INTRODUCERE ………………………….. ………………………….. ………………………….. ………………. 8 CAPITOLUL I…. [613238]

Cuprins:
INTRODUCERE ………………………….. ………………………….. ………………………….. ………………. 8
CAPITOLUL I. NECESITATEA INTRODUCERI UNUI STANDARD PENTRU
PROTECȚIA DATELOR ………………………….. ………………………….. ………………………….. ….. 9
1.1. PROTECȚIA DATELOR PERSONALE – REGLEMENTĂRI ACTUALE (15
DECEMBRIE 2007) ………………………….. ………………………….. ………………………….. ………. 9
1.2. CE PRESUPUNE NOUL REGULAMENT EUROPEAN GDPR 25 MAI 2018 15
1.2.1. CONCEPTE NOI ………………………….. ………………………….. ………………………… 15
1.2.2. PRINCIPII PRIVIND PROTECȚIA DATELOR ………………………….. …………. 16
1.2.3. LEGALITATEA PRELUCRĂRILOR ………………………….. ……………………….. 17
1.2.4. CONSIMȚĂMÂNTUL ………………………….. ………………………….. ………………… 17
1.2.5. NOTIFICĂRI ………………………….. ………………………….. ………………………….. …. 18
1.2.6. DREPTUL LA ACCES, LA RECTIFICARE ȘI LA PORTABILITATEA
DATELOR PERSOANELOR VIZATE ………………………….. ………………………….. ……… 19
1.2.7. DREPTUL DE A SE OPUNE ………………………….. ………………………….. ……….. 19
1.2.8. DREPTUL „DE A FI UITAT” ȘI DREPTUL DE RESTRICȚIE A
PRELUCRĂRII ………………………….. ………………………….. ………………………….. …………… 20
1.2.9. ÎNCĂLCAREA SECURITĂȚII DATELOR ȘI A NOTIFIC ĂRILOR ………… 20
1.2.10. REMEDIERI ȘI RESPONSABILITĂȚI ………………………….. …………………. 21
1.2.11. AMENZI ………………………….. ………………………….. ………………………….. …….. 22
CAPITOLUL II. G.D.P.R. – STUDIU DE CAZ ………………………….. ………………………… 23
2.1. PROCESUL DE IMPLEMENTARE CE TREBUIE RESPECTAT DE O
ORGANIZAȚIE CARE DOREȘTE SĂ IMPLEMENTEZE GDPR ………………………… 23
2.1.1. CARTOGRAFIERE DATE CU CARACTER PERSONAL ………………………. 23
2.1.2. ANALIZA DE RISC ………………………….. ………………………….. ……………………. 27
2.1.3. PROCEDEE ȘI TEMEIURILE PRELUCRĂRII ………………………….. …………. 27
2.2. ÎNȘTINȚAREA CLIENȚILOR DESPRE NOUL REGULAMENT ………………. 29
CONCLUZII ………………………….. ………………………….. ………………………….. …………………… 31
BIBLIOGRAFIE ………………………….. ………………………….. ………………………….. …………….. 32
WEBOGRAFIE ………………………….. ………………………….. ………………………….. ……………… 33
ANEXA 1 – LISTĂ FIGURI ………………………….. ………………………….. …………………………. 34

8

INTRODUCERE

În această lucrare de disertație este descrisă noua procedura ce privește prelucrarea
datelor cu caracter personal ce s -a pus în a plicare începând cu data de 25 mai 2018.
Conținutul lucrări este cuprins din 2 capitole în care sunt prezentate aspectele
informatice ce au legătură cu noua procedura de prelucrarea datelor cu caracter personal
dar și modul de implementare a acesteia.
În primul capitol este descrisă procedura legală actuală de prelucrare a datelor cu
caracter personal cât si noile prevederi aduse de GDPR.
Al doilea capitol cuprinde analiza și pași ce trebuie urmați și respectați de către
instituții pentru o bună imple mentare a GDPR.
Concluzii.
Bibliografie.
Anexe.

9

CAPITOLUL I. NECESITATEA INTRODUCERI UNUI
STANDARD PENTRU PROTECȚIA DATELOR

1.1. PROTECȚIA DATELOR PERSONALE –
REGLEMENTĂRI ACTUALE (15 DECEMBRIE 2007)

Din 25 mai 2018, importante schimbări se vor produce în legislația privind protecția
datelor personale în Europa, odată cu intrarea în vigoare a Regulamentului (UE) 679/2016,
cunoscut drept Regulamentul General privind Protecția Datelor Personale. Până la noul
regulament, in data de 15 decembrie 2007, președint ele AUTORITĂȚII NAȚIONALE DE
SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL a emis
prezenta decizie:
Art. 1
Datele cu caracter personal pot fi prelucrate în cadrul unor sisteme de evidență de
tipul birourilor de credit, în scopul evaluării solva bilității, a reducerii riscului la creditarea și
a determinării gradului de îndatorare a debitorilor persoane fizice, cu respectarea
prevederilor legale din domeniul protecției datelor personale, a reglementărilor din domeniul
financiar -bancar, precum și a dispozițiilor prezentei decizii.
Art. 2
În înțelesul prezentei decizii, următorii termeni se definesc astfel:
a) sisteme de evidentă de tipul birourilor de credit – orice bază de date organizată în
sistem centralizat , și gestionată de o entitate de drept p rivat, care cuprinde datele cu
caracter personal , comunicate în legătură cu activitățile desfășurate de instituțiile
financiare și de credit, autorizate potrivit legii, în scopul evaluării solvabilității, a
reducerii riscului la creditare și a determinării gradului de îndatorare a debitorilor

10
persoane fizice; aceste baze de date pot fi consultate numai de către entitățile
participante la sistem;
b) birou de credit – entitatea de drept privat care gestionează sistemul de evidentă
definit la lit. a); biroul de c redit are calitatea de operator de date cu caracter personal
în sensul Legii nr. 677/2001, modificată și completată;
c) participant – orice entitate de drept privat care transmite către un sistem de evidentă
de tipul birourilor de credite datele cu caracter personal colectate în legătură cu
solicitarea/acordarea unui credit, în baza unui contract încheiat cu biroul de credit și
care consultă pe bază de reciprocitate datele transmise de către ceilalți participanți ;
participanții au calitatea de operator de date cu caracter personal în sensul Legii nr.
677/2001, modificată și completată. Pot fi participanți la sistemele de evidentă de
tipul birourilor de credit numai instituțiile financiare și de credit definite pot rivit
Ordonanței de urgenta a Guvernului nr. 99/2006 privind instituțiile de credit și
adecvarea capitalului, modificată și completată, și potrivit Ordonanței Guvernului nr.
28/2006 privind reglementarea unor măsuri financiar – fiscale, modificată și
compl etată, precum și societăți de asigurări pentru produsele de tip credit;
d) date negative – informații referitoare la întârzierile la plată a obligațiilor decurgând
din relațiile de creditare a persoanelor fizice;
e) date pozitive – informații referitoare la cred itele acordate debitorilor persoane fizice,
de natură a contribui la evaluarea gradului de îndatorare și a bonității acestora;
f) date referitoare la inadvertențe – informații neconcordante rezultate din
documentele prezentate la data solicitării creditului, din culpa solicitantului;
g) date referitoare la fraudulenți – informații privind săvârșirea de infracțiuni sau
contravenții în domeniul financiar -bancar, în relația directă cu un participant,
constatate prin hotărâri judecătorești definitive sau irevocabile, după caz, ori prin
acte administrative necontestate;
h) date sensibile – datele cu caracter personal reglementate de art. 7 din Legea nr.
677/2001, modificată și completată.
Art. 3
1. Prelucrările efectuate în sisteme de evidentă de tipul birourilor de credit pot avea ca
obiect numai datele cu caracter personal care sunt relevante și neexcesive în raport
cu scopurile menționate la art. 1 și numai în legătură cu activitatea de creditare.
2. Prelucrările de date cu caracter personal efectuate în sisteme de evidentă de tipul
birourilor de credit nu se pot efectua asupra datelor sensibile și a datelor reglementate

11
de art. 10 din Legea nr. 677/2001, modificată și completată, cu excepția datelor
privind fraudulenții, în înțelesul prezentei decizii.
3. Datele cu caracter per sonal care pot fi prelucrate în cadrul unor sisteme de evidentă
de tipul birourilor de credit sunt următoarele:
a) date de identificare a persoanei fizice: nume, prenume, inițiala tatălui/mamei,
adresa de domiciliu/reședința, numărul de telefon fix/mobil, cod ul numeric
personal;
b) date de identificare a persoanei fizice: nume, prenume, inițiala tatălui/mamei,
adresa de domiciliu/reședința, numărul de telefon fix/mobil, codul numeric
personal;
c) date de identificare a persoanei fizice: nume, prenume, inițiala tatăl ui/mamei,
adresa de domiciliu/reședința, numărul de telefon fix/mobil, codul numeric
personal;
d) date de identificare a persoanei fizice: nume, prenume, inițiala tatălui/mamei,
adresa de domiciliu/reședința, numărul de telefon fix/mobil, codul numeric
person al;
e) date referitoare la inadvertenței.
4. Persoanele fizice ale căror date cu caracter personal pot fi prelucrate în sisteme de
evidentă de tipul birourilor de credit sunt împrumutații, codebitorii și giranții.
Art. 4
1. Birourile de credit colectează date cu c aracter personal exclusiv de la participanți.
2. Participanții au obligația de a transmite date exacte și corecte către sistemele de
evidentă de tipul birourilor de credit.
3. Birourile de credit sunt obligate să efectueze demersuri în vederea remedierii
deficie nțelor constatate în legătură cu caracterul inexact sau incomplet al
informațiilor.
4. Datele înregistrate în sisteme de evidentă de tipul birourilor de credit pot fi
actualizate, modificate, completate sau șterse fie direct de către participantul care a
transmis datele, fie de către biroul de credit, la cererea sau în acord cu participantul.
5. Operațiunile prevăzute la alin. (4) pot avea loc inclusiv ca urmare a exercitării de
către persoana vizată a drepturilor prevăzute de Legea nr. 677/2001, modificată și
completată, în baza unei solicitări a Autorității Naționale de Supraveghere a
Prelucrării Datelor cu Caracter Personal sau în temeiul unei hotărâri judecătorești.

12
6. Este interzis accesul sau furnizarea datelor înregistrate în sisteme de evidentă de tipul
birou rilor de credit către terți, cu excepția autorităților și instituțiilor publice, în
cazurile și cu respectarea condițiilor prevăzute de lege.
Art. 5
1. Datele negative se transmit către sistemele de evidentă de tipul birourilor de credit
după 30 de zile de l a data scadenței.
2. Datele pozitive se transmit după data încheierii contractului dintre participant și
persoana fizică.
3. Datele referitoare la inadvertențe se transmit după stabilirea culpei solicitantului care
a furnizat informații neconcordante, de către compartimentele
4. competente ale participanților, cu respectarea dispozițiilor art. 8 alin. (4) din prezenta
decizie.
Art. 6
1. Datele cu caracter personal ale solicitanților de credit, care au renunțat la cererea de
credit sau a căror cerere a fost respinsă, sunt stocate în sistemele de evidentă de tipul
birourilor de credit și dezvăluite participanților pentru cel mult șase luni de la data
transmiterii datelor către biroul de credit.
2. Datele negative sunt stocate în sistemele de evidentă de tipul birourilor d e credit și
dezvăluite participanților pentru perioada necesară realizării scopurilor prevăzute la
art. 1, dar nu mai mult de 4 ani de la data achitării ultimei rate restante sau de la data
ultimei actualizări transmise, în cazul neachitării restanțelor pâ nă la data respectivă.
3. Datele pozitive sunt stocate în sistemele de evidentă de tipul birourilor de credit și
dezvăluite participanților pentru perioada necesară realizării scopurilor prevăzute la
art. 1, dar nu mai mult de 4 ani de la data ultimei actuali zări transmise.
4. Datele referitoare la inadvertențe și datele referitoare la fraudulenți sunt stocate în
sistemele de evidentă de tipul birourilor de credit și dezvăluite participanților pentru
perioada necesară realizării scopurilor prevăzute la art. 1, da r nu mai mult de 4 ani
de la data transmiterii în aceste sisteme.
Art. 7
La expirarea termenelor prevăzute la art. 6, datele cu caracter personal se șterg din
sistemele de evidentă de tipul birourilor de credit sau sunt transformate, după caz, în date
anonime și prelucrate în scopuri statistice.
Art. 8

13
1. Datele cu caracter personal ale solicitanților de credit se transmit către sistemele de
evidentă de tipul birourilor de credit numai cu acordul scris al persoanei vizate
obținut de participanți la data dep unerii cererii de credit.
2. Datele negative, inclusiv cele rezultate din aplicarea comisioanelor sau din majorări
ale ratei dobânzilor, se transmit către sistemele de evidentă de tipul birourilor de
credit numai după înștiințarea prealabilă realizată de cătr e participanți, în scris,
telefonic, prin SMS sau e -mail a persoanei vizate cu privire la întârzierea la plată și
transmiterea datelor, realizată cu cel puțin 15 de zile calendaristice înainte de data
transmiterii.
3. Datele pozitive se transmit către sisteme le de evidentă de tipul birourilor de credit
numai după înștiințarea prealabilă, în scris, a persoanei vizate, realizată de către
participanți la data încheierii contractului.
4. Datele referitoare la inadvertențe și la fraudulenți se transmit către sistemele de
evidentă de tipul birourilor de credit numai după înștiințarea prealabilă a persoanei
vizate, în scris, telefonic, prin SMS sau e -mail, realizată de către participanți, înainte
de data transmiterii
Art. 9
1. Participanții sunt obligați să furnizeze perso anei vizate la data înștiințării prealabile
prevăzute de art. 8, în mod clar și exact, informațiile prevăzute de art. 12 alin. (1) din
Legea nr. 677/2001, modificată și completată, inclusiv cu privire la:
a. datele cu caracter personal transmise;
b. identitatea biroului sau birourilor de credit către care sunt transmise datele;
c. categoriile de participanți la birourile de credit către care sunt transmise
datele;
d. perioada sau perioadele de stocare a datelor în cadrul sistemelor de evidentă
de tipul birourilor de credit;
e. modalitățile concrete de exercitare a dreptului de acces, de intervenție și de
opoziție, în relația cu participantul și cu biroul/birourile de credit.
2. Participanții și birourile de credit sunt obligați să ia măsuri corespunzătoare pentru a
asigura respectarea drepturilor de acces, de intervenție și de a nu fi supus unei decizii
automate individuale, prevăzute de art. 13 -14 și de art. 17 din Legea nr. 677/2001.
3. Pentru motive întemeiate și legitime, legate de situații particulare justificate,
persoane le fizice se pot opune ca datele lor cu caracter personal să fie transmise sau
prelucrate ulterior în sistemele de evidentă de tipul birourilor de credit.

14
Art. 10
Participanții și birourile de credit sunt obligați să adopte măsurile de securitate
tehnice și organizatorice necesare pentru protejarea datelor cu caracter personal în condițiile
art. 19 -20 din Legea nr. 677/2001, modificată și completată. Pot avea acces la datele cu
caracter personal stocate în sistemele de evidentă de tipul birourilor de cred it numai
persoanele autorizate.
Art. 11
Prevederile prezentei decizii nu se aplică prelucrărilor de date efectuate de operatorii
de date cu caracter personal din alte domenii de activitate, având ca scop ținerea evidenței
rău-platnicilor și evaluarea sol vabilității propriilor clienți persoane fizice, cu respectarea
prevederilor legale din domeniul protecției datelor personale.
Art. 12
Încălcarea dispozițiilor prezentei decizii poate atrage răspunderea contravențională,
potrivit Legii nr. 677/2001, modif icată și completată.
Art. 13
Prezenta decizie intră în vigoare în termen de 60 de zile de la data publicării în
Monitorul O ficial al României, Partea I .1

1 AUTORITATEA NAȚIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER
PERSONAL
Decizie cu privire la prelucrările de date cu caracter personal efectuate în sisteme de evidentă de tipul birourilor
de credit nr. 105 din 15 decembrie 2007.

15

1.2. CE PRESUPUNE NOUL REGULAMENT EUROPEAN
GDPR 25 MAI 2018

1.2.1. CONCEPTE NOI

Noul regulament va produce schimbări majore, inclusiv prin intermediul
următoarelor concepte noi:
• Transparență și consimțământ – de exemplu informațiile furnizate si solicitarea
permisiunii de la persoanele vizate pentru a putea justifica utilizarea datelor
personale. Cerințele GDPR se referă la faptul că declarația de consimțământ nu
trebuie să fie ambiguă, ceea ce înseamnă ca declarațiile de acest tip vor trebui
modificate.
• Copiii și consimțământul – pentru serviciile online care solicită consimțământ pentru
prelucrarea datelor personale , în cazul datelor personale ale copiilor se verifică
consimțământul părinților.
• Alte date personale reglem entate (inclusiv datele genetice și biometrie).
• Pseudonim zarea – o nouă definiție care se refer ă la tehnica de prelucrare a datelor
personale într -o manier ă în care acestea s ă nu mai poată fi atribuite unei anumite
persoane vizate fără utilizarea altor in formații suplimentare, care trebuie stocate
separat.
• Încălcarea securității datelor – se introduce un nou articol privind comunicarea
încălcării securității datelor pentru toți operatorii de date, indiferent de domeniul lor
de activitate.
• Protecția datelor din momentul conceperii si responsabilitatea – organizațiile sunt
obligate sa adopte noi masuri tehnice si organizaționale semnificative pentru a
demonstra conformitatea cu GDPR.
• Mai multe drepturi – persoanele vizate beneficiază de mai multe drepturi, in clusiv
dreptul de a fi uitat, dreptul de portabilitate a datelor si dreptul de a se opune.

16
• Autoritățile de supraveghere – reglementarea supravegherii protecției datelor se va
schimba in mod semnificativ, inclusiv prin introducerea unei noi autorități de
supraveghere .

1.2.2. PRINCIPII PRIVIND PROTECȚIA DATELOR

Principiile de protecție a datelor sunt revizuite, dar sunt, in general, similare cu
principiile stabilite in Directiva 95/46 / CE ("Directiva privind protecția datelor"):
corectitudinea, legalitatea si t ransparenta; limitarea scopului; minimizarea datelor;
calitatea datelor; securitate; integritate si confidențialitate.
Cele 5 principii pe care operatorul are responsabilitatea de a le respecta:
• PRINCIPIUL 1: LEGALITATE, ECHITATE ȘI TRANSPAREN ȚĂ:
o Trebuie solicitat persoanei vizate să citească notificarea privind prelucrarea
datelor personale;
o Notificarea va furniza informații relevante privind colectarea și prelucrarea
datelor personale.
• PRINCIPIUL 2: LIMITĂRI LEGATE DE SCOP:
o Trebuie solicitat per soanei vizate ca notificarea privind prelucrarea datelor să
fie citită înainte de colectare și prelucrare, specificând, de asemenea, scopul
pentru fiecare tip de date personale colectat.
• PRINCIPIUL 3: REDUCEREA LA MINIMUM A DATELOR – ADECVATE,
LIMITAT E SI RELEVANTE:
o Pentru a putea asigura exactitatea și actualizarea datelor personale, fiecărei
persoane vizate i se va cere să revizuiască și să confirme exactitatea datelor
periodic.
• PRINCIPIUL 4: LIMITĂRI LEGATE DE STOCARE:
o Va trebui să formulăm și să r espectăm politici exacte, specifice de stocare a
datelor.
• PRINCIPIUL 5: INTEGRITATE SI CONFIDENȚIALITATE – SECURITATEA
DATELOR:

17
o Va trebui să luăm măsuri tehnice și organizaționale pentru a securiza datele
personale ale persoanelor vizate, împotriva prel ucrării lor neautorizate sau
ilegale, pierderi accidentale sau distrugeri.

1.2.3. LEGALITATEA PRELUCRĂRILOR

Trebuie să ne asigurăm că sunt clare motivele pentru care organizația prelucrează
legal date și că aceste motive sunt conforme cu GDPR.
Există restric ții specifice privind capacitatea de a se baza pe „legalitatea prelucrării”
ca baza de prelucrare și unele clarificări cu privire la momentul când acestea pot fi utilizate/
Atunci când este vorba de consimțământ, trebuie să ne asigurăm că acesta
îndepline ște noile cerințe scrise mai jos.
Există o listă de factori care trebuie luați în considerare atunci când se stabilește dacă
prelucrarea datelor pentru un nou scop este incompatibilă cu scopurile pentru care datele au
fost inițial colectate.

1.2.4. CONSIMȚĂMÂN TUL

Consimțământul este supus unor condiții suplimentare in cadrul GDPR.
Trebuie să ne asigurăm că sunt clare motivele privind legalitatea prelucrării și că
aceste motive vor fi în continuare conforme cu GDPR .
Trebuie să luăm î n considerare da că este cazul, ce impact pot avea procesele de
business prelucrarea datelor copiilor și, dac ă da, care sunt regulile naționale pe care trebuie
să le urmați atunci când obțineți consimțământul.
În cazul în care organizația se bazează pe consimțământul de a prelucra date cu caracter
personal în scopul cercetării științifice , vom lua în considerare posibilitatea ca persoanele
vizate s ă ofere posibilitatea de a consimți numai anumite domenii de cercetare sau părți ale
proiectelor de cercetare.
Atunci când va bazați pe consimțământ ca baza de prelucrare legala, asigurați -va ca:

18
• consimțământul este unul activ și nu este dat prin absența unui răspuns, căsuțe bifate
în prealabil sau absența unei acțiuni;
• consimțământul pentru prelucrare este distinct, clar și nu est e dat cu alte acorduri sau
declarații scrise;
• prestarea unui serviciu nu este condiționata de consimțământul cu privire la
prelucrarea datelor cu caracter personal care nu este necesar pentru executarea
acestui contract ;
• persoana vizata este informată că a re dreptul sa își retragă în orice moment
consimțământul , retragerea consimțământului nu afectează legalitatea prelucrării
efectuate baza consimțământului înainte de retragerea acestuia ;
• retragerea consimțământului se face la fel de simplu ca acordarea acestuia ;
• se va obține cate un consimțământ separat pentru fiecare operațiune de prelucrare ;
• consimțământul nu este invocat în cazul în care exist ă un dezechilibru clar între
persoana vizat ă și operator ( în special dac ă operatorul este o autoritate public ă).

1.2.5. NOTIFICĂRI

Operatorii trebuie să furnizeze notificări pentru a asigura transparenta prelucrării .
Trebuie furnizate notificări specifice și exist ă, de asemenea, o obligație general ă
privind transparen ța.
Se pune accent pe notificări clare și concis e.

19

1.2.6. DREPTUL LA ACCES , LA RECTIFICARE ȘI LA
PORTABILITATEA DATELOR PERSOANELOR VIZATE

Operatorii de date trebuie, la cerere:
• să confirme dacă prelucrează date personale ale unei persoane;
• să furnizeze o copie a datelor (în mod obișnuit în forma electronică);
• să furnizeze materiale explicative;
Persoanele vizate pot, de asemenea, solicita ca datele lor personale să fie purtate către
un nou furnizor în cazul în care datele în cauza au fost:
• furnizate de persoana vizată operatorului;
• sunt prelucr ate automat;
• pe baza consimțământului sau a îndeplinirii unui contract.
Cererea trebuie s ă fie îndeplinită în termen de o lună (cu prelungire în unele cazuri)
și orice intenție de nerespectare a termenului trebuie explicată persoanei vizate.
Dreptul la a cces este destinat să permită persoanelor vizate să verifice legalitatea
prelucrării, iar dreptul de a solicita o copie nu ar trebui sa afecteze nefavorabil alte drepturi.

1.2.7. DREPTUL DE A SE OPUNE

Există dreptul de a se opune persoanelor vizate anumite tipuri de prelucrări de date:
• în cazul marketingului direct;
• prelucrările legate de o sarcină de interes public al unei autorități publice;
• prelucrări legate de cercetare sau scopuri statistice;
Numai dreptul de a se opune marketingului direct este absolu t (adică nu este necesară
demonstrarea motivelor pentru obiecții).
Există obligații de notificare a acestor drepturi într -un stadiu incipient – clar și separat
de alte informații.
Serviciile online trebuie să ofere o metodă automată persoanelor vizate de a se opune.

20

1.2.8. DREPTUL „DE A FI UITAT” ȘI DREPTUL DE RESTRICȚIE
A PRELUCRĂRII

Persoanele fizice pot cere ca datele lor să fie „șterse” atunci când există o problemă
legată de legalitatea prelucrării sau de retragere a consimțământului.
Persoana vizată are dreptul de a obține din partea operatorului, restricționarea
prelucrării în cazul în care acesta contestă exactitatea datelor, pentru o perioadă care îi
permite operatorului să verifice exactitatea datelor.
În cazul în care operatorul a făcut publice datele cu caracter personal și este obligat
să le șteargă, operatorul ia măsuri rezonabile pentru a informa operatorii care prelucrează
datele cu caracter personal ca persoana vizată a solicitat ștergerea de către acești operatori.

1.2.9. ÎNCĂLCAREA SECURITĂȚII DATELOR ȘI A
NOTIFICĂRILOR

Operatorul de date și persoana împuternicită de către acesta, sunt acum supuse unui
regim special privind notificarea autorității de supraveghere în cazul încălcări securității
datelor.
Persoanele împuternicite de operator su nt obligate să anunțe operatorul de date
despre încălcarea securității datelor.
Operatorii de date trebuie să anunțe autoritățile de supraveghere, de încălcarea
securității datelor și chiar și persoanele vizate afectate, în fiecare dintre cazuri respectân d
normele GDPR.
Operatori de date trebuie să păstreze o evidență internă a încălcări securității datelor.
Neconformitatea poate duce la amenzi până la 1 milion de euro sau până la 2 % din
cifra de afaceri a anului precedent (care dintre acestea este mai mare).

21

1.2.10. REMEDIERI ȘI RESPONSABILITĂȚI

Persoanele fizice au următoarele drepturi (împotriva operatorilor și a persoanelor
împuternicite de către operatori):
• dreptul de a depune o plângere la autoritățile de supraveghere în cazul în care datele
lor au fost procesate într -un mod care nu se conformează cu GDPR;
• dreptul la o cale de atac efectivă în cazul în care o autoritate de supraveghere
competentă nu se ocupă în mod corespunzător de o plângere;
• dreptul la o cale de atac efectivă împotriva unui opera tor sau a unei persoane
împuternicite de către operator;
• dreptul la despăgubiri de la un operator sau de la o persoană împuternicită în cauză
pentru daune materiale sau morale care rezultă din încălcarea GDPR.
Atât persoanele fizice, cât și cele juridice au dreptul de a sesiza instanțele naționale
împotriva unei decizii obligatorii din punct de vedere juridic luată de autoritatea de
supraveghere.
Persoanele fizice pot formula cereri de daune morale, nu doar materiale. Sunt
facilitate acțiuni de grup.
Căile de atac judiciare și răspunderea pentru despăgubiri se extind atât la operatori
de date, cât și la persoanele împuternicite de către aceștia care încalcă regulamentul.

22

1.2.11. AMENZI

Autoritățile de supraveghere sunt împuternicite să impună amenzi administrative
importante atât operatorilor cât și persoanelor împuternicite de către aceștia.
Amenzile pot fi impuse în loc de sau în plus față de masurile care pot fi ordonate de
autoritățile de supraveghere. Acestea pot fi impuse pentru o gamă l argă de contravenții,
inclusiv încălcări de ordin procedural.
Amenzile administrative trebuie impuse de la caz la caz și trebuie să fie „eficace,
proporționale și cu efect de descurajare”.
(Irina , Nicolae D., & Daniel -Mihail , 20 17),(Daniel -Mihail, Irina , & Raul -Felix, 2017)

23

CAPITOLUL II. G.D.P.R. – STUDIU DE CAZ

2.1. PROCESUL DE IMPLEMENTARE CE TREBUIE
RESPECTAT DE O ORGANIZAȚIE CARE DOREȘTE SĂ
IMPLEMENTEZE GDPR

În procesul de impl ementare trebuie să se ț ină cont de următoarele:

2.1.1. CARTOGRAFIE RE DATE CU CARACTER
PERSONAL

Pentru a putea evalua într -un mod eficient impactul GDPR asupra activității entității,
este necesară identificarea unei prelucrări de cu caracter personal și păstrarea evidenței
activităților de prelucrare.
Pentru a putea avea o evidență completă și exactă a prelucrărilor de date cu caracter
personal efectuate și pentru a răspunde noilor exigențe, trebuie identificate, în prealabil, cu
precizie:
• diferitele pre lucrări de date cu caracter personal;
• categoriile de date cu caracter personal prelucrate;
• scopurile urmărite prin operațiunile de prelucrare a datelor;
• persoanele care prelucrează aceste date;
• fluxurile de date, indicând originea și destinația datelor, în special pentru a identifica
eventualele transferuri de date în afara Uniunii Europene.

24
Evidenta păstrată de operator va cuprinde:
• numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale
reprezentantului operatorului și a le responsabilului cu protecția datelor;
• scopurile prelucrării;
• descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter
personal;
• categoriile de destinatari cărora le -au fost sau le vor fi divulgate datele cu caracter
personal, in clusiv destinatarii din țări terțe sau organizații internaționale;
• dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o
organizație internațională, inclusiv identificarea țării terțe sau a organizației
internaționale respect ive și, în cazul transferurilor menționate la articolul 49 alineatul
(1) al doilea paragraf din Regulamentul General privind Protecția Datelor,
documentația care dovedește existența unor garanții adecvate;
• acolo unde este posibil, termenele -limită preconiz ate pentru ștergerea diferitelor
categorii de date;
• acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de
securitate menționate la articolul 32 alineatul (1) din Regulamentul General privind
Protecția Datelor.
Ca atare, pe ntru fiecare prelucrare de date cu caracter personal, este necesar a se avea
în vedere următoarele:
CINE ?
• Se înscriu în evidență numele și coordonatele operatorului (și ale reprezentantului
sau legal) și, după caz, ale responsabilului cu protecția datelor ;
• Se întocmește lista persoanelor împuternicite, după caz.
CE ?
• Se identifică categoriile de date cu caracter personal prelucrate;
• Se identifică datele susceptibile de a prezenta riscuri datorită naturii lor sensibile
deosebite (datele privind sănătatea sau infracțiunile)
DE CE ?

25
• Se precizează scopul sau scopurile în care sunt colectate sau prelucrate datele cu
caracter personal (ex. gestionarea relației comerciale, managementul resurselor
umane, geo localizare, video supraveghere etc.)
UNDE ?
• Se stabileș te locația sistemului de evidență și, dacă e cazul, destinatarii datelor.
• Se stabilesc statele către care sunt, eventual, transferate datele.
PÂNĂ CÂND?
• Se precizează, pentru fiecare categorie de date, perioada de stocare.
CUM ?
• Se precizează masurile de s ecuritate implementate pentru a reduce la minimum
riscurile de acces neautorizat la date și, în consecință, impactul asupra vieții private
a persoanelor vizate.

Exemplu de program de cartografiere de date cu caracter personal :

GDPR Complet – CARTOGRAFIEREA DATELOR CU CARACATER
PERSONAL este o aplicație software , dezvoltată pentru a facilita maparea și inventarierea
datelor cu caracter personal , și a fluxurilor de procesare ale acestora.

Figură 1 GDPR COMPLET – SOFTWARE

26
Exemplu de d ate care se prelucrează in acest stadiu sunt:

NR. SURSA DATELOR DATE DE IDENTIFICARE PREZENTE TEMEIUL LEGAL IEȘIRE ÎN
ORGANIZAȚIE IEȘIRE IN EXTERN
1. CONTRACT DE MUNCA – NUME – PRENUME
– DATA NAȘTERI
– COD NUMERIC PERSONAL
– CETĂȚENIE
– SERIE ȘI NUMĂR BULETIN / CI /
PAȘAPORT / ALT ACT DE IDENTITATE
– DATA EMITERI
– DATA EXPIRĂRI
– STARE CIVILĂ
– LOCUL NAȘTERI – CONTRACTUAL – ADMINISTRAȚIE
– CASA DE PENSII
– CASA DE
ASIGURĂRI
– MEDICINA
MUNCI

2. ANALIZĂ MEDICALĂ – INFORMAȚII PRIVIND STAREA DE
SĂNĂTATE A PERSOANEI VIZATE
– GRUPA DE SÂNGE
– NUME – PRENUME
– DATA NAȘTERI
– COD NUMERIC PERSONAL – INTERES PUBLIC
ȘI SĂNĂTATE – MEDIC DE
FMILIE – PACIENT
3. IDENTIFICARE
ELECTRONICĂ – „COOKIES”
– LOGURI DE ACCES ALE ANGAJAȚILOR
– ADRESELE IP ALE ANGAJAȚILOR
– COORDONATE GPS – INTERES PUBLIC

27
– SERIA ȘI NUMĂRUL CARDULUI DE
ACCES AL UNUI ANGAJAT SAU
VIZITATOR

2.1.2. ANALIZA DE RISC

Analiza de risc presupune
2.1.3. PROCEDEE ȘI TEMEIURILE PRELUCRĂRII

Principiile prelucrări:
– Legalitatea, echitate și transparență:
o Datele sunt prelucrate în mod legal, echitabil și transparent față de persoana vizată.
– Limitare la scop:
o Datele sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într -un mod incompatibil cu aceste
scopuri.
– Reducerea la minimum a datelor:
o Datele sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.
– Exactitate:
o Datele sunt exacte și în cazul în care este necesar sunt actualizate.
– Limitări legate de stocare:
o Datele nu trebuie să fie păst rate mai mult decât este necesar.
– Securitate și confidențialitate:

28
o Datele sunt prelucrate într -un mod care asigură securitatea adecvată.

29

2.2. ÎNȘTINȚAREA CLIENȚILOR DESPRE NOUL
REGULAMENT

Toate instituțiile sunt obligate să își înștiințeze clienți, prin e -mail sau telefon, despre
noua lege ce vizează prelucrarea datelor personale ale clienților pe care acestea le
procesează, drept urmare, și clienți, la rândul lor au obligația să răspundă m esajelor primite,
dacă vor să rămână în contact cu instituțiile respective.
Mai jos două exemple de înștiințări trimise de instituții diferite.
1. Înștiințare primită de H&M – magazin de articole vestimentare:

Figură 2 Înștiința re H&M

30
2. Înștiințare primită la accesarea platformei S.U.M.S :

Figură 3 Înștiințare S.U.M.S

Amenzile anunțate pentru firmele care vor încălca noua legislație sunt de până la 10
sau chiar 20 de milioane de euro ori, 2% sau 4% di n cifra de afaceri.

31

CONCLUZII

Instituțiile publice , companiile a căror activitate principală constă în operațiuni de
prelucrare , care necesită o monitorizare periodică și sistematică pe scară largă a persoanelor
vizate, categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea
religioasă sau convingerile filozofice, apartenența la sindicate, date genet ice, date
barometrice, date privind sănătatea, date privind viața sexuală sau orientarea sexuală) sau
date referitoare la condamnări penale și infracțiuni, trebuie sa își asume prelucrarea datelor,
de acea securitatea este foarte importantă. Acestea includ măsuri de responsabilitate precum:
evaluări ale impactului asupra confidențialității, audituri, înregistrări, numirea unui
responsabil de protecție a datelor („DPO”). Pentru organizațiile care nu au desemnat un
responsabil privind protecția datelor se vor impune responsabilități majore.
GDPR solicită tuturor organizațiilor să pună în aplicare o gamă largă de măsuri
pentru a reduce riscul de a încălca GDPR și pentru a dovedi că iau în serios activitățile de
administrare a datelor.

32
BIBLIOGRAFIE

Daniel -Mihail, S., Irina , A., & Raul -Felix, H. (2017). Achizitiile publice in Romania.
Aplicarea si interpretarea noii legislatii europene. București: Editura Universitară.
Irina , A., Nicolae D., P., & Daniel -Mihail , S. (2017). Protecția datelor cu caracter
personal. București: Editura Universitară.

33
WEBOGRAFIE

1. A
2. A
3. A
4. A
5. A

34
ANEXA 1 – LISTĂ FIGURI

Figură 1 GDPR COMPLET – SOFTWARE ………………………….. ………………………….. ……. 25
Figură 2 Înștiințare H&M ………………………….. ………………………….. ………………………….. …. 29
Figură 3 Înștiințare S.U.M.S ………………………….. ………………………….. ………………………….. 30

Sursă figuri:
• Figura 1 – https://gdprcomplet.ro/cartografiere -date-cu-caracter -personal/ 17/06/18
• Figura 2 & Figura 3 – e-mail personal ( rzmateut@gmail.com )