AUTORITATEA NAIONAL DE SUPRAVEGHERE

A PRELUCRRII DATELOR CU CARACTER PERSONAL

Ghid orientativ de aplicare a

Regulamentului General privind Protecia Datelor
destinat operatorilor

www.dataprotection.ro
 Ghid referitor la aplicarea
Regulamentului General privind Protecia Datelor
destinat operatorilor

CONTEXT

Parlamentul European i Consiliul au adoptat, n data de 27 aprilie 2016, Regulamentul (UE)

2016/679 privind protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter
personal i privind libera circulaie a acestor date i de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecia datelor - RGPD).

Regulamentul (UE) 2016/679 a fost publicat n Jurnalul Oficial al Uniunii L119 din 4 mai 2016, iar
prevederile lui vor fi direct aplicabile n toate statele membre ale Uniunii Europene, ncepnd cu
data de 25 mai 2018.

Regulamentul (UE) 2016/679 impune un set unic de reguli n materia proteciei datelor cu
caracter personal, nlocuind Directiva 95/46/CE i, implicit, prevederile Legii nr. 677/2001.

NOUTI

Regulamentul (UE) 2016/679 pune accent pe transparena fa de persoana vizat i responsabilizarea

operatorului de date fa de modul n care prelucreaz datele cu caracter personal.

Regulamentul (UE) 2016/679 stabilete o serie de garanii specifice pentru a proteja ct mai eficient
viaa privat a minorilor, n special n mediul on-line.

Regulamentul (UE) 2016/679 consolideaz drepturile garantate persoanelor vizate i introduce noi
drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor i dreptul la restricionarea prelucrrii.

Regulamentul (UE) 2016/679 introduce sanciuni severe, pna la 10 20 milioane de euro sau ntre 2%
i 4% din cifra de afaceri la nivel internaional, pentru operatorii din sectorul privat.

www.dataprotection.ro
 DOMENIU DE APLICARE

RGPD se aplic:

Prelucrrii datelor cu caracter personal n cadrul activitilor derulate la sediul unui operator sau al unei
persoane mputernicite de operator pe teritoriul Uniunii, indiferent dac prelucrarea are loc sau nu pe teritoriul
Uniunii.

Prelucrrii datelor cu caracter personal ale unor persoane vizate care se afl n Uniune de ctre un
operator sau o persoan mputernicit de operator care nu este stabilit() n Uniune, atunci cnd activitile de
prelucrare sunt legate de:
oferirea de bunuri sau servicii unor astfel de persoane vizate n Uniune, indiferent dac se solicit
sau nu efectuarea unei pli de ctre persoana vizat; sau
monitorizarea comportamentului lor dac acesta se manifest n cadrul Uniunii.

Prelucrrii datelor cu caracter personal de ctre un operator care nu este stabilit n Uniune, ci ntr-un loc
n care dreptul intern se aplic n temeiul dreptului internaional public.

www.dataprotection.ro
 PRINCIPALELE OBLIGAII PENTRU OPERATORII DE DATE
N APLICAREA RGPD

DESEMNAREA UNUI RESPONSABIL CU PROTECIA DATELOR

Pentru a ndruma modul n care sunt gestionate datele cu caracter personal n cadrul unui operator sau al
unei persoane mputernicite de operator, n anumite situaii, este necesar o persoan care s exercite o misiune
de informare, de consiliere i de control n plan intern: responsabilul cu protecia datelor.

Desemnarea unui responsabil cu protecia datelor este obligatorie din 25 mai 2018, raportat la
dispoziiile art. 37 - 39 din Regulamentul General privind Protecia Datelor, n cazul n care operatorul sau
persoana mputernicit de operator:
este o autoritate public sau un organism public, cu excepia instanelor n exercitarea funciei lor
jurisdicionale;
desfoar o activitate principal care conduce la realizarea unei monitorizri constante i
sistematice pe scar larg a persoanelor;
desfoar o activitate principal care const n prelucrarea pe scar larg de date sensibile (cum ar
fi : date privind originea rasial sau etnic, convingerile religioase, apartenena sindical, date
genetice, biometrice, privind starea de sntate) sau referitoare la condamnri penale i
infraciuni.

Chiar dac entitatea nu are obligaia expres de a desemna un responsabil cu protecia datelor,
ANSPDCP recomand numirea acestuia, n considerarea efectului benefic al activitii responsabilului n
vederea asigurrii respectrii Regulamentului General de Protecia Datelor de ctre operatorul respectiv sau
persoana mputernicit de operator.

Un responsabil cu protecia datelor reprezint un avantaj major pentru operator n vederea

nelegerii i respectrii obligaiilor prevzute de RGPD, dialogului cu autoritile pentru protecia datelor i
reducerii riscurilor apariiei unor litigii.

Rolul responsabilului cu protecia datelor

s informeze i s consilieze operatorul sau persoana mputernicit de operator, precum i
angajaii acestora cu privire la obligaiile existente n domeniul proteciei datelor cu caracter
personal;
s monitorizeze respectarea RGPD i a legislaiei naionale n domeniul proteciei datelor;
s consilieze operatorul sau persoana mputernicit n legtur cu realizarea de studii de
impact privind protecia datelor i s verifice efectuarea acestora;
s coopereze cu autoritatea pentru protecia datelor i s reprezinte punctul de contact n
relaia cu aceasta.

www.dataprotection.ro
 CARTOGRAFIEREA PRELUCRRILOR DE DATE CU CARACTER PERSONAL

Toi operatorii din sistemul public, persoanele mputernicite de operator, precum i operatorii din
sistemul privat cu peste 250 de angajai, au obligaia cartografierii prelucrrilor de date cu caracter personal
efectuate, raportat la prevederile art. 30 din Regulamentul General privind Protecia Datelor.

Chiar i operatorii din sistemul privat cu mai puin de 250 de angajai au obligaia cartografierii
prelucrrilor n cazurile n care prelucrarea pe care o efectueaz este susceptibil s genereze un risc pentru
drepturile i libertile persoanelor vizate, n cazul n care prelucrarea nu este ocazional sau prelucrarea
include categorii speciale de date ori date cu caracter personal referitoare la condamnri penale i infraciuni.

n acest sens:
Pentru a evalua n mod eficient impactul RGPD asupra activitii entitii, este necesar identificarea
prelucrrilor de date cu caracter personal efectuate i pstrarea evidenei activitilor de prelucrare.

Pentru a avea o eviden complet i exact a prelucrrilor de date cu caracter personal efectuate i
pentru a rspunde noilor exigene, trebuie identificate, n prealabil, cu precizie:
diferitele prelucrri de date cu caracter personal;
categoriile de date cu caracter personal prelucrate;
scopurile urmrite prin operaiunile de prelucrare a datelor;
persoanele care prelucreaz aceste date;
fluxurile de date, indicnd originea i destinaia datelor, n special pentru a identifica eventualele
transferuri de date n afara Uniunii Europene.

Evidena pstrat de operator va cuprinde:

(a) numele i datele de contact ale operatorului i, dup caz, ale operatorului asociat, ale
reprezentantului operatorului i ale responsabilului cu protecia datelor;

(b) scopurile prelucrrii;

(c) o descriere a categoriilor de persoane vizate i a categoriilor de date cu caracter personal;

d) categoriile de destinatari crora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv
destinatarii din ri tere sau organizaii internaionale;

(e) dac este cazul, transferurile de date cu caracter personal ctre o ar ter sau o organizaie
internaional, inclusiv identificarea rii tere sau a organizaiei internaionale respective i, n cazul
transferurilor menionate la articolul 49 alineatul (1) al doilea paragraf din Regulamentul General
privind Protecia Datelor, documentaia care dovedete existena unor garanii adecvate;

(f) acolo unde este posibil, termenele-limit preconizate pentru tergerea diferitelor categorii de date;

(g) acolo unde este posibil, o descriere general a msurilor tehnice i organizatorice de securitate
menionate la articolul 32 alineatul (1) din Regulamentul General privind Protecia Datelor.

www.dataprotection.ro
 CARTOGRAFIEREA PRELUCRRILOR DE DATE CU CARACTER PERSONAL

Ca atare, pentru fiecare prelucrare de date cu caracter personal, este necesar a se avea n vedere
urmatoarele:

CINE ?
Se nscriu n evidena numele i coordonatele operatorului (i ale reprezentantului sau legal) i, dupa
caz, ale responsabilului cu protecia datelor;
Se ntocmete lista persoanelor mputernicite, dup caz.

CE ?
Se identific categoriile de date cu caracter personal prelucrate;
Se identific datele susceptibile de a prezenta riscuri datorit naturii lor sensibile deosebite (datele
privind sntatea sau infraciunile)

DE CE ?
Se precizeaz scopul sau scopurile n care sunt colectate sau prelucrate datele cu caracter personal (ex.
gestionarea relaiei comerciale, managementul resurselor umane, geolocalizare, videosupraveghere etc.)

UNDE ?
Se stabilete locaia sistemului de eviden i, dac e cazul, destinatarii datelor.
Se stabilesc statele ctre care sunt, eventual, transferate datele.

PN CND?
Se precizeaz, pentru fiecare categorie de date, perioada de stocare.

CUM ?
Se precizeaz masurile de securitate implementate pentru a reduce la minimum riscurile de acces
neautorizat la date i, n consecina, impactul asupra vieii private a persoanelor vizate.

www.dataprotection.ro
 PRIORITIZAREA ACIUNILOR DE NTREPRINS

Operatorul i persoana mputernicit de operator identific aciunile care trebuie ntreprinse pentru
conformarea la cerinele impuse de RGPD.

Se prioritizeaz aceste aciuni n funcie de riscurile pe care le prezint prelucrrile efectuate pentru
drepturile i libertile persoanelor vizate.

Dup identificarea prelucrrilor de date cu caracter personal efectuate n cadrul entitii, se stabilesc,
pentru fiecare dintre acestea, aciunile care trebuie ntreprinse n vederea respectrii obligaiilor impuse de
Regulamentul General privind Protecia Datelor.

Indiferent de prelucrrile efectuate, se vor avea n vedere, n principal, urmtoarele aspecte:

colectarea i prelucrarea doar a datelor strict necesare pentru realizarea scopurilor;

identificarea temeiului legal n baza cruia se efectueaz prelucrarea raportat la art. 6 din
Regulamentul General privind Protecia Datelor (ex. consimmntul persoanelor vizate,
contract, obligaie legal);

revizuirea/completarea informaiilor furnizate persoanelor vizate, astfel nct s respecte

cerinele impuse de Regulamentul General privind Protecia Datelor (articolele 12, 13 i 14);

asigurarea c persoanele mputernicite i cunosc noile obligaii i responsabiliti;

verificarea existenei clauzelor contractuale i actualizarea obligaiilor persoanelor

mputernicite privind securitatea, confidenialitatea i protecia datelor cu caracter personal
prelucrate;

stabilirea modalitilor de exercitare a drepturilor persoanelor vizate (ex. dreptul de acces,

dreptul de rectificare, dreptul la portabilitate, retragerea consimmntului);

verificarea msurilor de securitate implementate.

www.dataprotection.ro
 Se pot aplica msuri speciale, precum: evaluarea impactului asupra proteciei datelor, extinderea
dreptului la informare al persoanelor vizate, obinerea consimmntului persoanelor vizate (dup caz),
obinerea autorizrii pentru transferurile de date n state tere (dac este cazul), n cazul n care prelucrrile de
date cu caracter personal efectuate n cadrul operatorului sau persoanei mputernicite de operator ndeplinesc
urmtoarele caracteristici:

- Prelucrarea efectuat vizeaz i categorii de date precum:

date care dezvluie originea rasial sau etnic, opiniile politice, filozofice sau religioase,
apartenena sindical;
date privind sntatea sau orientarea sexual, date genetice sau biometrice;
date referitoare la infraciuni sau condamnri penale;
date referitoare la minori.

- Prelucrarea efectuat are ca scop i ca efect:

monitorizarea permanent pe scar larg a unei zone accesibile publicului;
evaluarea sistematic i aprofundat a unor aspecte personale, inclusiv profilarea, pe baza creia
sunt luate decizii care produc efecte juridice referitoare la o persoan fizic sau care o afecteaz pe
aceasta n mod semnificativ.

- Prelucrarea efectuat implic transferuri de date n afara Uniunii Europene, ctre state care nu asigur
un nivel de protecie adecvat recunoscut de Comisia European.

Se realizeaz o analiz aprofundat a legislaiei privind protecia datelor i a cerinelor impuse de

Regulamentul General privind Protecia Datelor pentru a stabili msurile care trebuie aplicate la nivelul
fiecrui operator, n funcie de sectorul de activitate i specificul prelucrrii/prelucrrilor efectuate.

www.dataprotection.ro
 GESTIONAREA RISCURILOR

n cazul n care au fost identificate prelucrri de date cu caracter personal susceptibile de a prezenta
riscuri ridicate pentru drepturile i libertile persoanelor fizice, operatorul va efectua o evaluare a
impactului asupra proteciei datelor, n condiiile art. 35 din Regulamentul General privind Protecia
Datelor.

Evaluarea impactului asupra proteciei datelor se realizeaz anterior colectrii datelor cu caracter
personal i efecturii prelucrrii.

Se va pune accent pe estimarea riscurilor asupra proteciei datelor din punctul de vedere al
persoanelor vizate, lund n considerare natura datelor, domeniul de aplicare, contextul i
scopurile prelucrrii i utilizarea noilor tehnologii.

Evaluarea impactului asupra proteciei datelor presupune:

o descriere a prelucrrii de date efectuate i a scopurilor acesteia;

o evaluare a necesitii i a proporionalitii prelucrrii de date efectuate;
o estimare a riscurilor asupra drepturilor i libertilor persoanelor vizate;
msurile prevzute pentru a trata riscurile i a asigura conformitatea cu dispoziiile RGPD.

Evaluarea impactului asupra proteciei datelor permite:

realizarea unei prelucrri de date cu caracter personal sau a unui produs care respect viaa
privat;
estimarea impactului asupra vieii private a persoanelor vizate;
demonstarea faptului c principiile fundamentale ale Regulamentul General privind Protecia
Datelor sunt respectate.

Evaluarea impactului asupra proteciei datelor se impune, mai ales, n cazul:

(a) unei evaluri sistematice i cuprinztoare a aspectelor personale referitoare la persoane fizice, care
se bazeaz pe prelucrarea automat, inclusiv crearea de profiluri, i care st la baza unor decizii care
produc efecte juridice privind persoana fizic sau care o afecteaz n mod similar ntr-o msur
semnificativ;
(b) prelucrrii pe scar larg a unor categorii speciale de date, menionat la articolul 9 alineatul (1),
sau a unor date cu caracter personal privind condamnri penale i infraciuni, menionat la articolul
10; sau
(c) unei monitorizri sistematice pe scar larg a unei zone accesibile publicului.

Cnd evaluarea de impact indic riscuri ridicate, n absena unor msuri luate de operator pentru
atenuarea acestora, se consult Autoritatea naional de supraveghere.

www.dataprotection.ro
 ORGANIZAREA PROCEDURILOR INTERNE

Pentru a asigura permanent un nivel ridicat de protecie a datelor cu caracter personal, operatorul
trebuie s elaboreze proceduri interne care s garanteze respectarea proteciei datelor n orice moment, lund
n considerare toate evenimentele care pot aprea pe parcursul efecturii prelucrrilor de date, precum:
bree de securitate;
solicitri privind exercitarea drepturilor persoanelor vizate;
modificarea datelor cu caracter personal colectate;
schimbarea prestatorului.

Organizarea procedurilor interne implic, n special:

luarea n considerare a proteciei datelor cu caracter personal nc de la momentul

conceperii (privacy by design) unei aplicaii sau a unei prelucrri: minimizarea colectrii
datelor n funcie de scop, cookie-uri, perioada de stocare, informaiile furnizate persoanelor
vizate, obinerea consimmntului persoanelor vizate, securitatea i confidenialitatea datelor
cu caracter personal, garantarea rolului i responsabilitii prilor implicate n efectuarea
prelucrrii datelor;

aplicarea de msuri tehnice i organizatorice adecvate pentru a asigura c, n mod

implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru
fiecare scop specific al prelucrrii (privacy by default), avnd n vedere: volumul de date
colectate, gradul de prelucrare a acestora, perioada de stocare i accesibilitatea lor, astfel nct
datele cu caracter personal s nu fie accesate, fr intervenia persoanei, de un numr nelimitat de
persoane;

sensibilizarea i organizarea diseminrii informaiei, n special prin stabilirea unui plan de

pregtire i de comunicare cu persoanele care prelucreaz date cu caracter personal;

www.dataprotection.ro
 soluionarea plngerilor i cererilor adresate de persoanele vizate n exercitarea
drepturilor lor, stabilind prile implicate i modalitile de exercitare a acestora; exercitarea
drepturilor trebuie s se poat realiza inclusiv pe cale electronic, n cazul n care datele au fost
colectate prin astfel de mijloace;

anticiparea unei posibile nclcri a securitii datelor specificnd, pentru anumite cazuri,
obligativitatea notificrii autoritii pentru protecia datelor n termen de 72 de ore i a persoanelor
vizate n cel mai scurt timp;

asigurarea confidenialitii i securitii prelucrrii prin adoptarea de msuri tehnice i

organizatorice adecvate, incluznd printre altele, dup caz:

a) pseudonimizarea i criptarea datelor cu caracter personal;

b) capacitatea de a asigura confidenialitatea, integritatea, disponibilitatea i rezistena

continue ale sistemelor i serviciilor de prelucrare;

c) capacitatea de a restabili disponibilitatea datelor cu caracter personal i accesul la acestea

n timp util n cazul n care are loc un incident de natur fizic sau tehnic;

d) un proces pentru testarea, evaluarea i aprecierea periodice ale eficacitii msurilor

tehnice i organizatorice pentru a garanta securitatea prelucrrii.

www.dataprotection.ro
 AUTORITATEA NAIONAL DE SUPRAVEGHERE
A PRELUCRRII DATELOR CU CARACTER PERSONAL

BD. G-ral Gheorghe Magheru 28 - 30,

sector 1,
Bucureti, cod potal 010336
Telefon: +40.318.059.211
E-mail: anspdcp@dataprotection.ro

www.dataprotection.ro