Beruflich Dokumente
Kultur Dokumente
www.dataprotection.ro
Ghid referitor la aplicarea
Regulamentului General privind Protecia Datelor
destinat operatorilor
CONTEXT
Regulamentul (UE) 2016/679 a fost publicat n Jurnalul Oficial al Uniunii L119 din 4 mai 2016, iar
prevederile lui vor fi direct aplicabile n toate statele membre ale Uniunii Europene, ncepnd cu
data de 25 mai 2018.
Regulamentul (UE) 2016/679 impune un set unic de reguli n materia proteciei datelor cu
caracter personal, nlocuind Directiva 95/46/CE i, implicit, prevederile Legii nr. 677/2001.
NOUTI
Regulamentul (UE) 2016/679 stabilete o serie de garanii specifice pentru a proteja ct mai eficient
viaa privat a minorilor, n special n mediul on-line.
Regulamentul (UE) 2016/679 consolideaz drepturile garantate persoanelor vizate i introduce noi
drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor i dreptul la restricionarea prelucrrii.
Regulamentul (UE) 2016/679 introduce sanciuni severe, pna la 10 20 milioane de euro sau ntre 2%
i 4% din cifra de afaceri la nivel internaional, pentru operatorii din sectorul privat.
www.dataprotection.ro
DOMENIU DE APLICARE
RGPD se aplic:
Prelucrrii datelor cu caracter personal n cadrul activitilor derulate la sediul unui operator sau al unei
persoane mputernicite de operator pe teritoriul Uniunii, indiferent dac prelucrarea are loc sau nu pe teritoriul
Uniunii.
Prelucrrii datelor cu caracter personal ale unor persoane vizate care se afl n Uniune de ctre un
operator sau o persoan mputernicit de operator care nu este stabilit() n Uniune, atunci cnd activitile de
prelucrare sunt legate de:
oferirea de bunuri sau servicii unor astfel de persoane vizate n Uniune, indiferent dac se solicit
sau nu efectuarea unei pli de ctre persoana vizat; sau
monitorizarea comportamentului lor dac acesta se manifest n cadrul Uniunii.
Prelucrrii datelor cu caracter personal de ctre un operator care nu este stabilit n Uniune, ci ntr-un loc
n care dreptul intern se aplic n temeiul dreptului internaional public.
www.dataprotection.ro
PRINCIPALELE OBLIGAII PENTRU OPERATORII DE DATE
N APLICAREA RGPD
Pentru a ndruma modul n care sunt gestionate datele cu caracter personal n cadrul unui operator sau al
unei persoane mputernicite de operator, n anumite situaii, este necesar o persoan care s exercite o misiune
de informare, de consiliere i de control n plan intern: responsabilul cu protecia datelor.
Desemnarea unui responsabil cu protecia datelor este obligatorie din 25 mai 2018, raportat la
dispoziiile art. 37 - 39 din Regulamentul General privind Protecia Datelor, n cazul n care operatorul sau
persoana mputernicit de operator:
este o autoritate public sau un organism public, cu excepia instanelor n exercitarea funciei lor
jurisdicionale;
desfoar o activitate principal care conduce la realizarea unei monitorizri constante i
sistematice pe scar larg a persoanelor;
desfoar o activitate principal care const n prelucrarea pe scar larg de date sensibile (cum ar
fi : date privind originea rasial sau etnic, convingerile religioase, apartenena sindical, date
genetice, biometrice, privind starea de sntate) sau referitoare la condamnri penale i
infraciuni.
Chiar dac entitatea nu are obligaia expres de a desemna un responsabil cu protecia datelor,
ANSPDCP recomand numirea acestuia, n considerarea efectului benefic al activitii responsabilului n
vederea asigurrii respectrii Regulamentului General de Protecia Datelor de ctre operatorul respectiv sau
persoana mputernicit de operator.
www.dataprotection.ro
CARTOGRAFIEREA PRELUCRRILOR DE DATE CU CARACTER PERSONAL
Toi operatorii din sistemul public, persoanele mputernicite de operator, precum i operatorii din
sistemul privat cu peste 250 de angajai, au obligaia cartografierii prelucrrilor de date cu caracter personal
efectuate, raportat la prevederile art. 30 din Regulamentul General privind Protecia Datelor.
Chiar i operatorii din sistemul privat cu mai puin de 250 de angajai au obligaia cartografierii
prelucrrilor n cazurile n care prelucrarea pe care o efectueaz este susceptibil s genereze un risc pentru
drepturile i libertile persoanelor vizate, n cazul n care prelucrarea nu este ocazional sau prelucrarea
include categorii speciale de date ori date cu caracter personal referitoare la condamnri penale i infraciuni.
n acest sens:
Pentru a evalua n mod eficient impactul RGPD asupra activitii entitii, este necesar identificarea
prelucrrilor de date cu caracter personal efectuate i pstrarea evidenei activitilor de prelucrare.
Pentru a avea o eviden complet i exact a prelucrrilor de date cu caracter personal efectuate i
pentru a rspunde noilor exigene, trebuie identificate, n prealabil, cu precizie:
diferitele prelucrri de date cu caracter personal;
categoriile de date cu caracter personal prelucrate;
scopurile urmrite prin operaiunile de prelucrare a datelor;
persoanele care prelucreaz aceste date;
fluxurile de date, indicnd originea i destinaia datelor, n special pentru a identifica eventualele
transferuri de date n afara Uniunii Europene.
(a) numele i datele de contact ale operatorului i, dup caz, ale operatorului asociat, ale
reprezentantului operatorului i ale responsabilului cu protecia datelor;
d) categoriile de destinatari crora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv
destinatarii din ri tere sau organizaii internaionale;
(e) dac este cazul, transferurile de date cu caracter personal ctre o ar ter sau o organizaie
internaional, inclusiv identificarea rii tere sau a organizaiei internaionale respective i, n cazul
transferurilor menionate la articolul 49 alineatul (1) al doilea paragraf din Regulamentul General
privind Protecia Datelor, documentaia care dovedete existena unor garanii adecvate;
(f) acolo unde este posibil, termenele-limit preconizate pentru tergerea diferitelor categorii de date;
(g) acolo unde este posibil, o descriere general a msurilor tehnice i organizatorice de securitate
menionate la articolul 32 alineatul (1) din Regulamentul General privind Protecia Datelor.
www.dataprotection.ro
CARTOGRAFIEREA PRELUCRRILOR DE DATE CU CARACTER PERSONAL
Ca atare, pentru fiecare prelucrare de date cu caracter personal, este necesar a se avea n vedere
urmatoarele:
CINE ?
Se nscriu n evidena numele i coordonatele operatorului (i ale reprezentantului sau legal) i, dupa
caz, ale responsabilului cu protecia datelor;
Se ntocmete lista persoanelor mputernicite, dup caz.
CE ?
Se identific categoriile de date cu caracter personal prelucrate;
Se identific datele susceptibile de a prezenta riscuri datorit naturii lor sensibile deosebite (datele
privind sntatea sau infraciunile)
DE CE ?
Se precizeaz scopul sau scopurile n care sunt colectate sau prelucrate datele cu caracter personal (ex.
gestionarea relaiei comerciale, managementul resurselor umane, geolocalizare, videosupraveghere etc.)
UNDE ?
Se stabilete locaia sistemului de eviden i, dac e cazul, destinatarii datelor.
Se stabilesc statele ctre care sunt, eventual, transferate datele.
PN CND?
Se precizeaz, pentru fiecare categorie de date, perioada de stocare.
CUM ?
Se precizeaz masurile de securitate implementate pentru a reduce la minimum riscurile de acces
neautorizat la date i, n consecina, impactul asupra vieii private a persoanelor vizate.
www.dataprotection.ro
PRIORITIZAREA ACIUNILOR DE NTREPRINS
Operatorul i persoana mputernicit de operator identific aciunile care trebuie ntreprinse pentru
conformarea la cerinele impuse de RGPD.
Se prioritizeaz aceste aciuni n funcie de riscurile pe care le prezint prelucrrile efectuate pentru
drepturile i libertile persoanelor vizate.
Dup identificarea prelucrrilor de date cu caracter personal efectuate n cadrul entitii, se stabilesc,
pentru fiecare dintre acestea, aciunile care trebuie ntreprinse n vederea respectrii obligaiilor impuse de
Regulamentul General privind Protecia Datelor.
identificarea temeiului legal n baza cruia se efectueaz prelucrarea raportat la art. 6 din
Regulamentul General privind Protecia Datelor (ex. consimmntul persoanelor vizate,
contract, obligaie legal);
www.dataprotection.ro
Se pot aplica msuri speciale, precum: evaluarea impactului asupra proteciei datelor, extinderea
dreptului la informare al persoanelor vizate, obinerea consimmntului persoanelor vizate (dup caz),
obinerea autorizrii pentru transferurile de date n state tere (dac este cazul), n cazul n care prelucrrile de
date cu caracter personal efectuate n cadrul operatorului sau persoanei mputernicite de operator ndeplinesc
urmtoarele caracteristici:
- Prelucrarea efectuat implic transferuri de date n afara Uniunii Europene, ctre state care nu asigur
un nivel de protecie adecvat recunoscut de Comisia European.
www.dataprotection.ro
GESTIONAREA RISCURILOR
n cazul n care au fost identificate prelucrri de date cu caracter personal susceptibile de a prezenta
riscuri ridicate pentru drepturile i libertile persoanelor fizice, operatorul va efectua o evaluare a
impactului asupra proteciei datelor, n condiiile art. 35 din Regulamentul General privind Protecia
Datelor.
Evaluarea impactului asupra proteciei datelor se realizeaz anterior colectrii datelor cu caracter
personal i efecturii prelucrrii.
Se va pune accent pe estimarea riscurilor asupra proteciei datelor din punctul de vedere al
persoanelor vizate, lund n considerare natura datelor, domeniul de aplicare, contextul i
scopurile prelucrrii i utilizarea noilor tehnologii.
realizarea unei prelucrri de date cu caracter personal sau a unui produs care respect viaa
privat;
estimarea impactului asupra vieii private a persoanelor vizate;
demonstarea faptului c principiile fundamentale ale Regulamentul General privind Protecia
Datelor sunt respectate.
(a) unei evaluri sistematice i cuprinztoare a aspectelor personale referitoare la persoane fizice, care
se bazeaz pe prelucrarea automat, inclusiv crearea de profiluri, i care st la baza unor decizii care
produc efecte juridice privind persoana fizic sau care o afecteaz n mod similar ntr-o msur
semnificativ;
(b) prelucrrii pe scar larg a unor categorii speciale de date, menionat la articolul 9 alineatul (1),
sau a unor date cu caracter personal privind condamnri penale i infraciuni, menionat la articolul
10; sau
(c) unei monitorizri sistematice pe scar larg a unei zone accesibile publicului.
Cnd evaluarea de impact indic riscuri ridicate, n absena unor msuri luate de operator pentru
atenuarea acestora, se consult Autoritatea naional de supraveghere.
www.dataprotection.ro
ORGANIZAREA PROCEDURILOR INTERNE
Pentru a asigura permanent un nivel ridicat de protecie a datelor cu caracter personal, operatorul
trebuie s elaboreze proceduri interne care s garanteze respectarea proteciei datelor n orice moment, lund
n considerare toate evenimentele care pot aprea pe parcursul efecturii prelucrrilor de date, precum:
bree de securitate;
solicitri privind exercitarea drepturilor persoanelor vizate;
modificarea datelor cu caracter personal colectate;
schimbarea prestatorului.
www.dataprotection.ro
soluionarea plngerilor i cererilor adresate de persoanele vizate n exercitarea
drepturilor lor, stabilind prile implicate i modalitile de exercitare a acestora; exercitarea
drepturilor trebuie s se poat realiza inclusiv pe cale electronic, n cazul n care datele au fost
colectate prin astfel de mijloace;
anticiparea unei posibile nclcri a securitii datelor specificnd, pentru anumite cazuri,
obligativitatea notificrii autoritii pentru protecia datelor n termen de 72 de ore i a persoanelor
vizate n cel mai scurt timp;
www.dataprotection.ro
AUTORITATEA NAIONAL DE SUPRAVEGHERE
A PRELUCRRII DATELOR CU CARACTER PERSONAL
www.dataprotection.ro