persoana fizica sau persoana juridica de drept
public sau de drept privat, inclusiv autoritatea publica, orice alta
institutie ori organizatie care, în mod individual sau impreună cu
altele, stabileste scopurile si mijloacele de prelucrare ale datelor cu
caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt
stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau
criteriile specifice pentru desemnarea acestuia pot fi prevazute in
dreptul Uniunii sau in dreptul intern;
- ofiter de protectie a datelor(DPO) – specialist in protectia
datelor al carui rol principal este acela de a coordona si
supraveghea implementarea conditiilor de conformitate GDPR,
precum si ca persoana de legatura intre organizatie si autoritatea
de supraveghere.
- mijloace de protectie a informatiei care contine date cu
caracter personal - mijloace tehnice, de program si tehnico-
aplicative, sisteme si complexe de sisteme ce realizeaza algoritmi de
conversie criptografica a informatiei care contine date cu caracter
personal, destinate sa asigure integritatea si confidentialitatea
informatiei in procesul de prelucrare, depozitare si transmitere a
acesteia prin canalele de comunicatii;
-
- perimetru de securitate - zona care reprezinta in sine o bariera
de trecere asigurata cu mijloace de control fizic si/sau tehnic al
accesului;
- utilizator – persoana care actioneaza sub autoritatea
detinatorului de date cu caracter personal, cu drept recunoscut de
acces la sistemele informationale de date cu caracter personal;
- sesiune de lucru — perioada care dureaza din momentul
pornirii calculatorului si aplicatiei de utilizare a resursei
informationale sau din momentul pornirii resursei informationale si
pana la momentul opririi acestora;
- prelucrarea datelor cu caracter personal – orice operatiune sau
serie de operatiuni care se efectueaza asupra datelor cu caracter
personal prin mijloace automatizate sau neautomatizate, cum ar fi
colectarea, inregistrarea, organizarea, stocarea, pastrarea,
restabilirea, adaptarea ori modificarea, extragerea, consultarea,
utilizarea, dezvaluirea prin transmitere, diseminare sau in orice alt
mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea;
- stocare - pastrarea pe orice fel de suport a datelor cu caracter
personal;
- sistem de evidenta a datelor cu caracter personal - orice
structura organizata de date cu caracter personal, accesibila potrivit
unor criterii determinate, indiferent dacă aceasta structura este
organizata in mod centralizat ori descentralizat sau este repartizata
dupa criterii functionale ori geografice;
- restrictionarea prelucrarii – inseamna marcarea datelor cu
caracter personal stocate cu scopul de a limitata prelucrarea viitoare
a acestora;
- crearea de profiluri - inseamna orice forma de prelucrare
automata a datelor cu caracter personal care consta in utilizarea
datelor cu caracter personal pentru a evalua anumite aspecte
-
personale referitoare la o persoana fizica, in special pentru a analiza
sau prevedea aspecte privind performanta la locul de munca, situatia
economica, sanatatea, preferintele personale, interesele, fiabilitatea,
comportamentul, locul in care se afla persoana fizica respectiva sau
deplasarile acesteia;
- pseudonimizare – inseamna prelucrarea datelor cu caracter
personal intr-un asemenea mod incat acestea sa nu mai poata fi
atribuie unei anume persoane vizate fara a se utiliza informatii
suplimentare, cu conditia ca aceste informatii suplimentare sa fie
stocate separat si sa faca obiectul unor masuri de natura tehnica si
organizatorica care sa asigure neatribuirea respectivelor date cu
caracter personal unei persoane fizice identificate sau identificabile;
- persoana imputernicita de operator – persoana fizica sau
juridica, autoritatea publica, agentia sau alt organism care
prelucreaza datele cu caracter personal in numele operatorului;
- destinatar – persoana fizica sau juridica, autoritatea publica,
agentia sau alt organism carora le sunt divulgate datele cu caracter
personal, indiferent daca este sau nu o parte terta. Cu toate acestea,
autoritatile publice carora li se pot comunica date cu caracter
personal in cadrul unei anumite anchete in conformitate cu dreptul
Uniunii sau cu dreptul intern nu sunt considerate destinatari;
prelucrarea acestor date de catre autoritatile publice respective
respecta normele aplicabile in materie de protectie a datelor, in
conformitate cu scopurile prelucrarii;
- parte terta – persoana fizica sau juridica, autoritate publica,
agentie sau organism altul decat persoana vizata, operatorul,
persoana imputernicita de operator si persoane care, sub directa
autoritate a operatorului sau a persoanei imputernicite de operator,
sunt autorizate sa prelucreze date cu caracter personal;
- consimtamant al persoanei vizate – inseamna orice manifestare
-
de vointa libera, specifica, informata si lipsita de ambiguitate a
persoanei vizate prin care aceasta accepta, printr-o declaratie sau
printr-o actiune fara echivoc, ca datele cu caracter personal care o
privesc sa fie prelucrate;
- incalcarea securitatii datelor cu caracter personal – inseamna o
incalcare a securitatii care duce, in mod accidental sau ilegal, la
distrugerea, pierderea, modificarea, sau divulgarea neautorizata a
datelor cu caracter personal transmise, stocate sau prelucrate intr-un
alt mod, sau la accesul neautorizat la acestea;
- date genetice – inseamna datele cu caracter personal
referitoare la caracteristicile genetice mostenite sau dobandite ale
unei persoane fizice, care ofera informatii unice privind fiziologia sau
sanatatea persoanei respective si care rezulta in special in urma unei
analize a unei mostre de material biologic recoltate de la persoana in
cauza;
- date biometrice – date cu caracter personal care rezulta in urma
unor tehnici de prelucrare specifice referitoare la caracteristicile
fizice, fiziologice sau comportamentale ale unei persoane fizice care
permit sau confirma identificarea unica a respectivei persoane, cum
ar fi imaginile faciale sau datele dactiloscopice;
- date privind sanatatea – date cu caracter personal legate de
sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea
de servicii de asistenta medicala, care dezvaluie informatii despre
starea de sanatate a acesteia;
- autoritate de supraveghere – inseamna o autoritate publica
independenta instituita de un stat membru.
- prelucrare transfrontalieră - înseamnă:
(a)fie prelucrarea datelor cu caracter personal care are loc în
contextul activităţilor sediilor din mai multe state membre ale unui
operator sau ale unei persoane împuternicite de operator pe
-
teritoriul Uniunii, dacă operatorul sau persoana împuternicită de
operator are sedii în cel puţin două state membre; sau (b)fie
prelucrarea datelor cu caracter personal care are loc în contextul
activităţilor unui singur sediu al unui operator sau al unei persoane
împuternicite de operator pe teritoriul Uniunii, dar care afectează în
mod semnificativ sau este susceptibilă de a afecta în mod
semnificativ persoane vizate din cel puţin două state membre;
- obiecţie relevantă şi motivată - înseamnă o obiecţie la un proiect
de decizie în scopul de a stabili dacă există o încălcare a prezentului
regulament sau dacă măsurile preconizate în ceea ce priveşte
operatorul sau persoana împuternicită de operator respectă
prezentul regulament, care demonstrează în mod clar importanţa
riscurilor pe care le prezintă proiectul de decizie în ceea ce priveşte
drepturile şi libertăţile fundamentale ale persoanelor vizate şi, după
caz, libera circulaţie a datelor cu caracter personal în cadrul Uniunii;
- serviciile societăţii informaţionale - înseamnă un serviciu de
stabilire a unei proceduri pentru furnizarea de informaţii în domeniul
standardelor şi reglementărilor tehnice şi al normelor privind
serviciile societăţii informaţionale.
- organizaţie internaţională - înseamnă o organizaţie şi organismele
sale subordonate
reglementate de dreptul internaţional public sau orice alt organism
care este instituit printr-un acord încheiat între două sau mai multe
ţări sau în temeiul unui astfel de acord.
- prelucrare transfrontalieră - înseamnă:
(a)fie prelucrarea datelor cu caracter personal care are loc în
contextul activităţilor sediilor din mai multe state membre ale unui
operator sau ale unei persoane împuternicite de operator pe
teritoriul Uniunii, dacă operatorul sau persoana împuternicită de
operator are sedii în cel puţin două state membre; sau (b)fie
-
prelucrarea datelor cu caracter personal care are loc în contextul
activităţilor unui singur sediu al unui operator sau al unei persoane
împuternicite de operator pe teritoriul Uniunii, dar care afectează în
mod semnificativ sau este susceptibilă de a afecta în mod
semnificativ persoane vizate din cel puţin două state membre;
- obiecţie relevantă şi motivată - înseamnă o obiecţie la un proiect
de decizie în scopul de a stabili dacă există o încălcare a prezentului
regulament sau dacă măsurile preconizate în ceea ce priveşte
operatorul sau persoana împuternicită de operator respectă
prezentul regulament, care demonstrează în mod clar importanţa
riscurilor pe care le prezintă proiectul de decizie în ceea ce priveşte
drepturile şi libertăţile fundamentale ale persoanelor vizate şi, după
caz, libera circulaţie a datelor cu caracter personal în cadrul Uniunii;
- serviciile societăţii informaţionale - înseamnă un serviciu de
stabilire a unei proceduri pentru furnizarea de informaţii în domeniul
standardelor şi reglementărilor tehnice şi al normelor privind
serviciile societăţii informaţionale.
- organizaţie internaţională - înseamnă o organizaţie şi organismele
sale subordonate
reglementate de dreptul internaţional public sau orice alt organism
care este instituit printr-un acord încheiat între două sau mai multe
ţări sau în temeiul unui astfel de acord.
* consimtamant- operatorul trebuie să fie în măsură să demonstreze
că persoana vizată și-a dat consimțământul pentru prelucrarea
datelor sale cu caracter personal. În cazul în care consimţământul
persoanei vizate este dat în contextul unei declarații scrise care se
referă şi la alte aspecte, cererea privind consimţământul trebuie să
fie prezentată într-o formă care o diferențiază în mod clar de
celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând
un limbaj clar și simplu. Persoana vizată are dreptul să își retragă în
-
orice moment consimțământul. Atunci când se evaluează dacă
consimţământul este dat în mod liber, se ţine seama ca executarea
unui contract, este condiționată sau nu de consimțământul cu privire
la prelucrarea datelor cu caracter personal care nu este necesară
pentru executarea acestui contract.
* consimtamantul copilului, ART.8 *****
* prelucrarea de categorii speciale de date cu caracter personal -
originea rasială sau etnică, opiniile politice, confesiunea religioasă sau
convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de
date genetice, de date biometrice pentru identificarea unică a unei
persoane fizice, de date privind sănătatea sau de date privind viaţa
sexuală sau orientarea sexuală ale unei persoane fizice. Art.9
* prelucrarea de date cu caracter personal referitoare la condamnări
penale şi infracţiuni,
* Prelucrarea care nu necesită identificare – informare persoana
vizata in masura in care este posibil,
Drepturile persoanei vizate
- dreptul la informare si acces – inseamna ca persoanele vizate
pot solicita informatii privind activitatile de prelucrare ale datelor cu
caracter personal si ca aveti dreptul de a obtine o confirmare din
partea noastra ca prelucram sau nu datele dumneavoastra, iar daca
da, sa va oferim acces la aceste date precum si informatii despre cum
sunt prelucrate;
- dreptul la portabilitate – se refera la faptul ca puteti primi
datele personale intr-un format structurat, care poate fi citit automat
-
si la dreptul ca acestea pot fi transmise direct altui operator;
- dreptul la opozitie – vizeaza dreptul de a te opune prelucrarii
datelor personale atunci cand aceasta deserveste un interes public ori
un interes legitim al nostru;
- dreptul de rectificare – se refera la corectarea fara intarzieri
nejustificate, a datelor personale inexacte;
- dreptul la stergere/dreptul de a fi uitat – inseamna ca ai
dreptul sa iti stergem datele colectate fara intarzieri nejustificate, in
oricare din urmatoarele situatii: nu mai sunt necesare pentru
indeplinirea scopurilor pentru care au fost colectate, ti-ai retras
consimtamantul si nu exista alt temei juridic pentru prelucrare, te
opui prelucrarii, datele au fost colectate ilegal, datele trebuie sterse
pentru respectarea unei obligatii legale, colectarea s-a facut cu
oferirea de servicii ale societatii informationale;
- dreptul la restrictionarea prelucrarii – poate fi exercitat in
urmatoarele cazuri: este contestata exactitatea datelor pe o perioada
care ne permite verificarea corectitudinii acestora, prelucrarea este
ilegala, dar nu se doreste stergerea datelor ci doar restrictionarea
acestora, in cazul in care operatorul nu mai are nevoie de datele cu
caracter personal in scopul prelucrarii, dar le soliciti pentru apararea
unui drept in instanta, daca te-ai opus prelucrarii pentru intervalul de
timp cat se verifica daca drepturile legitime prevaleaza asupra
drepturilor tale;
- dreptul de a fi notificat - in caz de incalcari privind securitatea
datelor, de catre operator;
- dreptul de a depune o plângere la autoritatea de
supraveghere.
- dreptul de a se adresa justitiei.
Restricţii
Dreptul Uniunii sau dreptul intern poate restricţiona printr-o măsură
-
legislativă domeniul de aplicare al obligaţiilor şi al drepturilor
prevăzute la unele articolele pentru a asigura:
a) securitatea naţională; b) apărarea; c) securitatea publică;
d) prevenirea, investigarea, depistarea sau urmărirea penală a
infracţiunilor sau executarea sancţiunilor penale, inclusiv protejarea
împotriva ameninţărilor la adresa securităţii publice şi prevenirea
acestora;
e) alte obiective importante de interes public general ale Uniunii sau
ale unui stat membru, în special un interes economic sau financiar
important al Uniunii sau al unui stat membru, inclusiv în domeniile
monetar, bugetar şi fiscal şi în domeniul sănătăţii publice şi al
securităţii sociale;
f) protejarea independenţei judiciare şi a procedurilor judiciare;
g) prevenirea, investigarea, depistarea şi urmărirea penală a încălcării
eticii în cazul profesiilor reglementate;
h) funcţia de monitorizare, inspectare sau reglementare legată, chiar
şi ocazional, de
exercitarea autorităţii oficiale în cazurile menţionate la literele (a)-(e)
şi (g);
i) protecţia persoanei vizate sau a drepturilor şi libertăţilor altora;
j) punerea în aplicare a pretenţiilor de drept civil.
* Operator,
* Operator asociat,
* Persoana imputernicita de catre operator,
* Evidenţele activităţilor de prelucrare, - ART.30****
* Cooperarea cu autoritatea de supraveghere
- Securitatea prelucrării - a) pseudonimizarea și criptarea datelor cu
caracter personal;
b)capacitatea de a asigura confidențialitatea, integritatea,
disponibilitatea și rezistența
-
continue ale sistemelor și serviciilor de prelucrare;
c)capacitatea de a restabili disponibilitatea datelor cu caracter
personal şi accesul la acestea
în timp util în cazul în care are loc un incident de natură fizică sau
tehnică;
d)un proces pentru testarea, evaluarea și aprecierea periodice ale
eficacității măsurilor
tehnice și organizatorice pentru a garanta securitatea prelucrării.
- Notificarea autorităţii de supraveghere în cazul încălcării securităţii
datelor cu caracter personal
- Informarea persoanei vizate cu privire la încălcarea securităţii
datelor cu caracter personal
* Evaluarea impactului asupra protecţiei datelor
* Consultarea prealabilă
Responsabilul cu protecţia datelor (DPO)
Operatorul şi persoana împuternicită de operator desemnează un
responsabil cu protecția datelor ori de câte ori:
a)prelucrarea este efectuată de o autoritate sau un organism public,
cu excepţia instanţelor care acţionează în exerciţiul funcţiei lor
jurisdicţionale;
b)activitățile principale ale operatorului sau ale persoanei
împuternicite de operator constau în operaţiuni de prelucrare care,
prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o
monitorizare periodică și sistematică a persoanelor vizate pe scară
largă; sau
c)activităţile principale ale operatorului sau ale persoanei
-
împuternicite de operator constau în prelucrarea pe scară largă a
unor categorii speciale de date, menţionată la articolul 9, sau a unor
date cu caracter personal privind condamnări penale şi infracţiuni,
menţionată la articolul 10.
Ce înseamnă ”Activităţi principale”? Pentru a stabili activitatea
principală desfăşurată de un operator sau împuternicit, aceasta
trebuie analizată prin raportare la prelucrările de date cu caracter
personal efectuate. La ce se referă „Monitorizarea periodică şi
sistematică”? ***
Aceasta presupune toate formele de urmărire și profilare pe
Internet, inclusiv în scop de publicitate comportamentală, nefiind însă
restrictionată în mediul online. Sintagma ”periodică și sistematică”
presupune o activitate continuă și recurentă, care implică prelucrări
de date.
Ce presupune prelucrarea ”Pe scară largă”?
Pentru a se stabili dacă o prelucrare este pe scară largă trebuie ţinut
cont de 4 criterii: numărul persoanelor vizate – un număr exact ori
un procent din populaţia relevantă; volumul datelor și/sau gama de
elemente diferite de date în curs de prelucrare; durata sau
permanența activității de prelucrare a datelor; suprafața geografică
a activității de prelucrare.
Ce înseamnă ”Categorii speciale de date”?
Categoriile speciale sunt acele date cu caracter personal care
dezvăluie originea rasială sau etnică, opiniile politice, confesiunea
religioasă sau convingerile filozofice sau apartenența la sindicate și
prelucrarea de date genetice, de date biometrice pentru
identificarea unică a unei persoane fizice, de date privind sănătatea
sau de date privind viața sexuală sau orientarea sexuală ale unei
persoane fizice.
-
Cine poate îndeplini funcţia de responsabil cu protecţia datelor?
Articolul 37 alin. 5 din Regulamentul UE 2016/679 stabileşte ca
responsabilul cu protecţia datelor să fie ”desemnat pe baza calităţilor
profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi
practicile din domeniul protecţiei datelor, precum şi pe baza
capacităţii de a îndeplini sarcinile prevăzute la articolul 39.”
Responsabilul cu protecţia datelor în domeniul public, în domeniul
privat, raportat la situaţiile prevăzute expres de art. 37 RGDP.
Responsabilul cu protecţia datelor poate fi angajat al
operatorului/persoanei împuternicite de operator sau poate să-și
îndeplinească sarcinile pe baza unui contract de prestări servicii. În
domeniul public, poate fi desemnat pentru mai multe autorităţi
sau instituţii publice, luând în considerare structura organizatorică şi
dimensiunea acestora.
Trebuie să aibă anumite calităţi profesionale, astfel:
experienţă în legislaţia şi practicile de protecţie a datelor la nivel
naţional şi european, precum şi o înţelegere adecvată a RGPD;
nivelul necesar de cunoştinţe în domeniul protecţiei datelor în
funcţie de operaţiunile de prelucrare a datelor efectuate şi de nivelul
de protecţie necesar pentru datele cu caracter personal prelucrate; să
înţeleagă operaţiunile de prelucrare efectuate, precum şi sistemele
de informaţii şi necesităţile de securitate şi protecţie a datelor
prelucrate de operator; în cazul unei autorităţi sau instituţii publice,
responsabilul cu protecţia datelor trebuie să deţină, de asemenea,
cunoştinţe privind reglementările legale referitoare la organizarea şi
funcţionarea acestora, precum şi a procedurilor interne
administrative ce vizează desfăşurarea activităţii.
Principala preocupare a responsabilului cu protecţia datelor trebuie
să fie respectarea Regulamentului General privind Protecţia Datelor şi
a reglementărilor naţionale incidente.
-
Este obligat să păstreze secretul sau confidenţialitatea în ceea ce
priveşte îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii
sau cu dreptul intern.
Operatorul sau persoana împuternicită de operator, în ceea ce
priveşte raporturile cu responsabilul cu protecţia datelor, este
obligat să:
publice datele de contact ale responsabilului (adresă poştală, număr
de telefon alocat special şi/sau o adresă de email alocată special).
comunice datele de contact ale responsabilului către Autoritatea
Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Responsabilului cu protecţia datelor îi este permis să aibă şi alte
funcţii.
Acestuia îi pot fi încredinţate şi alte sarcini şi atribuţii, cu condiţia ca
acestea să nu dea naştere unor conflicte de interese (de ex: nu poate
fi director executiv, director operaţional, director financiar, şeful
serviciului medical, şeful departamentului de marketing, şeful
departamentului de resurse umane sau şeful departamentului IT).
Responsabilul pentru protecţia datelor nu poate fi demis sau
sancţionat de operator sau persoana împuternicită de operator
pentru îndeplinirea sarcinilor sale.
De exemplu, responsabilul nu poate fi demis pentru oferirea unui
sfat conform sacinilor sale.
Un responsabil cu protecţia datelor ar putea fi totuşi demis, în mod
legal, din alte motive decât cele privind îndeplinirea sarcinilor sale în
această calitate.
De exemplu, responsabilul poate fi demis în caz de furt, hărţuire ori o
abatere gravă similară.
III. Sarcinile responsabilului cu protecţia datelor
*de a informa și consilia operatorul, sau persoana împuternicită de
-
operator, precum şi angajaţii care se ocupă de prelucrările de date;
*de a monitoriza respectarea Regulamentului, a altor dispoziţii de
drept al Uniunii sau de drept intern referitoare la protecţia datelor;
*de a consilia operatorul în ceea ce priveşte realizarea unei analize
de impact asupra protecţiei datelor şi de a monitoriza executarea
acesteia;
*de a coopera cu Autoritatea de Supraveghere şi de a reprezenta
punctul de contact cu aceasta;
de a ţine seama în mod corespunzător de riscul asociat operaţiunilor
de prelucrare, la îndeplinirea sarcinilor sale.
*** Exemple de situaţii care pot constitui o monitorizare periodică şi
sistematică a persoanelor vizate: gestionarea unei reţele de
telecomunicaţii; profilare şi scoring în scopul evaluării riscurilor (de
exemplu, în scopul acordării unui credit, stabilirea primelor de
asigurare, de prevenire a fraudelor, detectarea spălării banilor);
urmărirea locaţiei, spre exemplu prin aplicaţii mobile (geolocalizare);
desfăşurarea de programe de loialitate; monitorizarea stării de
sănătate prin intermediul dispozitivelor portabile; televiziune cu
circuit închis - CCTV; prelucrarea datelor pacienților de către un
spital; prelucrarea datelor datelor de conţinut, locaţie, trafic de către
furnizorii de servicii de internet; prelucrarea datelor personale de
către companii de asigurări; publicitate comportamentală.
Când nu este necesară desemnarea unui responsabil cu protecţia
datelor?
- atunci când nu se prelucrează pe scară largă date cu caracter
personal.
Spre exemplu:
prelucrarea datelor pacientului de către un cabinet medical
individual;
-
prelucrarea datelor personale referitoare la condamnările penale şi
infracţiuni de către un cabinet individual de avocatură.
**** Art. 30: Evidenţele activităţilor de prelucrare
(1)Fiecare operator şi, după caz, reprezentantul acestuia păstrează o
evidenţă a activităţilor de prelucrare desfăşurate sub
responsabilitatea lor. Respectiva evidenţă cuprinde toate următoarele
informaţii: a)numele şi datele de contact ale operatorului şi, după caz,
ale operatorului asociat, ale reprezentantului operatorului şi ale
responsabilului cu protecţia datelor; b)scopurile prelucrării; c)o
descriere a categoriilor de persoane vizate şi a categoriilor de date cu
caracter personal; d)categoriile de destinatari cărora le-au fost sau le
vor fi divulgate datele cu caracter personal, inclusiv destinatarii din
ţări terţe sau organizaţii internaţionale; e)dacă este cazul,
transferurile de date cu caracter personal către o ţară terţă sau o
organizaţie internaţională, inclusiv identificarea ţării terţe sau a
organizaţiei internaţionale respective şi, în cazul transferurilor
menţionate la articolul 49 alineatul (1) al doilea paragraf,
documentaţia care dovedeşte existenţa unor garanţii adecvate;
f)acolo unde este posibil, termenele-limită preconizate pentru
ştergerea diferitelor categorii de date; g)acolo unde este posibil, o
descriere generală a măsurilor tehnice şi organizatorice de securitate
menţionate la articolul 32 alineatul (1).
(2)Fiecare operator şi, după caz, persoana împuternicită de operator
păstrează o evidenţă a tuturor categoriilor de activităţi de prelucrare
desfăşurate în numele operatorului, care cuprind: a)numele şi datele
de contact ale persoanei sau persoanelor împuternicite de operator şi
ale fiecărui operator în numele căruia acţionează această persoană
(aceste persoane), precum şi ale reprezentantului operatorului sau al
persoanei împuternicite de operator, după caz; b)categoriile de
activităţi de prelucrare desfăşurate în numele fiecărui operator;
-
c)dacă este cazul, transferurile de date cu caracter personal către o
ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării
terţe sau a organizaţiei internaţionale respective şi, în cazul
transferurilor prevăzute la articolul 49 alineatul (1) al doilea paragraf,
documentaţia care dovedeşte existenţa unor garanţii adecvate;
d)acolo unde este posibil, o descriere generală a măsurilor tehnice şi
organizatorice de securitate menţionate la articolul 32 alineatul (1).
***Art. 8: Condiţii aplicabile în ceea ce priveşte consimţământul
copiilor în legătură
cu serviciile societăţii informaţionale
(1)În cazul în care se aplică articolul 6 alineatul (1) litera (a)***, în
ceea ce priveşte oferirea de
servicii ale societății informaționale în mod direct unui copil,
prelucrarea datelor cu caracter
personal ale unui copil este legală dacă copilul are cel puțin vârsta
de 16 ani. Dacă copilul are
sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă şi
în măsura în care
consimțământul respectiv este acordat sau autorizat de titularul
răspunderii părintești asupra
copilului.
Statele membre pot prevedea prin lege o vârstă inferioară în aceste
scopuri, cu condiţia ca
acea vârstă inferioară să nu fie mai mică de 13 ani. - NU E CAZUL -
(2)Operatorul depune toate eforturile rezonabile pentru a verifica în
astfel de cazuri că
titularul răspunderii părintești a acordat sau a autorizat
consimțământul, ţinând seama de
tehnologiile disponibile.
(3)Alineatul (1) nu afectează dreptul general al contractelor aplicabil
-
în statele membre, cum
ar fi normele privind valabilitatea, încheierea sau efectele unui
contract în legătură cu un
copil.
***Art. 6: Legalitatea prelucrării
(1)Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre
următoarele condiţii:
a)persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter
personal pentru unul sau mai multe scopuri specifice;
Documentatie
* Registru de evidenta,
* Politici sau proceduri,
* Note de informare si consimtamantul,
* Formular de luare la cunostinta,
* Formular declarare DPO ***, ANSPDCP
* Formular bresa , de incalcare ***,
* Formular electronic de plangere***,
* Model de plangeri ptr exercitarea diverselor drepturi.***