Suport Curs DATA PROTECTION OFFICER [630499]
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 1
1. Introducere î n domeniul prelucrarii datelor
cu caracter personal
Cadrul legislativ actual aplicabil protectiei datelor cu caracter
personal: Regulamentul UE 679/2016, Legea 190/2018,
Ghiduri de aplicare a Regulamentului UE 679/2016;
Termeni si definitii specifici prelucrarii datelor cu caracter
personal: date cu caracter personal, date sensibile, persoane
vizate, operator, imputernicit, etc.;
Principiile prelucrarii datelor cu caracter personal;
Notiunea de responsabil cu protectia datelor cu caracter
personal.
MODULUL 1
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 2 Cadrul legislativ actual aplicabil protectiei datelor cu caracter
personal: Regulamentul UE 679/2016, Legea 190/2018, Legea
129/2018 , Decizii și Instrucțiuni ale Autorității Naționale de
Supraveghere a Prelucrării Datelor cu Caracter Personal
General Data Protection Regulation
Regulamentul privind protecția datelor personale , a fost adoptat
de Parlamentul European la data de 27 aprilie 2016 sub nr. 679 și
reprezintă cea mai importantă decizie luată în Uniunea Europeană în
ultimii 20 de ani privind protecția vieții private a cetățenilor europeni
concomitent cu garantarea liberei circulații a datelor cu caracter personal
pe teri toriul UE.
Datorită complexității regulilor care vor trebui implementate de către
instituțiile și companiile care prelucrează date personale ale cetățenilor UE,
a fost acordat un termen de doi ani, până la intrarea în vigoare a acestui
Regulament. Astfel, începând cu 25 mai 2018 , toate instituțiile și
companiile private care dețin orice fel de date personale ale cetățenilor UE,
trebuie să respecte prevederile Regulamentului.
În plus, pentru operatorii de date cu caracter personal sau persoanele
împuternicite de aceștia care au sediul în România , Legea 190 din
18.07.2018 privind măsuri de punere în aplicare a Regulamentului,
instituie obligații suplimentare privind prelucrarea anumitor tipuri de date
sau situații considerate speciale.
Legea a fost publicată în M.Of. nr. 651 din 26 iulie 2018, cu termen de
intrare în vigoare în 5 zile de la data publicării: 31.07.2018.
Ce înseamnă GDPR ?
GDPR sunt inițialele de la „ General Data Protection Regulation”,
Regulamentul privind Protecția Datelor Personale. Este un regulament
adoptat de Parlamentul European sub numărul 679 la data de 27 aprilie
2016 și reprezintă cea mai importantă decizie luată în ultimii 20
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 3 de ani la nivelul Uniunii Europene în domeniul protecției vieții
private a cetățenilor euro peni, prin protecția împotriva prelucrării
abuzive a datelor personale ale acestora. Deși a fost adoptat încă din 2016, a
fost prevăzut un termen de grație de doi ani până la intrarea în vigoare .
Acest termen a fost impus de complexitatea regulilor institu ite pentru toate
instituțiile sau companiile private care prelucrează indiferent prin
ce mijloace, date personale ale cetățenilor europeni, de asemenea,
indiferent de locul în care își are sediul pe glob acea organizație.
Data de 25 mai 2018 este ziua din care Regulamentul a intrat în
vigoare , prevederile sale devenind obligatorii. Deși cel mai adesea această
dată a fost asimilată cu amenzile enorme prevăzute de Regulament,
maximul acestora ajungând la 20.000.000 euro sau 4% din cifra de afaceri
mondia lă cu obligativitatea de alegere a celei mai mari valori, trebuie ținut
cont de faptul că aceste amenzi nu pot fi aplicate peste noapte (și în niciun
caz în noaptea dintre 25 și 26 mai 2018…), și mai ales, de către oricine.
Doar autoritatea de supraveghe re descrisă și prevăzută prin Regulament,
poate aplica astfel de amenzi. Pe de altă parte însă, prin Legea
129/2018 , Autoritatea Națională de Supraveghere a Prelucrării Datelor cu
Caracter Personal , poate constata în termen de 3 ani încălcări ale legislației
cu privire la prelucrarea și protecția datelor cu caracter personal, luând în
considerare termenul sc urs de la momentul producerii acestora și până la
constatarea încălcării
Revenind la amenzi, Regulamentul prevede în plus circumstanțe atenuante
și agravante (care pot micșora cuantumul amenzii sau dimpotrivă, îl pot
apropria de valoarea maximă) dar mai ales, impune pentru autoritatea care
aplică amenda, obligativitatea de a respecta condițiile stabilite de
Regulament pentru impunerea amenzilor administrative. Iar multe din
aceste condiții necesită analiza acțiunilor desfășurate în timp, de operator,
în ceea ce privește încălcările comise și constatate sau semnalate.
În ce situații se aplică prevederile acestui Regulament ?
O simplă citare a art. 2 din Regulament, es te edificatoare:
"…se aplică prelucrării datelor cu caracter personal, efectuată total sau
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 4 parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace
decât cele automatizate, a datelor cu caracter personal care fac parte dintr –
un sistem de evidență a datelor sau care sunt destinate să facă parte dintr –
un sistem de evidență a datelor."
Practic, în orice situație în care o organizație intră în contact cu
cetățeni ai Uniunii Europene păstrând orice date de identificare
a acestora, în indife rent ce scopuri sau forme de păstrare, se
impune cunoașterea și repspectarea prevederilor acestui
Regulament.
Există și câteva excepții. Acestea se referă la acele activități care respectă cel
puțin una din condițiile de mai jos:
se desfășoară în cadrul unei activități care nu intră sub incidența
dreptului Uniunii;
sunt desfășurate de către o persoană fizică în cadrul unor activități
strict personale sau domestice;
sunt desfășurate de autorități cu competențe în domeniul siguranței
publice sau executării sancțiunilor penale.
Ce aduce nou Regulamentul ?
Domeniul de aplicare sporit teritorial. Cea mai mare schimbare în
materie de confidențialitate a datelor se referă la competența extinsă a
GDPR, deoarece Regulamentul va fi obligatoriu tuturor operatorilor care
prelucrează date cu caracter personal ale cetățenilor din țările membre
ale Uniunii Europene, indiferent de locația companiei . iar această
obligație este independentă de domeniul de activitate: vânzarea unor
bunuri sau servicii cetățenilor UE (indife rent dacă este necesară plata
acestora) ori monitorizarea comportamentală a anumitpr categorii de
cetățeni ai Uniunii.
Sancțiuni clar definite ca și cuantum, care pot ajunge până la 4% din
cifra de afaceri globală anuală sau 20 de milioane de euro (orica re dintre
acestea este mai mare). Aceasta este amenda maximă prevăzută pentru cele
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 5 mai grave încălcări, cum ar fi de exemplu, procesarea datelor fără o bază
legală, sau modul în care sunt proiectate aplicațiile informatice prin care
sunt prelucrate datele nu respectă principiul confidențialității. Există însă o
abordare diferențiată a amenzilor, de exemplu, o întreprindere poate fi
amendată și cu 2% (sau 10 milioane de euro) dacă nu a notificat autoritatea
națională de supraveghere și persoana vizată despre o încălcare a
confidențialității datelor privitoare la aceasta, sau de a nu efectua o
evaluare a impactului asociat prelucrării datelor personale.
Elementele legate de consimțământ au fost întărite, iar companiile nu
vor mai putea folosi termene și condi ții ilizibile prin lungime sau termeni
juridici de specialitate, deoarece solicitarea de consimțământ trebuie
furnizată într -o formă inteligibilă și ușor accesibilă, menționându -se
clar scopul de prelucrare a datelor. Totodată, persoanei care i se solicită
consimțământul, trebui ca prin acesta să i se aducă la cunoștință și perioada
pentru care se solicită accesul la prelucrarea datelor, precum și faptul că în
orice moment, consimțământul dat poate fi retras.
Dreptul de acces la date , reprezintă dreptul pe rsoanelor vizate de a
obține de la operatorul de date confirmarea dacă datele personale
referitoare la ele sunt prelucrate sau nu, unde și în ce scop. În plus,
operatorul este obligat să furnizeze gratuit o copie a datelor cu caracter
personal într -un form at electronic uzual, editabil prin aplicațiile curente.
Dreptul de a fi uitat , reprezintă de asemenea o schimbare majoră de
paradigmă. Acesta dă dreptul persoanei vizate de a solicita ștergerea datelor
personale din unitățile de stocare ale operatorului de date, de a
opri diseminarea în continuare a datelor și, eventual, de a stopa prelucrarea
datelor de către terți. Respectarea acestui drept impune astfel pentru orice
operator un control absolut asupra terților cărora, cu acceptul persoanei
vizate, le -a transferat datele personale ale acesteia.
Condițiile de ștergere includ datele care nu mai sunt relevante în scopul
inițial pentru care au fost solicitate sau situațiile în care persoanele își
retrag consimțământul. De asemenea, trebuie remarcat faptul că acest
drept cere operatorilor să analizeze astfel de solicitări și din
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 6 perspectiva "interesului public pentru disponibilitatea datelor".
Portabilitatea datelor , reprezintă dreptul persoanelor vizate de a obține
de la operator, datele personale, într -un format electronic uzual, în scopul
de a le f urniza altui operator.
Confidențialitatea prin design, ca și concept a existat de ani de zile,
dar acum devine una din cerințele legale impuse prin Regulament. La baza
sa, confidențialitatea prin design solicită includerea protecției datelor încă
de la deb utul proiectării sistemelor informatice, și mai puțin decât ca o
adăugare a unei măsuri de protecție. Mai precis, "operatorul trebuie să
<…> elaboreze măsuri tehnice și organizatorice adecvate, într -un mod
eficient <…> pentru a îndeplini cerințele pre zentului regulament și pentru a
proteja drepturile persoanelor vizate". De asemenea, se solicită
operatorilor să dețină și să prelucreze numai datele absolut necesare pentru
îndeplinirea sarcinilor sale (minimizarea datelor), precum și limitarea
accesului la datele cu caracter personal celor care trebuie să efectueze
procesarea.
Responsabilii cu protecția datelor , reprezintă o obligativitate pentru
acei operatori și procesatori de date cu caracter personal ale căror activități
principale constau în operați uni de prelucrare care necesită o monitorizare
periodică și sistematică a persoanelor vizate la scară largă, sau presupune
prelucrarea unor categorii de date considerate de Regulament ori de
legislația internă ca fiind speciale, ori date privind condamnări le penale și
infracțiunile.
Condițiile de numire a acestor responsabili, sunt următoarele:
Trebuie să fie numiți pe baza calităților profesionale și în special, a
cunoștințelor privind legislația din domeniul protecției datelor dar și
a practicilor privi nd securitatea datelor prelucrate prin mijloace
electronice;
Poate fi un membru al personalului sau un furnizor extern de
servicii;
Detaliile privind contractul de servicii, dacă se alege varianta unui
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 7 serviciu externalizat, trebuie furnizat și autorităț ii naționale de
supraveghere care funcționează conform cerințelor Regulamentului;
Trebuie să li se ofere acces la toate resursele de care au nevoie pentru
a-și îndeplini sarcinile și pentru a -și păstra cunoștințele de
specialitate;
Trebuie să se afle dir ect în subordinea celui mai înalt nivel de
management
Poate îndeplini și alte sarcini, dar cu condiția ca acestea să nu se afle
într-un conflict de interese cu sarcinile rezultate din responsabilitatea
de protecție a datelor informatice.
Legislație internă
Prin Legea 129 din 15.06.2018 care actualizează Legea 102/2005
privind funcționarea Autorității Naționale de Supraveghere a Prelucrării
Datelor cu Caracter Personal, acordând acestei instituții atribuțiile ce -i
revin, conform prevederilor GDPR. De asemenea, aceeași lege, abrogă
Legea 677/2001 privind prelucrare a datelor cu caracter personal.
Astfel, atribuțiile Autorității au fost puse în acord cu cu prevederile GDPR.
În mod evident, pentru exercitarea atribuției de monitorizare a modului de
respec tare a prevederilor GDPR, Autoritatea poate efectua investigații în
cazurile și condițiile prevăzute în competența sa, prin personalul
împuternicit în acest scop, potrivit legii, de către președintele Autorității de
supraveghere. Personalul de control astf el desemnat, are dreptul să
efectueze investigații, inclusiv inopinate, să ceară și să obțină de la operator
și persoana împuternicită de operator, precum și, după caz, de la
reprezentantul acestora, la fața locului și/sau în termenul stabilit, orice
infor mații și documente, indiferent de suportul de stocare, să ridice copii de
pe acestea, să aibă acces la oricare dintre incintele operatorului și persoanei
împuternicite de operator, precum și să aibă acces și să verifice orice
echipament, mijloc sau suport de stocare a datelor, necesare desfășurării
investigației, în condițiile legii. De asemenea, dacă situația impune astfel de
măsuri, identificarea și păstrarea obiectelor, precum și punerile de sigilii se
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 8 fac conform dispozițiilor din Legea nr. 135/2010 pri vind Codul de
procedură penală, cu modificăr ile și completările ulterioare.
Orice control sau investigație efectuată de personalul Autorității, se poate
finaliza prin măsurile prevăzute de art. 58 din GDPR și/sau amenzi
administrative ce pot fi aplicate în condițiile descrise prin art. 83 din GD PR
și Legea 190 din 18.07.2018.
Nu în ultimul rând, un aspect particular de care trebui ținut cont, este
faptul că sancțiunile pot fi aplicate în termen de 3 ani de la data săvârșirii
faptei. În cazul încălcărilor ca re durează în timp sau al celor constând în
săvârșirea, în baza aceleiași rezoluții, la intervale diferite de timp, a mai
multor acțiuni sau inacțiuni, care prezintă, fiecare în parte, conținutul
aceleiași contravenții, prescripția începe să curgă de la da ta constatării sau
de la data încetării ultimului act ori fapt săvârșit, dacă acest moment
intervine anterior constatării. Termenul de prescripție de 3 ani se întrerupe
prin efectuarea oricărui act de procedură în cazul investigat, fără să poată
depăși 4 a ni de la data săvârșirii faptei. Întreruperea produce efecte față de
toți participanții la săvârșirea respectivei încălcări.
Prin Legea 190 din 18.07.2018 care descrie măsurile de punere în
aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al
Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea
ce privește prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date.
În esență, Legea aduce câteva elemente sup limentare față de GDPR, astfel:
Definește ceea ce înseamnă autorități și organisme publice: Camera
Deputaților și Senatul, Administrația Prezidențială, Guvernul, ministerele,
celelalte organe de specialitate ale administrației publice centrale,
autoritățile și instituțiile publice aut onome, autoritățile administrației
publice locale și de la nivel județean, alte autorități publice, precum și
instituțiile din subordinea/coordonarea acestora. În sensul prezentei legi,
sunt asimilate autorităților/organismelor publice și unitățile de cult și
asociațiile și fundațiile de utilitate publică. Aceste categorii de organizații,
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 9 sunt obligate să numească un Responsabil cu Protecția Datelor.
Instituie noțiunea de număr de identificare național – numărul prin care
se identifică o persoană fizică în anumite sisteme de evidență și care are
aplicabilitate generală, cum ar fi: codul numeric personal, seria și numărul
actului de identitate, numărul pașaportului, al permisului de conducere,
numărul de asigurare socială de sănătate. Prelucrarea unor ast fel de date în
baza legală prevăzută de art. 6 al. f) din GDPR (adică în interesul legitim al
operatorului), sistematic, periodic și pe scară largă, impune de asemenea,
numirea unui Responsabil cu protecția datelor.
Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea,
în scopul realizării unui proces decizional automatizat sau pentru crearea
de profiluri, este permisă numai cu consimțământul explicit al persoanei
vizate sau dacă prelucrarea es te efectuată în temeiul unor dispoziții legale
exprese.
Utilizarea sistemelor de monitorizare prin mijloace de comunicații
electronice și/sau prin mijloace de supraveghere video la locul de muncă,
prelucrarea datelor cu caracter personal ale angajațilo r, în scopul realizării
intereselor legitime urmărite de angajator, devine foarte dificil de
operaționalizat, fiind necesară îndeplinirea cumulativă a 5 condiții, din care
cea cu nr. 4 fiind cel mai greu de îndeplinit, având un grad mare de
subiect ivitate al modului de evaluare:
Interesele legitime urmărite de angajator sunt temeinic justificate și
prevalează asupra intereselor sau drepturilor și libertăților persoanelor
vizate;
Angajatorul a realizat informarea prealabilă obligatorie, compl etă și în
mod explicit a angajaților;
Angajatorul a consultat sindicatul sau, după caz, reprezentanții
angajaților înainte de introducerea sistemelor de monitorizare;
Alte forme și modalități mai puțin intruzive pentru atingerea scopului
urmărit de angajator nu și -au dovedit anterior eficiența,
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 10 Durata de stocare a datelor cu caracter personal este proporțională cu
scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor
expres reglementate de lege sau a cazurilor temeinic justificate.
Instituie derogarea de la respectarea prevederilor Regulamentului pentru
situația în care prelucrarea datelor cu caracter personal se face în scopuri
jurnalistice sau în scopul exprimării academice, artistice sau literare, dacă
aceasta privește date cu caracter personal care au fost făcute publice în mod
manifest de către persoana vizată sau care sunt strâns legate de calitatea de
persoană publică a persoanei vizate ori de caracterul public al faptelor în
care este implicată. De as emenea, în anumite condiții sunt instituite și
derogări de la obligațiile de informare și acces la date ale persoanelor
vizate, pentru situațiile de scopuri de cercetare științifică sau istorică, sau
de arhivare în interes public.
Un aspect de noutate, fiind un amendament adoptat de Camera
Decizională chiar în ziua dezbaterii, este reprezentat de faptul că
prelucrarea datelor cu caracter personal și special este permisă partidelor
politice și organizațiilor cetățenilor aparținând minorităților naționale ,
organizațiilor neguvernamentale, în vederea realizării obiectivelor acestora,
fără consimțământul expres al persoanei vizate, dar cu condiția să se
prevadă garanții privind informarea persoanei vizate despre prelucrarea
datelor cu caracter personal, tran sparența informațiilor, a comunicărilor și
a modalităților de exercitare a drepturilor persoanei vizate precum și
dreptului de rectificare și ștergere.
Pentru autoritățile/organismele publice, amenda maximă care poate fi
aplicată de Autoritate, este de cca 465 de ori mai mică decât cea care poate
fi aplicată altor categorii de operatori de date cu caracter personal, fiind
limitată la maxim 200.000 lei (față de 20.000.000 euro, cuantumul maxim
prevăzut de GDPR). Această diferențiere poate fi considerată
neconstituțională, dat fiind faptul că instituie o inegalitate care contravine
art. 124 al. (2) din Constituție, care prevede că "Justiția este unică,
imparțială și egală pentru toți. " Situația a fost generată probabil, de o
traducere nefericită a art. 8 3. par. (7) din GDPR, care, în original, stipulează
că: "Without prejudice to the corrective powers of the supervisory
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 11 authorities pursuant to Article 58 (2), each Member State may lay down the
rules on whether and to what extent administrative fines may b e imposed
on public authorities and bodies established in that Member State.", iar
traducerea, "Fără a aduce atingere competențelor corective ale autorităților
de supraveghere menționate la articolul 58 alineatul (2), fiecare stat
membru poate prevedea nor me prin care să se stabilească dacă și în ce
măsură pot fi impuse amenzi administrative autorităților publice și
organismelor publice stabilite în statul membru respectiv.", a fost
considerată de legiuitor ca bază legală valabilă pentru această discriminar e.
Astfel, în timp ce normele europene lasă statelor membre posibilitatea de a
relaxa regulile și procedurile de aplicare a amenzilor prevăzute de
Regulament, inițiatorii acestei legi au relaxat cuantumul amenzilor în sine.
Deși acest aspect de neconstituț ionalitate nu a fost semnalat de factorii în
drept (membrii Parlamentului, Președinție sau Avocatul Poporului), orice
entitate privată va putea face acest lucru, în momentul în care se va încerca
aplicarea unei amenzi în cuantum mai mare de 200.000 lei. Co ndiția este
ca amenda să fie aplicată pentru o sancțiune prevăzută de Legea 190 din
18.07.2018 ca fiind sancționabilă cu acest cuantum al amenzii, iar în
momentul contestării în justiție a cuantumului, se va ridica în instanță
excepția de neconstituționali tate a prevederii legale prin care s -a aplicat
altă amendă în condiții discriminatorii față de instituțiile de stat. Dacă în
acel moment în România va mai exista o Curte Constituțională
independentă, iar art. 124 al. (2) din Constituție va fi încă în vigoa re, nu v
aputea fi emisă altă decizie de către Curte, decât constatarea excepției de
neconstituționalitate a prevederilor Legii 190 din 2018, prin care
instituțiilor de Stat li se aplică amenzi diminuate, pentru aceleași încălcări
pentru care organizațiilo r de drept privat, cuantumul amenzilo r este de 465
de ori mai mare.
Prin decizii și instrucțiuni ale Autorității Naționale de
Supraveghere a Prelucrării Datelor cu Caracter Personal, care pot avea
caracter obligatoriu pentru operatorii de date cu caracter personal, sau,
trebuie cunoscute de operatori pentru a se putea proteja împotriva erorilor
sau a abuzurilor ce ar putea fi comise de personalul autor ităților Statului .
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 12 Referitor la GDPR, Autoritatea a emis trei decizii , cu privire la încetarea
aplicabilit ății unor acte normative cu caracter administrativ emise în
aplicarea Legii nr. 677/2001 pentru protecția persoanelor cu privire la
prelucrarea datelor cu caracter personal și libera circulație a acestor date,
pentrui pentru aprobarea formularului tipizat al notificării de încălcare a
securității datelor cu caracter personal în conformitate cu Regulamentul
(UE) 2016/679 ș aprobarea Procedurii de primir e și soluționare a
plângerilor.
De asemenea, pe site -ul Autorității, se pot urmări proiectele de decizii ca re
urmează să fie adoptate, putându -se transmite opinii, propuneri și
observații referitor la ele, acesta fiind și scopul în care aceste documente
sunt făcute publice înainte de publicarea formei finale în Monitorul Oficial
al României.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 13
Termeni si definitii specifici prelucrarii datelor cu caracter
personal
1. „date cu caracter personal” înseamnă orice informații privind o
persoană fizică identificată sau identificabilă („persoana vizată”); o
persoană fizică identificabilă este o persoană care poate fi identificată,
direct sau indirect, în special prin referire la un element de identificare,
cum ar fi un nume, un număr de identificare, date de localizare, un
identificator online, sau la unul sau mai multe elemente specifice, propri i
identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau
sociale;
2. „prelucrare” înseamnă orice operațiune sau set de operațiuni
efectuate asupra datelor cu caracter personal sau asupra seturilor de date
cu caracter personal, c u sau fără utilizarea de mijloace automatizate, cum ar
fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea
sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin
transmitere, diseminarea sau punerea la dispoziție în orice alt mod,
alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
3. „restricționarea prelucrării” înseamnă marcarea datelor cu caracter
personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
4. „creare de profiluri” î nseamnă orice formă de prelucrare automată a
datelor cu caracter personal care constă în utilizarea datelor cu caracter
personal pentru a evalua anumite aspecte personale referitoare la o
persoană fizică, în special pentru a analiza sau prevedea aspecte pr ivind
performanța la locul de muncă, situația economică, sănătatea, preferințele
personale, interesele, fiabilitatea, comportamentul, locul în care se află
persoana fizică respectivă sau deplasările acesteia;
5. „pseudonimizare” înseamnă prelucrarea datel or cu caracter personal
într-un asemenea mod încât acestea să nu mai poată fi atribuite unei
anume persoane vizate fără a se utiliza informații suplimentare, cu condiția
ca aceste informații suplimentare să fie stocate separat și să facă obiectul
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 14 unor măsu ri de natură tehnică și organizatorică care să asigure neatribuirea
respectivelor date cu caracter personal unei persoane fizice identificate sau
identificabile;
6. „sistem de evidență a datelor” înseamnă orice set structurat de date
cu caracter personal accesibile conform unor criterii specifice, fie ele
centralizate, descentralizate sau repartizate după criterii funcționale sau
geografice;
7. „operator” înseamnă persoana fizică sau juridică, autoritatea publică,
agenția sau alt organism care, singur sau împreună cu altele, stabilește
scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci
când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii
sau dreptul intern, operatorul sau criteriile specifice pentru desemna rea
acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
8. „persoană împuternicită de operator” înseamnă persoana fizică sau
juridică, autoritatea publică, agenția sau alt organism care prelucrează
datele cu caracter personal în numele ope ratorului;
9. „destinatar” înseamnă persoana fizică sau juridică, autoritatea
publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu
caracter personal, indiferent dacă este sau nu o parte terță. Cu toate
acestea, autoritățile public e cărora li se pot comunica date cu caracter
personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii
sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor
date de către autoritățile publice respective respectă normel e aplicabile în
materie de protecție a datelor, în conformitate cu scopurile prelucrării;
10. „parte terță” înseamnă o persoană fizică sau juridică, autoritate
publică, agenție sau organism altul decât persoana vizată, operatorul,
persoana împuternicită d e operator și persoanele care, sub directa
autoritate a operatorului sau a persoanei împuternicite de operator, sunt
autorizate să prelucreze date cu caracter personal;
11. „consimțământ” al persoanei vizate înseamnă orice manifestare de
voință liberă, sp ecifică, informată și lipsită de ambiguitate a persoanei
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 15 vizate prin care aceasta acceptă, printr -o declarație sau printr -o acțiune fără
echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
12. „încălcarea securității datelor cu carac ter personal” înseamnă o
încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea,
pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter
personal transmise, stocate sau prelucrate într -un alt mod, sau la accesul
neautorizat la acestea;
13. „date genetice” înseamnă datele cu caracter personal referitoare la
caracteristicile genetice moștenite sau dobândite ale unei persoane fizice,
care oferă informații unice privind fiziologia sau sănătatea persoanei
respective și care rezultă în special în urma unei analize a unei mostre de
material biologic recoltate de la persoana în cauză;
14. „date biometrice” înseamnă o date cu caracter personal care rezultă în
urma unor tehnici de prelucrare specifice referitoare la caracte risticile
fizice, fiziologice sau comportamentale ale unei persoane fizice care permit
sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile
faciale sau datele dactiloscopice;
15. „date privind sănătatea” înseamnă date cu caracter p ersonal legate de
sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de
servicii de asistență medicală, care dezvăluie informații despre starea de
sănătate a acesteia;
16. „sediu principal” înseamnă:
(a) în cazul unui operator cu sed ii în cel puțin două state membre, locul
în care se află administrația centrală a acestuia în Uniune, cu excepția
cazului în care deciziile privind scopurile și mijloacele de prelucrare a
datelor cu caracter personal se iau într -un alt sediu al operatorulu i din
Uniune, sediu care are competența de a dispune punerea în aplicare a
acestor decizii, caz în care sediul care a luat deciziile respective este
considerat a fi sediul principal;
(b) în cazul unei persoane împuternicite de operator cu sedii în cel puț in
două state membre, locul în care se află administrația centrală a acesteia în
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 16 Uniune, sau, în cazul în care persoana împuternicită de operator nu are o
administrație centrală în Uniune, sediul din Uniune al persoanei
împuternicite de operator în care au loc activitățile principale de prelucrare,
în contextul activităților unui sediu al persoanei împuternicite de operator,
în măsura în care aceasta este supusă unor obligații specifice în temeiul
prezentului regulament;
17. „reprezentant” înseamnă o perso ană fizică sau juridică stabilită în
Uniune, desemnată în scris de către operator sau persoana împuternicită de
operator în temeiul articolului 27, care reprezintă operatorul sau persoana
împuternicită în ceea ce privește obligațiile lor respective care le revin în
temeiul prezentului regulament;
18. „întreprindere” înseamnă o persoană fizică sau juridică ce desfășoară
o activitate economică, indiferent de forma juridică a acesteia, inclusiv
parteneriate sau asociații care desfășoară în mod regulat o activ itate
economică;
19. „grup de întreprinderi” înseamnă o întreprindere care exercită
controlul și întreprinderile controlate de aceasta;
20. „reguli corporatiste obligatorii” înseamnă politicile în materie de
protecție a datelor cu caracter personal care trebuie respectate de un
operator sau de o persoană împuternicită de operator stabilită pe teritoriul
unui stat membru, în ceea ce privește transferurile sau seturile de
transferuri de date cu caracter personal către un operator sau o persoană
împuternicit ă de operator în una sau mai multe țări terțe în cadrul unui
grup de întreprinderi sau al unui grup de întreprinderi implicate într -o
activitate economică comună;
21. „autoritate de supraveghere” înseamnă o autoritate publică
independentă instituită de un stat membru în temeiul articolului 51;
22. „autoritate de supraveghere vizată” înseamnă o autoritate de
supraveghere care este vizată de procesul de prelucrare a datelor cu
caracter personal deoarece:
(a) operatorul sau persoana împuternicită de operato r este stabilită pe
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 17 teritoriul statului membru al autorității de supraveghere respective;
(b) persoanele vizate care își au reședința în statul membru în care se află
autoritatea de supraveghere respectivă sunt afectate în mod semnificativ
sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare; sau
(c) la autoritatea de supraveghere respectivă a fost depusă o plângere;
23. „prelucrare transfrontalieră” înseamnă:
(a) fie prelucrarea datelor cu caracter personal care are loc în con textul
activităților sediilor din mai multe state membre ale unui operator sau ale
unei persoane împuternicite de operator pe teritoriul Uniunii, dacă
operatorul sau persoana împuternicită de operator are sedii în cel puțin
două state membre; sau
(b) fie prelucrarea datelor cu caracter personal care are loc în contextul
activităților unui singur sediu al unui operator sau al unei persoane
împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod
semnificativ sau este susceptibilă de a afec ta în mod semnificativ persoane
vizate din cel puțin două state membre;
24. „obiecție relevantă și motivată” înseamnă o obiecție la un proiect de
decizie în scopul de a stabili dacă există o încălcare a prezentului
regulament sau dacă măsurile preconizate în ceea ce privește operatorul
sau persoana împuternicită de operator respectă prezentul regulament,
care demonstrează în mod clar importanța riscurilor pe care le prezintă
proiectul de decizie în ceea ce privește drepturile și libertățile fundamentale
ale persoanelor vizate și, după caz, libera circulație a datelor cu caracter
personal în cadrul Uniunii;
25. „serviciile societății informaționale” înseamnă un serviciu astfel cum
este definit la articolul 1 alineatul (1) litera (b) din Directiva 98/34/CE a
Parlamentului European și a Consiliului (19);
26. „organizație internațională” înseamnă o organizație și organismele
sale subordonate reglementate de dreptul internațional public sau orice alt
organism care este instituit printr -un acord încheiat între d ouă sau mai
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 18 multe țări sau în temeiul unui astfel de acord.
Este timpul pentru auto -evaluare !
ÎNREBARE:
Ce reglementează Regulamentul general privind protecția datelor
(RGPD)?
RĂSPUNS:
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului1,
noul Regulament general privind protecția datelor al Uniunii Europene
(„RGPD”) reglementează prelucrarea de către o persoană fizică, o societate
sau o organizație a unor date cu caracter personal referitoare la persoane
fizice în UE.
Regulame ntul nu se aplică prelucrării datelor cu caracter personal ale
persoanelor decedate sau ale persoanelor juridice.
Normele nu se aplică datelor prelucrate de către o persoană fizică din
motive pur personale și nici activităților desfășurate în locuință, cu condiția
să nu existe nicio legătură cu o activitate profesională sau comercială.
Atunci însă când o persoană fizică utilizează datele cu caracter personal în
afara „sferei personale”, cum ar fi pentru activități socioculturale sau
financiare, persoana în cauză trebuie să respecte legea privind protecția
datelor.
EXEMPLE:
Când se aplică regulamentul
O societate cu un sediu în UE oferă servicii de călătorie clienților din țările
Baltice și, în acest context, prelucrează date cu caracter personal ale unor
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 19 persoane fizice.
Când nu se aplică regulamentul
O persoană fizică își folosește agenda de adrese personală pentru a -și invita
prietenii prin e -mail la o petrecere pe care o organizează (excepție pentru
activități domestice).
ÎNREBARE:
Ce sunt datele cu caracter personal?
RĂSPUNS:
Datele cu caracter personal sunt orice informații care se referă la o
persoană fizică identificată sau identificabilă. Informațiile diferite care,
adunate, pot duce la identificarea unei anumite persoane constituie și ele
date cu caracter personal.
Datele cu caracter personal care au fost anonimizate, criptate sau
pseudonimizate, dar pot fi utilizate pentru reidentificarea unei persoane
rămân date cu caracter personal și sunt vizate de RGPD.
Datele cu caracter personal care au fost făcute anonime în așa fel încât
persoana fizică nu este sau nu mai este identificabilă nu mai sunt
considerate date cu caracter personal. Pentru ca datele să fie cu adevărat
anonimizate, anonimizarea trebuie să fie ireversibilă.
RGPD protejează datele cu caracter personal indiferent de tehnologia
utilizată pentru prelucrarea datelor respective – este „neutră din punct de
vedere tehnologic” și se aplică atât prelucrării automate, cât și prelucrării
manuale, cu condiția ca datele să fie organizate potriv it unor criterii
predefinite ( de exemplu, în ordine alfabetică). De asemenea, nu contează
cum sunt stocate datele – într-un sistem de TIC, prin supraveghere video
sau pe hârtie; în toate aceste cazuri, datele cu caracter personal sunt supuse
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 20 cerințelor de protecție formulate în RGPD.
EXEMPLE:
Exemple de date cu caracter personal:
o un nume și prenume;
o adresă de domiciliu;
o adresă de e -mail, cum ar fi prenume.nume@societate.com;
o un număr de act de identitate;
o date privind locația (de exemplu, funcția de date privind locația
disponibilă pe un telefon mobil)*;
o adresă de protocol de internet (IP);
o identificatorul de publicitate al telefonului dvs.;
o date deținute de către un spital sau un medic, care ar putea fi un
simbol ce identifică în mod unic o persoană.
Exem ple de date considerate ca neavând caracter personal:
o codul de înregistrare al unei societăți;
o adresă de e -mail, cum ar fi info@societate.com;
o datele anonimizate.
o
ÎNREBARE:
Ce constituie prelucrare de date?
RĂSPUNS:
„Prelucrarea” acoperă o varietate amplă de operații efectuate asupra datelor
cu caracter personal, inclusiv prin mijloace manuale sau automate. Aceasta
include colectarea, înregistrarea, organizarea, structurarea, stocarea,
adaptarea sau modificarea, extra gerea, consultarea, utilizarea, divulgarea
prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod,
alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 21 cu caracter personal.
Regulamentul general privind protecția datelor (RGPD) se aplică
prelucrării datelor cu caracter personal, efectuată total sau parțial prin
mijloace automatizate, precum și prelucrării prin mijloace neautomatizate,
dacă aceasta face parte dintr -un sistem structurat de evidență a datelor.
EXEMPLE :
o managementul personalului și administrarea statelor de plată;
o accesarea/consultarea unei baze de date cu persoane de contact care
conține date cu caracter personal;
o trimiterea de e -mailuri promoționale*;
o distrugerea de documente care conțin date cu caracter personal;
o postarea/plasarea fotografiei unei persoane pe un site web;
o stocarea adreselor IP sau a adreselor MAC;
o înregistrarea video (CCTV).
ÎNREBARE:
Ce sunt autoritățile de protecție a datelor (APD)?
RĂSPUNS:
APD sunt autorități publice independente care supraveghează, prin
competențe de investigare și competențe corective, aplicarea legii privind
protecția datelor. Acestea oferă consultanță de specialitate privind
problemele legate de protecția datelor și trat ează plângerile referitoare la
încălcări ale Regulamentului general privind protecția datelor și ale legilor
naționale relevante. Există o astfel de autoritate în fiecare stat membru al
UE. În general, principalul punct de contact pentru întrebări legate d e
protecția datelor este APD din statul membru al UE în care are sediul
societatea/organizația dvs. Dacă însă societatea/organizația dvs.
prelucrează date în diferite state membre ale UE sau face parte dintr -un
grup de societăți cu sedii în diferite state membre ale UE, punctul principal
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 22 de contact poate fi o APD dintr -un alt stat membru al UE.
Obiectivele urmărite prin Regulament
Obiectivele urmărite prin elaborarea și adoptarea GDPR sunt de a garanta
libera circulație a datelor cu caracter personal în int eriorul Uniunii
Europene fără ca aceasta să poată fi restricționată sau interzisă din motive
legate de protecția persoanelor fizice, concomitent însă cu stabilirea unor
norme menite să asigure protecția persoanelor fizice, a vieții lor
private, garantând p rotecția drepturilor și libertăților fundamentale ale
acestora.
În acest scop, Regulamentul face distincție între trei tipuri de date
personale :
o Date personale privind o persoană fizică identificată sau
identificabilă direct sau indirect prin: nume, un nu măr de
identificare, date de localizare, un identificator online, unul
sau mai multe elemente specifice proprii identității sale
fizice, fiziologice, genetice, psihice, economice, culturale sau
sociale;
o Date personale ale minorilor ;
o Date personale din cate goria celor speciale :
date care dezvăluie originea rasială sau etnică, opiniile politice,
confesiunea religioasă, convingerile filozofice, apartenența la sindicate,
date privind informații genetice, biometrice utilizate pentru identificarea
unică a u nei persoane fizice,
date privind sănătatea,
date sau informații privind viața sexuală ori orientarea sexuală ale unei
persoane fizice.
Atât timp cât o persoană juridică de drept public sau privat prelucrează
date personale din categoria celor desc rise mai sus, va fi obligată să aplice
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 23 prevederile Regulamentului. Există însă anumite excepții. Sunt exceptate
de la aplicarea acestor prevederi, prelucrările de date cu caracter personal
care:
• se fac în cadrul unei activități care nu intră sub incidenț a dreptului
Uniunii;
• se fac de către statele membre atunci când desfășoară activități care intră
sub incidența capitolului 2 al titlului V din Tratatul UE (cooperarea
vamală);
• se fac de către o persoană fizică în cadrul unei activități exclusiv persona le
sau domestice;
• este efectuată de autoritățile competente în scopul prevenirii, investigării,
depistării sau urmăririi penale a infracțiunilor, sau al executării
sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa
siguranței p ublice și al prevenirii acestora.
Regulile (principiile) care trebuie respectate (atât procedural cât și
tehnic) în timpul prelucrării datelor personale, sunt: legalitate,
transparență, echitate, limitări (legate de scop, de cantitate și de stocare),
exact itate, integritate și confidențialitate. Astfel, regulile asociate acestor
principii, sunt:
• prelucrarea datelor să se facă în mod legal, echitabil și
transparent față de persoana vizată („legalitate, echitate și
transparență”);
• datele trebuie să fie colectate în scopuri determinate, explicite și
legitime și să nu fie prelucrate ulterior într -un mod incompatibil cu aceste
scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în
scopuri de cercetare științifică sau istorică ori în sc opuri statistice nu este
considerată incompatibilă cu scopurile inițiale, dacă se fac în conformitate
cu articolul 89 alineatul (1) („limitări legate de scop”);
• prelucrările să fie adecvate, relevante și limitate la ceea ce este
necesar în raport cu scop urile în care sunt prelucrate („reducerea la
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 24 minimum a datelor”);
• datele stocate să fie exacte și , în cazul în care este necesar, să fie
actualizate ; trebuie să se ia toate măsurile necesare pentru a se asigura că
datele cu caracter personal care sunt in exacte, având în vedere scopurile
pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere
(„exactitate”);
• datele personale trebuie să fie păstrate într-o formă care permite
identificarea persoanelor vizate doar în perioada necesară
îndep linirii scopurilor în care sunt prelucrate; datele cu caracter
personal pot fi stocate pe perioade mai lungi doar în măsura în care acestea
vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri
de cercetare științifică sau istoric ă ori în scopuri statistice, în conformitate
cu articolul 89 alineatul (1). În cazul nerespectării acestei reguli, se pot
pune în aplicare măsurile de ordin tehnic și organizatoric adecvate
prevăzute în prezentul regulament în vederea garantării drepturil or și
libertăților persoanei vizate („limitări legate de stocare”);
• operațiunile de prelucrare trebuie să se facă într -un mod care
asigură securitatea adecvată a datelor cu caracter personal, inclusiv
protecția împotriva prelucrării neautorizate sau ileg ale și împotriva
pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri
tehnice sau organizatorice corespunzătoare („integritate și
confidențialitate”).
Legalitatea prelucrării datelor personale, presupune respectarea cel puțin a
uneia din următoarele condiții:
a. persoana vizată și -a dat consimțământul pentru prelucrarea datelor sale
cu caracter personal pentru unul sau mai multe scopuri specifice;
b. prelucrarea este necesară pentru executarea unui contract la care
persoana viz ată este parte sau pentru a face demersuri la cererea persoanei
vizate înainte de încheierea unui contract;
c. prelucrarea este necesară în vederea îndeplinirii unei obligații legale care
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 25 îi revine operatorului;
d. prelucrarea este necesară pentru a prot eja interesele vitale ale persoanei
vizate sau ale altei persoane fizice;
e. prelucrarea este necesară pentru îndeplinirea unei sarcini care servește
unui interes public sau care rezultă din exercitarea autorității publice cu
care este învestit operatorul ;
f. prelucrarea este necesară în scopul intereselor legitime urmărite de
operator sau de o parte terță, cu excepția cazului în care prevalează
interesele sau drepturile și libertățile fundamentale ale persoanei vizate,
care necesită protejarea datelor cu caracter personal, în special atunci când
persoana vizată este un copil.
În plus, prin legislația internă, statele membre pot introduce condiții de
legalitate suplimentare celor enumerate, așadar este să fie urmărită
legislația în domeniu.
În ceea ce privește legalitatea prelucrării datelor cu caracter special,
Regulamentul instituie reguli mai specifice. Astfel de date pot fi prelucrate
ori în baza consimțământului, în care trebuie descrise cu exactitate tipurile
de date cu caracter special care vor f i prelucrate precum și scopurile în care
se face prelucrarea, ori dacă este respectată una din condițiile următoare:
• prelucrarea este asociată domeniului ocupării forței de muncă și al
securității sociale și protecției sociale, în măsura în care acest l ucru este
autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv
de muncă încheiat în temeiul dreptului intern care prevede garanții
adecvate pentru drepturile fundamentale și interesele persoanei vizate;
• prelucrarea este necesară p entru protejarea intereselor vitale ale
persoanei vizate sau ale unei alte persoane fizice, atunci când persoana
vizată se află în incapacitate fizică sau juridică de a -și da consimțământul;
• prelucrarea este efectuată în cadrul activităților lor legitim e și cu garanții
adecvate de către o fundație, o asociație sau orice alt organism fără scop
lucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca
prelucrarea să se refere numai la membrii sau la foștii membri ai
organismului res pectiv sau la persoane cu care acesta are contacte
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 26 permanente în legătură cu scopurile sale și ca datele cu caracter personal să
nu fie comunicate terților fără consimțământul persoanelor vizate;
• prelucrarea se referă la date cu caracter personal care s unt făcute publice
în mod manifest de către persoana vizată;
• prelucrarea este necesară pentru constatarea, exercitarea sau apărarea
unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul
funcției lor judiciare;
• prelucrarea este necesară din motive de interes public major, în baza
dreptului Uniunii sau a dreptului intern, care este proporțional cu
obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede
măsuri corespunzătoare și specifice pentru protejare a drepturilor
fundamentale și a intereselor persoanei vizate;
• prelucrarea este necesară în scopuri legate de medicina preventivă sau a
muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui
diagnostic medical, de furnizarea de asist ență medicală sau socială sau a
unui tratament medical sau de gestionarea sistemelor și serviciilor de
sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al
dreptului intern sau în temeiul unui contract încheiat cu un cadru medical
și sub rezerva respectării condițiilor și garanțiilor specifice unui
profesionist supus obligației de păstrare a secretului profesional;
• prelucrarea este necesară din motive de interes public în domeniul
sănătății publice, cum ar fi protecția împotriva ameninț ărilor
transfrontaliere grave la adresa sănătății sau asigurarea de standarde
ridicate de calitate și siguranță a asistenței medicale și a medicamentelor
sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului
intern, care prevede măsu ri adecvate și specifice pentru protejarea
drepturilor și libertăților persoanei vizate, în special a secretului
profesional;
• prelucrarea este necesară în scopuri de arhivare în interes public, în
scopuri de cercetare științifică sau istorică ori în sc opuri statistice, în baza
dreptului Uniunii sau a dreptului intern, care este proporțional cu
obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede
măsuri corespunzătoare și specifice pentru protejarea drepturilor
fundamentale și a intereselor persoanei vizate.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 27
Condițiile privind obținerea consimțământului.
Unul din cele mai importante și mai sigure elemente care pot asigura
legalitatea prelucării datelor personale, este reprezentat de consimțământul
acordat de persoana vizată. Atun ci când prelucrarea datelor nu se
încadrează la niciuna din categoriile b) – f) de mai sus , sau dacă sunt
prelucrate date din categoria celor speciale ori care se referă la minori,
singurul element care poate acorda dreptul de prelucrare a acelor date,
rămâne consimțământul.
Pentru a fi recunoscut ca fiind ca bază a legalității prelucrării datelor
personale, operatorul trebuie să fie în măsură să demonstreze că persoana
vizată și -a dat consimțământul pentru prelucrarea datelor sale cu caracter
personal. Dacă consimțământul persoanei vizate este dat în contextul unei
declarații scrise care se referă și la alte aspecte, cererea privind
consimțământul trebuie să fie prezentat ă într -o formă care o diferențiază în
mod clar de celelalte aspecte, într -o formă inteligibilă și ușor accesibilă,
utilizând un limbaj clar și simplu. Un element de noutate este reprezentat
de faptul că orice persoană are dreptul să își retragă în orice mo ment
consimțământul. Retragerea consimțământului nu afectează legalitatea
prelucrării efectuate pe baza consimțământului, înainte de retragerea
acestuia. De asemenea, înainte de acordarea consimțământului, persoana
vizată trebuie să fie informată cu privir e la posibilitatea retrageri acestuia.
Retragerea consimțământului se face la fel de simplu ca acordarea acestuia.
De asemenea, consimțământul trebuie să fie dat în mod liber, executarea
unui contract, inclusiv prestarea unui serviciu, nu ar trebui condiți onată de
consimțământul cu privire la prelucrarea datelor cu caracter personal care
nu este necesară pentru executarea acelui contract sau prestarea acelui
serviciu.
Atunci când sunt furnizate servicii ale societății informaționale în
mod direct unui copil , prelucrarea datelor cu caracter personal ale unui
copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are
sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 28 măsura în care consimțământul respectiv este acorda t sau autorizat de
titularul răspunderii părintești asupra copilului. Atenție, statele membre
pot prevedea prin lege o vârstă inferioară în aceste scopuri, cu condiția ca
acea vârstă inferioară să nu fie mai mică de 13 ani. De asemenea, operatorul
este obl igat să depună toate eforturile rezonabile pentru a verifica în astfel
de cazuri, că titularul răspunderii părintești a acordat sau a autorizat
consimțământul, ținând seama de tehnologiile disponibile.
După ce au fost stabilite condițiile de legalitate și cele impuse pentru
legalitatea consimțământului, Regulamentul stabilește drepturile
persoanelor vizate de prelucrarea datelor cu caracter personal. Orice
operator de date cu caracter personal, va trebui să fie capabil să
demonstreze că are capacitatea tehn ică de a respecta drepturile persoanelor
vizate. Asta înseamnă că trebuie să fie în măsură să prezinte atât reguli și
proceduri elaborate în vederea asigurării condițiilor de legalitate privind
prelucrarea datelor personale, cât mai ales, să poată procesa tehnic atunci
când i se solicită, datele personale în conformitate cu drepturile
persoanelor vizate.
Responsabilul cu protecția datelor cu caracter personal
Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în
ceea ce privește prelucrarea d atelor cu caracter personal și privind libera
circulație a acestor date și de abrogare a Directivei 95/46/CE
(Regulamentul General privind Protecția Datelor) urmează să fie pus direct
în aplicare în toate statele membre ale Uniunii Europene începând cu dat a
de 25 mai 2018.
Un element de noutate pe care acest act normativ european îl aduce
în peisajul juridic românesc îl reprezintă instituirea obligativității
desemnării la nivelul operatorului sau persoanei împuternicite de operator,
în anumite cazuri, a unu i responsabil cu protecția datelor .
Pentru asigurarea unei aplicări unitare a Regulamentului General
privind Protecția Datelor, Grupul de Lucru Art. 29 de pe lângă Comisia
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 29 Europeană a emis Ghidul privind Responsabilul cu protecția datelor (DPO) ,
accesibil la secțiunea specială dedicată Regulamentului General privind
Protecția Datelor, ghid ce se află în anexa modulului 1
I. Cazurile în care este obligatorie desemnarea unui
responsabil cu protecția datelor
1. Când prelucrarea este efectuată de o autoritate publică sau un
organism public, cu excepția instanțelor care acționează în exercițiul
funcției lor jurisdicționale
2. Dacă activitățile principale ale operatorului sau ale persoanei
împuternicite de operator constau în operațiuni de prelucrarea care
necesită o monitorizare periodică și sistematică a persoanelor vizate
pe scară largă
3. Dacă activitățile principale ale operatorului sau ale persoanei
împuternicite de operator constau în prelucrarea pe scară largă a
unor categorii speciale de date sau a unor categor ii de date cu caracter
personal privind condamnări penale și infracțiuni
Ce înseamnă ” Activități principale ”?
Pentru a stabili activitatea principală desfășurată de un operator sau
împuternicit, aceasta trebuie analizată prin raportare la prelucrările de d ate
cu caracter personal efectuate.
La ce se referă „ Monitorizarea periodică și sistematică ”?
Aceasta presupune toate formele de urmărire și profilare pe Internet,
inclusiv în scop de publicitate comportamentală, nefiind însă restrictionată
în mediul onlin e.
Sintagma ” periodică și sistematică ” presupune o activitate
continuă și recurentă, care implică prelucrări de date.
Ce presupune prelucrarea ” Pe scară largă ”?
Pentru a se stabili dacă o prelucrare este pe scară largă trebuie ținut
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 30 cont de 4 criterii:
num ărul persoanelor vizate – un număr exact ori un procent din
populația relevantă;
volumul datelor și/sau gama de elemente diferite de date în curs de
prelucrare;
durata sau permanența activității de prelucrare a datelor;
suprafața geografică a activității de prelucrare.
Ce înseamnă ” Categorii speciale de date ”?
Categoriile speciale sunt acele date cu caracter personal care
dezvăluie originea rasială sau etnică, opiniile politice, confesiunea
religioasă sau convingerile filozofice sau apartenența la sindicat e și
prelucrarea de date genetice, de date biometrice pentru identificarea unică
a unei persoane fizice, de date privind sănătatea sau de date privind viața
sexuală sau orientarea sexuală ale unei persoane fizice.
Exemple de situații care pot constitui o m onitorizare periodică și
sistematică a persoanelor vizate:
gestionarea unei rețele de telecomunicații;
profilare și scoring în scopul evaluării riscurilor (de exemplu, în
scopul acordării unui credit, stabilirea primelor de asigurare, de
prevenire a fraude lor, detectarea spălării banilor);
urmărirea locației, spre exemplu prin aplicații mobile (geolocalizare);
desfășurarea de programe de loialitate;
monitorizarea stării de sănătate prin intermediul dispozitivelor
portabile;
televiziune cu circuit închis – CCTV;
prelucrarea datelor pacienților de către un spital;
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 31 prelucrarea datelor datelor de conținut, locație, trafic de către
furnizorii de servicii de internet;
prelucrarea datelor personale de către companii de asigurări;
publicitate comportamentală.
Când nu este necesară desemnarea unui responsabil cu protecția
datelor?
– atunci când nu se prelucrează pe scară largă date cu caracter
personal.
Spre exemplu:
prelucrarea datelor pacientului de către un cabinet medical
individual;
prelucrarea datelor personale referitoare la condamnările penale și
infracțiuni de către un cabinet individual de avocatură.
De reținut !
Deși în unele cazuri nu este necesară desemnarea unui responsabil cu
protecția datelor, Autoritatea de Supraveghere recomandă numirea unei
astfel de persoane, întrucât este utilă operatorului pentru respectarea
obligațiilor în domeniul protecției datelor cu caracter personal.
II. Cine poate îndeplini funcția de responsabil cu
protecția datelor?
Articolul 37 alin. 5 din Regulamentul UE 2016/679 sta bilește ca
responsabilul cu protecția datelor să fie ”desemnat pe baza calităților
profesionale și, în special, a cunoștințelor de specialitate în dreptul și
practicile din domeniul protecției datelor, precum și pe baza capacității de a
îndeplini sarcinile prevăzute la articolul 39.”
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 32 Responsabilul cu protecția datelor
1. în domeniul public,
2. în domeniul privat, raportat la situațiile prevăzute expres de art. 37
RGDP
Responsabilul cu protecția datelor poate fi angajat al
operatorului/persoanei împuternicite de o perator sau poate să -și
îndeplinească sarcinile pe baza unui contract de prestări servicii.
În domeniul public , poate fi desemnat pentru mai multe autorități
sau instituții publice , luând în considerare structura organizatorică și
dimensiunea acestora
Calități și competențe:
Trebuie să aibă capacitatea de a îndeplini sarcinile. În acest sens sunt
necesare anumite calități personale (ex: integritate și etica profesională),
cunoștințe, dar și o anumită poziție în cadrul organizației.
Trebuie să aibă anumite calități profesionale, astfel:
experiență în legislația și practicile de protecție a datelor la nivel
național și european, precum și o înțelegere adecvată a RGPD;
nivelul necesar de cunoștințe în domeniul protecției datelor în
funcție de operațiunile de prelucrare a datelor efectuate și de nivelul
de protecție necesar pentru datele cu caracter personal prelucrate;
să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele
de informații și necesitățile de securitate și protecție a datelor
prelucrate de operator;
în cazul unei autorități sau instituții publice, responsabilul cu
protecția datelor trebuie să dețină, de asemenea, cunoștințe privind
reglementările legale referitoare la organizarea și funcționarea
acestora, precum și a procedurilor interne administrative ce vizează
desfășurarea activității.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 33 Principala preocupare a responsabilului cu protecția datelor trebuie
să fie respectarea Regulamentului General privind Protecția Datelor și a
reglementărilor naționale incidente.
Este obligat să păstreze secretul sau confidențialitatea în ceea ce
privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau
cu dreptul intern.
Operatorul sau persoana împuternicită de operator, în ceea ce
privește raporturile cu responsab ilul cu protecția datelor, este obligat să:
publice datele de contact ale responsabilului (adresă poștală, număr
de telefon alocat special și/sau o adresă de email alocată special).
comunice datele de contact ale responsabilului către Autoritatea
Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Responsabilului cu protecția datelor îi este permis să aibă și alte
funcții.
Acestuia îi pot fi încredințate și alte sarcini și atribuții, cu condiția ca
acestea să nu dea naștere unor conflicte de interese (de ex: nu poate fi
director executiv, director operațional, director financiar, șeful serviciului
medical, șeful departamentului de marketing, șeful departamentului de
resurse umane sau șeful departamentului IT).
Responsabilul pentru protecția datelor nu poate fi demis sau
sancționat de operator sau persoana împuternicită de operator pentru
îndeplinirea sarcinilor sale .
De exemplu , responsabilul nu poate fi demis pentru oferirea unui sfat
conform sacinilor sale.
Un responsabil cu protecția date lor ar putea fi totuși demis , în mod
legal, din alte motive decât cele privind îndeplinirea sarcinilor sale în
această calitate.
De exemplu , responsabilul poate fi demis în caz de furt, hărțuire ori o
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 34 abatere gravă similară.
III. Sarcinile responsabilulu i cu protecția datelor
de a informa și consilia operatorul, sau persoana împuternicită de
operator, precum și angajații care se ocupă de prelucrările de date;
de a monitoriza respectarea Regulamentului, a altor dispoziții de
drept al Uniunii sau de drept intern referitoare la protecția datelor;
de a consilia operatorul în ceea ce privește realizarea unei analize de
impact asupra protecției datelor și de a monitoriza executarea
acesteia;
de a coopera cu Autoritatea de Supraveghere și de a reprezenta
punctul de contact cu aceasta;
de a ține seama în mod corespunzător de riscul asociat operațiunilor
de prelucrare, la îndeplinirea sarcinilor sale.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 35
2. Drepturile si obligatiile organizatiei in
prelucrarea datelor cu caracter personal
Drepturile si obligatiile operatorului. Prelucrarea
datelor sensibile;
Drepturile si obligatiile imputernicitului;
Relatia operator – imputernicit. Drepturi,
responsabilitati, prevederi contractuale;
Temeiuri de prelucrare a datelor cu ca racter personal;
Consimtamantul;
Studii de caz si modele de documente aplicabile in
organizatie
MODULUL 2
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 36 Drepturile si obligatiile operatorului. Prelucrarea datelor
sensibile;
Operatorul este definit de GDPR drept „persoana fizică sau juridică,
autoritatea publică, agenția sau alt organism care, singur sau împreună
cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu
caracter personal. ”
Cu alte cuvinte, operatorul decide scopurile și mijloacele prelucrării datelor
personale. Astfel, dacă organizația decide „ de ce ” și „ cum ” ar trebui
prelucrate datele personale ( de exemplu datele angajaților, clienților,
abonaților, membrilor, vizitatorilor pe site), atunci ea este un operator de
date. Angajații organizației vor prelucra datele pentru a în deplini sarcinile
organizației în calitate de operator.
Unul dintre cele mai importante lucruri pe care le are de făcut o organizație
atunci când decide să se alinieze la GDPR, este să determine cine este
operatorul de date, deoarece lui îi revin cele mai multe obligații. Cu alte
cuvinte, operatorul are sarcina responsabilității. Acesta trebuie să realizeze
informarea persoanei vizate, să se asigure că prelucrarea este legală și că
drepturile persoanei sunt onorate, să efectueze evaluări de impact, să se
asigure că sunt respectate principiile prelucrării, să asigure securitatea și
confidențialitate datelor. Majoritatea organizațiilor sunt operatori de date.
Unele sunt și operatori de date și persoane împuternicite, așa cum vom
arăta în cele ce urmează.
Chia r dacă nu are acces la datele personale, o organizație poate fi operator
de date, așa cum este cazul magazinelor online care nu au acces la
informații bancare ale clienților care realizează plata online. Aceste date
sunt prelucrate de procesatorii de plăți , însă organizația care deține
magazinul online va fi operatorul de date.
Operatorii de date cu caracter personal, sunt obligați să asigure atât din
punct de vedere organizatoric cât și din punct de vedere tehnic, toate
măsurile necesare astfel încât să as igure reducerea la minumul necesar a
datelor prelucrate, pseudonimizarea și criptarea datelor cu caracter
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 37 personal, confidențialitatea, integritatea, disponibilitatea datelor cu
caracter personal, capacitatea de a restabili disponibilitatea datelor cu
cara cter personal și accesul la acestea în timp util în cazul în care are loc un
incident de natură fizică sau tehnică. De asemenea, fiecare operator trebuie
să prevadă un proces pentru testarea, evaluarea și aprecierea periodiă a
eficacității măsurilor tehnic e și organizatorice pentru a garanta securitatea
prelucrării. Mai mult, în cazul în care are loc o încălcare a securității datelor
cu caracter personal, operatorul este obligat să notifice acest lucru
autorității de supraveghere competente, în termen de ce l mult 72 de ore de
la data la care a luat cunoștință de aceasta, sau dacă este depășit acest
termen, se adaugă și o explicație motivată. De asemenea, aceeași
obligativitate există și față de persoanele ale căror date sunt prelucrate,
dacă breșa de securit ate este susceptibilă să genereze un risc ridicat pentru
drepturile și libertățile acestora.
Pentru a se asigura îndeplinirea obligațiilor ce revin operatorilor,
Regulamentul impune acestora evaluarea impactului prelucrării asupra
protecției datelor. În f apt, este vorba de o analiză de risc prealabilă, pe care
Regulamentul o impune pentru anumite tipuri de operațiuni de prelucrare
a datelor enumerate la art. 35, dar care pot fi extinse de decizii ale
autorității naționale de supraveghere. O astfel de anali ză va trebui să
conțină cel puțin următoarele elemente:
• o descriere sistematică a operațiunilor de prelucrare preconizate și a
scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de
operator;
• o evaluare a necesității și proporționalității operațiunilor de prelucrare în
legătură cu aceste scopuri;
• o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate;
• măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile,
măsurile de securitate și mecanismele menite să asigure protecția datelor
cu caracter personal și să demonstreze conformitatea cu dispozițiile
prezentului regulament, luând în considerare drepturile și interesele
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 38 legitime ale persoanelor vizate și ale altor persoane interesate.
Dacă evaluarea impactului asupra protecției datelor indică faptul că
prelucrarea ar genera un risc ridicat în absența unor măsuri luate de
operator pentru atenuarea riscului, atunci acesta este obligat să consulte
autoritatea de supraveghere care trebuie să ofere consiliere în cel mult 8
săptămâni de la solicitare, termen care poate fi prelungit cu cel mult încă 6
săptămâni. De asemenea, Regulamentul lasă statelor membre posibilitatea
de a impune operatorilor și alte situații în care să se consulte cu aut oritatea
națională de supraveghere și să obțină în prealabil de la aceasta autorizarea
prelucrării datelor personale.
Nu în ultimul rând, tot în categoria măsurilor destinate creșterii gradului de
protecție și securitate a datelor prelucrate, operatorul t rebuie să desemneze
un responsabil cu protecția datelor atunci când:
• prelucrarea este efectuată de o autoritate sau un organism public, cu
excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
sau
• activitățile principale ale operatorului sau ale persoanei împuternicite de
operator constau în operațiuni de prelucrare care, prin natura, domeniul de
aplicare și/sau scopurile lor, necesită o monitorizare periodică și
sistematică a persoanelor vizate pe scară largă; sau
• activită țile principale ale operatorului sau ale persoanei împuternicite de
operator constau în prelucrarea pe scară largă a unor categorii speciale de
date, descrise la art. 9, sau a unor date cu caracter personal privind
condamnări penale și infracțiuni, mențion ate la art. 10.
Operatorii de date cu caracter personal, pot demonstra prin certificări
dobândite în acest sens, conformitatea măsurilor organizatorice și tehnice
implementate, cu prevederile Regulamentului. Certificările sunt
voluntare , putând fi obținute de la organisme acreditate în acest sens de
către autoritatea națională de supraveghere, sau chiar de la autoritatea în
sine.
În ceea ce privește această autoritate de supraveghere, în România a fost
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 39 înființată prin Legea 102 din 2005, Autoritatea Naționa lă de Supraveghere
a Prelucrării Datelor cu Caracter Personal. Prin Legea 129 din 2018 ,
legea de înființare și organizare a acestei instituții a fost adaptată la
prevederile GDPR.
Prelucr ările transfrontaliere sau transferurile de date către țări
terțe sau organizații internaționale , ori funcționarea și atribuțiile
autorităților de supraveghere în aceste situații și modul lor de cooperare
inernațional sau cu organismele europene, sunt elem ente reglementate prin
GDPR.
Astfel, orice prelucrare a unor date care vizează cetățeni ai altor state
membre U.E., sau transferul datelor în afara țării (prin baze de date
prelucrate în comun de mai multe filiale ale unor companii multinaționale,
de exemp lu), se încadrează în regimul prelucrărilor transfrontaliere, care
este supus unor reguli suplimentare.
Dacă prelucrarea se referă la cetâțeni străini din afara țărilor UE sau datele
cetățenilor români sunt prelucrate și în țări în afara UE, prelucrarea e ste
considerată a fi efectuată în țări terțe, situația care necesită de asemenea,
respectarea unor reguli suplimentare.
În cazul în care prelucrarea urmează să fie realizată în numele unui
operator, operatorul recurge doar la persoane împuternicite care of eră
garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și
organizatorice adecvate, astfel încât prelucrarea să respecte cerințele
prevăzute în prezentul regulament și să asigure protecția drepturilor
persoanei vizate.
(2) Persoana împut ernicită de operator nu recrutează o altă persoană
împuternicită de operator fără a primi în prealabil o autorizație scrisă,
specifică sau generală, din partea operatorului. În cazul unei autorizații
generale scrise, persoana împuternicită de operator info rmează operatorul
cu privire la orice modificări preconizate privind adăugarea sau înlocuirea
altor persoane împuternicite de operator, oferind astfel posibilitatea
operatorului de a formula obiecții față de aceste modificări.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 40 (3) Prelucrarea de către o persoană împuternicită de un operator este
reglementată printr -un contract sau alt act juridic în temeiul dreptului
Uniunii sau al dreptului intern care are caracter obligatoriu pentru
persoana împuternicită de operator în raport cu operatorul și care
stab ilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de
date cu caracter personal și categoriile de persoane vizate și obligațiile și
drepturile operatorului. Respectivul contract sau act juridic prevede în
special că persoană împuter nicită de operator:
(a) prelucrează datele cu caracter personal numai pe baza unor
instrucțiuni documentate din partea operatorului, inclusiv în ceea ce
privește transferurile de date cu caracter personal către o țară terță sau o
organizație internațională, cu excepția cazului în care această obligație îi
revine persoanei împuternicite în temeiul dreptului Uniunii sau al dreptului
intern care i se aplică; în acest caz, notifică această obligație juridică
operatorului înainte de prelucrare, cu excepția cazului în care dreptul
respectiv interzice o astfel de notificare din motive importante legate de
interesul public;
(b) se asigură că persoanele autorizate să prelucreze datele cu caracter
personal s -au angajat să respecte confidențialitatea sau au o obligație
statutară adecvată de confidențialitate;
(c) adoptă toate măsurile necesare în conformitate cu articolul 32;
(d) respectă condițiile menționate la alineatele (2) și (4) privind
recrutarea unei alte persoane împuternicite de operator;
(e) ținând seama de natura prelucrării, oferă asistență operatorului prin
măsuri tehnice și organizatorice adecvate, în măsura în care acest lucru este
posibil, pentru îndeplinirea obligației operatorului de a răspunde cererilor
privind exercitarea de către p ersoana vizată a drepturilor prevăzute în
capitolul III;
(f) ajută operatorul să asigure respectarea obligațiilor prevăzute la
articolele 32 -36, ținând seama de caracterul prelucrării și informațiile aflate
la dispoziția persoanei împuternicite de operato r;
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 41 (g) la alegerea operatorului, șterge sau returnează operatorului toate
datele cu caracter personal după încetarea furnizării serviciilor legate de
prelucrare și elimină copiile existente, cu excepția cazului în care dreptul
Uniunii sau dreptul intern i mpune stocarea datelor cu caracter personal;
(h) pune la dispoziția operatorului toate informațiile necesare pentru a
demonstra respectarea obligațiilor prevăzute la prezentul articol, permite
desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate d e operator sau
alt auditor mandatat și contribuie la acestea.
În ceea ce privește primul paragraf litera (h), persoana împuternicită de
operator informează imediat operatorul în cazul în care, în opinia sa, o
instrucțiune încalcă prezentul regulament sau a lte dispoziții din dreptul
intern sau din dreptul Uniunii referitoare la protecția datelor.
(4) În cazul în care o persoană împuternicită de un operator recrutează o
altă persoană împuternicită pentru efectuarea de activități de prelucrare
specifice în n umele operatorului, aceleași obligații privind protecția datelor
prevăzute în contractul sau în alt act juridic încheiat între operator și
persoana împuternicită de operator, astfel cum se prevede la alineatul (3),
revin celei de a doua persoane împuternic ite, prin intermediul unui
contract sau al unui alt act juridic, în temeiul dreptului Uniunii sau al
dreptului intern, în special furnizarea de garanții suficiente pentru punerea
în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât
prelucrarea să îndeplinească cerințele prezentului regulament. În cazul în
care această a doua persoană împuternicită nu își respectă obligațiile
privind protecția datelor, persoana împuternicită inițială rămâne pe deplin
răspunzătoare față de operator în ce ea ce privește îndeplinirea obligațiilor
acestei a doua persoane împuternicite.
(5) Aderarea persoanei împuternicite de operator la un cod de conduită
aprobat, menționat la articolul 40, sau la un mecanism de certificare
aprobat, menționat la articolul 4 2, poate fi utilizată ca element prin care să
se demonstreze existența garanțiilor suficiente menționate la alineatele (1)
și (4) din prezentul articol.
(6) Fără a aduce atingere unui contract individual încheiat între operator
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 42 și persoana împuternicită de operator, contractul sau celălalt act juridic
menționat la alineatele (3) și (4) din prezentul articol se poate baza, integral
sau parțial, pe clauze contractuale standard menționate la alineatele (7) și
(8) din prezentul articol, inclusiv atunci când f ac parte dintr -o certificare
acordată operatorului sau persoanei împuternicite de operator în temeiul
articolelor 42 și 43.
(7) Comisia poate să prevadă clauze contractuale standard pentru
aspectele menționate la alineatele (3) și (4) din prezentul artic ol și în
conformitate cu procedura de examinare menționată la articolul 93
alineatul (2).
(8) O autoritate de supraveghere poate să adopte clauze contractuale
standard pentru aspectele menționate la alineatele (3) și (4) din prezentul
articol și în confo rmitate cu mecanismul pentru asigurarea coerenței
menționat la articolul 63.
(9) Contractul sau celălalt act juridic menționat la alineatele (3) și (4) se
formulează în scris, inclusiv în format electronic.
(10) Fără a aduce atingere articolelor 82, 83 și 84, în cazul în care o
persoană împuternicită de operator încălcă prezentul regulament, prin
stabilirea scopurilor și mijloacelor de prelucrare a datelor cu caracter
personal, persoana împuternicită de operator este considerată a fi un
operator în ceea ce privește prelucrarea respectivă.
Desfășurarea activității de prelucrare sub autoritatea operatorului sau a
persoanei împuternicite de operator
Persoana împuternicită de operator și orice persoană care acționează sub
autoritatea operatorului sau a pers oanei împuternicite de operator care are
acces la date cu caracter personal nu le prelucrează decât la cererea
operatorului, cu excepția cazului în care dreptul Uniunii sau dreptul intern
îl obligă să facă acest lucru.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 43 Evidențele activităților de prelucra re
(1) Fiecare operator și, după caz, reprezentantul acestuia păstrează o
evidență a activităților de prelucrare desfășurate sub responsabilitatea lor.
Respectiva evidență cuprinde toate următoarele informații:
(a) numele și datele de contact ale operat orului și, după caz, ale
operatorului asociat, ale reprezentantului operatorului și ale
responsabilului cu protecția datelor;
(b) scopurile prelucrării;
(c) o descriere a categoriilor de persoane vizate și a categoriilor de date
cu caracter personal;
(d) categoriile de destinatari cărora le -au fost sau le vor fi divulgate
datele cu caracter personal, inclusiv destinatarii din țări terțe sau
organizații internaționale;
(e) dacă este cazul, transferurile de date cu caracter personal către o țară
terță sau o organizație internațională, inclusiv identificarea țării terțe sau a
organizației internaționale respective și, în cazul transferurilor menționate
la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește
existența unor garanții adec vate;
(f) acolo unde este posibil, termenele -limită preconizate pentru ștergerea
diferitelor categorii de date;
(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și
organizatorice de securitate menționate la articolul 32 alineatul (1) .
(2) Fiecare operator și, după caz, persoana împuternicită de operator
păstrează o evidență a tuturor categoriilor de activități de prelucrare
desfășurate în numele operatorului, care cuprind:
(a) numele și datele de contact ale persoanei sau persoanel or
împuternicite de operator și ale fiecărui operator în numele căruia
acționează această persoană (aceste persoane), precum și ale
reprezentantului operatorului sau al persoanei împuternicite de operator,
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 44 după caz;
(b) categoriile de activități de preluc rare desfășurate în numele fiecărui
operator;
(c) dacă este cazul, transferurile de date cu caracter personal către o țară
terță sau o organizație internațională, inclusiv identificarea țării terțe sau a
organizației internaționale respective și, în cazul transferurilor prevăzute la
articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește
existența unor garanții adecvate;
(d) acolo unde este posibil, o descriere generală a măsurilor tehnice și
organizatorice de securitate menționate la a rticolul 32 alineatul (1).
(3) Evidențele menționate la alineatele (1) și (2) se formulează în scris,
inclusiv în format electronic.
(4) Operatorul sau persoana împuternicită de acesta, precum și, după caz,
reprezentantul operatorului sau al persoanei împuternicite de operator pun
evidențele la dispoziția autorității de supraveghere, la cererea acesteia.
(5) Obligațiile menționate la alineatele 1 și 2 nu se aplică unei
întreprinderi sau organizații cu mai puțin de 250 de angajați, cu excepția
cazului în care prelucrarea pe care o efectuează este susceptibilă să
genereze un risc pentru drepturile și libertățile persoanelor vizate,
prelucrarea nu este ocazională sau prelucrarea include categorii speciale de
date, astfel cum se prevede la articolul 9 alin eatul (1), sau date cu caracter
personal referitoare la condamnări penale și infracțiuni, astfel cum se
menționează la articolul 10.
Cooperarea cu autoritatea de supraveghere
Operatorul și persoana împuternicită de operator și, după caz,
reprezentantul acestora cooperează, la cerere, cu autoritatea de
supraveghere în îndeplinirea sarcinilor lor.
n raport de analiza făcută asupra dispozițiilor Regulamentului, considerăm
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 45 că principalele documente care trebuie elaborate și măsuri care trebuie
luate, sunt următoarele:
– elaborarea unui plan de măsuri tehnice și organizatorice, care să cuprindă
politici și proceduri de securitate;
– cartografierea datelor cu caracter personal și evidența datelor prelucrate;
– emiterea unei note de informare a persoanelor viz ate adaptată la
prevederile Regulamentului;
– desemnarea unui responsabil cu protecția datelor;
– elaborarea unui studiu privind evaluarea impactului asupra protecției
datelor;
– identificarea persoanei împuternicite și semnarea unui contract cu
aceasta;
– Instruirea personalului privind protejarea datelor cu caracter personal;
– Când este necesar, obținerea consimțământului persoanei vizate.
Evidențiem pe scurt, la fiecare categorie de măsuri necesare sau acte de
întocmit, aspectele principale care trebuie urmărite:
Elaborarea unui plan de măsuri tehnice și organizatorice este impus de
prevederile art. 24 din Regulament, care dispune că operatorul pune în
aplicare măsuri tehnice și organizatorice adecvate, pentru a garanta și a fi
în măsură să demonstreze c ă prelucrarea se efectuează în conformitate cu
Regulamentul. Astfel, operatorul trebuie să elaboreze un plan de măsuri pe
care le aplică în vederea asigurării protejării maxime a datelor cu caracter
personal.
În acest scop, trebuie să identifice categoriil e de date prelucrate, persoanele
vizate, temeiul legal al prelucrării datelor prin raportare la art. 6 din
Regulament, să stabilească modalitatea prin care asigură securitatea
prelucrării. Operatorul va trebui să descrie modul de prelucrare a datelor și
să stabilească măsuri de securitate la raportate la acesta.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 46
Cartografierea datelor cu caracter personal și evidența datelor prelucrate:
Această măsură este prevăzută de art. 30 din Regulament și presupune
păstrarea unei evidențe a activităților de prelucrar e desfășurate sub
responsabilitatea lor, care să cuprindă anumite informații, ce se regăsesc la
alin. 1 lit. a -g ale aceluiași articol. Alin. 2 al art. 30 prevede că trebuie
păstrată și o evidență a tuturor categoriilor de activități de prelucrare,
inclusi v cele făcute prin persoană împuternicită. Din aceste texte rezultă că
operatorul de date cu caracter personal, nu păstrează doar evidența datelor
pe care le operează în mod direct, ci și evidența datelor pe care le operează
împuternicitul său, un colabora tor sau furnizor de servicii care are acces la
datele ce intră în posesia operatorului. Ținerea acestor evidențe este
obligatorie pentru companiile cu mai mult de 250 de angajați, dar și pentru
cele la care prelucrarea datelor este susceptibilă să genereze un risc pentru
drepturile persoanelor vizate, precum este obligatorie și pentru cele pentru
care prelucrarea nu este ocazională sau care include categorii speciale de
date sau date referitoare la condamnări. Evidențele se vor redacta în scris,
precum și î n format electronic și se vor pune la dispoziția Autorității de
Supraveghere la cererea acesteia, conform art. 30 alin. 4 din Regulament.
Emiterea unei note de informare a persoanelor vizate adaptată la
prevederile Regulamentului:
Nota de informare afișată în special de operatorii care supraveghează
incintele prin camere video ar trebui să fie actualizată cu reglementările
Regulamentului, în ceea ce privește atenționarea persoanei vizate și
drepturile sale.
Desemnarea unui responsabil cu protecția datelor:
Regulamentul prevede 3 situații în care este obligatorie desemnarea
responsabilului cu protecția datelor și anume:
a) prelucrarea este efectuată de o autoritate sau un organism public, cu
excepția instanțelor care acționează în exercițiul funcției lor juri sdicționale;
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 47 b) activitățile principale ale operatorului sau ale persoanei împuternicite de
operator constau în operațiuni de prelucrare care, prin natura, domeniul de
aplicare și/sau scopurile lor, necesită o monitorizare periodică și
sistematică a persoa nelor vizate pe scară largă;
c) activitățile principale ale operatorului sau ale persoanei împuternicite de
operator constau în prelucrarea pe scară largă a unor categorii speciale de
date, menționată la articolul 9, sau a unor date cu caracter personal pr ivind
condamnări penale și infracțiuni, menționată la articolul 10.
Companiile și alte forme de organizare profesională trebuie să analizeze
literele b și c, pentru a observa dacă se încadrează în una din aceste situații.
În primul rând, trebuie observat c ă sunt vizate monitorizarea periodică și
sistematică și prelucrarea unor categorii speciale de date, însă aceste
prelucrări nu sunt suficiente pentru a exista obligativitatea desemnării unui
responsabil. Astfel, mai există pentru fiecare caz câte două cond iții ce
trebuie îndeplinite cumulativ cu cea a tipului de date prelucrat: (a)
prelucrarea să reprezinte activitatea principală a operatorului și (b) să fie
făcută pe scară largă. Prin urmare, luând un exemplu, monitorizare
periodică și sistematică poate fi reprezentată de televiziune cu circuit închis
pentru supraveghere în vederea pazei și protecției unor unități, magazine
etc. Acestea nu se încadrează la condiția activității principale a
monitorizării pentru că activitatea lor principală constă în fapte d e comerț
sau alte activități, iar monitorizarea este o activitate auxiliară, desfășurată
cu scopul pazei și protecției bunurilor și persoanelor care intră în incintă.
De asemenea, o a treia condiție este aceea ca prelucrările să fie făcute pe
scară largă, iar o unitate de lucru a unei societăți, care se adresează unui
public specific sau limitat, nu se încadrează la această condiție. Pe scară
largă, ar putea însemna monitorizarea video a unui oraș, a unei autostrăzi,
a unei zone mari etc., unde nu poate fi expusă o notă de informare în așa fel
încât persoanele vizate să cunoască faptul că sunt monitorizate, așa cum se
întâmplă când se intră într -o incintă având spațiu restrâns.
Numirea unui responsabil cu protecția datelor, în cazul îndeplinirii
condițiilor arătate mai sus, este obligatorie și pentru persoana
împuternicită, nu numai pentru operator și este posibil să existe cazuri
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 48 când pentru una sau pentru cealaltă să nu existe obligativitatea desemnării.
Persoana desemnată va trebui să aibă cunoștințe temei nice privind
protecția datelor, să cunoască exact activitatea și organizarea operatorului,
să fie o persoană cu integritate și etică profesională și poate face parte din
personalul operatorului sau poate fi desemnată în urma încheierii unui
contract de pre stări servicii, dacă nu este angajat al operatorului. Obligațiile
și sarcinile persoanei responsabile cu protecția datelor sunt prevăzute de
art. 38 și 39 din Regulament.
Elaborarea unui studiu privind evaluarea impactului asupra protecției
datelor:
Evalua rea impactului asupra protecției datelor este obligatorie în cazul în
care un tip de prelucrare este susceptibil să genereze un risc ridicat pentru
drepturile și libertățile persoanelor fizice, conform art. 35 din Regulament.
În această privință se naște o problemă pentru că va fi dificil de identificat
ce reprezintă risc ridicat pentru drepturile și libertățile persoanelor fizice,
deoarece Regulamentul nu prezintă concret în ce constă acest risc, ce
categorii de prelucrări îl pot genera, ci oferă trei cazu ri de prelucrări de la
care ar putea pleca o apreciere asupra considerării acestui risc ridicat
pentru celelalte categorii. Atenție, riscul trebuie să fie ridicat, nu doar să
existe un risc, pentru că identificarea unui risc nu conduce la obligativitatea
elaborării studiului, trebuie făcută diferența între risc și risc ridicat. Astfel,
operatorii vor putea avea dificultăți în a depista dacă prelucrările efectuate
prezintă un risc ridicat, precum și se vor putea naște diferențe de opinii
între operatori și A utoritate cu privire la faptul că prelucrările lor prezintă
sau nu acest risc ridicat. Acest fapt va fi unul periculos pentru operatori
deoarece Regulamentul prevede pentru nerespectarea condițiilor art. 35
amenzi administrative de până la 10.000.000 de eu ro sau, în cazul unei
întreprinderi, de până la 2% din cifra de afaceri totală anuală
corespunzătoare exercițiului financiar anterior, luându -se în calcul cea mai
mare valoare. Aceste amenzi, deși sunt stabilite cu plafon maxim, sunt
extrem de alarmante fa ță de cuantumul acestui plafon, existând pericolul
aplicării unor amenzi greu/imposibil de plătit. Deși Regulamentul prevede
la art.83 alin. (2) o serie de aspecte de care trebuie să se țină cont la
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 49 aplicarea amenzilor, tot există pericolul unor erori de a plicare a
prevederilor privind măsurile administrative.
În vederea stabilirii riscului ridicat, prin alin. 4 al art. 35 se dispune ca
Autoritatea de Supraveghere din statele membre să întocmească și să
publice o listă cu tipul de operațiuni de prelucrare care fac obiectul cerinței
de efectuare a unei evaluări asupra impactului privind protecția datelor, în
acest mod evitându -se sau atenuându -se incertitudinea legată de aprecierea
riscului ridicat.
În cazul în care se consideră că trebuie efectuată, art. 35 alin. (7) din
Regulament prevede că evaluarea ar trebui să conțină cel puțin:
– o descriere sistematică a operațiunilor de prelucrare preconizate și a
scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de
operator;
– o evaluare a necesi tății și proporționalității operațiunilor de prelucrare în
legătură cu aceste scopuri;
– o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate
menționate la alin. (1) al art. 35 din Regulament;
– măsurile preconizate în vederea abordă rii riscurilor, inclusiv garanțiile,
măsurile de securitate și mecanismele menite să asigure protecția datelor
cu caracter personal și să demonstreze conformitatea cu dispozițiile
prezentului regulament, luând în considerare drepturile și interesele
legiti me ale persoanelor vizate și ale altor persoane interesate.
Identificarea persoanei împuternicite și semnarea unui contract cu aceasta:
Persoana împuternicită reprezintă entitatea cu care operatorul are relații de
cooperare și care, prin prisma acestor rel ații prelucrează la rândul său date
cu caracter personal, în numele operatorului.
Între operator și persoana împuternicită se încheie un contract care
prevede asumarea obligațiilor persoanelor împuternicite privind
securitatea, confidențialitatea și protec ția datelor cu caracter personal
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 50 prelucrate.
Operatorul încheie acest contract cu persoana împuternicită, dar aceasta, la
rândul său trebuie să respecte toate prevederile Regulamentului, având
uneori obligații mai complexe decât ale operatorului cu care co nlucrează
datorită obiectului său de activitate, al tipurilor de date prelucrate și al
operatorilor cu care desfășoară relații.
Instruirea personalului privind protejarea datelor cu caracter personal:
În cazul în care angajații operatorului, prin prisma efectuării operațiunilor
adecvate locului de muncă, se ocupă cu prelucrarea datelor, operatorul îi
informează cu privire la obligațiile care le revin în legătură cu protecția
datelor cu caracter personal, aceștia fiind obligați să respecte prevederile
Regu lamentului.
Obținerea consimțământului persoanei vizate:
Regulamentul prevede o serie se situații în care este necesar ca persoana
vizată să consimtă la prelucrarea datelor sale, respectiv când se prelucrează
date cu caracter personal care dezvăluie origin ea rasială sau etnică, opiniile
politice, confesiunea religioasă, convingerile filozofice sau apartenența la
sindicate, prelucrarea de date genetice, de date biometrice pentru
identificarea unică a unei persoane fizice, date privind sănătatea sau
aspecte d e viață privată intimă.
Trebuie menționat că nu întotdeauna este obligatorie obținerea
consimțământului, existând situații în care aceste date pot fi prelucrate fără
acordul persoanei vizate, cazuri ce sunt prevăzute de art. 9 alin. 2 lit. b -j din
Regulame nt.
Consimțământul trebuie dat în așa fel încât operatorul să fie în măsură să
demonstreze că există, iar dacă e dat în scris, să fie într -o formă ușor
inteligibilă și accesibilă, utilizând un limbaj clar și simplu, aceste condiții
fiind prevăzute de art. 7 din Regulament.
Persoana vizată își poate retrage consimțămîntul, însă acest fapt nu va
afecta prelucrările de date efectuate până la retragere.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 51
Prezentarea acestor măsuri ce s -ar impune pentru implementarea
Regulamentului nr. 679/2016 este făcută succi nt, reglementările în ceea ce
privește protecția datelor fiind extrem de complexe, trebuind a fi
interpretate în contextul fiecărei situații particulare, cu mare atenție, mai
ales față de amenzile prevăzute de Regulament.
Înainte de a proceda la prelucrare a datelor, este necesară încadrarea în
unul dintre temeiurile legale. O scurtă prezentare mai jos:
Prelucrarea în temeiul consimțământului
Consimțământul persoanei vizate trebuie să fie liber exprimat, specific și
lipsit de ambiguitate.
Dacă pr elucrarea datelor se face în mai multe scopuri, consimțământul ar
trebui dat pentru fiecare scop în care datele sunt prelucrate.
Consimțământul ar trebui acordat printr -o acțiune afirmativă neechivocă
Obținerea consimțământului trebuie să fie necon diționată
Prelucrarea în temeiul executării unui contract
Când se aplică? Răspunsul este simplu: prelucrarea este necesară pentru:
fie executarea unui contract la care persoana vizată este parte
Exemplu: prelucrarea informațiilor de bază ale persoanei vizate, cum ar fi
numele, adresa pentru transmiterea notificărilor cu privire la obligațiile
contractuale restante sau chiar furnizarea produselor comandate.
sau
fie pentru a face demersuri la cererea persoanei vizate înainte de
încheierea un ui contract.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 52
Prelucrarea în temeiul îndeplinirii unei obligații legale a societății
Prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi
revine operatorului, obligație care trebuie să fie impusă de legislația internă
sau europeană ce guvernează activitatea operatorului.
Obligația trebuie să fie una imperativă (operatorului nu îi este recunoscută
posibilitatea de decide dacă se conformează sa nu obligației) și suficient de
clară.
Prelucrarea în temeiul interesului le gitim
Exemple de scopuri care ar putea fi considerate a constitui interes legitim:
prevenirea fraudei, administrarea internă în cadrul unui grup de
întreprinderi, asigurarea securității rețelelor și a informațiilor.
GDPR – temeiuri legale pentru prelucrare a datelor cu caracter personal
GDPR aduce șase temeiuri în baza cărora poți prelucra datele legal. Unul
dintre ele este consimțământul, dar el trebuie să fie însoțit de o informare,
poate fi retras în orice moment și în unele cazuri poate fi nevalid (de
exemplu în relațiile de muncă). Totodată, ești obligat să demonstrezi în
orice moment că ai obținut un consimțământ valabil. Reține că, deși în
majoritatea cazurile, poți migra către alte temeiuri legale, în unele situații
consimțământul este obligatoriu: marketing, tracking (de exemplu, prin
module cookie).
Dacă vrei să alegi temeiul legal potrivit, ar fi o idee să consulți tabelul de
mai jos
Consimțământul Preambul (32), (42), (43); Art. 6 alin (1) lit. (a)
Prelucrarea este permisă dacă persoana vi zată și -a dat consimțământul
pentru prelucrare
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 53 Încheierea sau executarea unui contract Preambul (44);
Art. 6 alin. (1) lit. (b)
Prelucrarea este necesară pentru executarea unui contract la care persoana
vizată este parte sau pentru a face demersuri la ce rerea persoanei vizate
înainte de încheierea unui contract
Îndeplinirea unei obligații legale Preambul (45); Art.6(1) lit.
(c);Art. 6 alin. (3)
Prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi
revine operatorului
Interesele vitale Preambul (46); Art.6(1) lit. (d)
Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei
vizate sau ale altei persoane fizice
Interesul public Preambul 46; Art.6(1) lit. (e)
Prelucrarea este necesară pentru îndeplinirea unei sarcini care servește
unui interes public sau care rezultă din exercitarea autorității publice cu
care este învestit operatorul
Interesul legitim Preambul (47), (48); Art.6(1) lit. (f)
Prelucrarea este necesară în scopul intereselor legitime urmărite de
operator sau de o parte terță, cu excepția cazului în care prevalează
interesele sau drepturile și libertățile fundamentale ale persoanei vizate,
care necesită protejarea datelor cu caracter personal, în special atunci când
persoana vizată este un copil
Prelucrarea de date cu caracter personal referitoare la
condamnări penale și infracțiuni Art.10
Prelucrarea de date cu caracter personal referitoare la condamnări penale și
infracțiuni sau la măsuri de securitate conexe în temeiul articolului 6
alineatul (1) se efectuează numai sub controlul unei autorități de stat sau
atunci când prelucrarea este au torizată de dreptul Uniunii sau de dreptul
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 54 intern care prevede garanții adecvate pentru drepturile și libertățile
persoanelor vizate. Orice registru cuprinzător al condamnărilor penale se
ține numai sub controlul unei autorități de stat.
Prelucrarea de cat egorii speciale de date cu caracter personal
Preambul (51) -(56); Art.9
persoana vizată și -a dat consimțământul explicit;
Prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării
unor drepturi specifice ale operatorului sau ale persoanei vizate în
domeniul ocupării forței de muncă și al securității sociale și protecției
sociale;
prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei
vizate sau ale unei alte persoane fizice, atunci când persoana vizată se afl ă
în incapacitate fizică sau juridică de a -și da consimțământul;
prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții
adecvate de către o fundație, o asociație sau orice alt organism fără scop
lucrativ și cu specific politic, fil ozofic, religios sau sindical, cu condiția ca
prelucrarea să se refere numai la membrii sau la foștii membri ai
organismului respectiv sau la persoane cu care acesta are contacte
permanente în legătură cu scopurile sale și ca datele cu caracter personal să
nu fie comunicate terților fără consimțământul persoanelor vizate;
prelucrarea se referă la date cu caracter personal care sunt făcute publice în
mod manifest de către persoana vizată;
prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui
drept în instanță sau ori de câte ori instanțele acționează în exercițiul
funcției lor judiciare;
prelucrarea este necesară din motive de interes public major, în baza
dreptului Uniunii sau a dreptului intern, care este proporțional cu
obiectivul urm ărit, respectă esența dreptului la protecția datelor și prevede
măsuri corespunzătoare și specifice pentru protejarea drepturilor
fundamentale și a intereselor persoanei vizate;
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 55
prelucrarea este necesară în scopuri legate de medicina preventivă sau a
munc ii, de evaluarea capacității de muncă a angajatului, de stabilirea unui
diagnostic medical, de furnizarea de asistență medicală sau socială sau a
unui tratament medical sau de gestionarea sistemelor și serviciilor de
sănătate sau de asistență socială, în t emeiul dreptului Uniunii sau al
dreptului intern sau în temeiul unui contract încheiat cu un cadru medical
și sub rezerva respectării condițiilor și garanțiilor prevăzute la alineatul (3);
prelucrarea este necesară din motive de interes public în domeniul sănătății
publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave
la adresa sănătății sau asigurarea de standarde ridicate de calitate și
siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor
medicale, în temeiul drep tului Uniunii sau al dreptului intern, care prevede
măsuri adecvate și specifice pentru protejarea drepturilor și libertăților
persoanei vizate, în special a secretului profesional;
prelucrarea este necesară în scopuri de arhivare în interes public, în sco puri
de cercetare științifică sau istorică ori în scopuri statistice, în conformitate
cu articolul 89 alineatul (1), în baza dreptului Uniunii sau a dreptului
intern, care este proporțional cu obiectivul urmărit, respectă esența
dreptului la protecția date lor și prevede măsuri corespunzătoare și specifice
pentru protejarea drepturilor fundamentale și a intereselor persoanei
vizate.
Prelucrarea în alt scop Art. 6 alin. (4)
În cazul în care prelucrarea în alt scop decât cel pentru care datele cu
caracter pe rsonal au fost colectate nu se bazează pe consimțământul
persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o
măsură necesară și proporțională într -o societate democratică pentru a
proteja obiectivele menționate la articolul 23 ali neatul (1), operatorul,
pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul
pentru care datele cu caracter personal au fost colectate inițial, ia în
considerare, printre altele:
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 56
(a) orice legătură dintre scopurile în care datele cu ca racter personal au fost
colectate și scopurile prelucrării ulterioare preconizate;
(b) contextul în care datele cu caracter personal au fost colectate, în special
în ceea ce privește relația dintre persoanele vizate și operator;
(c) natura datelor cu caracter personal, în special în cazul prelucrării unor
categorii speciale de date cu caracter personal, în conformitate cu articolul
9, sau în cazul în care sunt prelucrate date cu caracter personal referitoare
la condamnări penale și infracțiuni, în conf ormitate cu articolul 10;
(d) posibilele consecințe asupra persoanelor vizate ale prelucrării ulterioare
preconizate;
(e)existența unor garanții adecvate, care pot include criptarea sau
pseudonimizarea.
Studiu de caz:
Am fost în situația de a răspunde la două întrebări pe subiectul relației
dintre organizații: în situația X, sînt operator sau personă împuternicită?
Sau operatori asociați? În timp ce în cazul relațiilor operator -operator sau
operator -persoană împuternicită lucrurile par mai clare, în cazul
operatorilor asociați….lucrurile sînt mult mai complexe. Iar un răspuns cert
este dificil de formulat.
Mergem la …teorie:
„operator” înseamnă persoana fizică sau juridică, autoritatea publică,
agenția sau alt organism care, singur sau împreună cu altel e, stabilește
scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci
când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii
sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea
acestuia pot f i prevăzute în dreptul Uniunii sau în dreptul intern;
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 57 „persoană împuternicită de operator” înseamnă persoana fizică sau
juridică, autoritatea publică, agenția sau alt organism care prelucrează
datele cu caracter p ersonal în numele operatorului;
În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile
și mijloacele de prelucrare, a ceștia sunt operatori asociați.
Există însă o problemă cu definițiile GDPR: nu trebuie citite și interpretate
singular. Unii termeni și sintagme din GDPR sînt preluați(e) din alte
documente – să le spun generic „juridice„ (Convenția 108, de ex) și
explicate de -a lungul timpului prin Ghidurile și Opiniile WP29 (consider că
este obligatorie lecturarea tuturor acestor documente, publicat e începînd cu
Directiva 95/46).
„Mijloacele de prelucrare„ din definiție nu se referă doar la „tehnicisme„ ci
și la maniera de prelucrare: ce date prelucrez? cine are acces la date? cînd
vor fi șterse datele?…etc. Altfel spus „mijloacele„ sînt atît „tehnice„ cît și
„administrati ve/procedurale„, inclusiv decizia de a fi delegate către o
„persoană împuternicită„. Mijloacele sînt cele prin care se atinge scopul
prelucrării! Pe ce mă bazez cînd scriu asta? Am citit explicațiile din
WP169 – Opinion 1/2010 on the concepts o f „controll er” and „processor”.
Știam lucrurile astea, motiv pentru care în cazul uneia dintre întrebări am
răspuns la „foc automat„ în timp ce la cealaltă întrebare am două
răspunsuri p e care tot le schimb între ele.
1. O com panie organizează un eveniment.
Participa nții trebuie să se înscrie pe site pentru a -și rezerva locul într -o
sală, în funcție de subiectul de interes. Evenimentul are sponsori iar aceștia
sînt interesați de datele de contact ale participanților. Organizatorul nu
transferă implicit datele particip anților către sponsori pentru că scopul
prelucrării și mijloacele sînt diferite. În schimb, le cere consimțămîntul
pentru un astfel de transfer. Sponsorii vor fi tot operatori. De ce? Pentru că
vor prelucra acele date pentru propriul lor scop (pe care în acest moment
nu îl cunoaștem).
Se poate încadra această relație și la „operatori asociați„? Da: eu,
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 58 organizator (nu sînt doar o firmă de organizare de evenimente) vînd soluții
de securitate IT de la sponsorii mei și prelucrăm datele participanților
pentru a celași scop: să vindem. Și „mijloacele de prelucrare„ vor fi aproape
identice. (Exemplu poate fi dezvoltat, dar pentru simplicitate am preferat
stilul „minimalist„. Putem întîlni aceeași situației și în cazul relației dintre
dealerii auto care au și servi ce și distribuitorul mărcii cu pricina. Sau în
zona entităților finan ciare bancă -leasing -asigurări )
2. Serviciile de medicină a muncii pentru angajații organizației.
Există situații cînd aceste servicii sînt oferite pe baza unui contract, de
către un fur nizor de servicii medicale. Angajatul nu este obligat să lucreze
cu acel furnizor ci primește acest serviciu ca bene ficiu din partea
angajatorului.
Conform legii, organizațiile sînt obligate să angajeze numai persoane care,
în urma examenului medical și, d upă caz, a testării psihologice a
aptitudinilor, corespund sarcinii de muncă pe care urmează să o execute și
să asigure controlul medical periodic și, după caz, control psihologi c
periodic, ulterior angajării.
Angajatorul primește din partea angajatului Fi șa de aptitudine (am trecut
prin așa ceva și nu se trimite un exemplar direct angajatorului). Pe această
fișă nu sînt trecute prea multe date personale și nici date despre sănătate:
Nume, Prenume, (unele cabinete trec și CNP că așa a fost templateul…) și
avizul medical – apt, inapt etc. Dar medicul/furnizorul de servicii de
medicina muncii nu prelucrează doar nume și prenume pentru că acea
decizie se ia în urma unui consult/examinare medicală, activit ate ce implică
alte prelucrări.
Cum relaționează angajato rul cu furnizorul de servicii: operator -operator
sau operatori asociați? Dacă ținem cont că se schimbă un singur document
(Fișa de aptitudine) ce conține date personale, am putea considera că sînt
posibile ambele situații (dar as ta nu este o opinie juridi că!).
În practică se prelucrează date diferite dar se schimbă un singur document.
Ce interes ar avea un angajator (operator) să se declare operator asociat
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 59 împreună cu furnizorul de servicii medicale? Urmăresc același scop al
prelucrării? Putem spune că DA , dar mijloacele de prelucrare (tehnice și
administrative) vor fi în multe cazuri diferite. Nici temeiul juridic al
prelucrării nu este unul comun: angajatorul trebuie să respecte o
cerință/obligație legală („prelucrarea este necesară în vederea îndeplini rii
unei obligații legale care îi revine operatorului;„) iar furnizorul….execută un
contract. Fișa de apitudini face parte din dosarul de personal al angajatului
și conține mai puține date cu caracter personal decît examinarea medicală a
furnizorului de se rvicii de medicina muncii. Un incident de securitate la
angajator nu are aceleași consencințe cu unul la furnizorul de servicii (stric
pe această speță).
GDPR nu impune existența unui contract între operatori ci doar un
„acord„..
Studiu de caz:
Cred că de acum este clar că, în practică, vor exista multe situații în care o
organizație va fi și „operator„ (măcar pentru datele angajaților) dar și
„persoană împuternicită„ (pentru datele prelucrate pentru clienții săi,
pesoane juridice).
Să presupunem că tot ce ține de datele personale ale angajaților a fost
rezolvat. Cu „experți„ sau fără, pe bani mai mulți sau mai puțini, am ajuns
să punem în practică „măsuri tehnice și administrative„ și aproape putem
proba res pectarea principiilor din GDPR.
Sîntem în etapa în care trebuie rezolvate aspectele ce țin de relațiile
contractuale. Aici cred că vor începe problemele care vor da alte dureri de
cap.
Prelucrarea de către o persoană împuternicită de un operator este
reglementată printr -un contract sau alt act juridic în temeiul dreptului
Uniunii sau al dreptului intern care are caracter obligatoriu pentru
persoana împuternicită de operator în raport cu operatorul și care
stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de
date cu caracter personal și categoriile de persoane vizate și obligațiile și
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 60 drepturile operatorului. – Art. 28 (3)
Pentru a asigura respectarea cerințelor impuse de prezentul regulament
în ceea ce privește prelucrarea care trebuie efectuată în numele
operatorului de către persoana împuternicită de operator, atunci când
atribuie activități de prelucrare unei persoane împuternicite de operator,
acesta din urmă ar trebui să utilizeze numai persoane împuternicite care
oferă garanții suficiente, în special în ceea ce prive ște cunoștințele de
specialitate, fiabilitatea și resursele, pentru a implementa măsuri tehnice și
organizatorice care îndeplinesc cerințele impuse de prezentul regulament,
inclusiv pentru secur itatea prelucrării. – Recital 81
Persoana împuternicită de operator este răspunzătoare pentru
prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat
obligațiile din prezentul regulament care revin în mod specific persoanelor
împuternicite de operator sau a acționat în afara sau în contradicție cu
instrucțiunile legale ale operatorului. – Art. 82 (2
Contractele între cei doi actori, trebuie să includă cel puțin următorii
termeni, care să impună procesatorului:
o să acționeze numai în baza instrucțiunilor scrise ale operatorului;
o să se asigure că persoa nele care prelucrează datele personale sunt
supuse unei obligații statutare de confidențialitate;
o să ia măsurile adecvate pentru a asigura securitatea prelucrării;
o să angajeze subcontractori numai cu acordul prealabil al operatorului
și în baza unui contra ct scris;
o să asiste controlorul în asigurarea accesului și să permită persoanelor
vizate să își exercite drepturile în temeiul GDPR;
o asistă operatorul în îndeplinirea obligațiilor GDPR în ceea ce privește
securitatea prelucrării, notificarea încălcării sec urității și evaluării
impactului protecției datelor;
o să șteargă sau să returneze toate datele personale la operator, așa cum
se solicită la sfârșitul contractului;
o pune la dispoziția operatorului toate informațiile necesare pentru a
demonstra respectarea obligațiilor prevăzute la prezentul articol,
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 61 permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de
operator sau alt auditor mandatat și contribuie la acestea
Deși sînt menționate, clauzele contractuale standard există doar pentru
transferul int ernațional de date. Deocamdată.
Responsabilitatea de a verifica dacă persoana împuternicită este
competentă să proceseze datele personale în conformitate cu to ate cerințele
GDPR revine operatorului. Evaluarea persoanei împuternicite ar trebui să
țină seama de natura prelucrării și de riscurile pentru persoanele vizate.
Articolul 28.1 (și Recital 81) spune că trebuie să se lucreze doar cu o
persoană împuternicită care poate oferi „garanții suficiente” din punctul de
vedere al resurselor și expertizei sale, să pună în aplicare măsuri tehnice și
organizatorice pentru a respecta GDPR și a proteja drepturile persoanelor
vizate.
Chiar dacă există un contract cu o perso ană împuternicită,
responsabilitatea operatorului nu se pierde. El continuă să fie responsabil
pentru asigurarea prelucrării corecte a datelor cu caracter personal și
pentru protejarea drepturilor persoanelor vizate. Managementul are
obligația de a exercit a o diligență deosebită în selectarea și supravegh erea
persoanelor împuternicite.
Atunci cînd „responsabilul cu securitatea datelor„ este de tip „serviciu„ ne
aflăm de fapt în situația unui contract cu o persoană împuternicită, contract
care trebuie execut at așa după cum este indicat în articolele citate.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 62
3. Drepturile si obligatiile persoanei vizate cu
privire la prelucrarea datelor cu caracter
personal
Dreptul la informare ;
Dreptul de acces la date ;
Dreptul de a cere rectificarea datelor ;
Dreptul de a cere stergerea datelor ;
Dreptul la restrictionarea prelucrarii ;
Dreptul la portabilitatea datelor ;
Dreptul de opozitie ;
Dreptul de a nu face obiectul unei decizii bazate
exclusiv pe prelucrarea automata, inclusiv cre area de
profiluri
MODULUL 3
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 63 Drepturile si obligatiile persoanei vizate cu privire la prelucrarea
datelor cu caracter personal
1. Dreptul la informare
În cazul în care datele cu caracter personal referitoare la o
persoană sunt colectate de la aceasta, operatorul, în momentul
obținerii acestor date, are obligatia de a o informa cu privire la:
identitatea și datele de contact ale operatorului și, după caz, ale
reprezentantului acestuia; datele de contact ale responsabilului cu
protecția datelor, dacă exis ta; scopurile în care sunt prelucrate
datele cu caracter personal, precum și temeiul juridic al
prelucrării; interesele legitime urmărite de operator sau de o parte
terță, destinatarii sau categoriile de destinatari ai datelor cu
caracter personal și, dacă este cazul, intenția operatorului de a
transfera date cu caracter personal către o țară terță sau o
organizație internațională.
2. Dreptul de acces la date
Persoana vizată are dreptul de a obține din partea operatorului o
confirmare că se prelucrează sau nu date cu caracter personal care
o privesc și, în caz afirmativ, acces la datele respective și la mai
multe informații, cum ar fi: scopurile prelucrării; categoriile de
date cu caracter personal vizate; destinatarii sau categoriile de
destinatari cărora datele cu caracter personal le -au fost sau
urmează să le fie divulgate, acolo unde este posibil, perioada
pentru care se preconizează că vor fi stocate datele cu caracter
personal sau, dacă acest lucru nu este posibil, criteriile utilizate
pentru a stabili această perioadă.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 64
3. Dreptul de a cere rectificarea datelor
Persoana vizată are dreptul de a obține de la operator, fără
întârzieri nejustificate, rectificarea datelor cu caracter personal
inexacte care o privesc. Ea are dreptul de a obține completarea
datelor cu caracter personal care sunt incomplete, inclusiv prin
furnizarea unei declarații suplimentare.
4. Dreptul de a cere stergerea datelor
Persoana vizată are dreptul de a obține din partea operatorului
ștergerea datelor cu caracter personal care o p rivesc, fără
întârzieri nejustificate, iar operatorul are obligația de a șterge
datele cu caracter personal în cazul în care se aplică unul dintre
următoarele motive: datele cu caracter personal nu mai sunt
necesare pentru îndeplinirea scopurilor pentru ca re au fost
colectate sau prelucrate; persoana vizată își retrage
consimțământul pe baza căruia are loc prelucrarea și nu există
niciun alt temei juridic pentru prelucrarea; persoana vizată se
opune prelucrării și nu există motive legitime care să prevaleze în
ceea ce privește prelucrarea; datele cu caracter personal au fost
prelucrate ilegal; datele cu caracter personal trebuie șterse pentru
respectarea unei obligații legale care revine operatorului în
temeiul dreptului Uniunii sau al dreptului intern sub i ncidența
căruia se află operatorul; datele cu caracter personal au fost
colectate în legătură cu oferirea de servicii ale societății
informaționale.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 65 5. Dreptul la restrictionarea prelucrarii
Persoana vizată are dreptul de a obține din partea operatorului
restricționarea prelucrării în cazul în care se aplică unul din
următoarele cazuri: persoana vizată contestă exactitatea datelor,
pentru o perioadă care îi permite operatorului să verifice
exactitatea datelor; prelucrarea este ilegală, iar persoana vizată se
opune ștergerii datelor cu caracter personal, solicitând în schimb
restricționarea utilizării lor; operatorul nu mai are nevoie de
datele cu caracter personal în scopul prelucrării, dar persoana
vizată i le solicită pentru constatarea, exercitarea sau a părarea
unui drept în instanță; sau persoana vizată s -a opus prelucrării,
pentru intervalul de timp în care se verifică dacă drepturile
legitime ale operatorului prevalează asupra celor ale persoanei
vizate.
O persoană vizată care a obținut restricționarea prelucrării este
informată de către operator înainte de ridicarea restricției de
prelucrare.
6. Dreptul la portabilitatea datelor
Persoana vizată are dreptul de a primi datele cu caracter personal
care o privesc și pe care le -a furnizat operatorului într -un format
structurat, utilizat în mod curent și care poate fi citit automat și
are dreptul de a transmite aceste date altui operator, fără
obstacole din partea operatorului căruia i -au fost furnizate datele
cu caracter personal, în cazul în care: prelucra rea se bazează pe
consimțământ sau pe un contract și prelucrarea este efectuată
prin mijloace automate.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 66
7. Dreptul de opozitie
În orice moment, persoana vizată are dreptul de a se opune, din
motive legate de situația particulară în care se află, prelucrării
datelor cu caracter personal care o privesc, inclusiv creării de
profiluri pe baza respectivelor dispoziții. Operatorul nu mai
prelucrează datele cu caracter personal, cu excepția cazului în care
operatorul demonstrează că are motive legitime ș i imperioase care
justifică prelucrarea și care prevalează asupra intereselor,
drepturilor și libertăților persoanei vizate sau că scopul este
constatarea, exercitarea sau apărarea unui drept în instanță.
Atunci când prelucrarea datelor cu caracter persona l are drept
scop marketingul direct, persoana vizată are dreptul de a se opune
în orice moment prelucrării în acest scop a datelor cu caracter
personal care o privesc, inclusiv creării de profiluri, în măsura în
care este legată de marketingul direct respe ctiv.
În cazul în care persoana vizată se opune prelucrării în scopul
marketingului direct, datele cu caracter personal nu mai sunt
prelucrate în acest scop.
8. Dreptul de a nu face obiectul unei decizii bazate
exclusiv pe prelucrarea automata, inclusiv c rearea de
profiluri
Persoana vizată are dreptul de a nu face obiectul unei decizii
bazate exclusiv pe prelucrarea automată, inclusiv crearea de
profiluri, care produce efecte juridice care privesc persoana vizată
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 67 sau o afectează în mod similar într -o măsur ă semnificativă.
Dreptul nu se aplică în cazul în care: decizia este necesară pentru
încheierea sau executarea unui contract între persoana vizată și
un operator de date; este autorizată prin dreptul Uniunii sau
dreptul intern care se aplică operatorului și care prevede, de
asemenea, măsuri corespunzătoare pentru protejarea drepturilor,
libertăților și intereselor legitime ale persoanei vizate sau are la
bază consimțământul explicit al persoanei vizate.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 68
Regulamentul nr. 679/2016 privind p rotecția persoanelor fizice în ceea ce
privește prelucrarea datelor cu caracter personal și privind libera circulație
a acestor date și de abrogare a Directivei 95/46/CE(Regulamentul general
privind protecția datelor)
extras din regulament
Capitolul III: Drepturile persoanei vizate
Art. 13: Informații care se furnizează în cazul în care datele cu caracter
personal sunt colectate de la persoana vizată
(1)În cazul în care datele cu caracter personal referitoare la o persoană
vizată sunt colectate de la ace asta, operatorul, în momentul obținerii
acestor date cu caracter personal, furnizează persoanei vizate toate
informațiile următoare:
a)identitatea și datele de contact ale operatorului și, după caz, ale
reprezentantului acestuia;
b)datele de contact ale responsabilului cu protecția datelor, după caz;
c)scopurile în care sunt prelucrate datele cu caracter personal, precum și
temeiul juridic al prelucrării;
d)în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1)
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 69 litera (f), interesel e legitime urmărite de operator sau de o parte terță;
e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
f)dacă este cazul, intenția operatorului de a transfera date cu caracter
personal către o țară terță sau o organizație in ternațională și existența sau
absența unei decizii a Comisiei privind caracterul adecvat sau, în cazul
transferurilor menționate la articolul 46 sau 47 sau la articolul 49 alineatul
(1) al doilea paragraf, o trimitere la garanțiile adecvate sau corespunzăt oare
și la mijloacele de a obține o copie a acestora, în cazul în care acestea au fost
puse la dispoziție.
(2)În plus față de informațiile menționate la alineatul (1), în momentul în
care datele cu caracter personal sunt obținute, operatorul furnizează
persoanei vizate următoarele informații suplimentare necesare pentru a
asigura o prelucrare echitabilă și transparentă:
a)perioada pentru care vor fi stocate datele cu caracter personal sau, dacă
acest lucru nu este posibil, criteriile utilizate pentru a st abili această
perioadă;
b)existența dreptului de a solicita operatorului, în ceea ce privește datele cu
caracter personal referitoare la persoana vizată, accesul la acestea,
rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a
dreptul ui de a se opune prelucrării, precum și a dreptului la portabilitatea
datelor;
c)atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a)
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 70 sau pe articolul 9 alineatul (2) litera (a), existența dreptului de a retrage
consimțământul în ori ce moment, fără a afecta legalitatea prelucrării
efectuate pe baza consimțământului înainte de retragerea acestuia;
d)dreptul de a depune o plângere în fața unei autorități de supraveghere;
e)dacă furnizarea de date cu caracter personal reprezintă o obli gație legală
sau contractuală sau o obligație necesară pentru încheierea unui contract,
precum și dacă persoana vizată este obligată să furnizeze aceste date cu
caracter personal și care sunt eventualele consecințe ale nerespectării
acestei obligații;
f)existența unui proces decizional automatizat incluzând crearea de
profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin
în cazurile respective, informații pertinente privind logica utilizată și
privind importanța și consecințele p reconizate ale unei astfel de prelucrări
pentru persoana vizată.
(3)În cazul în care operatorul intenționează să prelucreze ulterior datele cu
caracter personal într -un alt scop decât cel pentru care acestea au fost
colectate, operatorul furnizează persoa nei vizate, înainte de această
prelucrare ulterioară, informații privind scopul secundar respectiv și orice
informații suplimentare relevante, în conformitate cu alineatul (2).
(4)Alineatele (1), (2) și (3) nu se aplică dacă și în măsura în care persoana
vizată deține deja informațiile respective.
Art. 14: Informații care se furnizează în cazul în care datele cu caracter
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 71 personal nu au fost obținute de la persoana vizată
(1)În cazul în care datele cu caracter personal nu au fost obținute de la
persoana v izată, operatorul furnizează persoanei vizate următoarele
informații:
a)identitatea și datele de contact ale operatorului și, după caz, ale
reprezentantului acestuia;
b)datele de contact ale responsabilului cu protecția datelor, după caz;
c)scopurile în care sunt prelucrate datele cu caracter personal, precum și
temeiul juridic al prelucrării;
d)categoriile de date cu caracter personal vizate;
e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal,
după caz;
f)dacă este cazul, i ntenția operatorului de a transfera date cu caracter
personal către un destinatar dintr -o țară terță sau o organizație
internațională și existența sau absența unei decizii a Comisiei privind
caracterul adecvat sau, în cazul transferurilor menționate la art icolul 46 sau
47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanțiile
adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora,
în cazul în care acestea au fost puse la dispoziție.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 72
(2)Pe lângă informațiile me nționate la alineatul (1), operatorul furnizează
persoanei vizate următoarele informații necesare pentru a asigura o
prelucrare echitabilă și transparentă în ceea ce privește persoana vizată:
a)perioada pentru care vor fi stocate datele cu caracter person al sau, dacă
acest lucru nu este posibil, criteriile utilizate pentru a stabili această
perioadă;
b)în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1)
litera (f), interesele legitime urmărite de operator sau de o parte terță;
c)existența dreptului de a solicita operatorului, în ceea ce privește datele cu
caracter personal referitoare la persoana vizată, accesul la acestea,
rectificarea sau ștergerea acestora sau restricționarea prelucrării și a
dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea
datelor;
d)atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a)
sau pe articolul 9 alineatul (2) litera (a), existența dreptului de a retrage
consimțământul în orice moment, fără a afecta legalitatea prelucrării
efectuate pe baza consimțământului înainte de retragerea acestuia;
e)dreptul de a depune o plângere în fața unei autorități de supraveghere;
f)sursa din care provin datele cu caracter personal și, dacă este cazul, dacă
acestea provin din surse disponibile public;
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 73
g)existența unui proces decizional automatizat incluzând crearea de
profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin
în cazurile respective, informații pertinente privind logica utilizat ă și
privind importanța și consecințele preconizate ale unei astfel de prelucrări
pentru persoana vizată.
(3)Operatorul furnizează informațiile menționate la alineatele (1) și (2):
a)într -un termen rezonabil după obținerea datelor cu caracter personal, d ar
nu mai mare de o lună, ținându -se seama de circumstanțele specifice în
care sunt prelucrate datele cu caracter personal;
b)dacă datele cu caracter personal urmează să fie utilizate pentru
comunicarea cu persoana vizată, cel târziu în momentul primei co municări
către persoana vizată respectivă; sau
c)dacă se intenționează divulgarea datelor cu caracter personal către un alt
destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima
oară.
(4)În cazul în care operatorul intenționează să prelucreze ulterior datele cu
caracter personal într -un alt scop decât cel pentru care acestea au fost
obținute, operatorul furnizează persoanei vizate, înainte de această
prelucrare ulterioară, informații privind scopul secundar respectiv și orice
informații suplimentare relevante, în conformitate cu alineatul (2).
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 74 (5)Alineatele (1) -(4) nu se aplică dacă și în măsura în care:
a)persoana vizată deține deja informațiile;
b)furnizarea acestor informații se dovedește a fi imposibilă sau ar implica
efort uri disproporționate, în special în cazul prelucrării în scopuri de
arhivare în interes public, în scopuri de cercetare științifică sau istorică ori
în scopuri statistice, sub rezerva condițiilor și a garanțiilor prevăzute la
articolul 89 alineatul (1), sa u în măsura în care obligația menționată la
alineatul (1) din prezentul articol este susceptibil să facă imposibilă sau să
afecteze în mod grav realizarea obiectivelor prelucrării respective In astfel
de cazuri, operatorul ia măsuri adecvate pentru a prote ja drepturile,
libertățile și interesele legitime ale persoanei vizate, inclusiv punerea
informațiilor la dispoziția publicului;
c)obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul
Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care
prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei
vizate; sau
d)în cazul în care datele cu caracter personal trebuie să rămână
confidențiale în temeiul unei obligații statutare de secret profesional
reglem entate de dreptul Uniunii sau de dreptul intern, inclusiv al unei
obligații legale de a păstra secretul.
Art. 15: Dreptul de acces al persoanei vizate
(1)Persoana vizată are dreptul de a obține din partea operatorului o
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 75 confirmare că se prelucrează sau nu date cu caracter personal care o
privesc și, în caz afirmativ, acces la datele respective și la următoarele
informații:
a)scopurile prelucrării;
b)categoriile de date cu caracter personal vizate;
c)destinatarii sau categoriile de destinatari cărora datele cu caracter
personal le -au fost sau urmează să le fie divulgate, în special destinatari din
țări terțe sau organizații internaționale;
d)acolo unde este posibil, perioada pentru care se preconizează că vor fi
stocate datele cu caracter personal sau , dacă acest lucru nu este posibil,
criteriile utilizate pentru a stabili această perioadă;
e)existența dreptului de a solicita operatorului rectificarea sau ștergerea
datelor cu caracter personal ori restricționarea prelucrării datelor cu
caracter person al referitoare la persoana vizată sau a dreptului de a se
opune prelucrării;
f)dreptul de a depune o plângere în fața unei autorități de supraveghere;
g)în cazul în care datele cu caracter personal nu sunt colectate de la
persoana vizată, orice informați i disponibile privind sursa acestora;
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 76 h)existența unui proces decizional automatizat incluzând crearea de
profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin
în cazurile respective, informații pertinente privind logica utiliza tă și
privind importanța și consecințele preconizate ale unei astfel de prelucrări
pentru persoana vizată.
(2)În cazul în care datele cu caracter personal sunt transferate către o țară
terță sau o organizație internațională, persoana vizată are dreptul să fie
informată cu privire la garanțiile adecvate în temeiul articolului 46
referitoare la transfer.
(3)Operatorul furnizează o copie a datelor cu caracter personal care fac
obiectul prelucrării. Pentru orice alte copii solicitate de persoana vizată,
opera torul poate percepe o taxă rezonabilă, bazată pe costurile
administrative. În cazul în care persoana vizată introduce cererea în format
electronic și cu excepția cazului în care persoana vizată solicită un alt
format, informațiile sunt furnizate într -un fo rmat electronic utilizat în mod
curent.
(4)Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere
drepturilor și libertăților altora.
Art. 16: Dreptul la rectificare
Persoana vizată are dreptul de a obține de la operator, fără întârz ieri
nejustificate, rectificarea datelor cu caracter personal inexacte care o
privesc. Ținându -se seama de scopurile în care au fost prelucrate datele,
persoana vizată are dreptul de a obține completarea datelor cu caracter
personal care sunt incomplete, i nclusiv prin furnizarea unei declarații
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 77 suplimentare.
Art. 17: Dreptul la ștergerea datelor ("dreptul de a fi uitat")
(1)Persoana vizată are dreptul de a obține din partea operatorului ștergerea
datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar
operatorul are obligația de a șterge datele cu caracter personal fără
întârzieri nejustificate în cazul în care se aplică unul dintre următoarele
motive:
a)datele cu caracter personal nu mai sunt necesare pentru îndeplinirea
scopurilor pentru care au fost colectate sau prelucrate;
b)persoana vizată își retrage consimțământul pe baza căruia are loc
prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu
articolul 9 alineatul (2) litera (a), și nu există nic iun alt temei juridic pentru
prelucrarea;
c)persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1)
și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea
sau persoana vizată se opune prelucrării în temeiul art icolului 21 alineatul
(2);
d)datele cu caracter personal au fost prelucrate ilegal;
e)datele cu caracter personal trebuie șterse pentru respectarea unei
obligații legale care revine operatorului în temeiul dreptului Uniunii sau al
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 78 dreptului intern sub in cidența căruia se află operatorul;
f)datele cu caracter personal au fost colectate în legătură cu oferirea de
servicii ale societății informaționale menționate la articolul 8 alineatul (1).
(2)În cazul în care operatorul a făcut publice datele cu caracte r personal și
este obligat, în temeiul alineatului (1), să le șteargă, operatorul, ținând
seama de tehnologia disponibilă și de costul implementării, ia măsuri
rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care
prelucrează datele cu cara cter personal că persoana vizată a solicitat
ștergerea de către acești operatori a oricăror linkuri către datele respective
sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.
(3)Alineatele (1) și (2a) nu se aplică în măsura în car e prelucrarea este
necesară:
a)pentru exercitarea dreptului la liberă exprimare și la informare;
b)pentru respectarea unei obligații legale care prevede prelucrarea în
temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului
sau pent ru îndeplinirea unei sarcini executate în interes public sau în
cadrul exercitării unei autorități oficiale cu care este învestit operatorul;
c)din motive de interes public în domeniul sănătății publice, în
conformitate cu articolul 9 alineatul (2) litere le (h) și (i) și cu articolul 9
alineatul (3);
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 79 d)în scopuri de arhivare în interes public, în scopuri de cercetare științifică
sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul
(1), în măsura în care dreptul menționat la alineatul (1) este susceptibil să
facă imposibilă sau să afecteze în mod grav realizarea obiectivelor
prelucrării respective; sau
e)pentru constatarea, exercitarea sau apărarea unui drept în instanță.
Art. 18: Dreptul la restricționarea prelucrării
(1)Persoana vizată are dreptul de a obține din partea operatorului
restricționarea prelucrării în cazul în care se aplică unul din următoarele
cazuri:
a)persoana vizată contestă exactitatea datelor, pentru o perioadă care îi
permite operatorului să verifi ce exactitatea datelor;
b)prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu
caracter personal, solicitând în schimb restricționarea utilizării lor;
c)operatorul nu mai are nevoie de datele cu caracter personal în scopul
prelucră rii, dar persoana vizată i le solicită pentru constatarea, exercitarea
sau apărarea unui drept în instanță; sau
d)persoana vizată s -a opus prelucrării în conformitate cu articolul 21
alineatul (1), pentru intervalul de timp în care se verifică dacă dreptu rile
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 80 legitime ale operatorului prevalează asupra celor ale persoanei vizate.
(2)În cazul în care prelucrarea a fost restricționată în temeiul alineatului
(1), astfel de date cu caracter personal pot, cu excepția stocării, să fie
prelucrate numai cu consim țământul persoanei vizate sau pentru
constatarea, exercitarea sau apărarea unui drept în instanță sau pentru
protecția drepturilor unei alte persoane fizice sau juridice sau din motive de
interes public important al Uniunii sau al unui stat membru.
(3)O p ersoană vizată care a obținut restricționarea prelucrării în temeiul
alineatului (1) este informată de către operator înainte de ridicarea
restricției de prelucrare.
Art. 20: Dreptul la portabilitatea datelor
(1)Persoana vizată are dreptul de a primi da tele cu caracter personal care o
privesc și pe care le -a furnizat operatorului într -un format structurat,
utilizat în mod curent și care poate fi citit automat și are dreptul de a
transmite aceste date altui operator, fără obstacole din partea operatorului
căruia i -au fost furnizate datele cu caracter personal, în cazul în care:
a)prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul
(1) litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în
temeiul articolului 6 alineatul (1) litera (b); și
b)prelucrarea este efectuată prin mijloace automate.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 81 (2)În exercitarea dreptului său la portabilitatea datelor în temeiul
alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să
fie transmise direct de la un operator la altul acolo unde acest lucru este
fezabil din punct de vedere tehnic.
(3)Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu
aduce atingere articolului 17. Respectivul drept nu se aplică prelucrării
necesare pentru îndeplinirea unei sarcini executate în interes public sau în
cadrul exercitării unei autorități oficiale cu care este învestit operatorul.
(4)Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și
libertăților altora.
Art. 21: Dreptul la op oziție
(1)În orice moment, persoana vizată are dreptul de a se opune, din motive
legate de situația particulară în care se află, prelucrării în temeiul
articolului 6 alineatul (1) litera (e) sau (f) sau al articolului 6 alineatul (1) a
datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe
baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu
caracter personal, cu excepția cazului în care operatorul demonstrează că
are motive legitime și imperioase care justifică pre lucrarea și care
prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau
că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
(2)Atunci când prelucrarea datelor cu caracter personal are drept scop
marketingu l direct, persoana vizată are dreptul de a se opune în orice
moment prelucrării în acest scop a datelor cu caracter personal care o
privesc, inclusiv creării de profiluri, în măsura în care este legată de
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 82 marketingul direct respectiv.
(3)În cazul în care persoana vizată se opune prelucrării în scopul
marketingului direct, datele cu caracter personal nu mai sunt prelucrate în
acest scop.
(4)Cel târziu în momentul primei comunicări cu persoana vizată, dreptul
menționat la alineatele (1) și (2) este adus în mod explicit în atenția
persoanei vizate și este prezentat în mod clar și separat de orice alte
informații.
(5)În contextual utilizării serviciilor societății informaționale și în pofida
Directivei 2002/58/CE, persoana vizată își poate exercita dreptul de a se
opune prin mijloace automate care utilizează specificații tehnice.
(6)În cazul în care datele cu caracter personal sunt prelucrate în scopuri de
cercetare științifică sau istorică sau în scopuri statistice în conformitate cu
articolul 89 alineatul ( 1), persoana vizată, din motive legate de situația sa
particulară, are dreptul de a se opune prelucrării datelor cu caracter
personal care o privesc, cu excepția cazului în care prelucrarea este
necesară pentru îndeplinirea unei sarcini din motive de inter es public.
Art. 22: Procesul decizional individual automatizat, inclusiv crearea de
profiluri
(1)Persoana vizată are dreptul de a nu face obiectul unei decizii bazate
exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care
produce efecte j uridice care privesc persoana vizată sau o afectează în mod
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 83 similar într -o măsură semnificativă.
(2)Alineatul (1) nu se aplică în cazul în care decizia:
a)este necesară pentru încheierea sau executarea unui contract între
persoana vizată și un operator d e date;
b)este autorizată prin dreptul Uniunii sau dreptul intern care se aplică
operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru
protejarea drepturilor, libertăților și intereselor legitime ale persoanei
vizate; sau
c)are la bază consimțământul explicit al persoanei vizate.
(3)În cazurile menționate la alineatul (2) literele (a) și (c), operatorul de
date pune în aplicare măsuri corespunzătoare pentru protejarea
drepturilor, libertăților și intereselor legitime ale persoanei viza te, cel puțin
dreptul acesteia de a obține intervenție umană din partea operatorului, de
a-și exprima punctul de vedere și de a contesta decizia.
(4)Deciziile menționate la alineatul (2) nu au la bază categoriile speciale de
date cu caracter personal menț ionate la articolul 9 alineatul (1), cu excepția
cazului în care se aplică articolul 9 alineatul (2) litera (a) sau (g) și în care
au fost instituite măsuri corespunzătoare pentru protejarea drepturilor,
libertăților și intereselor legitime ale persoanei v izate.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 84
4. Identificarea instrumentelor de monitorizare
a modului in care organizatia respecta cerintele
GDPR
Politici si proceduri interne pentru gestionarea
datelor cu caracter personal in organizatie;
Inregistrari/formulare/registre privind evidenta
activitatilor de prelucrare a datelor cu caracter
personal;
Codul de conduita;
Modele de documente aplicabile in organizatie:
registrul de evidenta al datelor cu caracter personal,
documente aplicabile pentr u resurse umane,
procedura de gestionare a datelor cu caracter
personal, cod de conduita, s.a..
MODULUL 4
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 85
ORGANIZAREA PROCEDURILOR INTERNE
Pentru a asigura permanent un nivel ridicat de protecție a datelor cu
caracter personal, operatorul trebuie să elaboreze proceduri interne care să
garanteze respectarea protecției datelor în orice moment, luând
în considerare toate evenimentele care pot apărea pe parcursul efectuării
prelucrărilor de date, precum:
breșe de securitate;
solicitări privind exercitarea drepturi lor persoanelor vizate;
modificarea datelor cu caracter personal colectate;
schimbarea prestatorului.
Organizarea procedurilor interne implică, în special:
1. luarea în considerare a protecției datelor cu caracter
personal încă de la momentul conceperii (privacy by
design) unei aplicații sau a unei prelucrări: minimizarea colectării
datelor în funcție de scop, cookie -uri, perioada de stocare,
informațiile furniz ate persoanelor vizate, obținerea consimțământului
persoanelor vizate, securitatea și confidențialitatea datelor
cu caracter personal, garantarea rolului și responsabilității părților
implicate în efectuarea prelucrării datelor;
2. aplicarea de măsuri tehnic e și organizatorice adecvate
pentru a asigura că, în mod implicit, sunt prelucrate numai
date cu caracter personal care sunt necesare pentru
fiecare scop specific al prelucrării (privacy by default) , având
în vedere: volumul de date colectate, gradul de prelucrare a acestora,
perioada de stocare și accesibilitatea lor, astfel încât
datele cu caracter personal să nu fie accesate, fără intervenția
persoanei, de un număr nelimitat de persoane;
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 86
3. sensibilizarea și organizarea diseminării informației , în
spec ial prin stabilirea unui plan de pregătire și de comunicare cu
persoanele care prelucrează date cu caracter personal;
4. soluționarea plângerilor și cererilor adresate de persoanele
vizate în exercitarea drepturilor lor , stabilind părțile implicate
și modali tățile de exercitare a acestora; exercitarea
drepturilor trebuie să se poată realiza i nclusiv pe cale electronică, în
cazul în care datele au fost colectate prin astfel de mijloace;
5. anticiparea unei posibile încălcări a securității datelor
specificând, pe ntru anumite cazuri, obligativitatea notificării
autorității pentru protecția datelor în termen de 72 de ore și a
persoanelor vizate în cel mai scurt timp;
6. asigurarea confidențialității și securității prelucrării prin
adoptarea de măsuri tehnice și organizatorice adecvate, incluzând
printre altele, după caz:
a) pseudonimizarea și criptarea datelor cu caracter personal;
b) capacitatea de a asigura confidențialitatea, integritatea,
disponibilitatea și rezistența continue ale sistemelor și serviciilor de
prelucrare;
c) capacitatea de a restabili disponibilitatea datelor cu caracter
personal și accesul la acestea în timp util în cazul în care are loc un
incident de natură fizică sau tehnică;
d) un proces pentru testarea, evaluarea și aprecierea periodi ce ale
eficacității măsurilor tehnice și organizatorice pentru a garanta
securitatea prelucrării.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 87 Pentru a se asigura că prevederile Regulamentului sunt luate în serios UE a
prevăzut un set foarte aspru de sancțiuni pentru organizațiile (companii,
ONG -uri, instituții) care nu se conformează.
Dincolo de o serie de aspecte de principiu pe care e bine să le înțeleagă orice
operator de date, am pregătit în acest articol și o serie de proceduri GDPR,
documente și instrumente concrete pe care să le puteți folo si pentru a face
primii pași către conformare.
GHID PRACTIC:
Înainte de a începe să faceți orice fel de proceduri pentru GDPR,
citiți punctele cheie din Regulament!
Cea mai bună metodă de a ști ce înseamnă GDPR și mai ales cum vă
afectează este să citiți efectiv textul Regulamentului .
A citi personal regulamentul este cea mai bună metodă pentru a vă feri de
avalanșa de opinii și interpretări personale care vor apărea pe marginea
prevederilor sale. Volumul textului regulamentului poate fi intimidant de
aceea vă recomandăm câteva articole cheie cu care puteți începe:
Art 6 Legalitatea prelucrării datelor
Art 7 și 8 Despre condițiile de consimțământ
Art 9 Prelucrarea datelor personale speciale – date
biometrice sau genetice, convingeri religioase, orientare sexuală,
opinii politice.
Art 12 -23 Drepturile persoanelor vizate – Dreptul de acces
al persoanei vizate la datele care se colectează despre ea, dreptul la
rectificare, dreptul de ștergere a datelor (dreptul de a fi uitat), dreptul
la restricționarea prelucrării, dreptul la portabilit atea datelor și
dreptul la opoziție.
Art 30 Despre obligativitatea evidenței activităților de
prelucrare
Art 32 – 34 Securitatea datelor cu caracter personal
Art 37 -39 Despre responsabilul cu protecția datelor
Citirea acestor 22 artico le din cele 99 ale întregului Regulament ar trebui să
vă ia maxim 20 minute.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 88
O altă sursă relevantă de informații o reprezintă ghidurile emise de grupul
de lucru Articolul 29. Unul din cele mai importante ghiduri emise este
”Ghidul privind Responsabilul c u Protecția datelor” – ghid tradus și în
limba română. îl gașiți în anexa suportului de curs :
Ghidul privind Responsabilul cu Protecția datelor
Autoritatea Națională pentru Supravegh erea Procesării Datelor cu Caracter
Personal a emis un Ghid orientativ de aplicare a Regulamentului General
privind Protecția Datelor destinat operatori lor, care poate fi consultat în
anexa prezentului suportului de curs :
Ghid orientativ de aplicare a Regulamentului General
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 89 Modele de documente aplicabile in organizatie: registrul
de evidenta al datelor cu caracter personal, documente
aplicabile pentru resurse umane, procedura de gestionare
a datelor cu caracter personal, cod de conduita, s.a..
1. Procesul verbal de conștientizare de către conducere al
importanței GDPR
E limpede că orice echipă de conducere trebuie să conștientizeze
importanță GDPR. Și pentru că nu vorbim de o conștientizare de formă, se
recomandă să aveți un proces verbal în acest sens. Nu există un format
standard al felului în care trebuie să arate acest proces verbal, dar el în
esență ar trebui să conțină:
Datele firmei
Numele membrilor echipei de conducere
Faptul că se desemnează o echipă de conformare
Numele membrilor echipei de conformare
Acțiunile de conformare care vor fi întreprinse
Data până la care acestea se vor executa
Puteți găsi un model în anexa suportului de curs :
Decizie desemnare DPO
2. Politica de confidențialitate actualizată
Acesta este un alt punct i mportant din setul de proceduri GDPR, care are ca
scop informarea persoanelor vizate despre cum și la ce intenționați să le
folosiți datele. Un exemplu interesant în acest sens sunt notificările de pe
site.
Este foarte important să obțineți acordul pentru fiecare colectare sau
procesare în parte, astfel veți putea dovedi clar că sunteți îndreptățit să
folosiți informațiile personale în scopul precizat.
Un alt aspect important despre politica de confidențialitate este informarea
cu privire la timpul de stoca re a datelor și baza legală a acestor operațiuni.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 90
De aceea vă recomandăm cookiebot , o aplicație gratuită care vă
scanează automat site -ul și cookie -urile folosite și generează o listă
pe care o puteți include în pagina cu politica de confidențialitate.
Mai jos aveți un exemplu de listă pe care cookiebot o generează gratuit și
care e foarte recomandat să o includeți în site -ul dumneavoastră.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 91 Opțiunea pe care t rebuie să o dați utilizatorilor site -ului de a își
retrage consimțământul, implementabilă tot prin cookiebot. Acesta
este un drept obligatoriu de acordat persoanelor vizate conform articolului
7 paragraf 3 despre dreptul la retragerea consimțământului și a rticolului 21
despre dreptul la opoziția prelucrării datelor.
Puteți găsi un model de politică de confidențialitate în anexa suportului de
curs :
Politica de confidentialitate
Proceduri GDPR legate de ofițerul pentru protecția datelor
Responsabilul cu protecția datelor sau DPO (așa cum este numit în
Regulamentul (UE) 2016/679), devine un ”actor -cheie” în noul sistem de
protecție a datelor. Toate instituțiile publice precum și multe din
majoritatea companiilor private vor avea obligativitatea de a numi un DPO
începand cu data de 25 mai 2 018.
Așadar cum știți dacă aveți sau nu nevoie de DPO?
Aveți nevoie dacă
sunteți o Instituție Publică
principala activitate a companiei este prelucrarea datelor cu caracter
personal
principala activitate a companiei este prelucrarea datelor sensibile
procesați date provenite de la mai mult de 5000 de persoane
Cine poate fi DPO?
un membru al personalului dumneavoastră
un reprezentant comun al unui grup de operatori
conducătorul unui departament specializat
angajat extern, să îndeplinească sarcini, pe ba za unui contract de
servicii
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 92 Câteva proceduri GDPR și documente de care ai nevoie pentru DPO
Documentul de numire a responsabilului cu protecția datelor
Nici aici nu există un format standard al felului în care trebuie să arate
acest document. Poate fi u n act aditional la contractul de munca, poate fi un
simplu proces verbal prin care se numește o persoană, dar el în esență ar
trebui să conțină:
Datele firmei
Numele membrilor echipei de conducere
Faptul că se desemnează o persoana care va ocupa functia de
Responsabil cu Protectia Datelor
Data de la care se vor executa exercita aceste atribuțiuni
Un posibil exemplu de un astfel de document găsiți în anexă :
Decizie desemnare DPO
Fișa de post a DPO -ului
Fișa de post a responsabilului cu protecția datelor derivă chiar din
Regulament și din ghidul privind DPO -ul, emis de grupul de lucru articolul
29. În baza acestor responsabilități DPO -ul trebuie să asigure atât
respectarea drepturilor persoanelor vizate cât și să depună o muncă de
diligență în vederea conformării companiei la GDPR.
Pe lângă fișa de post și doc umentul de numire, un aspect important îl
constituie poziționarea optimă în organigrama companiei a DPO -ului. Ne
referim aici la o poziționare care să îi asigure în același timp independență
cât și posibilitatea de relaționare nesubordantă față de celelala te
departamente.
Exemplu de fișă de post pentru DPO descărcabil în anexa :
Fisa postului DPO
Documentul de notificare a Autorită ții
Dacă vorbim de un funcționar public, sarcinile care îi revin sunt
reglementate printr -un raport de serviciu pe baza Legii 188/1999 +
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 93 atribuțiile din GDPR.
În cazul personalul contractual, atribuțiile sunt reglementate de Codul
Muncii împreună cu Regula mentul de organizare și funcționare și fișa
postului. În data de 21 noiembrie 2017, Ordinul comun 1786/5384/2017 al
MMJS și INS completează Clasificarea ocupațiilor din România cu
responsabil cu protecția datelor cu caracter personal .
Oferim un model de notificare a Autorității ăn anexă :
Formular DPO notificari
Anexa cu clauza privind protecția datelor personale, de adăugat
la contractele cu furnizorii
Pentru a respecta principiul privacy by design impus de GDPR, vă
recomandăm să folosiți această clauză la contractele cu furnizorii
dumneavoastră de bunuri și servicii.
Aceasta are rolul de a evidenția angajamentul dumneavoastră și al tuturor
colaboratorilor cu care lucrați de a proteja datele cu caracter personal.
Puteți găsi tot în anexa:
Clauza standard protectia datelor
Proceduri GDPR pentru înștiințarea angajaților
INFORMAREA angajaților pentru prelucrarea datelor
Înformați și instruiți angajații privind colectarea și prelucrarea datelor cu
caracter personal, conform GDPR. Această informare trebuie să fie scrisă și
să conțină următoarele:
Ce fel de date colectați (ex. nume, prenume, date CI, imagini, voce,
cont bancar)
Prin ce mijloace (ex. Sistem de pontaj electronic, monitorizare video,
monitorizare gps pe mașina de firmă etc)
De ce anume colectați datele – temeiul legal – respectiv interesul
legitim (ex. pentru securitatea persoanelor și a bunurilor, plata
salariilor etc.)
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 94 Perioada de retenție, cine mai are acces la date
A se vedea în anexă un exemplu concret de consimțământ / notificare de
prelucrare a datelor angajaților pe care să îl adaptați la propria organizație.
Notă de informare
Coduri de Conduită și Mecanisme de Certificare
GDPR recomandă utilizarea Codurilor de Conduită și a
Mecanismelor de certificare pentru a demonstra că vă
conformați. Trebuie luate în considerare nevoile specifice ale
microîntreprinderilor, întreprinderilor mici și mijlocii.
Înscrierea pentru adoptarea unui Cod de Conduită sau la o schemă de
certificare nu este obligatorie. Dar, dacă sunteți dispuși să adoptați un Cod
de Conduită aprobat sau o schemă de certificare car e să acopere activitatea
dvs. de prelucrare, vă recomandăm să luați în considerare acest demers ca o
modalitate de a demonstra conformitatea.
Respectarea Codurilor de Conduită și a schemelor de certificare aduce mai
multe beneficii în plus pentru a demonst ra că vă conformați. Prin
adoptarea unui cod de conduită și a unui mecanism de certificare puteți să
obțineți următoarele beneficii:
îmbunătățirea transparenței și responsabilității – care poate spori
încrederea ca organizație ce îndeplinește cerințele leg ii și în care
procesarea și păstrarea datelor personale este de încredere;
asigurarea de circumstanțe în situația în care ar putea exista incidente
urmate de măsuri de executare;
îmbunătățirea standardelor de organizație prin stabilirea celor mai
bune prac tici;
un criteriu de calitate și încredere în procesul de contractare a terților
sau a procesatorilor.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 95
Care sunt Codurile de Conduită recomandate?
Conform Articolului 40: ”Coduri de conduită”, Alineatul
2,”Asociațiile și alte organisme care reprezintă categorii de operatori sau
de persoane împuternicite de operatori pot pregăti coduri de conduită sau
le pot modifica sau extinde pe cele existente” , în ceea ce privește:
prelucrarea în mod echitabil și transparent;
interesele legitime urmărite de operatori în contexte specifice;
colectarea datelor cu caracter personal;
pseudonimizarea datelor cu caracter personal;
informarea publicului și a persoanelor vizate;
exercitarea drepturilor persoanelor vizate;
informarea și protejarea copiilor și modalitatea în ca re trebuie
obținut consimțământul titularilor răspunderii părintești asupra
copiilor;
măsurile și procedurile menționate la articolele 24 și 25 și măsurile de
asigurare a securității prelucrării, menționate la articolul 32;
notificarea autorităților de sup raveghere cu privire la încălcările
securității datelor cu caracter personal și informarea persoanelor
vizate cu privire la aceste încălcări;
transferul de date cu caracter personal către țări terțe sau organizații
internaționale;
proceduri extrajudiciare și alte proceduri de soluționare a litigiilor.
Cine proiectează și monitorizează un Cod de Conduită?
Guvernele și autoritățile de reglementare pot încuraja elaborarea de Coduri
de Conduită. Acestea pot fi create de asociații profesionale sau de
organisme reprezentative. Codurile ar trebui elaborate prin consultare cu
părțile interesate relevante, inclusiv cu persoanele vizate ( GDPR –
Considerentul 99 ).
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 96
Codurile trebuie aprobate de autoritatea de supraveghere competentă și în
cazul în care prelucrarea este transfrontalieră, de Comitetul european
pentru protecția datelor (EDPB). Codurile existente pot fi modificate sau
extinse pentru a se conforma cerințelor din GDPR.
Potrivit Articolului 41: ”Monitorizarea codurilor de conduită
aprobate”, Alineatul 1 , monitorizarea respectării unui cod de conduită
poate fi realizată de un organism care dispune de un nivel adecvat de
expertiză în legătură cu obiectul codului și care este acreditat în acest scop
de autoritatea de supraveghere competentă.
Un astfel de organism poate fi acreditat pentru monitorizarea respectării
unui Cod de Conduită dacă:
Demonstrează autorității de supraveghere competente independența
și expertiza sa în legătură cu obiectul Codului;
Are proceduri care îi permit să evalueze eligibilitate a operatorilor și a
procesatorilor în vederea aplicării Codului, să monitorizeze
respectarea de către aceștia a dispozițiilor Codului și să revizuiască
periodic funcționarea acestuia;
Vine cu proceduri pentru tratarea plângerilor privind încălcări ale
Codu lui sau privind modul în care Codul a fost sau este pus în
aplicare, precum și pentru asigurarea transparenței acestor proceduri
pentru persoanele vizate și pentru public;
Demonstrează autorității de supraveghere că sarcinile și atribuțiile
sale nu creează conflicte de interese.
Care sunt implicațiile practice ale adoptării unui Cod de
Conduită?
Dacă vă înscrieți în regulile statuate printr -un Cod de Conduită, veți fi
supus unei monitorizări obligatorii de către un organism acreditat de
autoritatea de supr aveghere. Dacă încălcați cerințele codului de practică,
puteți fi suspendat sau exclus și autoritatea de supraveghere va fi
informată. De asemenea, riscați să fiți supus unei amenzi de până la 10
milioane de euro sau 2% din cifra de afaceri globală. Pe de altă parte,
aderarea la un Cod de Conduită poate servi drept factor atenuant atunci
când o autoritate de supraveghere are în vedere o acțiune de executare
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 97 printr -o amendă administrativă.
De reținut faptul că la Codurile de Conduită specifice unei anumite i ndustrii
verticale pot adera organizații care nu se află pe teritoriul UE în scopul de a
oferi garanții adecvate în cadrul transferurilor de date cu caracter personal
către țări terțe sau organizații internaționale în condițiile menționate la
Articolul 46 . Acești operatori sau procesatori își asumă angajamente cu
caracter obligatoriu și executoriu, prin intermediul unor instrumente
contractuale sau al altor instrumente obligatorii din punct de vedere
juridic, în scopul aplicării garanțiilor adecvate respect ive, inclusiv cu privire
la drepturile persoanelor vizate.
Ce sunt mecanismele de certificare?
Statele membre, autoritățile naționale de supraveghere, forul de
supraveghere european sau Comisia Europeană trebuie să încurajeze
instituirea unor mecanisme de certificare pentru a spori transparența și
conformitatea cu regulamentul. Certificarea va fi emisă de autoritățile de
supraveghere sau de organismele de certificare acreditate.
Potrivit Articolului 42: ”Certificare”, Alineatul 2 , Mecanismele de
certificare din domeniul protecției datelor, sigiliile sau mărcile sunt
instituite nu numai pentru a fi respectate de operatorii și procesatorii care
fac obiectul GDPR, ci și pentru a demonstra existența unor garanții
adecvate oferite de operatorii sau procesatorii c are nu fac obiectul
prezentului regulament, în cadrul transferurilor de date cu caracter
personal către țări terțe sau organizații internaționale. Aceștia își asumă
angajamente cu caracter obligatoriu și executoriu, prin intermediul unor
instrumente contr actuale sau al altor instrumente obligatorii din punct de
vedere juridic, în scopul aplicării garanțiilor adecvate respective, inclusiv cu
privire la drepturile persoanelor vizate.
Care este scopul unui mecanism de certificare?
Un mecanism de certificare este o modalitate prin care demonstrați că
respectați, și în special că ați pus în aplicare măsuri tehnice și
organizatorice. De asemenea, poate fi instituit un mecanism de certificare
care să demonstreze existența unor garanții legate de caracterul adecvat al
transferurilor de date. Acestea sunt destinate să permită persoanelor fizice
să evalueze rapid nivelul de protecție a datelor pentru un anumit produs
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 98 sau serviciu.
Iată câteva dintre implicațiile practice ale aplicării unor mecanisme de
certificare:
Certificarea nu vă reduce responsabilitățile legate de protecția
datelor;
Certificarea este voluntară și disponibilă prin intermediul unui proces
transparent;
Trebuie să furnizați organismului de certificare toate informațiile
necesare și accesul la activitățile dvs. de procesare, pentru a putea
efectua procedura de certificare;
Orice certificare va fi valabilă pentru maximum trei ani;
În cazul în care nu mai sunt îndeplinite cerințele, certificarea vă poate
fi retrasă de organisme le de certificare sau de autoritatea de
supraveghere competentă;
Care sunt organismele care ne pot atesta o Certificare?
Conform Articolului 43: Organisme de certificare , organismele de
certificare care dispun de un nivel adecvat de competență în domeniul
protecției datelor pot informa o autoritatea de supraveghere pentru a -i
permite să își exercite competențele de emitere și reînoire a unei Certificări,
în temeiul Articolului 58.2.h. Statele membre trebuie să se asigură că aceste
organisme de certificare sunt acreditate de către una sau amândouă dintre
următoarele entități:
autoritatea de supraveghere care este competentă în temeiul
Articolului 55 sau 56;
organismul național de acreditare desemnat în conformitate cu
Regulamentul (CE) nr. 765/2008 al Parlam entului European în
conformitate cu standardul ENISO/ IEC 17065/2012 și cu cerințele
suplimentare stabilite de autoritatea de supraveghere competentă.
Un organism de certificare poate fi acreditat numai dacă:
a demonstrat autorității de supraveghere compet ente, într -un mod
satisfăcător, independența și expertiza sa în legătură cu obiectul
certificării;
s-a angajat să respecte criteriile menționate la Articolul 42;
a instituit proceduri pentru emiterea, revizuirea periodică și
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 99 retragerea certificării, a sigi liilor
și mărcilor din domeniul protecției datelor;
a instituit proceduri și structuri pentru tratarea plângerilor privind
încălcări ale certificării
sau privind modul în care certificarea a fost sau este pusă în aplicare
de un operator sau un procesator, precum și pentru asigurarea
transparenței acestor proceduri și structuri pentru persoanele vizate
și pentru public;
a demonstrat autorității de supraveghere competente, într -un mod
satisfăcător, că sarcinile
și atribuțiile sale nu creează conflicte de inte rese.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 100
5, Responsabilitati in domeniul protectiei datelor
cu caracter personal
Evaluarea impactului asupra protectiei datelor cu
caracter personal;
Asigurarea protectiei datelor cu caracter personal;
Transferul de date cu caracter personal;
Securitatea datelor cu caracter personal –
managementul incidentelor;
Raspundere si sanctiuni aplicabile in cazul
nerespectarii cerintelor Regulamentului si legale
aplicabile in domeniul protectiei datelor cu caracter
persona l;
Relatia cu autoritatea de supraveghere (plangere,
notificare DPO, formular de bresa);
Modele de documente si studiu de caz privind riscul,
analiza de risc si evaluarea impactului.
MODULUL 5
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 101 Ce este DPIA, când este necesară și de ce?
Evaluarea impactului asupra protecției datelor, cunoscută și sub acronimul
DPIA, este o cerință obligatore în cadrul GDPR conform Articolului 35.
Acest articol oferă îndrumare referitor la momentul și modalitatea realizării
acestuia, precizând:
„Având în vedere natura, domeniul de a plicare, contextul și scopurile
prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe
utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat
pentru drepturile și libertățile persoanelor fizice, operatorul efectueaz ă,
înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare
prevăzute asupra protecției datelor cu caracter personal. O evaluare
unică poate aborda un set de operațiuni de prelucrare similare care
prezintă riscuri ridicate similare .”
Ce tr ebuie să conțină DPIA și cum se realizează aceasta?
Conform articolului 35 din GDPR, o evaluare DPIA trebuie să acopere cel
puțin 4 aspecte esențiale. Primul este descrierea sistematică a operațiunilor
de prelucrare de date și scopurile acestora. Trebuie d e asemenea să
evalueze necesitatea și proporționalitatea prelucrării în relație cu scopurile.
Riscurile asupra drepturilor și libertăților subiecților trebuie incluse,
precum și măsurile luate pentru adresarea acestora. Măsurile pot include
garanții, măsur i de siguranță și alte mecanisme de protecție a datelor.
Să nu uităm că DPIA trebuie să fie realizată înaintea începerii prelucrării
datelor. Operatorul de date are obligația de a asigura acest lucru.
Consultarea cu un ofițer pentru protecția datelor este recomandată, dar nu
obligatorie. Un alt aspect important este analizarea conformității cu orice
coduri de conduită existente.
De ce trebuie realizată DPIA?
Articolul 35 de asemenea evidențiază unele situații în care DPIA este
obligatorie. Un astfel e caz este atunci când se procesează un spectru larg de
categorii speciale de date, sau oricare date personale au legătură cu
condamnări criminale. Pe lângă acest lucru, dacă prelucrarea este bazată pe
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 102 un mecanism automat de luare a deciziilor, inclusiv profilare, DPIA este
necesară. Ultimul caz evidențiat de Articolul 35 este acela în care se
realizează o monitorizare sistematică a unei zone accesibile la scară lar gă.
Totuși, dacă prelucrarea datelor nu va pune în pericol drepturile și liberatile
cetățenilor sau dacă aceasta a fost deja autorizată pentru operațiuni
similare, atunci nu este necesară DPIA. Același lucru este valabil în situația
în care există o bază l egală în legislația UE sau a statului membru.
Evaluarea impactului asupra protecției datelor va fi aplicat doar asupra
operațiunilor de procesare ce vor fi inițiate după data de 25 Mai 2018.
Primul pas este să răspunzi la următoarele întrebări:
• Ce fel de date avem?
• Avem nevoie cu adevărat de toate aceste date?
• Cum utilizăm datele pe care le avem?
• Ce riscuri apar din procesarea acestor date?
• Cum putem minimiza aceste riscuri?
Instrucțiuni finale ale Grupului de Lucru Art. 29 (WP29)
Instrucțiunile complete pot fi găsite în anexă .
Haideți să discutăm câteva exemple de prelucrare de date , așa cum
apar acestea în instrucțiunile WP29. Primul exemplu este o revistă online
care folosește o listă de emailuri pentru a trimite zilnic noutăți cititorilor. Î n
timp ce aceasta este considerată o activitate de procesare de date, nu
necesită o DPIA deoarece nu implică riscuri ridicate. Un alt exemplu ar fi
un site de e -commerce care afișează reclame bazate pe profilare, dar nu
într-un mod sistematic și extensiv. În acest caz DPIA nu este necesară.
Așadar, când este aceasta necesară? În multe cazuri, de fapt. De exemplu,
un spital care procesează date de sănătate ale pacienților și chiar legate de
genetică, va avea nevoie de DPIA. Companiile care își monitorizează
angajații vor avea nevoie de DPIA deoarece procesează date ale unor
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 103 subiecți vulnerabili. Dacă aduni profile de social media pentru a fi folosite
de companii private, vei avea din nou nevoie de DPIA. În acest caz,
procesarea este considerată evaluare și va intra în categoria de procesare la
scară largă. Alte situații care necesită DPIA includ transferuri
internaționale de date și utilizarea de tehnologii inovatoare cum ar fi o
combinație între amprentă și recunoaștere facială. Acestea sunt doar câteva
exemp le. Mai multe pot fi găsite în instrucțiunile WP29.
În concluzie
Principalul scop al DPIA este de a evalua orice riscuri pot apărea din
procesarea de date și de a le adresa. Aceia familiari cu ISO 27001 din
companii care au implementat standardul vor obser va că DPIA este un
proces similar cu evaluarea riscului necesară acolo. Dacă în ISO 27001 ai
identificat date cu caracter personal drept o resursă pentru companie și ai
adresat toate riscurile aferente, ești foarte aproape de a fi în conformitate
cu cerinț a DPIA. Instrucțiunile WP29 clarifică într -o oarecare măsură
modul în care se desfășoară WPIA. Acestea te pot ajuta să înțelegi exact ce
este clasificat drept „risc ridicat” de către GDPR, ceea ce va fi extrem de util
în realizarea evaluării impactului. Da că în final ești nesigur cu privire la
necesitatea DPIA, este mai bine să o realizezi pentru a fi în siguranță.
DPIA – Evaluarea impactului asupra protecției datelor:
Întrebări/răspunsuri
În rândurile următoare vă prezentăm răspunsurile la unele dintre cel e mai
întâlnite întrebări referitoare la evaluarea impactului asupra protecției
datelor (DPIA).
Q: Ce este DPIA?
A: DPIA este un proces destinat să:
• descrie prelucrarea de date cu caracter personal;
• evalueze necesitatea și proporționalitatea prelucrări i;
• contribuie la gestionarea riscurilor la adresa drepturilor și libertăților
persoanelor vizate (prin evaluarea riscurilor și stabilirea de măsuri pentru
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 104 atenuarea lor).
Q: DPIA pentru o singură operațiune de prelucrare sau pentru
toate operațiunile?
A: DPIA se poate întocmi doar pentru o singură operațiune de prelucrare
sau pentru multiple operațiuni de prelucrare similare și care prezintă
riscuri ridicate similare. În general, DPIA se întocmește atunci când
operatorul decide să desfășoare un nou proiec t sau când intervine o
modificare a tehnologiilor folosite în activitatea de prelucrare.
Q: DPIA este obligatorie?
A: În principiu, da. Dacă operațiunea de prelucrare se încadrează într -o
excepție arătată mai jos, DPIA este obligatorie în toate cazurile în care o
operațiune de prelucrare este „susceptibilă să genereze un risc ridicat”.
Q: Care sunt excepțiile de la întocmirea DPIA?
A: DPIA nu este obligatorie atunci când:
• prelucrarea nu este „susceptibilă să genereze un risc ridicat”;
• există DPIA similară sau când ea a fost autorizată anterior lunii mai
2018;
• există un temei legal al prelucrării.
Q: Ce se înțelege prin „ risc ridicat”
A: O operațiune de prelucrare este susceptibilă să genereze „riscuri ridicate”
atunci când:
• presupune o evaluar e sistematică și cuprinzătoare a aspectelor
personale referitoare la persoane fizice, care se bazează pe prelucrarea
automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care
produc efecte juridice privind persoana fizică sau care o af ectează în mod
similar într -o măsură semnificativă;
• se face o prelucrare pe scară largă a unor categorii speciale de date
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 105 sau a unor date cu caracter personal privind condamnări penale și
infracțiuni;
• se face o monitorizare sistematică pe scară largă a unei zone
accesibile publicului.
În practică, Grupul de lucru Articolul 29 recomandă ca operatorii să
evalueze în mod continuu riscurile create de activităților lor de prelucrare
pentru a identifica momentul în care un tip de prelucrare „ar putea duce la
un risc ridicat pentru drepturile și libertățile persoanelor fizice”.
Q: Când se efectuează DPIA?
A: DPIA trebuie realizată „anterior prelucrării” întrucât este un instrument
destinat să ajute la luarea deciziilor cu privire la prelucrare.
Q: Pentru operaț iunile de prelucrare existente mai este
necesară?
A: Doar în situația în care operațiunile de prelucrare existente pot conduce
la un risc ridicat pentru drepturile și libertățile persoanelor fizice, și pentru
care s -a produs o schimbare a riscurilor, luând în considerare natura,
obiectivul, contextul și scopurile prelucrării.
Q: Care sunt caracteristicile minime ale DPIA?
A: DPIA trebuie să conțină informații cu privire la:
• Descrierea prelucrării preconizate (tipul de operațiuni și scopul
prelucrării);
• Evaluarea necesității și proporționalității;
• Evaluarea riscurilor pentru drepturile și libertățile persoanelor vizate;
• Măsurile preconizate pentru abordarea riscurilor;
• Documentare;
• Monitorizare și revizuire.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 106 Transferului de date
GDPR impune restri cții privind transferul de date cu caracter personal în
afara Uniunii Europene, țărilor terțe sau organizațiilor internaționale.
Aceste restricții sunt în vigoare pentru a se asigura că nivelul de protecție a
persoanelor acordat de GDPR nu este subminat.
În Articolul 44 – ”Principiul general al transferurilor” se specifică faptul că:
„Orice transfer de date cu caracter personal care sunt supuse procesării sau
care sunt destinate prelucrării după transferul într -o țară terță sau într -o
organizație internațio nală are loc numai dacă, sub rezerva celorlalte
dispoziții din prezentul regulament, sunt respectate condițiile stabilite de
către operator și de către procesator, inclusiv pentru transferurile ulterioare
de date cu caracter personal din țara terță sau de la o organizație
internațională către o altă țară terță sau la o altă organizație internațională.
Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că
nivelul de protecție a persoanelor fizice garantat prin prezentul regulament
nu este subminat.”
Ce este important să reținem este că orice transfer internațional de date cu
caracter personal de către un operator sau un procesator are loc numai dacă
sunt îndeplinite anumite condiții:
• Transferuri pe baza adecvării;
• Transferuri supuse ga ranțiilor adecvate
• Aplicabilitatea unor reguli corporative obligatorii.
Toate prevederile vor fi aplicate pentru a asigura faptul că protecția
persoanelor fizice nu este subminată.
Când se poate face transferul de date în afara Uniunii Europene?
Regulamentul interzice transferul de date cu caracter personal în afara UE
într-o țară terță care nu dispune de o protecție adecvată a datelor. Comisia
Europeană are competența de a aproba anumite țări pentru a asigura un
nivel adecvat de protecție a date lor, luând în considerare legislația privind
protecția datelor în vigoare în țara respective și angajamentele
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 107 internaționale ale acesteia.
În Articolul 45 – ”Transferuri în temeiul unei decizii privind caracterul
adecvat al nivelului de protecție”, Alineat ul 1 se spune că: ”Transferul de
date cu caracter personal către o țară terță sau o organizație internațională
se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori
unul sau mai multe sectoare specificate din acea țară terță sau orga nizația
internațională în cauză asigură un nivel de protecție adecvat. Transferurile
realizate în aceste condiții nu necesită autorizări speciale.”
Conform Considerentului 103 din GDPR, Comisia poate decide că o țară
terță oferă un nivel adecvat de protecț ie a datelor, asigurând astfel
securitate juridică și uniformitate în Uniune în ceea ce privește țara terță
sau organizația internațională care este considerată a furniza un astfel de
nivel de protecție. În aceste cazuri, transferurile de date cu caracter
personal către țara terță sau organizația internațională respectivă pot avea
loc fără a fi necesar să se obțină autorizări suplimentare.
În prezent, pe listă țărilor considerate de UE că pot oferi un nivel adecvat
de protecție a datelor personale putem înt âlni următoarele 11 state,
clasificate pe zone geografice.
• Europa: Andora, Elveția, Insulele Feroe, Guernsey, Insula Man,
Jersey
• Orientul Mijlociu: Israel
• America de Nord: Canada
• America de Sud: Argentina și Uruguay
• Asia -Pacific: Noua Zeelandă.
Sursa: http://ec.europa.eu/justice/data -protection/international -transfers/adequacy/index_en.htm
Pentru transferurile de date dintre UE și Statele Unite există acordul
internațional bine cunoscut sub denumirea de EU -US Privacy Shield. Un
acord de cooperare cunoscut ca EU -US Safe Harbor exista încă din anul
2000. După o evoluție destul de controversată, cu o scurtă perioadă de
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 108 întrerupere datorată unor litigii internaționale, în 12 iulie 2016 Comisia
Europeană recunoaște caracterul adecvat de protecție asigu rat de acest
acord prin Decizia 1250/ 2016.
Dar ce ne facem cu transferurile de date către orice țară care nu este pe
listă? În principiu, fiecare transfer de date către o țară care nu beneficiază
în mod explicit de aprobarea UE pe bază de acorduri intern aționale sau
condiții de adecvare se poate realiza numai după solicitarea acordului
pentru transfer. Țara terță ar trebui să ofere garanții care să asigure un
nivel adecvat de protecție, echivalent cu cel asigurat în cadrul Uniunii. Țara
terță ar trebui să asigure o supraveghere efectivă independentă în materie
de protecție a datelor și să prevadă mecanisme de cooperare cu autoritățile
statelor membre, iar persoanele vizate ar trebui să beneficieze de drepturi
efective și opozabile și de reparații efective pe cale administrativă și
judiciară.
Conform Considerentului 108 din GDPR: ”În absența unei decizii privind
caracterul adecvat al nivelului de protecție, operatorul sau procesatorul ar
trebui să adopte măsuri pentru a compensa lipsa protecției datelor într -o
țară terță prin intermediul unor garanții adecvate pentru persoana vizată.
Astfel de garanții adecvate pot consta în utilizarea regulilor corporatiste
obligatorii, a clauzelor standard de protecție a datelor adoptate de Comisie,
a clauzelor standard de protecție a datelor adoptate de o autoritate de
supraveghere sau a clauzelor contractuale autorizate de o autoritate de
supraveghere. Respectivele garanții ar trebui să asigure respectarea
cerințelor în materie de protecție a datelor și drepturi ale persoa nelor vizate
corespunzătoare prelucrării în interiorul Uniunii, inclusiv disponibilitatea
unor drepturi opozabile ale persoanelor vizate și a unor căi de atac
eficiente, printre care dreptul de acces la reparații efective pe cale
administrativă sau judicia ră și dreptul de a solicita despăgubiri, în Uniune
sau într -o țară terță. Acestea ar trebui să se refere în special la respectarea
principiilor generale privind prelucrarea datelor cu caracter personal:
principiul protecției datelor începând cu momentul co nceperii și principiul
protecției implicite a datelor.”
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 109 Care sunt condițiile unui transfer în siguranță?
Conform Articolului 46 – ”Transferuri în baza unor garanții adecvate”
puteți transfera date cu caracter personal în cazul în care organizația care
prim ește datele personale a furnizat garanții de siguranță adecvate.
Drepturile persoanelor trebuie să fie executorii și ca urmare a transferului
trebuie să fie disponibile căi de atac efective pentru persoanele fizice.
Se pot asigura garanții adecvate prin:
• un instrument obligatoriu din punct de vedere juridic și executoriu
între autoritățile sau organismele publice;
• reguli corporatiste obligatorii în conformitate cu articolul 47;
• clauze standard de protecție a datelor adoptate de Comisie în
conformitate cu procedura de examinare menționată la articolul 93
alineatul (2);
• clauze standard de protecție a datelor adoptate de o autoritate de
supraveghere și aprobate de Comisie în conformitate cu procedura de
examinare menționată la articolul 93 alineatul (2) ;
conduită aprobat în conformitate cu articolul 40, însoțit de un angajament
obligatoriu și executoriu din partea operatorului sau a persoanei
împuternicite de operator din țara terță de a aplica garanții adecvate,
inclusiv cu privire la drepturile persoan elor vizate;
• un mecanism de certificare aprobat în conformitate cu articolul 42,
însoțit de un angajament obligatoriu și executoriu din partea operatorului
sau a persoanei împuternicite de operator din țara terță de a aplica garanții
adecvate, inclusiv c u privire la drepturile persoanelor vizate.
Sub rezerva autorizării din partea autorității de supraveghere competente,
garanțiile adecvate menționate la Alineatul (1) pot fi furnizate de asemenea,
în special, prin:
• clauze contractuale între operator sau persoana împuternicită de
operator și operatorul, persoana împuternicită de operator sau destinatarul
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 110 datelor cu caracter personal din țara terță sau organizația internațională;
• dispoziții care urmează să fie incluse în acordurile administrative
dintre a utoritățile sau organismele publice, care includ drepturi opozabile
și efective pentru persoanele vizate.
Ce se întâmplă cu transferurile bazate pe evaluarea unei organizații privind
adecvarea protecției? GDPR vă limitează capacitatea de a transfera date c u
caracter personal în afara UE, în cazul în care aceasta se bazează numai pe
propria evaluare a caracterului adecvat al protecției acordate datelor cu
caracter personal. Conform Articolului 84.5.c orice altă încercare de
transfer, care nu se încadrează în prevederile Articolelor 44 -49 este pasibilă
de pedeapsa administrativa maximă.
Care sunt excepțiile aprobate?
Dar ne -am obișnuit ca orice reglementare strictă să vină și cu o serie de
excepții. Care sunt excepțiile acceptate pentru transferul internațional de
date? Potrivit Articolului 49 ”Derogări pentru situații specifice”, se poate
efectua un transfer sau un s et de transferuri în cazul în care transferul este:
• făcut cu consimțământul informat al persoanei;
• necesar pentru îndeplinirea unui contract între individ și organizație
sau pentru măsurile precontractuale luate la cererea persoanei;
• necesare pentru executarea unui contract încheiat în interesul
persoanei fizice între operator și o altă persoană;
• necesare din motive importante de interes public;
• necesare pentru stabilirea, exercitarea sau apărarea revendicărilor
legale;
• necesare pentru a proteja interesele vitale ale persoanei vizate sau ale
altor persoane, în cazul în care persoana vizată nu este capabilă din punct
de vedere fizic sau legal să -și dea consimțământul;
• făcut dintr -un registru care are drept scop furnizarea de informații
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 111 publiculu i
De reținut că primele trei derogări nu sunt valabile pentru activitățile
autorităților publice în exercitarea puterilor lor publice.
În fine, în cazul transferurilor de date neautorizate de dreptul Uniunii
Europene, Articolul 48 din GDPR specifică faptul că orice hotărâre a unei
instanțe sau a unui tribunal și orice decizie a unei autorități administrative
a unei țări terțe care impun unui operator sau procesator de operator să
transfere sau să divulge date cu caracter personal ”poate fi recunoscută sau
executată în orice fel numai dacă se bazează pe un acord internațional, cum
ar fi un tratat de asistență judiciară reciprocă în vigoare între țara terță
solicitantă și Uniune sau un stat membru
a baza prelucrării datelor cu caracter personal trebuie să stea evitarea pe cât
posibil a riscurilor de securitate cu privire la acele date, impune
Regulamentul european privind protecția datelor cu caracter personal
(GDPR), aplicabil și profesiei de avocat. Și chiar dacă sunt anumite tipuri
de incidente de securitate a datelor ce nu pot fi prevenite așa ușor,
operatorii de astfel de date trebuie să știe că GDPR -ul le impune și unele
măsuri de reacție la astfel de evenimente.
Documentarea acestor incidente este o chestiune absolut necesară, iar
uneori poate fi inciden tă și obligația de a anunța autoritatea de
supraveghere a datelor și persoana vizată cu privire la producerea acelei
breșe de securitate.
Riscurile cu privire la securitatea datelor cu caracter personal trebuie să fie
avute serios în vedere de operatorii d e astfel de date și de persoanele
împuternicite de aceștia, GDPR -ul arătând că e necesar a fi luate măsuri
tehnice și organizatorice adecvate pentru a le evita pe cât posibil. Vorbim
despre incidente, dar și despre riscuri aduse de acțiuni ilegale, vorbim de
accidente precum pierderea unor date sau divulgarea neautorizată și nu
numai.
Trebuie reținut că unul dintre principiile de bază la prelucrarea datelor cu
caracter personal este chiar prelucrarea lor într -un mod care să asigure
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 112 securitatea acestora.
În regulamentul european se vorbește despre luarea unor măsuri precum:
pseudonimizarea și criptarea datelor cu caracter personal, capacitatea de a
asigura confidențialitatea, integritatea, disponibilitatea și rezistența
continue ale sistemelor și serviciilor de prelucrare, capacitatea de a restabili
disponibilitatea datelor cu caracter personal și accesul la acestea în timp
util în cazul în care are loc un incident de natură fizică sau tehnică ori un
proces pentru testarea, evaluarea și aprecierea periodice al e eficacității
măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
În ghidul de bune practici întocmit de UNBR pentru avocați în contextul
GDPR se punctează și aspectele legate de securitatea datelor.
De pildă, pornind de la evid ențele pe care trebuie să le țină avocații, UNBR
atrage atenția asupra externalizării datelor prin servicii de cloud ori
similare. "Specificitățile acestor proceduri și mecanisme ce presupun
transferul unor date din evidența avocaților către serverele admi nistrate de
terțe persoane (denumite generic în continuare prestatori de servicii de
gestiune a datelor, persoane împuternicite în accepțiunea Regulamentului)
impun o atenție sporită pentru respectarea Regulamentului și pentru
evitarea oricăror breșe de se curitate", scrie în ghidul UNBR, unde sunt
sugerate și unele măsuri ce ar trebui luate de cei ce folosesc astfel de
servicii.
Cum transmitem date la cererea autorităților
"Avocații pot transmite date cu caracter personal pe care le prelucrează ca
operatori către autorități publice doar dacă și în măsura în care, în
principal: a) aceasta se manifestă într -o obligație legală pentru aceștia; b)
autoritatea care solicită aceste informații are competență în domeniu,
verificată în prealabil de către avocatul căru ia i se solicită transferul; c)
avocatul asigură un nivel de protecție adecvat al datelor prelucrate și astfel
transmise; d) transferul se realizează cu respectarea principiilor prevăzute
de GDPR și sintetizate în art. 5 din acesta: legalitate, echitate și
transparență; principiul limitării transferului în funcție de scop; principiul
reducerii la minimum a datelor transferate; principiul exactității datelor;
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 113 principiul limitării legate de stocarea datelor; principiul asigurării
integrității și confidențiali tății datelor; principiul responsabilității", spune
UNBR.
Exemplul ales pentru cele menționate mai sus este obligația pe care o au
avocații în virtutea Legii nr. 656/2002: orice suspiciune cu privire la fapte
de spălare de bani sau finanțarea actelor de te rorism trebuie raportată, prin
persoanele special desemnate, la Oficiul Național de Prevenire și
Combatere a Spălării Banilor, dar în condițiile din lege.
Ce e de făcut când a avut loc o breșă de securitate?
În primul rând, GDPR -ul califică drept breșă de securitate o încălcare a
securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea,
modificarea sau divulgarea neautorizată a datelor cu caracter personal sau
la accesul neautorizat la acestea. De pildă, sunt considerate breșe de
secur itate atacurile informatice tip ransomware (recentul WannaCry),
pierderea cheii de criptare a datelor, nefuncționarea sistemelor informatice,
pierderea unor documente, transmiterea unei corespondențe la adresa
greșită ș.a.
"Chiar dacă art. 33 din Regulamen t nu o prevede în mod expres, formele de
exercitare trebuie să implementeze măsuri tehnice și organizatorice care, în
cazul apariției unei breșe de securitate, asigură componenta reactivă a
politicilor interne privind securitatea datelor", punctează UNBR.
Astfel de măsuri ar trebui să -i permită operatorului de date (avocatul) să
stabilească imediat dacă s -a produs o breșă de securitate, dacă e cazul să
notifice autoritatea de supraveghere a prelucrării datelor cu caracter
personal, dacă e cazul să informez e persoana sau persoanele vizate de acele
breșe de securitate. Iar documentarea breșelor de securitate este
obligatorie, potrivit GDPR.
"Este foarte important ca FEPA (forma de exercitare a profesiei de avocat –
n.red.), în calitatea lor de operatori, să s e asigure că indiferent de cauza
acesteia și forma în care se manifestă, apariția unei breșe de securitate este
identificată imediat și adusă în mod corespunzător la cunoștința
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 114 persoanelor competente să implementeze măsurile care se impun", scrie
UNBR în g hidul de bune practici.
Nu orice fel de breșă de securitate trebuie notificată însă autorității de
supraveghere a datelor, ci trebuie analizată situația concretă, pentru că nu
întotdeauna e vorba de riscuri pentru drepturile și libertăților persoanelor
vizate de prelucrări.
"Exemplu: pierderea unor date cu caracter personal criptate cu un algoritm
de criptare complex nu este susceptibilă să genereze riscuri pentru
drepturile și libertățile persoanelor vizate, atât timp cât criptarea asigură că
datele nu pot fi accesate de persoane neautorizate. Totuși, dacă datele nu
sunt criptate, pierderea acestora ar trebui notificată", scrie UNBR.
Cât despre informarea persoanei sau persoanelor vizate, nici aici nu trebuie
făcută de fiecare dată, ci doar atunci când risc ul pentru drepturile și
libertățile persoanei/persoanelor este unul ridicat. "Exemplu: pierderea
unui document care cuprinde identitatea reală a unui martor cu identitate
protejată este susceptibilă să genereze riscuri ridicate pentru drepturile și
libertă țile respectivului martor", arată aici UNBR.
Consecințele unui incident de securitate, dacă nu există o reacție imediată,
pot crea riscuri foarte mari pentru o companie – de la costuri de reputație
până la amenzi ridicate, acordate în baza Regulamentului general privind
protecția datelor (GDPR). Pentr u a evita astfel de riscuri, vom prezenta un
ghid cu privire la cum pot fi gestionate incidentele de securitate, în baza
GDPR.
GDPR prevede că, „în cazul în care are loc o încălcare a securității datelor
cu caracter personal, operatorul notifică acest luc ru autorității de
supraveghere competente (…), fără întârzieri nejustificate și, dacă este
posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință
de aceasta, cu excepția cazului în care [nu] este susceptibilă să genereze un
risc pe ntru drepturile și libertățile persoanelor fizice.”
Pentru a putea respecta aceste prevederi, orice operator de date trebuie să
își ia o serie de măsuri operaționale anticipate. O analiză făcută de Imperva
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 115 – o companie care se ocupă cu securitatea datelor – cu privire la aspectul
practic al prevederii menționate anterior scoate în evidență o serie de
măsuri care fac posibilă reacția imediată, în cazul apariției incidentului de
securitate.
În primul rând, pot fi implementate măsuri cu privire la identificare a
comportamentului suspicios în ceea ce privește accesarea datelor. Astfel de
măsuri permit recunoașterea unor tipare, în condițiile în care accesarea
datelor se produce constant. Pentru eficientizarea acestor măsuri, este
recomandat să se recurgă la pregă tiri ale angajaților în privința accesării
datelor sau recurgerea la tehnologii care să recunoască tiparele unei
accesări autorizate și normale.
În al doilea rând, este foarte importantă prioritizarea și categorizarea cu
privire la incidente. Acest element este relevant în contextul în care
responsabilii cu securitatea se confruntă cu o multitudine de alerte zilnice.
Pentru a putea acționa în privința incidentelor cu adevărat serioase și a le
putea separa, astfel, de alertele false, măsuri precum monitoriza rea bazelor
de date pot fi eficiente.
Cu alte cuvinte, recurgerea la tehnologie specifică poate diminua resursele
necesare (în special de timp) pentru descoperirea incidentelor serioase.
De asemenea, monitorizarea efectivă a activității de accesare a datel or
poate ajuta în scopul raportării incidentelor. Mai exact, o monitorizare
sistematică, în privința accesului la datele cu care operează o companie,
poate să ofere probe specifice în sensul demonstrării folosirii celor mai
bune mijloace pentru respectarea GDPR -ului.
În plus, o analiză operațională cu privire la efecte și la măsurile luate pentru
diminuarea consecințelor incidentelor de securitate este necesară, de
asemenea, conform GDPR -ului. Astfel, dacă sunt implementate măsuri
pentru facilitarea unei as tfel de analize, în caz de incident, scade
probabilitatea unui risc de amendă, în baza GDPR.
De asemenea, operatorii de date pot, pe lângă implementarea unor astfel de
măsuri, să recurgă la măsuri cu caracter general, în scopul creării unui
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 116 cadru general d e securitate. Pentru mai multe detalii, a se vedea articolul de
aici.
Informațiile ce trebuie raportate autorităților
Raportarea trebuie făcută cât mai rapid posibil și, în orice caz, în maximum
72 de ore de la producerea incidentului de securitate. Excepțional,
operatorii pot raporta incidentul dincolo de limita de 72 de ore, dar trebuie
să motiveze întârzierea. De exemplu, pot exista cazuri când incidentul este
descoperit la câteva luni de la producere.
Astfel, odată ce incidentul s -a produs (și a f ost descoperit), compania
trebuie să notifice autorităților, conform GDPR, următoarele informații:
• caracterul încălcării securității datelor, inclusiv, acolo unde este
posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză,
precum și categoriile și numărul aproximativ al înregistrărilor de date cu
caracter personal în cauză;
• datele responsabilului cu protecția datelor sau un alt punct de contact
de unde se pot obține mai multe informații;
• consecințele probabile ale încălcării secur ității datelor cu caracter
personal;
• măsurile luate sau propuse spre a fi luate de operator pentru a
remedia problema încălcării securității datelor cu caracter personal,
inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte
negative.
Implementarea unor măsuri precum cele redate anterior poate crea cadrul
respectării efective a obligației de raportare, în cazul incidentelor de
securitate, conform GDPR.
Sancțiuni din Regulamentului (UE) 2016/679
Partea finală a Regulamentului (UE) 2016/679 privind prelucrarea datelor
cu caracter personal este și partea care ”doare” cel mai tare – dacă nu ar fi
fost această parte, probabil ca tot ce este reglementat înaintea acestei părți
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 117 de Regulament nu ar fi fost de interes pentru persoanele vizate, respe ctiv,
dacă sancțiun ile se păstrau ca și până acum.
Capitolul sancțiuni din Regulament a fost cel mai mediatizat, pentru că
sancțiunile sunt foarte mari și atunci și măsurile de conformare sunt
necesare. Regulamentul stabilește două tipuri de sancțiuni: san cțiuni
corective și amenzi administrative, dar, în același timp, Regulamentul
prevede posibilitatea fiecărui stat membru de a stabili și alte tipuri de
sancțiuni, inclusiv de natură penală, care vor fi stabilite prin dreptul intern
al fiecărui stat membru.
Sancțiunile corective sunt stabilite de către autoritățile de supraveghere
competente și sunt prevăzute un număr de zece sancțiuni în acest sens,
pornind de la avertizări sau mustrări pana la limitarea accesului, interdicția
prelucrării datelor, dispunere a rectificării, ștergerea datelor, amenzi
administrative, retragerea certificărilor ș.a.m.d. Important ar fi de reținut
că aceste sancțiuni corective se pot aplica în comple tarea amenzilor
administrative.
Amenzile administrative sunt reglementate cu privir e la două categorii de
fapte: primă categorie prevede sancțiuni de până la 10 milioane de euro
sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri mondială,
iar a doua categorie prevede sancțiuni de până la 20 de milioane de euro
sau, în c azul unei întreprinderi, de până la 4% din cifra de afaceri mondială.
Se constată că în cazul în care este vorba despre persoane care nu sunt
întreprinderi – întreprinderea fiind definită de Regulament ca fiind orice
persoană fizică sau juridică, care desf ășoară activități economice în orice
formă de asociere – limitele maxime sunt stabilite până la 10 milioane de
euro, respectiv până la 20 de milioane de euro. În cazul în care vorbim de
întreprinderi, atunci limitele sunt de până la 10 milioane de euro sau de
până la 2% sau până la 20 de milioane de euro sau de până la 4%, luându -se
în calcul valoarea cea mai mare a amenzii. Regulamentul a avut în vedere
faptul că pentru o corporație foarte mare valoarea limita de 20 de milioane
de euro poate sa nu reprezin te o amendă mare și atunci a prevăzut
posibilitatea ca raportarea sa se facă si la cifra de afaceri mondială, caz in
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 118 care, dacă este mai mare, înseamnă că aceas ta va fi amenda administrativă.
De asemenea, o sancțiune similară celei mai aspre prevăzută de
Regulament se aplică și în cazul în care se încalcă un ordin al Autorității de
Supraveghere, prin care se stabilesc măsuri corective, adică în măsura în
care s -au stabilit măsuri corective și nu sunt respectate, acestea nu sunt
aduse la îndeplinire, atunci Autoritatea de Supraveghere are, de asemenea,
posibilitatea să aplice această amendă de până la 20 de milioane de euro și
de până la 4% din cifra de afaceri mondială. Se observă că Regulamentul
stabilește limitele maxime ale amenzii, urmând ca fiecare auto ritate de
supraveghere să determine în concret cuantumul amenzii aplicate în raport
de criterii care sunt stabilite de acest Regulament.
O situație specifică este prevăzută de Regulament în cazul autorităților
publice. Astfel, Regulamentul nu prevede amenzi administrative și lasă la
latitudinea statelor membre să stabilească posibilitatea de a aplica amenzi
administrative autorităților publice. În schimb, autoritățile publice pot fi
supuse sancțiunilor corective stabilite de Autoritatea de Supraveghere .
Relatia cu autoritatea de supraveghere (plangere, notificare
DPO, formular de bresa);
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter
Personal (ANSPDCP), cu sediul în București, sector 1, Bd. G -ral Gh.
Magheru nr. 28 -30, prelucrea ză datele personale ale persoanelor fizice care
i se adresează cu plângeri în baza reglementărilor legale aplicabile în
domeniul specific de activitate.
Scopul prelucrării este cel de soluționare a plângerilor, în limitele
atribuțiilor și obligațiilor lega le de autoritate ce monitorizează aplicarea
legislației privind protecția datelor personale.
Datele personale ale petenților sunt obținute din plângerile depuse de
aceștia și dovezile atașate, precum și, după caz, în urma demersurilor
efectuate pentru soluționarea lor.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 119 Datele personale pot fi dezvăluite către operatorii sau persoanele
împuternicite reclamate, în scopul soluționării plângerilor depuse, precum
și către alte autorități sau instituții publice ori către autorități de
supraveghere similare cu care ANSPDCP cooperează în vederea îndepli nirii
atribuțiilor sale legale.
Este obligatorie furnizarea datelor de identificare și de corespondență reale,
exacte și complete ale petiționarului și dacă este cazul, ale reprezentantului
acestuia, în vederea so luționării adecvate a plângerilor și a transmiterii
răspunsurilor. Nerespectarea acestor condiții poate atrage respingerea
plângerilor ca inadmisibile ori dificultăți în transmiterea corespo ndenței.
(consultați procedura)
În cazul în care petenții nu dores c ca anumite date personale să fie
dezvăluite în cadrul demersurilor efectuate pentru soluționarea plângerilor,
au posibilitatea de a -și exercita dreptul de opoziție, în condițiile prevăzute
de art. 21 din RGPD.
Datele personale ale petenților sunt stocate pe perioada necesară efectuării
tuturor demersurilor întreprinse pentru rezolvarea plângerilor, precum și a
soluționării acțiunilor de către instanțele de judecată competente, dacă este
cazul, după care vor fi arhivate potrivit legislației apli cabile.
Persoanele ale căror date personale sunt prelucrate de către ANSPDCP pot
să își exercite drepturile de acces la date, de rectificare, ștergere,
restricționare, în conformitate cu dispozițiile art. 15 -19 din RGPD, precum
și dreptul de a depune o plângere la AN SPDCP pentru modul de soluționare
a cererilor de exercitare a acestor drepturi, printr -o cerere trimisă prin
poștă la sediul ANSPDCP sau la adresa de e -mail: dpo[at]dataprotection.ro
Plângerile pot fi formulate de către persoanele fizice ale căror date
personale au fost prelucrate cu încălcarea dispozițiilor legale aplicabile în
materia protecției datelor personale (”persoane vizate”), în special în cazul
în care reședința obișnuită a petentului, locul său de muncă sau presupusa
încălcare se află sau, după caz, are loc pe teritoriul României.
În situația în care nu vă încadrați în această categorie (”persoane vizate”),
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 120 vă rugăm să transmiteți cererea dvs. folosind adresa
anspdcp@dataprotection.ro sau adresa poștală a ANSPDCP.
Procedu ra de soluționare a plân gerilor
CAPITOLUL I: Dispoziții generale
Art. 1
(1)În exercitarea atribuțiilor sale legale, Autoritatea Națională de
Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în
continuare ANSPDCP, primește, analizează și soluționează plângeri le gate
de prelucrarea datelor cu caracter personal care intră sub incidența
Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului
din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și privind libera circulație a acestor
date și de abrogare a Directivei 95/46/CE (Regulamentul general privind
protecția datelor), denumit în continuare RGPD, sau a altor dispoziții legale
aplicabile în domeniul protecției dreptului la viață intim ă, familială și
privată prin prelucrarea datelor personale, inclusiv în sectorul
comunicațiilor electroni ce și al comerțului electronic.
(2)Prezenta procedură se aplică numai în cadrul activității de soluționare a
plângerilor care intră în competența compa rtimentului/compartimentelor
de specialitate cu atribuții în acest sens, conform Regulamentului de
organizare și funcționare a Autorității Naționale de Supraveghere a
Prelucrării Datelor cu Caracter Personal, aprobat prin Hotărârea Biroului
permanent al Se natului nr. 16/2005, cu modificările și completările
ulterioare.
(3)Alte petiții și cereri decât cele menționate la alin. (2) se soluționează de
către compartimentele sau persoanele desemnate ca având atribuții în acest
sens, potrivit dispozițiilor legale aplicabile. Orice alt tip de corespondență
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 121 trimisă către ANSPDCP, care nu îndeplinește condițiile unei petiții în
sensul Ordonanței Guvernului nr. 27/2002 privind reglementarea
activității de soluționare a petițiilor, aprobată cu modificări și completări
prin Legea nr. 233/2002, cu modificările ulterioare, se clasează, fără a se
transmite un răspuns.
Art. 2
Plângerile pot fi adresate de orice persoană vizată identificată conform
prevederilor din prezenta procedură, care consideră că prelucrarea datelor
sale cu caracter personal încalcă prevederile legale în vigoare, în special în
cazul în care reședința sa obișnuită, locul său de muncă sau presupusa
încălcare se află sau, după caz, are loc pe teritoriul României.
CAPITOLUL II: Condiții procedurale privi nd adr esarea unei plângeri
admisibile
Art. 3
(1)Plângerile adresate ANSPDCP trebuie formulate în scris, în limba
română sau engleză, cu respectarea condițiilor prevăzute de RGPD, de alte
dispoziții legale aplicabile, p recum și de prezenta procedură.
(2)Plâ ngerile pot fi depuse la registratura generală de la sediul ANSPDCP
sau pot fi transmise prin poștă, inclusiv cea electronică, ori prin utilizarea
formularului electronic, disponibil pe pagina de internet a ANSPDCP.
Plângerile primite se înregistrează în r egistrul general al ANSPDCP,
primind număr și dată, și se repartizează
compartimentului/compartimentelor de specialitate.
(3)Plângerile se înaintează personal sau prin reprezentant, cu anexarea
împuternicirii emise în condițiile legii de un avocat sau a procurii notariale,
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 122 după caz.
(4)Plângerile pot fi depuse și de către mandatarul persoanei vizate care este
soț sau rudă până la gradul al doilea inclusiv. În cazul soților sau rudelor
până la gradul al doilea inclusiv, se anexează o declarație pe propria
răspundere semnată de petiționar, iar în cazul altor persoane, se anexează
procura notarială.
(5)În cazul în care plângerea este depusă prin intermediul unui organism,
al unei organizații, al unei asociații sau fundații fără scop patrimonial,
acestea trebu ie să dovedească faptul că au fost constituite legal, cu un statut
ce prevede obiective de interes public, și că sunt active în domeniul
protecției drepturilor și libertăților persoanelor vizate în ceea ce privește
protecția datelor lor cu caracter persona l. În acest caz, la plângere se
anexează inclusiv împuternicirea avocațială sau procura notarială de
reprezentare, după caz, conform alin. (3), din care să rezulte limitele
mandatului acordat de persoana vizată, precum și statutul
organismului/organizației /asociației/fundației, precum și dovezi privind
activitatea acestora în domeniul protecției drepturilor și libertăților
persoanelor vizate în ceea ce privește protecția da telor lor cu caracter
personal.
Art. 4
(1)Pentru primirea și înregistrarea valabilă a plângerilor este obligatorie
furnizarea următoarelor date ale petiționarului: nume, prenume, adresă
poștală de domiciliu sau de reședință. În cazul în care plângerea este
depusă electronic este obligatorie furnizarea adresei de poșt ă electronică a
petițio narului.
(2)În cazul plângerilor înaintate prin reprezentant, în afara datelor
petiționarului menționate la alin. (1), este obligatorie și furnizarea
următoarelor date ale reprezentantului: nume și prenume/denumire,
adresă poștală de corespondență/sediu, a dresă de poștă electronică, număr
de telefon, număr de înregistrare în registrul asociațiilor ș i fundațiilor, dacă
este cazul.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 123 (3)Pentru primirea și înregistrarea valabilă a plângerilor este obligatorie
furnizarea datelor de identificare ale operatorului r eclamat sau a persoanei
împuternicite reclamate, precum nume și prenume/denumire,
adresă/sediu, sau cel puțin a informațiilor disponibile deținute de
petiționar, în vederea identificării acestora.
(4)Plângerile trimise se semnează olograf sau electronic, i ar în cazul
petițiilor trimise electronic care nu pot fi semnate, ANSPDCP poate solicita
confirmarea corectitudini i datelor transmise electronic.
Art. 5
(1)La depunerea plângerilor este obligatorie precizarea detaliată a
obiectului acestora, a demersurilor întreprinse de petiționar la nivelul
operatorului reclamat sau al persoanei împuternicite reclamate, după caz, a
informațiilor disponibile pentru susținerea afirmațiilor, precum și anexarea
de dovezi concludent e, în măsura în care le deține.
(2)În cazul î n care, anterior depunerii plângerii la ANSPDCP, petiționarul a
introdus pe rolul instanțelor judecătorești o acțiune cu același obiect și cu
același operator sau persoană împuternicită, aduce aceste aspecte la
cunoștința ANSPDCP. În caz afirmativ, în plân gere se menționează
denumirea instanței și numărul dosarului respectiv.
Art. 6
(1)În cazul plângerilor care au ca obiect încălcarea dreptului la viață intimă,
familială și privată în domeniul comunicațiilor electronice și comerțului
electronic, în afara da telor prevăzute la art. 4, este obligatorie menționarea
numărului/numerelor de telefon sau fax, a adresei/adreselor de poștă
electronică ori a adresei/adreselor de IP care au legătură cu obiectul
plângerii, după caz.
(2)În cazul plângerilor care au ca obi ect încălcarea dreptului la viață intimă,
familială și privată prin transmiterea de comunicări comerciale nesolicitate,
prin servicii de comunicații electronice destinate publicului, este obligatorie
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 124 anexarea mesajelor originale primite de petiționar print r-o metodă care să
permită identificarea expeditorului respectivei comunicări, mesaje care
trebuie conservate, pe cât posibil, în sistemul ele ctronic utilizat de
petiționar.
Art. 7
(1)Petiționarii și, după caz, reprezentanții acestora își asumă răspunderea
că toate informațiile furnizate prin depunerea plâ ngerilor sunt reale și
corecte.
(2)Petiționarii pot solicita păstrarea confidențialității anumitor date cu
caracter personal, menționate în mod expres, furnizate prin plângere, cu
excepția situațiilor în c are, pentru soluționarea corespunzătoare a
obiectului plângerilor depuse, datele de identificare ale petiționarului
trebuie să fie dezvăl uite către entitatea reclamată.
(3)Petiționarii au posibilitatea de a utiliza modelele de plângere puse la
dispoziție d e ANSPDCP.
(4)Primirea plângerilor la ANSPDCP și analizarea aces tora este, de regulă,
gratuită.
(5)În cazul în care plângerile sunt în mod vădit nefondate sau excesive, în
special din cauza caracterului lor repetitiv, ANSPDCP poate percepe o taxă
rezonabil ă, bazată pe costurile administrative, sau poate refuza să le trateze.
Sarcina de a demonstra caracterul evident nefondat sau exc esiv al cererii
revine ANSPDCP.
Art. 8
(1)Fără a se aduce atingere posibilității de a se adresa cu plângere
ANSPDCP, persoanele vizate au dreptul de a se adresa instanței competente
pentru apărarea drepturilor garantate de legislația aplicabilă, care le -au fost
încălcate.
(2)În cazul în care a fost introdusă o cerere în justiție cu același obiect și
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 125 având aceleași părți, ANSPDCP poate dispune suspendarea sau/ș i clasarea
plângerii, după caz.
(3)Instanța competentă este cea de la sediul operatorului sau al persoanei
împuternicite de operator ori de la reședința obișnuită a persoanei vizate.
Cererea este scutită de taxă de timbru.
CAPITOLUL III: Condiții privind analiza rea și soluționarea plângerilor
Art. 9
(1)În cazul în care petiționarul nu furnizează datele, informațiile și
documentele solicitate potrivit prevederilor legale aplicabile și prezentei
proceduri, ANSPDCP înștiințează, în scris, petiționarul asupra faptului că
plângerea depusă nu îndeplinește condițiile prevăzute de prezenta
procedură pentru a fi calificată ca o plângere admisibilă, în termen de cel
mult 45 de zile de l a înregistrare, potrivit legii.
(2)În cazul în care se constată că informațiile din plângere sau documentele
transmise sunt incomplete sau insuficiente, ANSPDCP solicită persoanei
vizate să completeze plângerea pentru a putea fi considerată admisibilă în
vederea efectuării unei investigații. Un nou termen d e cel mult 45 de zile
curge de la data completării plângerii.
(3)ANSPDCP informează persoana vizată în legătură cu evoluția sau cu
rezultatul investigației întreprinse, în termen de trei luni de la data la care
s-a comunicat acesteia că plângerea este admi sibilă potrivit alin. (1) sau (2).
Informarea va cuprinde și calea de atac împotriva ANS PDCP.
(4)Dacă este necesară efectuarea unei investigații mai amănunțite sau
coordonarea cu alte autorități de supraveghere în conformitate cu art. 57
alin. (1) lit. f) din Regulamentul general privind protecția datelor,
ANSPDCP informează persoana vizată în legătură cu evoluția investigației,
din trei în trei luni, până la finalizarea acesteia.
(5)Rezultatul investigației se aduce la cunoștința persoanei vizate în terme n
de cel mult 45 de zile de la finalizarea acesteia. Art. 11 din prezenta
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 126 procedură se aplică în mod corespunzător.
Art. 10
(1)Plângerile în care nu se precizează datele de identificare ale
petiționarilor, obligatorii conform art. 4, sunt considerate anoni me și se
clasează cu această mențiune, fără a se for mula un răspuns petiționarilor.
(2)Plângerile care nu au un obiect clar determinat, precum și plângerile
care nu respectă condițiile prevăzute de art. 3 se resping ca fiind
inadmisibile. Petiționarii sunt informați în scris cu privire la necesitatea
respectării condițiilor de admitere a plângerii, în termenul prevăz ut la art. 9
alin. (1) sau (2).
(3)În cazul în care plângerile se referă la aspecte care nu intră în sfera de
competență materială sau teritori ală a ANSPDCP, acestea se resping ca
fiind inadmisibile. Petiționarii sunt informați în scris, în termenu l prevăzut
la art. 9 alin. (1).
Art. 11
(1)În cazul în care un petiționar adresează mai multe plângeri, pentru
reclamarea aceleiași chestiuni, acestea se conexează, petiționarul urmând
să primească un singur răspuns care face referi re la toate petițiile primite.
(2)În cazul în care petiționarul revine cu o nouă plângere prin care reclamă
aceleași aspecte semnalate într -o petiție anterioară la care a prim it răspuns,
plângerea se anexează la prima petiție și se clasează, fără a se mai tri mite
un răspuns petiționarului.
Art. 12
În cazul nerespectării de către ANSPDCP a dispozițiilor art. 9, persoana
vizată se poate adresa secției de contencios administrativ a tribunalului
competent, după parcurgerea procedurii prealabile prevăzute de Legea
contenciosului administrativ nr. 554/2004, cu modificările și completările
ulterioare. Recursul se judecă de curtea de apel competentă. În toate
cazurile, instanțele co mpet ente sunt cele din România.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 127 Art. 13
(1)În cazul în care, pentru soluționarea plângerilor primite, devin incidente
prevederile RGPD referitoare la mecanismele de cooperare și coerență, se
aplică în mod corespunzător dispozițiile RGPD și documentele emise de
Comitetul Eur opean pentru Protecția Datelor.
(2)În cazurile prevăzute la alin. (1) este posibilă transmiterea datelor
personale, a informațiilor și dovezilor prezentate de către petiționar către
alte autorități de supraveghere și/sau către Comitetul Europ ean pentru
Protecția Datelor, în vederea soluționării plângerii respective potrivit
reglementărilor legale în vigoare.
Art. 14
Investigațiile pentru soluționarea plângerilor se desfășoară în conformitate
cu procedura de efectuare a investigațiilor, aprobat ă prin decizie a
președintelui ANSPDCP, care se publică în Monitorul Ofic ial al României,
Partea I.
Procedura de primire și soluționare a plângerilor a fost aprobată prin
Decizia nr. 133/2018, publicată în M.Of. nr. 600/13.07.2018.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 128
6. Responsabilul cu protectia datelor cu caracter
personal (DPO)
Desemnarea Responsabilului cu protectia datelor –
DPO – conflictul de interese;
Rolul si atributiile Responsabilului cu protectia
datelor – DPO in cadrul organizatiei;
Obligatiile si raspunderile Responsabilului cu
protectia datelor – DPO;
Studii de caz.
MODULUL 6
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 129
DPO – Responsabil cu protectia datelor cu caracter
personal
Care este rolul DPO?
In esenta, DPO monitorizeaza conformitatea organizatiei cu GDPR. Adica,
el sau ea trebuie sa consilieze managementul companiei in privinta
activitatilor necesare pentru protectia datelor cu caracter personal, sa
coordoneze si supravegheze modul in care sunt implementate si respectate
principiile GDPR in organizatie si sa instru iasca personalul direct implicat
in prelucrarea datelor.
DPO este persoana de legatura intre organizatie si autoritatea de
supraveghere, de asemenea, intre organizatie si individ (persoanele care au
datele personale procesate de catre organizatie). DPO v a informa
autoritatea in cazul data breaches si va solutiona cererile persoanelor vizate
in legatura cu datele pe care le detine organizatia.
Din aceasta perspectiva, chiar daca responsabil cu protectia datelor cu
caracter personal este angajat al organi zatiei, acesta trebuie sa fie
independent.
Independenta se asigura prin faptul ca acesta raporteaza in mod direct
managementului de pe cel mai inalt nivel ierarhic al organizatiei, are
mijloacele tehnice si materiale pentru a -si indeplini obligatiile, fara a putea
fi constrans in privinta modului in care isi desfasoara atributiunile.
De asemenea, acesta nu poate fi concediat pentru indeplinirea sarcinilor
specifice.
Ce organizatii trebuie sa desemneze un DPO?
Cerinta de desemnare a unui DPO depinde doar de activitatea organizatie.
Trebuie sa desemnati un responsabil cu protectia datelor cu caracter
personal daca:
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 130
sunteti autoritate publica;
monitorizati sistemic, la scara larga, date personale;
prelucrati, la scara larga, date sensibile (categorii speciale de date
precum etnie, credinta religioasa, apartenenta la sindicate, date
genetice, biometrie, orientare sexuala, infractiuni si condamnari).
Insa, autoritatile incurajeaza desemnarea unui DPO, chiar daca sunteti si
un business mic sau mijlociu. Un DPO cu siguranta va ajuta compania sa
implementeze si sa respecte normele legale (atat GDPR cat si alte legi cu
privinta la protectia datelor). Acesta, va fi un specialist usor disponibil
pentru consultanta, lucru care va diminua riscurile aferente.
RESPONSABIL CU PROTECTIA DATELOR CU CARACTER PERSONAL
Care sunt responsabilitatile unui DPO? Ce face, de fapt, un responsabil cu
protectia datelor cu caracter personal?
Atributiile unui DPO sunt stipulate in Articolul 39 al regulamentului.
Acestea enume rate sunt:
sa informeze si sa indrume organizatiile si angajatii cu privire la
obligatiile de a respecta GDPR si alte legi privind protectia datelor;
sa monitorizeze respectarea GDPR. a altor legi privind protectia
datelor si a politicilor organizatiei in ceea ce priveste protectia
datelor cu caracter personal;
sa creasca gradul de constientizare si sa instruiasca personalul
implicat in prelucrarea datelor;
sa ofere consiliere in ceea ce priveste evaluarea impactului privind
protectia datelor si sa monitorizeze performanta acestuia in
conformitate cu regulamentul;
sa efectueze audituri interne;
sa coopereze cu autoritatea de supraveghere;
sa fie primul punct de contact al autoritatii de supraveghere cu privire
la aspecte legate de prelucrarea datelor ;
sa fie punct de contact pentru persoanele fizice ale caror date sunt
prelucrate de organizatie.
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 131 Cum sa numesti un DPO?
Aici sunt cateva lucruri de punctat:
DPO poate fi numit din interiorul companiei, angajat din exterior sau
poate fi externaliza t catre un consultant extern sau o companie care
presteaza acest serviciu.
GDPR permite grupurilor de companii si organizatii sa desemneze un
singur DPO, atat timp cat acesta este “usor accesibil” pentru fiecare dintre
organizatii.
Rolul poate fi c ombinat cu alte sarcini si atributii ale unui angajat al
companiei, in masura in care acestea nu sunt in conflict de interese cu rolul
de DPO, in sensul de a putea decide in ce scop sau cum pot fi procesate date
cu caracter personal. De exemplu acesta nu p oate fi director executiv,
director operational, director financiar, seful departamentului de
marketing, sau IT sau resurse umane.
Cum alegem un DPO? Calitati si competente :
Acesta trebuie sa aiba capacitatea de a indeplini sarcinile cerute de lege.
Pent ru acest scop, acesta trebuie sa aiba anumite calitati profesionale:
integritate si etica profesionala demonstrata in pozitii anterioare
experienta sau cunostinte temeinice in legislatia si practicile de
protectie a datelor la nivel national si european, precum si o
intelegere adecvata a GDPR;
sa inteleaga prelucrarile de date efectuate in cadrul organizatiei,
sistemele si metodele utilizate, precum si necesitatile de securitate si
protectie a datelor prelucrate de operator;
sa inteleaga reglementarile leg ale referitoare la organizarea si
functionarea organizatiei, precum si a politicilor si procedurilor
interne ce vizează prelucrarile de date personale.
Alte lucuri bine de stiut:
Informatiile de contact al ofiterului de protectie a datelor trebuie sa fie
publice, pentru a putea fi usor contactat de autoritatile de supraveghere si
persoanele fizice a caror date sunt prelucrate.
Este obligat să păstreze secretul sau confidențialitatea în ceea ce privește
Suport Curs DATA PROTECTION OFFICER
Toate drepturile aparțin furnizorului de formare profesională
ASOCIAȚIA PROFESIONALĂ A ANGAJAȚILOR DIN PAZĂ 132 îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu
dreptul intern.
Un DPO trebuie sa fie independent, dar acest lucru nu inseamna ca
acesta este obligat sa raporteze autoritatii de supraveghere neregulile/
incalcarile organizatiei.
DPO nu poate fi tras la raspundere pentru nerespectarea reglementarilor
GDPR de catre organizatie.
ATENȚIE !!
Cu titlul de observație semantică precizăm că „responsabilul” cu
protecția datelor cu caracter personal nu este persoana care
preia responsabil itatea protecției datelor, ci această
responsabilitate rămâne în sarcina operatorului. Responsabilul
este denumit așa în virtutea atribuțiilor sale, nu în virtutea
obligațiilor sale.
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Suport Curs DATA PROTECTION OFFICER [630499] (ID: 630499)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.