suport curs- Regulamentul general privind protectia datelor · Ce este Regulamentulgeneral privind...

Regulamentul general privind protectia datelor

(RGDP)

Ce este Regulamentul general privind protectia datelor

(RGDP)?

La o simpla căutare pe internet, vom găsi multe referiri la un act denumit simplu "GDPR" (General Data Protection Regulation), adoptat de Parlamentul European în aprilie 2016. Spre deosebire de directivele cu care ne-am obișnuit în trecut, Regulamentele Europene nu au nevoie de legi naționale care să transpună prevederile în legislația fiecărui stat UE și intră în vigoare direct, fără nicio formalitate, în toate statele Uniunii Europene.Regulamentul general privind protectia datelor (GDPR) este un regulament care va aplica un regim mai puternic de protectie a datelorpentru organizatiile care opereaza in uniunea europeana (UE) si care gestioneaza datele cetatenilor ue. GDPR constituie protectia datelor personale ale angajatilor, clientilor si ale altor persoane.. In cazul in care organizatiile nu respecta acest regulament, ele vor fi supuse unor amenzi mari iar reputatia firmei va avea de suferit.Considerand ca datele personale reprezinta informatii critice si sensibile pe care toate organizatiile ar trebui sa le protejeze, o astfel de reglementare va ajuta la instituirea unor proceduri si controale adecvate pentru a preveni incalcarea securitatii informatiilor. Pana in mai 2018, toate organizatiile care opereaza in UE ar trebui sa respecte acest regulament si sa desemneze un DPO.Prevederile acestui regulament nu sunt opționale și vizează toate

activitățile din oricesector și domeniu, indiferent de dimensiunea business-ului, pentru că măsurile prevăzuteaduc atingere tuturor activităților care implică informații - GDPR are informația ca punctcentral de interes - mai precis, tot ceea ce ține de prelucrarea informațiilor, adică decolectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea,extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punereala dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea saudistrugerea informațiilor.

De ce este important regulamentul privind protectia generala a datelor GDPR ?

Avand in vedere ca incalcarile datelor au devenit foarte sofisticate in ultimii ani, nevoia de protectie a datelor a crescut si ea. securitatea informatiilor este cruciala pentru succesul oricarei organizatii, deoarece se

ocupa de protectia datelor sensibile impotriva accesului, utilizarii, replicarii si distrugerii neautorizate. ca atare, organizatiile ar trebui sa puna in aplicare masuri si controale pentru a gestiona si diminua riscurile legate de securitatea informatiilor si pentru a respecta cerintele GDPR.In cazul in care organizatiile nu respecta cerintele gdpr, penalitatile pot ajunge pana la 4% din cifra de afaceri anuala a unei organizatii. de asemenea, in caz de incalcari mai grave, penalitatile pot ajunge la 20 milioane de euro din veniturile anuale ale unei organizatii.Punerea in aplicare a unui cadru privind confidentialitatea, pe de alta parte, va permite profesionistilor sa dezvolte si sa puna in aplicare controale de incredere, care sunt in general acceptate. devenind un ofiter certificat de protectie a datelor (DPO) va veti permite sa dobanditi expertiza necesara pentru a intelege riscurile care ar putea avea un impact negativ asupra organizatiei dvs. si pentru a implementa raspunsurile strategice necesare pe baza celor mai bune practici, cerinte si principii GDPR.

Cum incep sa lucrez cu instruirea pentru protectia datelor?Primul pas este sa va pregatiti cu fundamentele gdpr care va vor ajuta sa atingeti conformitatea. cursurile noastre de instruire sunt furnizate de formatori cu experienta care va vor ajuta sa intelegeti beneficiile si modul in care acestea pot fi aplicabile organizatiei dvs. expertii nostri sunt aici pentru a va ajuta pe parcursul intregului proces.

Cui i se aplică Regulamentul privind protecția datelor?

RGDP se aplică în cazul: unei societăți sau unei entități care prelucrează date cu caracter

personal ca parte a activităților uneia dintre sucursalele sale cu sediul în UE, indiferent unde are loc prelucrarea datelor; sau

unei societăți care are sediul în afara UE și oferă bunuri/servicii (contra cost sau gratuit) sau monitorizează comportamentul unor persoane fizice din UE.

În cazul în care societatea dvs. este o întreprindere mică sau mijlocie (IMM) care prelucrează date conform descrierii de mai sus, trebuie să respectați RGDP. Cu toate acestea, dacă prelucrarea datelor cu caracter personal nu constituie o parte esențială a derulării activităților comerciale, iar activitatea dvs. nu creează riscuri pentru persoanele fizice, atunci nu vi se aplică unele obligații din RGPD [de exemplu, numirea unui responsabil cu protecția datelor (RPD)]. Rețineți că „activitățile principale” ar trebui să

includă activități în cadrul cărora prelucrarea de date reprezintă o parte inseparabilă a activității operatorului sau a persoanei împuternicite de operator.Exemple:Când se aplică RGPD

Societatea dvs. este o societate mică din domeniul învățământului superior, cu activitate online și sediu în afara UE. Aceasta vizează în principal universitățile de limbă spaniolă și portugheză din UE. Ea oferă consultanță gratuită cu privire la mai multe cursuri universitare, iar studenții au nevoie de un nume de utilizator și o parolă pentru a accesa materialele dvs. online. Societatea alocă numele de utilizator și parola după ce studenții completează un formular de înscriere.

Când nu se aplică RGPD

Societatea dvs. este un furnizor de servicii cu sediul în afara UE. Ea oferă servicii unor clienți din afara UE. Clienții dvs. pot utiliza aceste servicii când călătoresc în alte țări, inclusiv pe teritoriul UE. Atât timp cât serviciile prestate de societatea dvs. nu se adresează în mod specific persoanelor fizice din UE, societatea nu face obiectul normelor RGPD.

Se aplică normele în cazul IMM-urilor?

Da, aplicarea regulamentului privind protecția datelor nu depinde de mărimea societății/organizației dvs., ci de natura activităților pe care le desfășurați. Activitățile care prezintă riscuri ridicate pentru drepturile și libertățile persoanelor fizice, indiferent dacă sunt desfășurate de către un IMM sau de către o corporație, atrag aplicarea unor norme mai stringente. Cu toate acestea, unele obligații prevăzute de RGPD nu li se aplică tuturor IMM-urilor.De exemplu, societățile cu mai puțin de 250 de angajați nu au obligația să păstreze evidențe ale activităților lor de prelucrare decât dacă prelucrarea datelor cu caracter personal este o activitate regulată, reprezintă o amenințare la adresa drepturilor și a libertăților persoanelor fizice sau se referă la date sensibile ori la caziere judiciare.Tot astfel, IMM-urile au obligația de a numi un responsabil cu protecția datelor numai dacă prelucrarea reprezintă activitatea lor principală și dacă aceasta implică anumite amenințări la adresa drepturilor și a libertăților

persoanelor fizice (cum ar fi monitorizarea persoanelor fizice sau prelucrarea unor date sensibile ori a unor caziere judiciare), în special pentru că se desfășoară la scară largă.

Normele de protecție a datelor se aplică datelor referitoare la societăți?Nu, normele se aplică numai datelor cu caracter personal privind persoanele fizice și nu reglementează datele referitoare la societăți sau la alte entități juridice. Cu toate acestea, informațiile legate de societăți alcătuite dintr-o singură persoană pot constitui date cu caracter personal dacă permit identificarea unei persoane fizice. Normele se aplică, de asemenea, tuturor datelor cu caracter personal referitoare la persoane fizice în cadrul unei activități profesionale, cum ar fi angajații unei societăți/organizații, precum adresele de e-mail de afaceri ca „[email protected]” sau numerele de telefon ale angajaților.

Referințe: Articolele 1, 2 și 3 și considerentele (13), (14), (15), (18), (19) și (21)

ale RGPD A se vedea Hotărârea Curții de Justiție din 9 martie 2017, Manni, C-

398/15, ECLI:EU:C:2017:197*

Principii:

1.Ce date pot fi prelucrate și în ce condiții?Tipul și cantitatea de date cu caracter personal pe care societatea/organizația are dreptul să le prelucreze depind de motivul pentru care sunt prelucrate (temeiul juridic în cauză) și de scopul în care sunt prelucrare. Societatea/organizația trebuie să respecte mai multe norme-cheie, inclusiv următoarele: datele cu caracter personal trebuie prelucrate într-un mod legal și

transparent, garantând echitatea în ceea ce privește persoanele fizice ale căror date cu caracter personal sunt prelucrate („legalitate, echitate și transparență”);

trebuie să existe scopuri specifice ale prelucrării datelor și societatea/organizația trebuie să informeze persoanele fizice în legătură cu scopurile respective atunci când le colectează date cu

caracter personal. Societatea/organizația nu poate colecta pur și simplu date cu caracter personal în scopuri nedefinite („limitări legate de scop”);

societatea/organizația trebuie să colecteze și să prelucreze numai acele date cu caracter personal care sunt necesare pentru îndeplinirea scopului respectiv („reducerea la minimum a datelor”);

societatea/organizația trebuie să se asigure că datele cu caracter personal sunt exacte și actualizate, având în vedere scopurile pentru care sunt prelucrate, și să fie corectate în caz contrar („exactitate”);

societatea/organizația nu are dreptul să utilizeze datele cu caracter personal în alte scopuri care nu sunt compatibile cu scopul inițial;

societatea/organizația trebuie să se asigure că datele cu caracter personal nu sunt stocate mai mult timp decât este necesar pentru scopurile în care au fost colectate („limitări legate de stocare”);

societatea/organizația trebuie să prevadă garanții tehnice și organizaționale adecvate care să asigure securitatea datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnologice adecvate („integritate și confidențialitate”).

Exemplu:Societatea/organizația dvs. administrează o agenție de turism. Când obțineți date cu caracter personal ale clienților dvs., ar trebui să le explicați într-un limbaj clar și simplu de ce aveți nevoie de datele respective, cum le veți utiliza și cât timp intenționați să le păstrați. Prelucrarea ar trebui adaptată la principiile-cheie de protecție a datelor.

Referințe: Articolul 5 alineatul (1) și considerentul (39) al RGPD Avizul 03/2013 al Grupului de lucru al articolului 29 privind limitările

legate de scop (WP 203)

2.Scopul prelucrării datelor

Pot fi prelucrate datele în orice scop?Nu. Scopul în care sunt prelucrate datele cu caracter personal trebuie cunoscut, iar persoanele fizice ale căror date le prelucrați trebuie informate.

Nu puteți menționa pur și simplu că se vor colecta și prelucra date cu caracter personal. Acesta este principiul „limitărilor legate de scop”.Referințe: Avizul 03/2013 al Grupului de lucru al articolului 29 privind limitările legate

de scop (WP 203)

Putem folosi date în alt scop?

Da, dar numai în unele cazuri. Dacă societatea/organizația dvs. a colectat date în baza unui interes legitim, a unui contract sau a unor interese vitale, le puteți folosi în alt scop, dar numai după ce vă asigurați că noul scop este compatibil cu scopul inițial.Trebuie luate în considerare următoarele aspecte: legătura dintre scopul inițial și scopul nou/viitor; contextul în care au fost colectate datele (care este relația dintre

societatea/organizația dvs. și persoana fizică în cauză?); tipul și natura datelor (sunt acestea sensibile?); posibilele consecințe ale prelucrării ulterioare preconizate (cum vor

influența acestea persoana fizică în cauză?); existența unor garanții adecvate (cum ar fi criptarea sau

pseudonimizarea).Dacă societatea/organizația dvs. dorește să utilizeze datele pentru statistici sau pentru cercetare, nu este obligatoriu să testeze compatibilitatea.Dacă societatea/organizația dvs. a colectat date în temeiul unui consimțământ sau al unei cerințe legislative, nu este posibilă nicio prelucrare ulterioară care depășește domeniile acoperite de consimțământul inițial sau de dispoziția legislativă. Prelucrarea ulterioară ar necesita obținerea unui nou consimțământ sau un nou temei juridic.

Exemple:Este posibilă prelucrarea ulterioarăO bancă are un contract cu un client pentru a-i oferi clientului un cont bancar și un împrumut de nevoi personale. La sfârșitul primului an, banca utilizează datele cu caracter personal ale clientului pentru a verifica dacă acesta este eligibil pentru un tip de împrumut mai avantajos și pentru un sistem de economii. Banca informează clientul. Banca poate prelucra din nou datele clientului, deoarece noile scopuri sunt compatibile cu scopul inițial.

Nu este posibilă prelucrarea ulterioarăAceeași bancă dorește să transmită datele clientului unor firme de asigurări, în temeiul aceluiași contract pentru constituirea unui cont bancar și acordarea unui împrumut de nevoi personale. Această prelucrare nu este permisă fără consimțământul explicit al clientului, deoarece scopul nu este compatibil cu scopul inițial în care au fost prelucrate datele.

Referințe: Articolul 5 alineatul (1) litera (b), articolul 6 alineatul (4) și articolul 89

alineatul (1); considerentele (39) și (50) ale RGPD Avizul 03/2013 al Grupului de lucru al articolului 29 privind limitările

legate de scop, 2 aprilie 2013 (WP 203)

3.Cât de multe date se pot colecta?

Datele cu caracter personal ar trebui prelucrate numai atunci când nu este posibilă în mod rezonabil efectuarea prelucrării în alt mod. Dacă esteposibil, este preferabil să se utilizeze date anonime. În cazul în care sunt necesare date cu caracter personal, acestea ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar în scopul respectiv („reducerea la minimum a datelor”). În calitate de operator, societății/organizației dvs. îi revine responsabilitatea de a evalua ce volum de date este necesar și de a se asigura că nu se colectează date irelevante.

Exemplu:

Societatea/organizația dvs. oferă persoanelor fizice servicii de partajare a autoturismelor. Pentru aceste servicii poate avea nevoie de numele, adresa și numărul cardului de credit al clienților și, poate, chiar de informații privind o eventuală dizabilitate de care suferă persoana în cauză (așadar, date privind sănătatea), dar nu și de originea rasială a clienților.

Referințe: Articolul 5 alineatul (1) litera (c) și considerentul (39) al RGPD

4.Cât timp pot fi păstrate datele și se impune actualizarea lor?

Răspuns:Trebuie să stocați datele pentru o perioadă cât mai scurtă posibil. Perioada ar trebui să țină seama de motivele pentru care societatea/organizația dvs. trebuie să prelucreze datele, precum și de eventuale obligații juridice de a păstra datele o perioadă fixă de timp (de exemplu, legile privind ocuparea forței de muncă, legile fiscale sau legile antifraudă naționale care vă impun păstrarea datelor cu caracter personal despre angajații dvs. pentru o perioadă determinată, durata garanției produselor etc.).Societatea/organizația dvs. ar trebui să stabilească termene pentru ștergerea sau revizuirea datelor stocate.Ca excepție, datele cu caracter personal pot fi păstrate o perioadă mai îndelungată în scopuri de arhivare în interes public ori în scopuri de cercetare științifică sau istorică, cu condiția să fie puse în aplicare măsuri de ordin tehnic și organizatoric adecvate (precum anonimizare, criptare etc.).De asemenea, societatea/organizația dvs. trebuie să se asigure că datele pe care le deține sunt exacte și să le actualizeze.

Exemplu:Date păstrate prea mult timp fără actualizare

Societatea/organizația dvs. administrează un birou de recrutări și, în acest scop, colectează CV-uri ale unor persoane dornice de angajare, care, în schimbul serviciilor dvs. de intermediere, vă plătesc o taxă. Intenționați să păstrați datele timp de 20 de ani și nu aveți măsuri de actualizare a CV-urilor. Perioada de stocare nu pare proporțională cu scopul de a găsi un loc de muncă pentru o persoană pe termen scurt până la mediu. Mai mult, faptul că nu cereți actualizări ale CV-urilor la intervale regulate face ca unele căutări să fie inutile pentru persoana care caută un loc de muncă după o anumită perioadă de timp (de exemplu, pentru că persoana respectivă a dobândit calificări noi).Referințe: Articolul 5 alineatul (1) litera (e) și considerentul (39) al RGPD

5.Ce informații trebuie să le oferim persoanelor ale căror date sunt colectate?

În momentul în care colectați datele, persoanele trebuie clar informate cel puțin despre: cine este societatea/organizația dvs. (datele de contact ale dvs. și ale

eventualului RPD al dvs., dacă este cazul); la ce va folosi societatea/organizația dvs. datele cu caracter personal

ale acestora (scopurile); categoriile de date cu caracter personal în cauză; justificarea juridică a prelucrării datelor; cât timp vor fi păstrate datele; cine altcineva le-ar putea primi; dacă datele cu caracter personal ale acestor oameni vor

fi transferate către un destinatar din afara UE; că aceștia au dreptul la o copie a datelor (dreptul de a accesa datele

cu caracter personal) și alte drepturi de bază în domeniul protecției datelor (consultați lista completă a drepturilor);

dreptul de a depune o plângere în fața unei autorități de protecție a datelor (APD);

dreptul de a-și retrage consimțământul în orice moment; eventuala existență a unui proces decizional automatizat și logica

utilizată, inclusiv consecințele acestui fapt.

Aceste informații trebuie furnizate în scris, oral la solicitarea persoanei vizate, dacă identitatea acesteia a fost dovedită prin alte mijloace, sau prin mijloace electronice atunci când este oportun. Societatea/organizația dvs. trebuie să furnizeze informațiile într-un mod concis, transparent, inteligibil și ușor accesibil, într-un limbaj clar și simplu și în mod gratuit.Când datele sunt obținute de la o altă societate/organizație, societatea/organizația dvs. ar trebui să îi furnizeze persoanei informațiile menționate mai sus în termen de o lună de la momentul la care societatea/organizația dvs. a obținut datele cu caracter personal; sau, în cazul în care societatea/organizația dvs. comunică cu persoana fizică, în momentul în care datele sunt utilizate pentru comunicarea cu aceasta; sau, dacă se intenționează divulgarea datelor către o altă societate, la data la care datele cu caracter personal au fost divulgate pentru prima oară.De asemenea, societatea/organizația dvs. are obligația de a informa persoana fizică în legătură cu categoriile de date și cu sursa din care a obținut datele, inclusiv dacă au fost obținute din surse disponibile public. În anumite situații enumerate la articolul 13 alineatul (4) și la articolul 14 alineatul (5) din RGPD, societatea/organizația dvs. poate fi scutită de

obligația de a informa persoana fizică. Vă rugăm să verificați dacă această excepție se aplică societății/organizației dvs.Referințe Articolul 12 alineatele (1), (5) și (7), articolele 13 și 14 și considerentele

(58)-(62) ale RGPD Orientările Grupului de lucru al articolului 29 privind transparența

Administrațiile publice și protecția datelor

1.Care sunt principalele aspecte ale Regulamentului general privind protecția datelor (RGPD) pe care ar trebui să le cunoască o administrație publică?

O administrație publică face obiectul normelor RGPD atunci când prelucrează date cu caracter personal referitoare la o persoană fizică. Este responsabilitatea administrațiilor naționale să sprijine administrația regională și locală în pregătirea pentru aplicarea RGPD.Cele mai multe date cu caracter personal deținute de administrațiile publice sunt prelucrate în mod obișnuit în temeiul unei obligații legale sau în măsura în care acest lucru este necesar pentru îndeplinirea unor atribuții de interes public sau în exercitarea autorității publice cu care este învestită organismul.Când prelucrează date cu caracter personal, o administrație publică trebuie să respecte principii-cheie cum sunt: o prelucrare echitabilă și legală; limitarea scopului; reducerea la minimum a datelor și păstrarea datelor.

În cazul prelucrării în temeiul legii, această lege ar trebui să asigure deja respectarea acestor principii (spre exemplu, tipuri de date, perioada de stocare și măsuri de protecție corespunzătoare).Înainte de a prelucra date cu caracter personal, persoanele fizice trebuie informate cu privire la prelucrare, cum ar fi scopurile acesteia, tipurile de date colectate, destinatarii și drepturile care le revin în ceea ce privește protecția datelor.O administrație publică trebuie să numească un responsabil cu protecția datelor (RPD), cu toate acestea un responsabil cu protecția datelor poate fi numit pentru mai multe organisme publice și prin urmare acesta să fie comun, sau există posibilitatea externalizării acestei activități

unui RPD extern De asemenea, trebuie să se asigure că a pus în aplicare măsuri tehnice și organizatorice adecvate pentru a securiza datele cu caracter personal. Dacă se externalizează unele părți ale prelucrării către o organizație externă (o așa-numită „persoană împuternicită de operator”), trebuie să existe un contract sau un alt act juridic care să garanteze faptul că persoana împuternicită de operator oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate care întrunesc standardele RGPD.În cazurile în care datele cu caracter personal deținute sunt dezvăluite în mod accidental sau ilegal către destinatari neautorizați sau sunt indisponibile temporar ori suferă modificări, autoritatea de protecție a datelor (APD) trebuie înștiințată cu privire la încălcare fără întârzieri nejustificate, în termen de cel mult 72 de ore de la momentul la care ați luat cunoștință de încălcare. Poate fi necesar ca administrația publică să informeze și persoanele fizice cu privire la încălcare.

Referințe: Capitolele II și IV din RGPD

2.Cum tratăm solicitările din partea persoanelor fizice?

Persoanele fizice pot contacta o administrație publică pentru a-și exercita drepturile conferite de RGPD (dreptul de acces, de rectificare, de ștergere, de restricționare, de opoziție, dreptul de a nu face obiectul unui proces decizional automat).Rețineți că persoanele fizice au dreptul de a se opune prelucrării datelor cu caracter personal de către o administrație publică pe motive de interes public. Persoanele respective trebuie să prezinte administrației publice motive referitoare la situația lor particulară. Administrația publică poate continua să prelucreze datele și deci poate respinge solicitarea dacă demonstrează motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor și a drepturilor persoanei fizice sau dacă datele respective sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în instanță.Persoanele fizice nu au drepturi asupra transmiterii acelor date referitoare la ele care sunt necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul.O administrație publică trebuie să răspundă solicitărilor primite din partea persoanelor fizice fără întârzieri nejustificate, în principiu, în termen de o

lună de la primirea solicitării. Aceasta poate cere persoanelor care efectuează solicitarea informații suplimentare pentru a le confirma identitatea. Dacă solicitarea este respinsă, persoanele în cauză trebuie informate cu privire la motivele respingerii și la dreptul acestora de a depune o plângere la APD, precum și la dreptul acestora la o cale de atac.

Referință: Capitolul III din RGPD

3. Ce se întâmplă dacă o administrație publică nu respectă normele privind protecția datelor?

Autoritățile de protecție a datelor au la dispoziție diferite instrumente în caz de încălcare. În cazul unei posibile încălcări se poate emite un avertisment. În cazul unei încălcări, printre posibilități se numără: o mustrare sau interzicerea temporară sau definitivă a prelucrării. În unele țări, organismele publice pot face obiectul unor amenzi administrative. O administrație publică trebuie să verifice legea privind protecția datelor din țara dvs.Persoanele fizice pot cere despăgubiri în cazul în care un organism public a încălcat RGPD, iar ele au suferit prejudicii materiale (de exemplu, pierderi financiare) sau morale (de exemplu, compromiterea reputației sau stres psihologic). RGPD asigură faptul că aceste persoane vor primi despăgubiri indiferent de numărul organizațiilor implicate în prelucrarea datelor lor. Cererea de despăgubire poate fi adresată direct organismului public sau poate fi adusă în fața instanțelor naționale competente din statul membru vizat.

Referințe: Articolele 58, 82, 83 și 84 și considerentele (129), (146), (147), (148),

(150) și (151) din RGPD

Temeiul juridic al prelucrării datelor

1.Când pot fi prelucrate date cu caracter personal?

Societatea/organizația dvs. poate prelucra date cu caracter personal numai în situațiile următoare: cu consimțământul persoanelor fizice în cauză;

când există o obligație contractuală (un contract între societatea/organizația dvs. și un client);

pentru a respecta o obligație legală (prevăzută în legislația UE sau în legislația națională);

când prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public (prevăzute în legislația UE sau în legislația națională);

pentru a proteja interesele vitale ale unei persoane fizice; în scopul intereselor legitime ale organizației dvs., dar numai după ce

v-ați asigurat că acest lucru nu are un impact grav asupra drepturilor și a libertăților fundamentale ale persoanei ale cărei date le prelucrați. Dacă drepturile persoanei respective prevalează în raport cu interesele dvs., prelucrarea nu poate fi efectuată în temeiul unui interes legitim. Stabilirea aspectului dacă societatea/organizația dvs. are interese legitime privind prelucrarea în raport cu cele ale persoanelor în cauză depinde de circumstanțele individuale.

Exemple:ConsimțământulSocietatea/organizația dvs. oferă o aplicație de muzică și solicitați consimțământul cetățenilor pentru a le prelucra preferințele muzicale, cu scopul de a le oferi sugestii personalizate privind melodiile și eventuale concerte.Obligație contractuală

Societatea/organizația dvs. vinde produse online. Aceasta poate prelucra datele care sunt necesare pentru a parcurge etapele premergătoare încheierii contractului la solicitarea persoanei respective și pentru executarea contractului. Așadar, puteți prelucra numele, adresa de livrare, numărul cardului de credit (dacă plata se efectuează cu cardul) etc.

Obligație legală

Sunteți proprietarul unei societăți cu angajați. Pentru a obține acoperire în materie de securitate socială, legea vă obligă să furnizați autorității relevante date cu caracter personal (de exemplu, venitul săptămânal al angajaților dvs.).

Interes public

Exemplu: o asociație profesională, cum ar fi o asociație de tip barou sau o cameră a profesioniștilor din domeniul medical învestită cu o autoritate oficială în acest scop, poate efectua proceduri disciplinare împotriva unor membri ai săi.Interesele vitale ale unei personae

Un spital tratează un pacient după un accident rutier grav; spitalul nu are nevoie de consimțământul acestuia pentru a-i căuta actul de identitate și a verifica dacă persoana respectivă se află în baza sa de date, pentru a-i găsi fișa medicală sau a-i contacta rudele cele mai apropiate.

Interesele legitime ale organizației dvs.

Societatea/organizația dvs. asigură securitatea rețelei sale, monitorizează utilizarea dispozitivelor de TI ale angajaților săi. Societatea/organizația dvs. poate prelucra în mod legitim date cu caracter personal în acest scop numai dacă alegeți metoda cel mai puțin intruzivă în ceea ce privește drepturile angajaților dvs. la protejarea confidențialității și a datelor, de exemplu, limitând accesibilitatea anumitor site-uri (Rețineți că acest lucru nu este posibil în statele membre UE în care legislația națională stabilește norme mai stricte pentru prelucrarea în contextul legat de forța de muncă.)

Referințe: Articolul 6 și considerentele (40)-(49) ale RGPD Avizul 06/2014 al Grupului de lucru al articolului 29 privind noțiunea de

interese legitime ale operatorului de date în temeiul articolului 7 din Directiva 95/46/CE

22.Ce înseamnă „temeiul unui interes legitim”?

În calitate de societate/organizație, aveți adesea nevoie să prelucrați date cu caracter personal pentru a îndeplini sarcini legate de activitățile dvs. deafaceri. Prelucrarea datelor cu caracter personal în acest context poate să nu fie neapărat justificată de o obligație legală sau de obligația de executare a termenelor unui contract cu o persoană fizică. Prin urmare, în astfel de cazuri prelucrarea datelor poate fi justificată pe „interese legitime”.Societatea/organizația dvs. trebuie să informeze persoanele în cauză cu privire la prelucrare în momentul în care sunt colectate datele lor cu caracter personal.

De asemenea, societatea/organizația dvs. trebuie să se asigure că, urmărindu-și interesele legitime, nu afectează în mod grav drepturile și libertățile persoanelor fizice în cauză; în caz contrar, societatea/organizația dvs.nu se poate baza pe interese legitime ca justificare a prelucrării datelor și trebuie găsit un alt temei juridic.

Exemplu:Societatea/organizația dvs. are un interes legitim când prelucrarea are loc în cadrul relației cu un client, când prelucrează date cu caracter personal în scopuri de marketing direct, pentru a preveni frauda sau pentru a asigura securitatea rețelei și a informațiilor în sistemele dvs. informatice.

Referințe: Articolul 6 și considerentele (47), (48) și (49) ale RGPD Avizul 06/2014 al Grupului de lucru al articolului 29 privind noțiunea de


3.Când este valabil consimțământul?

Când este necesar consimțământul pentru prelucrarea datelor cu caracter personal, trebuie întrunite mai multe condiții pentru ca acest consimțământ să fie valabil: acesta trebuie să fie liber exprimat; trebuie să fie acordat în cunoștință de cauză; trebuie acordat pentru un scop specific; toate motivele prelucrării trebuie precizate clar; trebuie să fie explicit și acordat printr-un act pozitiv (de exemplu, o

căsuță pe care persoana fizică trebuie să o bifeze explicit online sau o semnătură pe un formular);

trebuie să folosească un limbaj clar și simplu și să fie clar vizibil; consimțământul poate fi retras, iar acest lucru trebuie să fie explicat

(de exemplu, un link pentru dezabonare la sfârșitul unui e-mail care conține un buletin informativ electronic).

Pentru a fi acordat în mod liber consimțământul, persoana fizică trebuie să aibă libertatea de a alege și trebuie să poată să refuze sau să își retragă consimțământul fără a fi pusă în dezavantaj. Consimțământul nu este acordat în mod liber, de exemplu, dacă există un dezechilibru clar între persoana fizică și societate/organizație (de exemplu, relația angajator-angajat) sau atunci când o societate/organizație le solicită persoanelor

fizice să aprobe prelucrarea unor date cu caracter personal care nu sunt necesare ca o condiție pentru executarea unui contract sau a unui serviciu.Pentru ca o persoană să își dea consimțământul în cunoștință de cauză, acesteia trebuie să i se ofere cel puțin următoarele informații: informații privind identitatea organizației care prelucrează datele; informații privind scopurile în care sunt prelucrate datele; informații privind tipul de date care se va prelucra; posibilitatea de retragere a consimțământului dat (exemplu: un link

pentru dezabonare la sfârșitul unui e-mail); dacă este cazul, informații privind faptul că datele vor fi utilizate pentru

luarea de decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri;

în cazul în care consimțământul se referă la un transfer internațional, informații privind riscurile posibile ale transferurilor de date în țări terțe care nu fac obiectul unei decizii a Comisiei privind caracterul adecvat și nu există garanții adecvate.

Rețineți: în cazul în care cineva își dă consimțământul privind prelucrarea datelor sale cu caracter personal, puteți prelucra datele numai în scopurile pentru care a fost dat consimțământul.

Exemplu:Consimțământ liber exprimatSunteți o companie aeriană, iar anunțul dvs. referitor la confidențialitate precizează că datele cu caracter personal ale clienților pot fi prelucrate pentru un concurs organizat de compania aeriană, care oferă ca premiu un bilet gratuit. Clienții care au bifat căsuța pentru a-și exprima acordul privind participarea la concurs au semnalat în mod clar dorința ca datele cu caracter personal să fie prelucrate în scopul concursului. Există astfel un consimțământ pentru prelucrarea datelor în scopul concursului, dar nu în alte scopuri.

Consimțământ care nu este liber exprimatSocietatea/organizația dvs. oferă servicii de filme online. Când colectați datele necesare pentru acest contract, solicitați și date suplimentare, cum ar fi orientarea sexuală sau convingerile politice ale unei persoane. Persoana respectivă poate să creadă că trebuie să își dea consimțământul privind prelucrarea datelor de acest tip pentru a putea accesa filmele pe care le solicită. În acest caz, consimțământul nu este liber, ci este un „consimțământ constrâns”.

Referințe: Articolul 4 punctul 11și articolul 7 și considerentele (32), (42) și (43) ale

RGPD Avizul Grupului de lucru al articolului 29 privind consimțământul,

adoptat în 28 noiembrie 2017

4.Consimțământul acordat înainte de 25 mai 2018 continuă să fie valabil după această dată, când RGPD începe să fie aplicat?

În cazul în care consimțământul acordat de către o persoană anterior Regulamentului general privind protecția datelor (RGPD) întrunește condițiile RGPD, nu este necesar să solicitați din nou consimțământul persoanei fizice. Societatea/organizația dvs. trebuie să se asigure că acel consimțământ acordat înainte de aplicarea RGPD întrunește condițiile stabilite în RGPD.Exemple:Nu este necesar un consimțământ nouRGPD va începe să se aplice la 25 mai 2018. Societatea/organizația dvs. și-a revizuit de curând politica privind confidențialitatea. Ați verificat dacă consimțământul a fost obținut în scris în cadrul organizației dvs. și dacă a respectat toate cerințele RGPD. În acest caz, nu este nevoie să solicitați din nou consimțământul clienților dvs. în mai 2018.

Este necesară obținerea unui nou consimțământSocietatea/organizația dvs. a obținut consimțământul clienților cu câțiva ani în urmă, folosind un sistem de căsuțe bifate în prealabil online. Acum este clar că acest mod de a obține consimțământul nu va fi valabil începând cu data de 25 mai 2018. Societatea/organizația dvs. va trebui să obțină din nou consimțământul dacă dorește să prelucreze în continuare datele.

Referințe: Articolul 4 punctul 11 și articolul 7 și considerentul (171) al RGPD Avizul Grupului de lucru al articolului 29 privind consimțământul,

adoptat în 28 noiembrie 2017

Ce se întâmplă dacă o persoană își retrage consimțământul?Retragerea consimțământului ar trebui să se poată realiza la fel de ușor ca și acordarea acestuia. Dacă se retrage consimțământul, societatea/organizația dvs. nu mai poate prelucra datele. Odată retras consimțământul, societatea/organizația dvs.trebuie să se asigure că datele sunt șterse, dacă nu există un alt temei juridic al prelucrării (de exemplu, cerințe privind stocarea sau faptul că prelucrarea este necesară pentru îndeplinirea contractului).Dacă datele se prelucrau în mai multe scopuri, societatea/organizația dvs. nu mai poate utiliza datele cu caracter personal pentru acea parte a prelucrării pentru care a fost retras consimțământul și nici pentru vreun alt scop, în funcție de natura retragerii consimțământului.

Exemplu:Furnizați un buletin informativ online. Clientul dvs. își dă consimțământul pentru a se abona la buletinul informativ online, permițându-vă să prelucrați toate datele în interesul său pentru a construi un profil al tipurilor de articole pe care le consultă. Un an mai târziu, clientul vă informează că nu mai dorește să primească buletinul informativ online. Trebuie să ștergeți din baza dvs. de date toate datele cu caracter personal referitoare la persoana respectivă culese în contextul abonării la buletinul informativ, inclusiv profilul (profilurile) referitoare la persoana respectivă.

Referințe: Articolul 7 și considerentele (32), (33), (42), (43) și (58) ale RGPD Avizul 15/2011 al Grupului de lucru al articolului 29 privind definiția

consimțământului (de actualizat prin avizul adoptat în data de 28 noiembrie 2017)

Cum se obține consimțământul pentru prelucrare în cercetări științifice?

Este permisă o oarecare flexibilitate în ceea ce privește gradul de specificație și granularitatea consimțământului în contextul cercetărilor științifice. Când colectează date cu caracter personal, este posibil ca cercetătorii să nu poată identifica pe deplin scopurile prelucrării acestora. În aceste cazuri, ei le pot solicita persoanelor fizice să își dea consimțământul

pentru anumite domenii de cercetare științifică sau pentru anumite părți ale proiectelor de cercetare. Consimțământul trebuie să își păstreze în orice caz elementele de bază: să fie liber exprimat, în cunoștință de cauză, solicitat printr-o acțiune fără echivoc și să fie specific măsurii permise de cercetarea în cauză. Cercetătorii trebuie să se asigure că respectă, de asemenea, standardele etice și metodologice impuse în domeniul lor.

Exemplu:Un grup de cercetători dorește să studieze o anumită formă de cancer, dar sunt conștienți de posibilele implicații pentru alte forme de cancer. În acest caz, aceștia pot solicita consimțământul unei persoane pentru prelucrarea datelor în legătură cu cercetarea în domeniul cancerului.

Referință: Considerentul (33) al RGPD

Care date cu caracter personal sunt considerate sensibile?

Următoarele date cu caracter personal sunt considerate „sensibile” și fac obiectul unor condiții de prelucrare speciale: date cu caracter personal care dezvăluie originea rasială sau etnică,

opiniile politice, confesiunea religioasă sau convingerile filozofice; apartenența la sindicate; date genetice, datele biometrice prelucrate doar pentru identificare a

unei ființe umane; date privind sănătatea; date privind viața sexuală sau orientarea sexuală a unei persoane.

Referințe: Articolul 4 punctele 13, 14 și 15 și articolul 9 și considerentele (51)-(56)

ale RGPD

În ce condiții poate societatea/organizația mea să prelucreze date sensibile?

Societatea/organizația dvs. poate prelucra date sensibile numai dacă sunt îndeplinite una dintre condițiile de mai jos: a fost obținut consimțământul explicit al persoanei fizice (în anumite

cazuri, o lege poate elimina această opțiune);

dreptul UE sau dreptul național ori un acord colectiv impune societății/organizației dvs. să prelucreze datele pentru a îndeplini obligațiile și drepturile sale, precum și cele ale persoanelor fizice, în domeniul ocupării forței de muncă, al securității sociale și al legislației privind protecția socială;

sunt în joc interesele vitale ale persoanei respective sau ale unei persoane care se află în incapacitate fizică sau juridică de a-și da consimțământul;

sunteți o fundație, o asociație sau un alt organism fără scop lucrativ și cu specific politic, filozofic, religios sau sindical și prelucrați date referitoare la membrii dvs. sau la persoane care au contacte permanente cu organizația dvs.;

datele cu caracter personal au fost făcute publice în mod manifestde către persoana fizică în cauză;

datele sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în instanță;

datele sunt prelucrate din motive de interes public major în baza dreptului UE sau a dreptului intern;

datele sunt prelucrate în scopuri legate de: medicina preventivă sau a muncii; evaluarea capacității de muncă a angajatului; stabilirea unui diagnostic medical; furnizarea de asistență medicală sau socială sau a unui tratament medical ori gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului UE sau al dreptului național sau în temeiul unui contract încheiat cu un cadru medical;

datele sunt prelucrate din motive de interes public în domeniul sănătății publice în temeiul dreptului UE sau al dreptului național;

datele sunt prelucrate în scopuri de arhivare sau de cercetare științifică ori istorică sau în scopuri statistice, în baza dreptului UE sau a dreptului național.

Dreptul intern poate impune și alte condiții privind prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea.

Exemplu:

Puteți prelucra date sensibileUn medic consultă mai mulți pacienți la clinica sa. Acesta înregistrează consultația într-o bază de date care include câmpuri precum prenumele/numele de familie al pacientului, descrierea simptomelor și

medicamentele prescrise. Acestea sunt considerate date sensibile. Prelucrarea de către clinică a datelor privind sănătatea este permisă în temeiul legii privind protecția datelor, deoarece este necesară pentru a trata persoana și este efectuată sub responsabilitatea unui medic, care face obiectul unei obligații de secret profesional.

Nu puteți prelucra date sensibileSunteți o societate care vinde rochii online. Pentru a adapta serviciile la interesele specifice ale clienților dvs., le solicitați să vă furnizeze informații privind mărimile, culoarea preferată, modalitatea de plată, numele și adresa, în vederea livrării produsului. În plus, societatea dvs. solicită informații privind opiniile politice ale clienților dvs. Aveți nevoie de majoritatea informațiilor pentru a vă îndeplini partea dvs. de contract. Opiniile politice ale clienților dvs. nu sunt însă necesare pentru producereași livrarea rochiilor. Societatea dvs. nu poate solicita aceste informații în temeiul acestui contract.

Referințe: Articolul 9 și considerentele (51)-(56) ale RGPD

Pot fi folosite pentru marketing datele primite de un terț?

Înainte de a dobândi de la o altă organizație o listă de date de contact sau o bază de date cu datele de contact ale unor persoane fizice, organizația respectivă trebuie să poată demonstra că datele au fost obținute în conformitate cu Regulamentul general privind protecția datelor și că are dreptul de a le utiliza în scopuri publicitare. De exemplu, dacă organizația le-a dobândit pe baza unui consimțământ, consimțământul trebuia să includă posibilitatea de transmitere a datelor către alți destinatari pentru marketingul direct al acestora.În plus, societatea/organizația dvs. trebuie să se asigure că lista sau baza de date este actualizată și că nu trimiteți reclame unor persoane fizice care s-au opus prelucrării datelor lor cu caracter personal în scopuri de marketing direct. De asemenea, societatea/organizația dvs. trebuie să se asigure că, dacă sunt folosite mijloace de comunicare precum e-mailul în scopuri de marketing direct, sunt respectate normele stabilite în Directiva privind confidențialitatea în mediul electronic(Directiva 2002/58/CE*).Asemenea liste vor fi prelucrate în temeiul intereselor dvs. legitime, iar persoanele fizice vor avea dreptul de a se opune prelucrării de acest tip. În plus, societatea/organizația dvs. trebuie să informeze persoanele fizice, cel

târziu în momentul primei comunicări cu acestea, că le-a colectat datele cu caracter personal și că le va prelucra pentru a le trimite reclame.* Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupraconfidențialității și comunicațiilor electronice) (OJ L 201, 31.07.2002 p.37, Ediție specială, 13/vol. 36, p. 63).

Exemplu:Doi prieteni, dna A și dl B, au o sală de sport, respectiv o librărie. Fiecare dintre ei colectează date de la clienții săi. Librăria dlui B nu merge bine. Baza sa de date cu clienți are foarte puține înregistrări, iar în magazinul său nu intră mulți oameni. El îi povestește dnei A că are o nouă biografie a unui atlet renumit și întreabă dacă clienții dnei A ar fi interesați să primească o reclamă despre carte. Termenele din notificarea dnei A privind confidențialitatea au informat clienții acesteia că ea ar putea partaja datele cu parteneri care oferă produse în domeniul sănătății și al fitnessului. În măsura în care s-a acordat consimțământul specific în scopul transmiterii datelor către alți destinatari în scopul marketingului direct al acestora, dna A îi poate trimite dlui B lista clienților. Nu pot fi trimise date despre o persoană vizată care s-a opus prelucrării datelor sale cu caracter personal.

Referințe: Articolul 4 punctul 10 și articolele 5, 6, 14 și 21 Avizul Grupului de lucru al articolului 29 privind transparența Normele privind marketingul direct stabilite în Directiva 2002/58/CE

privind confidențialitatea în mediul electronic, în special în articolul 13

Există garanții specifice pentru datele referitoare la copii?

Societatea/organizația dvs. poate prelucra datele cu caracter personal ale unui copil pe baza consimțământului numai dacă aveți consimțământul explicit al părintelui sau al tutorelui acestuia, până la o anumită vârstă. Limita de vârstă pentru obținerea consimțământului părinților variază între 13 și 16 ani, în funcție de vârsta stabilită în fiecare stat membru al UE..Trebuie să depuneți eforturi rezonabile, ținând seama de tehnologiile disponibile, pentru a vă asigura că respectivul consimțământ a fost într-adevăr acordat în conformitate cu prevederile legii. Cu alte cuvinte, societatea/organizația dvs. trebuie să pună în aplicare măsuri de verificare a vârstei (de exemplu, întrebări de control, acțiuni efectuate pe site-ul web).

Trebuie obținut consimțământul părintelui sau al tutorelui dacă lucrați la site-uri de rețele sociale care pun la dispoziție jocuri gratuite pentru copii sau asigurări pentru familii, de exemplu.Dacă sunteți o organizație care vizează copiii, trebuie să vă asigurați că orice informații și comunicări adresate unui copil sunt ușor accesibile și sunt exprimate într-un limbaj simplu și clar, astfel încât copilul să îl poată înțelege cu ușurință.Serviciile de prevenire sau de consiliere oferite direct unui copil nu necesită autorizare din partea unui părinte, deoarece ele urmăresc protejarea intereselor copiilor.

Referințe: Articolele 8 și 12 și considerentele (38) și (58) ale RGPD

Ce este un operator de date sau o persoană împuternicită de operator?

Operatorul de date stabilește scopurile și mijloacele prelucrării datelor cu caracter personal. Așadar, dacă societatea/organizația dvs. decide „de ce” și „cum” ar trebui prelucrate datele cu caracter personal, aceasta este operatorul de date. Angajații care prelucrează date cu caracter personal în cadrul organizației dvs. fac acest lucru pentru a îndeplini sarcinile dvs. în calitate de operator de date.Societatea/organizația dvs. este operator asociat în cazul în care, împreună cu una sau mai multe organizații, stabilește în comun „de ce” și „cum” ar trebui prelucrate datele cu caracter personal. Operatorii asociați trebuie să încheie un acord care să stabilească responsabilitățile fiecăruia în ceea ce privește îndeplinirea normelor cuprinse în RGPD. Principalele aspecte ale acordului trebuie comunicate persoanelor fizice ale căror date se prelucrează.Persoana împuternicită de operator prelucrează date cu caracter personal numai în numele operatorului. De obicei, persoana împuternicită de operator este un terț din afara societății. Cu toate acestea, în cazul grupurilor de întreprinderi, o întreprindere poate îndeplini rolul de persoană împuternicită de operator pentru o altă întreprindere.Atribuțiile persoanei împuternicite de operator în raport cu operatorul trebuie precizate într-un contract sau într-un alt act juridic. De exemplu, contractul trebuie să precizeze ce se întâmplă cu datele cu caracter

personal în momentul încetării contractului. O activitate tipică a persoanelor împuternicite de operatori este furnizarea de soluții informatice, inclusiv de stocare în cloud. Persoana împuternicită de operator poate subcontracta o parte a sarcinii sale la o altă persoană împuternicită de operator sau poate numi o persoană asociată împuternicită de operator numai dacă a primit în prealabil o autorizație scrisă din partea operatorului de date.Există situații în care o entitate poate fi operator de date, persoană împuternicită de operator sau ambele.

Exemple:

Operator și persoană împuternicită de operatorO fabrică de bere are numeroși angajați. Aceasta semnează un contract

cu o societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator.

Operatori asociațiSocietatea/organizația dvs. oferă servicii de babysitting printr-o platformă online. În același timp, societatea/organizația dvs. are un contract cu o altă societate, care vă permite să oferiți servicii cu valoare adăugată. Aceste servicii includ posibilitatea ca părinții nu doar să aleagă ce babysitter doresc, ci și să închirieze jocuri și DVD-uri pe care să le aducă babysitterul. Ambele societăți sunt implicate în organizarea tehnică a site-ului. În acest caz, cele două societăți au decis să utilizeze platforma în ambele scopuri (servicii de babysitting și închirierea de DVD-uri/jocuri) și vor partaja foarte frecvent numele clienților. Prin urmare, cele două societăți sunt operatori asociați, pentru că ele nu doar că au convenit să ofere posibilitatea unor „servicii combinate”, ci și proiectează și utilizează o platformă comună.

Referințe: Articolul 4 punctele 7 și 8, articolele 24, 26, 28 și 29 și considerentele

(74), (79) și (81) ale RGPD Avizul 1/2010 al Grupului de lucru al articolului 29 privind conceptele de

„operator” și „persoană împuternicită de operator” (WP 169)

Poate altcineva să prelucreze datele în numele organizației mele?

Altcineva (o persoană fizică sau juridică ori un alt organism) poate să prelucreze date cu caracter personal în numele dvs. cu condiția să existe un contract sau un alt act juridic. Este important ca persoana împuternicită de operator pe care o numiți să ofere suficiente garanții de aplicare a unor măsuri tehnice și organizaționale adecvate pentru a se asigura că prelucrarea va întruni standardele Regulamentului general privind protecția datelor (RGPD) și pentru a garanta protecția drepturilor persoanelor fizice.Persoana împuternicită de operator nu poate numi în continuare o altă persoană împuternicită de operator fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea dvs. Contractul sau actul juridic dintre societatea/organizația dvs. și persoana împuternicită de operator ar trebui să includă următoarele elemente: posibilitatea de a efectua prelucrarea numai pe baza unor instrucțiuni

documentate din partea operatorului; asigurarea de către persoana împuternicită de operator a faptului că

persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate;

obligația persoanei împuternicite de operator de a oferi un nivel de securitate minim definit de către operator;

obligația persoanei împuternicite de operator de a vă ajuta să asigurați respectarea RGPD.

Exemple:O firmă de construcții folosește serviciile unui subcontractant pentru anumite lucrări de construcții și îi furnizează acestuia datele de contact ale clienților la care trebuie desfășurate lucrările de construcții. Subcontractantul utilizează mai departe datele pentru a le trimite clienților materiale de marketing. În acest caz, subcontractantul nu este considerat doar „persoană împuternicită de operator” în temeiul RGPD, deoarece subcontractantul nu numai că prelucrează date cu caracter personal în numele firmei de construcții, ci și prelucrează mai departe datele respective în scopuri proprii. Prin urmare, subcontractantul acționează ca „operator de date”.

Sunteți o societate de vânzări cu amănuntul și decideți să stocați pe un server din cloud o versiune de rezervă a bazei de date cu clienții dvs. În acest scop, încheiați un contract cu un furnizor de servicii de cloudcunoscut pentru standardele sale de protecție a datelor și care deține, de asemenea, un sistem certificat de criptare a datelor. Furnizorul de servicii de cloud este persoana împuternicită de dvs. ca operator, deoarece, stocând datele cu caracter personal ale clienților dvs. pe serverele sale, va prelucra în numele dvs. date cu caracter personal.

Referințe: Articolul 28 și considerentul (81) al RGPD

Sunt identice obligațiile indiferent de volumul de date pe care îl gestionează societatea/organizația mea?

Regulamentul general privind protecția datelor (RGPD) se întemeiază pe abordarea bazată pe riscuri; cu alte cuvinte, societățile/organizațiile care prelucrează date cu caracter personal sunt încurajate să pună în aplicare măsuri de protecție corespunzătoare nivelului de risc al activităților lor de prelucrare de date. Prin urmare, obligațiile unei societăți care prelucrează date numeroase sunt mai oneroase decât obligațiile unei societăți care prelucrează date foarte puține.De exemplu, probabilitatea angajării unui responsabil cu protecția datelor este mai ridicată în cazul unei societăți/organizații care prelucrează date numeroase decât în cazul unei societăți care prelucrează date foarte puține (în acest caz există o legătură cu noțiunea de prelucrare a datelor cu caracter personal „la scară largă”). În același timp, natura datelor cu caracter personal și impactul prelucrării avute în vedere joacă și ele un rol. Prelucrarea unor date foarte puține, dar care sunt de natură sensibilă (de exemplu, date referitoare la sănătate) ar necesita punerea în aplicare a unor măsuri mai stringente pentru a respecta RGPD.În toate cazurile, va trebui să respectați principiile de protecție a datelor și să le permiteți persoanelor fizice să își exercite drepturile.

Referință: Capitolul IV din RGPD

Ce este o încălcare a securității datelor și ce trebuie făcut în cazul unei asemenea încălcări?O încălcare a securității datelor se produce atunci când datele pentru care societatea/organizația dvs. este responsabilă suferă un incident de securitate care duce la compromiterea confidențialității, a disponibilității sau a integrității. Dacă se întâmplă acest lucru și există probabilitatea ca încălcarea să prezinte un risc pentru drepturile și libertățile unei persoane fizice, societatea/organizația dvs. trebuie să înștiințeze autoritatea de supraveghere fără întârzieri nejustificate, în termen de cel mult 72 de ore de la momentul la care ați luat cunoștință de încălcare. Dacă societatea/organizația dvs. este persoana împuternicită de operator, trebuie să înștiințați operatorul cu privire la fiecare încălcare a securității datelor.Dacă încălcarea securității datelor prezintă un risc ridicat pentru persoanele fizice afectate, atunci trebuie să fie informate și toate aceste persoane (cu excepția cazului în care s-au aplicat măsuri de protecție tehnice și organizatorice eficace sau alte măsuri care asigură faptul că riscul nu mai este susceptibil să se materializeze).Ca organizație, este vital să puneți în aplicare măsuri tehnice și organizatorice adecvate pentru a evita posibile încălcări ale securității datelor.

Exemple:Organizația trebuie să înștiințeze APD și persoanele fiziceDatele angajaților unei fabrici de textile au fost dezvăluite. Datele includeau adresele personale, componența familiei, salariul lunar și cererile medicale ale fiecărui angajat. În acest caz, fabrica de textile trebuie să informeze autoritatea de supraveghere cu privire la încălcarea securității datelor. Deoarece datele cu caracter personal includ date sensibile, cum sunt cele referitoare la sănătate, fabrica trebuie să înștiințeze și angajații.Un angajat al unui spital decide să copieze datele pacienților pe un CD și le publică online. Spitalul află câteva zile mai târziu. Din momentul în care află, spitalul are la dispoziție 72 de ore pentru a informa autoritatea de supraveghere și, pentru că datele cu caracter personal conțin informații sensibile, cum ar fi dacă un pacient are cancer, dacă o pacientă este însărcinată etc., acesta trebuie să informeze și pacienții. În acest caz, este puțin probabil ca spitalul să fi pus în aplicare măsuri de protecție tehnice și organizatorice – dacă ar fi pus în aplicare măsuri de protecție adecvate (de

exemplu, criptarea datelor), riscul nu ar fi susceptibil să se materializeze, iar spitalul ar putea fi scutit de la înștiințarea pacienților.Societatea trebuie să înștiințeze clienții, iar aceștia pot avea obligația de a înștiința apoi APD și persoanele fiziceUn serviciu de cloud pierde mai multe hard diskuri care conțin date cu caracter personal ale mai multor clienți ai săi. Societatea trebuie să înștiințeze clienții respectivi de îndată ce ia cunoștință de încălcarea securității. Clienții săi trebuie să anunțe APD și persoanele fizice, în funcție de natura datelor pe care le prelucra persoana împuternicită de operator.

Referințe: Orientările Grupului de lucru al articolului 29 privind notificarea

încălcării securității datelor în temeiul Regulamentului 2016/679, 3 octombrie 2017 (WP 250)

Articolul 4 punctul 12, articolele 33 și 34 și considerentele (85), (86), (87) și (88) ale RGPD

Când este necesară o evaluare a impactului asupra protecției datelor (EIPD)?O EIPD este necesară ori de câte ori prelucrarea este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile persoanelor fizice. Este necesară o EIPD cel puțin în următoarele cazuri: o evaluare sistematică și cuprinzătoare a aspectelor personale

referitoare la o persoană fizică, inclusiv crearea de profiluri; prelucrarea pe scară largă a unor date sensibile; monitorizarea sistematică pe scară largă a unor zone accesibile

publicului.Autoritățile naționale de protecție a datelor, acționând în coordonare cu Comitetul european pentru protecția datelor, pot furniza liste cu situațiile în care ar fi necesară o EIPD. EIPD ar trebui efectuată înainte de prelucrare și ar trebui considerată un instrument viu, nu doar un exercițiu izolat. În cazul în care există riscuri reziduale care nu pot fi atenuate prin măsurile puse în aplicare, este necesară consultarea APD înainte de începerea prelucrării.

Exemple:Este necesară EIPDO bancă își selectează clienții dintr-o bază de date cu informații privind creditele; un spital este pe punctul să implementeze o nouă bază de date

cu informații despre sănătate, care conține date privind sănătatea pacienților; un operator de autobuz urmează să instaleze camere la bord pentru a monitoriza comportamentul șoferilor și al călătorilor.

Nu este necesară o EIPDMedicul unei comunități prelucrează date cu caracter personal ale pacienților săi. În acest caz nu este necesară o EIPD, deoarece prelucrarea de către medicul comunității nu se face la scară largă în cazurile în care numărul de pacienți este limitat.

Referințe: Orientările Grupului de lucru al articolului 29 privind evaluarea

impactului asupra protecției datelor (EIPD) și determinarea susceptibilității ca prelucrarea „să genereze un risc ridicat” în sensul Regulamentului (UE) 2016/679, 4 aprilie 2017

Articolele 35 și 36 și considerentele (89)-(96) ale RGPD

Este obligată societatea/organizația mea să aibă un responsabil cu protecția datelor (RPD)?

Societatea/organizația dvs. trebuie să numească un RPD, indiferent dacă este operator de date sau persoană împuternicită de operator, dacă activitățile sale principale implică prelucrarea de date sensibilepe scară largă sau implică o monitorizare regulată și sistematică pe scară largă a persoanelor fizice. În acest sens, monitorizarea comportamentului persoanelor vizate include toate formele de urmărire și de creare de profiluri pe internet, inclusiv în scopuri de publicitate comportamentală.Administrațiile publice au mereu obligația de a numi un RPD (cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale).RPD poate fi un membru al personalului organizației dvs. sau poate fi o persoană din exterior angajată pe baza unui contract de servicii. RPD poate fi o persoană fizică sau o organizație.

Exemple:RPD obligatoriuEste obligatoriu să existe un RPD, de exemplu, atunci când societatea/organizația este: un spital care prelucrează seturi mari de date sensibile;

o societate de securitate responsabilă cu monitorizarea unor centre comerciale și spații publice;

o mică firmă de recrutare care creează profiluri ale unor persoane fizice.

RPD neobligatoriuNu este obligatoriu să existe un RPD dacă: sunteți un medic al unei comunități locale și prelucrați date cu caracter

personal ale pacienților dvs.; aveți o mică firmă de avocatură și prelucrați date cu caracter personal

ale clienților dvs.

Referințe: Orientările Grupului de lucru al articolului 29 privind responsabilii cu

protecția datelor, 5 aprilie 2017 (WP 243) Articolele 37, 38 și 39 și considerentul (97) al RGPD

Ce responsabilități are un responsabil cu protecția datelor (RPD)?

RPD oferă asistență operatorului sau persoanei împuternicite de operator la toate aspectele care au legătură cu protecția datelor cu caracter personal. În special, RPD trebuie: să informeze și să consilieze operatorul sau persoana împuternicită de

operator, precum și angajații acestora, cu privire la obligațiile care le revin în temeiul legii privind protecția datelor;

să monitorizeze respectarea de către organizație a tuturor legilor referitoare la protecția datelor, inclusiv prin audituri, prin activități de sensibilizare și prin formarea personalului implicat în operațiunile de prelucrare;

să furnizeze consiliere în cazul în care s-a efectuat o EIPD și să monitorizeze funcționarea acesteia;

să își asume rolul de punct de contact pentru solicitările din partea persoanelor fizice privind prelucrarea datelor acestora cu caracter personal și exercitarea drepturilor acestora;

să coopereze cu APD-urile și să își asume rolul de punct de contact pentru APD pentru aspecte referitoare la prelucrare.

RPD trebuie să fie implicat de organizație în mod corespunzător și în timp util. RPD nu trebuie să primească niciun fel de instrucțiuni din partea operatorului de date sau a persoanei împuternicite de operator în ceea ce privește îndeplinirea sarcinilor sale. RPD răspunde direct în fața celui mai înalt nivel al conducerii organizației.

Referință: Articolele 37, 38 și 39 și considerentul (97) al RGPD

Ce norme se aplică dacă organizație transferă date în afara UE?

În lumea globalizată actuală, se transferă în plan transfrontalier cantități mari de date cu caracter personal, care sunt stocate uneori pe servere aflate în țări diferite. Protecția conferită de Regulamentul general privind protecția datelor (RGPD) însoțește datele în călătoria lor, ceea ce înseamnă că normele care protejează datele continuă să se aplice indiferent unde ajung aceste date. Acest lucru este valabil și când datele se transferă într-o țară care nu este membră a UE (denumită în continuare „țară terță”).RGPD pune la dispoziție diferite instrumente pentru încadrarea transferurilor de date din UE într-o țară terță: uneori, o țară terță poate fi declarată ca oferind un nivel adecvat de

protecție printr-o decizie a Comisiei Europene („decizie privind caracterul adecvat al nivelului de protecție”), ceea ce înseamnă că se pot transfera date cu o altă societate în acea țară terță fără ca exportatorul datelor să aibă obligația de a asigura garanții suplimentare sau să fie supus unor condiții suplimentare. Cu alte cuvinte, transferurile într-o țară terță cu „un caracter adecvat al nivelului de protecție” va fi asimilată unei transmiteri de date în interiorul UE.

în absența unei decizii privind caracterul adecvat al nivelului de protecție, transferul se poate face prin asigurarea unor garanții adecvate și cu condiția ca persoanele fizice să beneficieze de drepturi opozabile și de căi de atac eficace. Printre asemenea garanții adecvate se numără:

în cazul unui grup de întreprinderi sau de societăți implicat într-o activitate economică comună, societățile pot transfera datele cu caracter personal pe baza unor reguli corporatiste obligatorii;

acorduri contractuale cu destinatarul datelor cu caracter personal, folosind, de exemplu, clauzele contractuale standard aprobate de Comisia Europeană;

aderarea la un cod de conduită sau la un mecanism de certificare, precum și obținerea unor angajamente obligatorii și executorii din partea destinatarului de a aplica garanții adecvate pentru protecția datelor transferate.

în sfârșit, dacă se are în vedere un transfer de date cu caracter personal într-o țară terță care nu face obiectul unei decizii privind caracterul adecvat al nivelului de protecție și dacă lipsesc garanțiile adecvate, transferul se poate realiza pe baza mai multor derogări pentru situații specifice, de exemplu, în cazul în care o persoană fizică și-a exprimat în mod explicit acordul cu privire la transferul propus după ce a primit toate informațiile necesare privind riscurile asociate transferului.

Exemplu:Sunteți o societate franceză care intenționează să își extindă serviciile în America de Sud, în special în Argentina, Uruguay și Brazilia. Primul pas ar fi să verificați dacă țările terțe respective fac obiectul unei decizii privind caracterul adecvat al nivelului de protecție. În acest caz, atât Argentina, cât și Uruguay au fost declarate ca având un caracter adecvat. Ați putea transfera date cu caracter personal în aceste două țări terțe fără nicio garanție suplimentară, dar pentru transferurile în Brazilia, în privința căreia nu s-a emis o decizie privind caracterul adecvat, va trebui să vă încadrați transferurile asigurând garanții adecvate.

Referințe: Capitolul V, articolele 44-50 și considerentele (101)-(116) ale RGPD Cele mai recente documente de lucru ale Grupului de lucru al

articolului 29 privind transferurile internaționale Document de lucru privind etalonul caracterului adecvat al nivelului de

protecție a datelor (actualizare a capitolului I din WP 12), WP 254 Document de lucru de întocmire a unui tabel cu elementele și

principiile care trebuie să se regăsească în regulile corporatiste obligatorii, WP 256

Document de lucru de întocmire a unui tabel cu elementele și principiile care trebuie să se regăsească în regulile corporatiste obligatorii pentru persoanele împuternicite de operator, WP 257

Ca referință, consultați și Comunicarea Comisiei Europene privind schimbul de date cu caracter personal și protecția acestora într-o lume globalizată*, din 10 ianuarie 2017.

Cum pot demonstra că organizația mea se conformează la RGPD?

Principiul responsabilității reprezintă o piatră de temelie a Regulamentului general privind protecția datelor (RGPD). Potrivit RGPD, o societate/organizație are responsabilitatea de a respecta toate principiile privind protecția datelor, precum și de a demonstra această respectare. RGPD pune la dispoziția societăților/organizațiilor un set de instrumente care să le ajute să demonstreze responsabilitatea, unele dintre acestea fiind obligatorii.De exemplu, în anumite cazuri poate fi obligatorie numirea unui RPD sau efectuarea unor evaluări a impactului asupra protecției datelor (EIPD). Operatorii de date pot alege să utilizeze alte instrumente, cum ar fi coduri de conduită și mecanisme de certificare, pentru a demonstra conformitatea cu principiile de protecție a datelor.Puteți adera la un cod de conduită întocmit de o asociație de afaceri aprobată de o APD. Un cod de conduită poate fi declarat valid în întreaga UE printr-un act de punere în aplicare al Comisiei.Puteți adera la un mecanism de certificare operat de către unul dintre organismele de certificare ce a primit o acreditare din partea unei APD sau a unui organism național de acreditare sau din partea amândurora, după cum se stabilește în legislația fiecărui stat membru al UE.Atât codurile de conduită, cât și certificarea sunt instrumente opționale, deci societatea/organizația dvs. poate decide dacă să aderă la un anumit cod de conduită sau solicită certificarea. Cu toate că societatea/organizația dvs. are în continuare obligația de a respecta și de a vă conforma la RGPD, aderarea la asemenea instrumente ar putea fi luată în considerare în cazul unei măsuri de aplicare a legii luate împotriva dvs. pentru o încălcare a RGPD.

Exemplu:Organismul general de asigurări din statul membru al UE al societății/organizației dvs. a primit aprobarea unui cod de conduită din partea unei autorități de supraveghere. Mai multe firme de asigurări rivale

au aderat la cod. Deși aderarea la cod este voluntară, aceasta vă ajută să demonstrați conformitatea cu RGPD.

Referințe: Articolele 24, 40-43 și 83 și considerentele (98), (99), (100), (148),

(150) și (151) ale RGPD

Cum trebuie tratate solicitările din partea persoanelor fizice care își exercită drepturile privind protecția datelor?

Persoanele fizice pot contacta societatea/organizația dvs. pentru a-și exercita drepturile conferite de RGPD (dreptul de acces, de rectificare, de ștergere, dreptul la portabilitate etc.). În cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice, societatea/organizația dvs. trebuie să facă posibilă formularea solicitărilor pe cale electronică. Societatea/organizația dvs. trebuie să răspundă solicitărilor acestora fără întârzieri nejustificate, în principiu, în termen de o lună de la primirea solicitării.Persoanei care efectuează solicitarea i se pot cere informații suplimentare pentru a-i confirma identitatea.Dacă societatea/organizația dvs. respinge solicitarea, persoana vizată trebuie informată cu privire la motivele respingerii și la dreptul său de a depune o plângere la autoritatea de protecție a datelor, precum și la dreptul acesteia la o cale de atac.Tratarea solicitărilor persoanelor fizice ar trebui efectuată gratuit. În cazul în care solicitările sunt vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, puteți percepe o taxă rezonabilă sau puteți refuza să le dați curs.

Exemplu:O persoană care și-a accesat toate datele cu caracter personal cu o lună în urmă depune din nou aceeași solicitare de accesare a acelorași date cu caracter personal. Puteți lua în calcul fie să o informați că îi respingeți solicitarea, fie să percepeți o taxă rezonabilă.

Referințe: Articolele 12 și 15-22 și considerentele (59) și (63)-(71) ale RGPD

Ce date și informații cu caracter personal poate accesa o persoană fizică la cerere?

Când o persoană solicită acces la datele sale cu caracter personal, societatea/organizația dvs. trebuie: să confirme dacă prelucrează sau nu date cu caracter personal care

vizează persoana în cauză; să îi furnizeze o copie a datelor cu caracter personal pe care le deține

în legătură cu aceasta; să furnizeze informații privind prelucrarea (cum ar fi scopurile,

categoriile de date cu caracter personal, destinatarii etc.).Societatea/organizația dvs. trebuie să îi furnizeze persoanei fizice în cauză o copie a datelor sale cu caracter personal în mod gratuit. Pentru orice copii suplimentare poate percepe însă o taxă rezonabilă.Exercitarea dreptului de acces este strâns legată de exercitarea dreptului la portabilitatea datelor – posibilitatea persoanei fizice de a-și transmite datele către o altă organizație.Este important ca, în anunțul societății/organizației dvs. privind confidențialitatea, să existe o distincție clară între cele două drepturi. Prin urmare, ambele drepturi trebuie menționate pe scurt în mod separat.

Exemplu:Societatea/organizația dvs. furnizează un serviciu de rețele sociale online, prin care persoanele fizice pot face schimb de mesaje și de fotografii. Un utilizator solicită accesul la datele sale cu caracter personal și să verifice ce date cu caracter personal care îl vizează sunt prelucrate desocietatea/organizația dvs. Societatea/organizația dvs. trebuie să confirme că prelucrează date cu caracter personal care îl vizează și să îi furnizeze o copie (cum ar fi numele, datele de contact, mesajele și fotografiile transmise). De asemenea, societatea/organizația dvs. trebuie să îi furnizeze informații privind prelucrarea – de obicei, acestea sunt cuprinse în anunțul referitor la confidențialitate al serviciului dvs.

Referințe: Articolul 15 și considerentele (63) și (64) ale RGPD

Suntem obligați întotdeauna să ștergem datele cu caracter personal dacă o persoană ne cere acest lucru?

Regulamentul general privind protecția datelor (RGPD) le acordă persoanelor fizice dreptul de a solicita ștergerea datelor proprii, iar organizațiile au obligația de a da curs solicitării, cu excepțiaurmătoarelor cazuri: datele cu caracter personal pe care societatea/organizația dvs. le

deține sunt necesare pentru exercitarea dreptului la libertatea de exprimare;

există o obligație legală care vă impune să păstrați datele; din motive de interes public (de exemplu, sănătate publică, scopuri de

cercetare științifică, statistică sau istorică).Dacă societatea/organizația dvs. a prelucrat date în mod ilegal, trebuie șterse. În cazul unei solicitări a unei persoane fizice, datele colectate când persoana era încă minoră trebuie șterse.În ceea ce privește dreptul de a fi uitat online, organizațiile au obligația de a lua măsuri rezonabile (de exemplu, măsuri tehnice) pentru a informa alte site-uri că o anumită persoană a solicitat ștergerea datelor sale cu caracter personal.De asemenea, datele pot fi păstrate dacă au fost supuse unui proces adecvat de anonimizare.

Exemple:Nu este obligatorie ștergerea datelorSocietatea/organizația dvs. administrează un ziar online. Unul dintre jurnaliștii săi publică un articol despre faptul că un politician a spălat bani în bănci off-shore. Politicianul solicită ștergerea articolului pentru că se prelucrează datele sale cu caracter personal. Având în vedere că utilizați datele cu caracter personal pentru a vă exercita dreptul la liberă exprimare, în principiu, societatea/organizația dvs. nu are obligația de a șterge datele respective. În practică însă, obligația depinde de legislația națională în vigoare.

Este obligatorie ștergerea datelorSocietatea/organizația dvs. administrează o platformă de rețele sociale. Un minor încarcă fotografii; câțiva ani mai târziu însă, el decide că fotografiile respective i-ar putea afecta negativ perspectivele de carieră. Pentru că persoana era minoră la momentul încărcării fotografiilor, societatea/organizația dvs. avea obligația de a le șterge. Mai mult, dacă fotografiile au fost prelucrate și pe alte site-uri, societatea/organizația dvs. trebuie să ia măsuri rezonabile pentru a le informa că s-a depus o cerere de ștergere a fotografiilor.

Referințe: Articolul 17 și considerentele (65) și (66) ale RGPD Orientările Grupului de lucru al articolului 29 privind punerea în aplicare

a Hotărârii Curții de Justiție din 13 mai 2014, Google Spania și Google, C-131/121, ECLI:EU:C:2014:3171

Ce se întâmplă dacă cineva se opune la prelucrarea datelor sale cu caracter personal de către societatea mea?

Persoanele fizice au dreptul de a se opune prelucrării datelor cu caracter personal pentru motive concrete. Existența unei asemenea situații specifice trebuie examinată de la caz la caz.Persoana în cauză poate obiecta numai în cazurile în care o administrație publică prelucrează datele în contextul atribuțiilor sale publice sau în cazul în care o societate prelucrează datele în temeiul intereselor sale legitime. În asemenea cazuri, societatea/organizația dvs. nu mai are dreptul de a prelucra datele decât dacă demonstrează că trebuie să fie prelucrate din motive care prevalează asupra drepturilor și a libertăților persoanei în cauză sau dacă are nevoie de date pentru constatarea, exercitarea sau apărarea unui drept în instanță.De asemenea, persoanele fizice au dreptul de a se opune în orice moment prelucrării datelor lor cu caracter personal în scopuri de marketing direct. În contextul Regulamentului general privind protecția datelor, marketingul direct este înțeles ca fiind orice acțiune întreprinsă de o societate pentru a comunica material publicitar sau de marketing și adresată anumitor persoane fizice. Societatea/organizația dvs. trebuie să informeze persoanele fizice, în anunțul său privind confidențialitatea sau cel târziu în momentul primei comunicări cu persoanele respective, că le va folosi datele cu caracter personal pentru marketing direct și că au dreptul de a se opune gratuit. Dacă o persoană se opune prelucrării în scopuri de marketing direct, societatea/organizația dvs. nu mai poate prelucra datele acesteia în scopurile respective.

Exemplu:În sectorul asigurărilor sunt necesare foarte frecvent date cu caracter personal pentru apărarea unui drept în instanță în cazul măsurilor antifraudă sau al măsurilor de combatere a spălării banilor. În acele cazuri,

societățile de asigurări pot refuza să dea curs cererii unei persoane fizice de a obiecta în temeiul unor motive care prevalează asupra intereselor și a libertăților persoanei respective.

Referințe: Articolul 21 și considerentele (69) și (70) ale RGPD Avizul 06/2014 al Grupului de lucru al articolului 29 privind noțiunea de


Pot persoanele fizice să solicite transferarea datelor lor la o altă organizație?

Da, persoanele fizice au dreptul la portabilitatea datelor, și anume de a primi de la societatea/organizația dvs. datele cu caracter personal furnizate într-un format structurat, care să poată fi citit automat, și de a dispune transmiterea acestor date la o altă societate/organizație. Dreptul poate fi exercitat numai dacă datele cu caracter personal au fost colectate în contextul unui contract sau în temeiul consimțământului, iar datele respective sunt prelucrate prin mijloace automate.

Exemplu:Un pacient al unei clinici private din Belgia se mută la o altă clinică din Germania. Persoana fizică solicită clinicii belgiene, care deține înregistrări electronice în privința sa, să îi furnizeze datele cu caracter personal într-un format structurat, care să poată fi citit automat, pentru a putea transmite datele către personalul medical relevant din Germania. Clinica belgiană ar trebui să îi ofere datele cu caracter personal într-un format deschis utilizat în mod frecvent (de exemplu, XML, JSON, CSV etc.). Când selectează formatul pentru date, organizația ar trebui să ia în considerare modul în care acest format ar putea influența sau îngreuna dreptul persoanei fizice de a reutiliza datele. De exemplu, dacă îi furnizează persoanei versiuni PDF ale înregistrărilor sale, s-ar putea ca acest lucru să nu fie suficient pentru a asigura posibilitatea reutilizării cu ușurință a datelor cu caracter personal.

Referințe: Articolul 20 și considerentul (68) al RGPD

Orientările Grupului de lucru al articolului 29 privind portabilitatea datelor

Există restricții privind utilizarea proceselor decizionale automate?

Da, persoanele fizice nu ar trebui să facă obiectul unei decizii bazate exclusiv pe prelucrare automată (cum sunt algoritmii) dacă decizia este obligatorie din punct de vedere juridic sau o afectează într-o măsură semnificativă.Se poate considera că o decizie produce efecte juridice atunci când aceasta influențează drepturile juridice ale persoanei fizice sau statutul său juridic (de exemplu, dreptul la vot). În plus, prelucrarea poate afecta semnificativ o persoană fizică dacă influențează circumstanțele personale, comportamentul sau alegerile sale (de exemplu, o prelucrare automată poate duce la refuzul unei cereri de credit online).Utilizarea prelucrării automate pentru luarea deciziilor este autorizată numai în următoarele cazuri: dacă decizia bazată pe un algoritm este necesară (adică trebuie să nu

existe nicio altă modalitate de a atinge același obiectiv) pentru încheierea sau derularea unui contract cu persoana fizică ale cărei date societatea/organizația dvs. le-a prelucrat prin intermediul algoritmului (de exemplu, o cere de credit online);

dacă o anumită lege (o lege europeană sau națională) permite utilizarea algoritmilor și prevede garanții adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei fizice (de exemplu, regulamentele de combatere a evaziunii fiscale);

dacă persoana fizică și-a dat în mod explicit consimțământul pentru o decizie bazată pe algoritm.

Cu toate acestea, decizia luată trebuie să protejeze drepturile, libertățile și interesele legitime ale persoanei fizice prin punerea în aplicare a unor garanții adecvate. Cu excepția cazului în care procesul decizional respectiv este bazat pe o lege, persoana fizică trebuie cel puțin informată în legătură cu (i) logica utilizată în procesul decizional, (ii) dreptul său de a obține o intervenție umană, (iii) consecințele potențiale ale prelucrării și (iv) dreptul său de a contesta decizia. Prin urmare, societatea/organizația dvs. trebuie să facă demersurile procedurale necesare pentru a-i permite persoanei să își exprime punctul de vedere și să conteste decizia.

În sfârșit, e nevoie de atenție deosebită dacă algoritmul utilizează categorii speciale de date cu caracter personal: procesul decizional automat este permis în următoarele condiții: dacă persoana fizică și-a dat consimțământul explicit sau dacă prelucrarea este necesară din motive de interes public major, în

temeiul dreptului UE sau național.În plus, dacă persoana fizică în cauză este copil, ar trebui evitată luarea unor decizii, bazate exclusiv pe procesare automată, care produc efecte juridice sau efecte semnificative similare asupra sa, deoarece copiii reprezintă un grup mai vulnerabil al societății.Exemplu:Societatea/organizația dvs. este o bancă online care oferă credite. Clienții

își introduc datele, iar un algorit produce rezultate care vă spun dacă ar trebui să îi fie oferit sau nu un credit clientului și propune o dobândă. Societatea/organizația dvs. ar trebui să revizuiască decizia respectivă înainte de a fi comunicată clientului respectiv și să îl informeze că își poate exprima opinia și, eventual, contesta decizia, având în vedere că persoana fizică are dreptul de a nu face obiectul unei decizii bazate pe algoritmi.

Referințe: Articolul 4 punctul 4 și articolul 22 și considerentele (71) și (72) ale

RGPD Orientările Grupului de lucru al articolului 29 privind procesul decizional individual și crearea de profiluri în ceea ce privește Regulamentul (UE) 2016/679 (WP 251)

Care este rolul autorității de protecție a datelor?

Unul dintre rolurile APD este de a publica recomandări de specialitate cu privire la aspecte legate de protecția datelor. Aceasta informează publicul larg cu privire la drepturile și obligațiile referitoare la protecția datelor și, în special, la Regulamentul general privind protecția datelor (RGPD). Un exemplu relevant este obligația impusă APD-urilor de a întocmi și a publica o listă de operațiuni de prelucrare ce necesită o evaluare a impactului asupra protecției datelor. Unele APD-uri au creat deja manuale și alte instrumente pentru a ajuta societățile să își înțeleagă obligațiile care le revin în temeiul RGPD și pentru a ajuta persoanele fizice să își înțeleagă drepturile. În plus, Grupul de lucru al articolului 29, care este grupul APD-urilor europene naționale (și care va fi înlocuit de Comitetul european pentru protecția datelor), a realizat mai multe documente de interpretare a prevederilor legii privind protecția datelor. Cu toate acestea, APD nu poate

oferi recomandări în cazuri individuale și nu poate înlocui un avocat competent.Societatea/organizația dvs. nu trebuie să înștiințeze APD că prelucrează date. Cu toate acestea, este necesară consultarea prealabilă a APD în cazul în care o EIPD indică faptul că prelucrarea datelor ar genera un risc ridicat și că există în continuare riscuri reziduale în pofida punerii în aplicare a mai multor garanții. De asemenea, ar trebui să contactați APD în cazul unei încălcări a securității datelor. Pentru prelucrarea anumitor tipuri de date, este posibil ca legile naționale să vă impună totuși obținerea unei autorizații de la APD.Exemplu:Aveți un magazin care vinde produse pentru gospodărie. Prelucrați date

ale clienților, cum ar fi adresele de livrare și datele de facturare necesare prin natura activității dvs. În acest caz nu este obligatoriu să înștiințați APD.

Referințe: Capitolul IV și capitolul VI din RGPD Recomandările WP 29 privind RGPD, în special orientările privind

EIPD și orientările privind înștiințările în caz de încălcare a protecției datelor

Ce este Comitetul european pentru protecția datelor (CEPD)?

CEPD este un organism al UE însărcinat cu aplicarea Regulamentului general privind protecția datelor (RGPD) începând cu data de 25 mai 2018. Acesta are în componență șefii fiecărei APD și șeful Autorității Europene pentru Protecția Datelor (AEPD) sau reprezentanții acestora. Comisia Europeană participă la reuniunile CEPD fără a avea drept de vot. Secretariatul CEPD este asigurat de AEPD.CEPD va fi în centrul noului sistem de protecție a datelor în UE. Acesta va contribui la asigurarea aplicării consecvente a legii privind protecția datelor în întreaga UE și va depune eforturi pentru a asigura cooperarea eficace între APD-uri. Comitetul nu numai că va publica orientări privind interpretarea conceptelor principale ale RGPD, dar va fi solicitat și să ia decizii obligatorii în cazul unor litigii privind prelucrarea transfrontalieră, asigurând astfel o aplicare uniformă a normelor UE pentru a evita tratarea diferită a aceluiași caz în diferite jurisdicții.

Referințe: Articolele 63-76 și considerentele (135)-(140) ale RGPD

Ce se întâmplă dacă societatea mea prelucrează date în diferite state membre ale UE?

Regulamentul general privind protecția datelor (RGPD) se aplică în întreaga UE – același set de norme privind protecția datelor pentru toate statele membre ale UE. Astfel, societatea/organizația dvs. nu este nevoită să se familiarizeze cu mai multe legi diferite. În unele domenii, statele membre UE pot adăuga precizări privind aplicarea normelor RGPD (de exemplu, norme privind ocuparea forței de muncă; sectorul sănătății publice; norme privind reconcilierea dintre libertatea de exprimare și protecția datelor). De asemenea, RGPD introduce așa-numitul mecanism al „ghișeului unic”, care asigură cooperarea între autoritățile de protecție a datelor (APD) în cazul prelucrării transfrontaliere.Dacă societatea/organizația dvs. prelucrează date în diferite țări, APD competentă – care va fi autoritatea principală în relațiile sale cu alte APD-uri din UE – este APD din statele membre ale UE în care are sediul principal. Aceasta este identificată drept administrația centrală în UE a societății/organizației dvs., dacă deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter personal nu se iau în alt sediu, iar acel sediu are puterea de a pune în aplicare aceste decizii.Dacă societatea/organizația dvs. prelucrează date pentru a îndeplini o obligație în temeiul dreptului național al unui stat membru al UE, APD din respectivul stat membru al UE are competență unică.

Exemplu:

Sediul principal (adică sediul central) al unei fabrici de textile este în Italia. Aceasta are magazine-satelit în țări învecinate, cum ar fi Malta, Grecia, Franța și Austria. În aceste țări învecinate, magazinele sale satelit creează baze de date care prelucrează date cu caracter personal ale clienților în scopuri de marketing. Cu toate acestea, deciziile privind „cum” trebuie contactați clienții respectivi, „când” și „de ce” se iau la sediul central din Italia. Astfel, în acest caz, se consideră că decizia privind prelucrarea datelor cu caracter personal în scopuri de marketing se ia în Italia. APD din Italia este autoritatea principală pentru societatea/organizația dvs.

Referințe:

Orientările Grupului de lucru al articolului 29 privind autoritatea de supraveghere principală și anexa la acestea („Întrebări frecvente”), 5 aprilie 2017

Articolul 4 punctul 23 și articolele 55, 56 și 60-70 și considerentele (124)-(140) ale RGPD

Ce este Comitetul european pentru protecția datelor (CEPD)?

CEPD este un organism al UE însărcinat cu aplicarea Regulamentului general privind protecția datelor (RGPD) începând cu data de 25 mai 2018. Acesta are în componență șefii fiecărei APD și șeful Autorității Europene pentru Protecția Datelor (AEPD) sau reprezentanții acestora. Comisia Europeană participă la reuniunile CEPD fără a avea drept de vot. Secretariatul CEPD este asigurat de AEPD.CEPD va fi în centrul noului sistem de protecție a datelor în UE. Acesta va contribui la asigurarea aplicării consecvente a legii privind protecția datelor în întreaga UE și va depune eforturi pentru a asigura cooperarea eficace între APD-uri. Comitetul nu numai că va publica orientări privind interpretarea conceptelor principale ale RGPD, dar va fi solicitat și să ia decizii obligatorii în cazul unor litigii privind prelucrarea transfrontalieră, asigurând astfel o aplicare uniformă a normelor UE pentru a evita tratarea diferită a aceluiași caz în diferite jurisdicții.

Referințe: Articolele 63-76 și considerentele (135)-(140) ale RGPD

Ce se întâmplă dacă societatea/organizația mea nu respectă normele privind protecția datelor?

Regulamentul general privind protecția datelor (RGPD) pune la dispoziția autorităților de protecție a datelor diferite instrumente în caz de nerespectare a normelor de protecție a datelor : posibilă încălcare – se poate emite un avertisment; încălcare: printre posibilități se numără o mustrare, interzicerea

temporară sau definitivă a prelucrării și o amendă de până la 20 de milioane EUR sau 4 % din totalul global al cifrei de afaceri anuale a societății.

Trebuie menționat că, în cazul unei încălcări, APD poate impune o amendă pecuniară în locul sau în completarea mustrării și/sau a interzicerii prelucrării.Autoritatea trebuie să se asigure că amenzile impuse în fiecare caz individual sunt eficace, proporționale și disuasive. Aceasta va lua în considerare mai mulți factori, cum ar fi natura, gravitatea și durata încălcării, dacă încălcarea a fost comisă intenționat sau din neglijență, precum și orice acțiuni întreprinse pentru a reduce prejudiciul suferit de către persoanele fizice, gradul de cooperare cu organizația etc.

Exemplu:O societate vinde online produse pentru gospodărie. Prin intermediul site-ului său, consumatorii pot cumpăra aparatură de bucătărie, mese, scaune și alte produse de uz casnic, introducându-și datele bancare. Site-ul a suferit un atac cibernetic în urma căruia atacatorul a intrat în posesia unor date cu caracter personal. În acest caz, lipsa unor măsuri tehnice adecvate luate de societate pare să fi fost cauza pierderii datelor.În această situație, autoritatea de supraveghere va lua în considerare diverși factori înainte de a decide ce instrument corectiv să aplice. Factori precum: cât de gravă a fost deficiența din sistemul informatic? Cât timp a fost expusă infrastructura informatică la un asemenea risc? S-au efectuat în trecut teste pentru prevenirea unui astfel de atac? Datele câtor clienți au fost furate/dezvăluite? Ce tip de date cu caracter personal a fost afectat –au existat și date sensibile? Toate aceste considerente și altele vor fi luate în calcul de către autoritatea de supraveghere.

Referințe: Articolele 58, 60, 83 și 84 și considerentele (129), (148), (150) și (151)

ale RGPD Orientările Grupului de lucru al articolului 29 privind aplicarea și

stabilirea amenzilor administrative în scopul Regulamentului 2016/679, 3 octombrie 2017

Poate datora despăgubiri societatea/organizația mea?

Persoanele fizice pot cere despăgubiri dacă o societate sau organizație a încălcat Regulamentul general privind protecția datelor (RGPD), iar persoanele respective au suferit prejudicii materiale (de exemplu, pierderi financiare) sau morale (de exemplu, compromiterea reputației sau stres psihologic). RGPD asigură faptul că aceste persoane vor primi despăgubiri

indiferent de numărul organizațiilor implicate în prelucrarea datelor lor. Cererea de despăgubire poate fi adresată direct organizației sau poate fi adusă în fața instanțelor naționale competente. Acțiunile sunt aduse în fața instanțelor din statul membru al UE în care este stabilit operatorul sau persoana împuternicită de operator sau în care locuiește (reședința obișnuită) cetățeanul care cere despăgubiri.

Referință: Articolul 82 și considerentele (146) și (147) ale RGPD

Responsabilul cu protecția datelor cu caracter personal

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor) urmează să fie pus direct în aplicare în toate statele membre ale Uniunii Europene începând cu data de 25 mai 2018.

Un element de noutate pe care acest act normativ european îl aduce în peisajul juridic românesc îl reprezintă instituirea obligativității desemnării la nivelul operatorului sau persoanei împuternicite de operator, în anumite cazuri, a unui responsabil cu protecția datelor.

Pentru asigurarea unei aplicări unitare a Regulamentului General privind Protecția Datelor, Grupul de Lucru Art. 29 de pe lângă Comisia Europeană a emis Ghidul privind Responsabilul cu protecția datelor (DPO), accesibil la secțiunea specială dedicată Regulamentului General privind Protecția Datelor, la adresa http://www.dataprotection.ro/servlet/ViewDocument?id=1384, accesibilă pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.

I. Cazurile în care este obligatorie desemnarea unui responsabil cu protecția datelor

1. Când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale

2. Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă

3. Dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni

Ce înseamnă ”Activități principale”?Pentru a stabili activitatea principală desfășurată de un operator sau

împuternicit, aceasta trebuie analizată prin raportare la prelucrările de date cu caracter personal efectuate.

La ce se referă „Monitorizarea periodică și sistematică”?Aceasta presupune toate formele de urmărire și profilare pe Internet,

inclusiv în scop de publicitate comportamentală, nefiind însă restrictionată în mediul online.

Sintagma ”periodică și sistematică” presupune o activitate continuă și recurentă, care implică prelucrări de date.

Ce presupune prelucrarea ”Pe scară largă”?Pentru a se stabili dacă o prelucrare este pe scară largă trebuie ținut cont

de 4 criterii:

numărul persoanelor vizate – un număr exact ori un procent din populația relevantă;

volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;

durata sau permanența activității de prelucrare a datelor; suprafața geografică a activității de prelucrare.

Ce înseamnă ”Categorii speciale de date”?Categoriile speciale sunt acele date cu caracter personal care dezvăluie

originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Exemple de situații care pot constitui o monitorizare periodică și sistematică a persoanelor vizate:

gestionarea unei rețele de telecomunicații; profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul

acordării unui credit, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor);

urmărirea locației, spre exemplu prin aplicații mobile (geolocalizare); desfășurarea de programe de loialitate; monitorizarea stării de sănătate prin intermediul dispozitivelor

portabile; televiziune cu circuit închis - CCTV; prelucrarea datelor pacienților de către un spital; prelucrarea datelor datelor de conținut, locație, trafic de către

furnizorii de servicii de internet; prelucrarea datelor personale de către companii de asigurări; publicitate comportamentală.

Când nu este necesară desemnarea unui responsabil cu protecţia datelor?

- atunci când nu se prelucrează pe scară largă date cu caracter personal.Spre exemplu:

prelucrarea datelor pacientului de către un cabinet medical individual; prelucrarea datelor personale referitoare la condamnările penale și

infracțiuni de către un cabinet individual de avocatură.

De reținut !Deși în unele cazuri nu este necesară desemnarea unui responsabil cu

protecția datelor, Autoritatea de Supraveghere recomandă numirea unei astfel de persoane, întrucât este utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu caracter personal.

II. Cine poate îndeplini funcția de responsabil cu protecția datelor?Articolul 37 alin. 5 din Regulamentul UE 2016/679 stabilește ca

responsabilul cu protecția datelor să fie ”desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.”

Responsabilul cu protecția datelor

1. în domeniul public,2. în domeniul privat, raportat la situațiile prevăzute expres de art.

37 RGDP

Responsabilul cu protecția datelor poate fi angajat al operatorului/persoanei împuternicite de operator sau poate să-și îndeplinească sarcinile pe baza unui contract de prestări servicii.

În domeniul public, poate fi desemnat pentru mai multe autorități sau instituții publice, luând în considerare structura organizatorică și dimensiunea acestora

Calități și competențe:Trebuie să aibă capacitatea de a îndeplini sarcinile. În acest sens sunt

necesare anumite calități personale (ex: integritate și etica profesională), cunoștințe, dar și o anumită poziție în cadrul organizației.

Trebuie să aibă anumite calități profesionale, astfel: experiență în legislația și practicile de protecție a datelor la nivel

național și european, precum și o înțelegere adecvată a RGPD; nivelul necesar de cunoștințe în domeniul protecției datelor în

funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;

să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și necesitățile de securitate și protecție a datelor prelucrate de operator;

în cazul unei autorități sau instituții publice, responsabilul cu protecția datelor trebuie să dețină, de asemenea, cunoștințe privind reglementările legale referitoare la organizarea și funcționarea acestora, precum și a procedurilor interne administrative ce vizează desfășurarea activității.

Principala preocupare a responsabilului cu protecția datelor trebuie să fie respectarea Regulamentului General privind Protecția Datelor și a reglementărilor naționale incidente.

Este obligat să păstreze secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern.

Operatorul sau persoana împuternicită de operator, în ceea ce privește raporturile cu responsabilul cu protecția datelor, este obligat să:

publice datele de contact ale responsabilului (adresă poștală, număr de telefon alocat special și/sau o adresă de email alocată special).

comunice datele de contact ale responsabilului către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Responsabilului cu protecția datelor îi este permis să aibă și alte funcții.

Acestuia îi pot fi încredințate și alte sarcini și atribuții, cu condiția ca acestea să nu dea naștere unor conflicte de interese (de ex: nu poate fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șeful departamentului de resurse umane sau șeful departamentului IT).

Responsabilul pentru protecția datelor nu poate fi demis sau sancționat de operator sau persoana împuternicită de operator pentru îndeplinirea sarcinilor sale.

De exemplu, responsabilul nu poate fi demis pentru oferirea unui sfat conform sacinilor sale.

Un responsabil cu protecția datelor ar putea fi totuși demis, în modlegal, din alte motive decât cele privind îndeplinirea sarcinilor sale în această calitate.

De exemplu, responsabilul poate fi demis în caz de furt, hărțuire ori o abatere gravă similară.

III. Sarcinile responsabilului cu protecția datelor

de a informa şi consilia operatorul, sau persoana împuternicită de operator, precum şi angajaţii care se ocupă de prelucrările de date;

de a monitoriza respectarea Regulamentului, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare la protecţia datelor;

de a consilia operatorul în ceea ce priveşte realizarea unei analize de impact asupra protecţiei datelor şi de a monitoriza executarea acesteia;

de a coopera cu Autoritatea de Supraveghere și de a reprezenta punctul de contact cu aceasta;

de a ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, la îndeplinirea sarcinilor sale.

suport curs- Regulamentul general privind protectia datelor · Ce este Regulamentulgeneral privind...

Documents

Transcript of suport curs- Regulamentul general privind protectia datelor · Ce este Regulamentulgeneral privind...