Ghid orientativ privind dispozitiile

Regulamentului UE 2016/679 (GDPR)

https://www.linkedin.com/showcase/accace-romania/https://www.facebook.com/accace.romania/https://plus.google.com/b/102979809115941740739/+AccaceSRLBucuresti?gmbpt=true&pageId=102979809115941740739https://www.linkedin.com/showcase/accace-romania/https://www.facebook.com/accace.romania/

2 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)

INTRODUCERE

Legislatia UE referitoare la protectia datelor a fost

modificata in mai 2016, iar Regulamentul 2016/679

legat de protectia persoanelor fizice, in ceea ce

priveste prelucrarea datelor cu caracter personal si

libera circulatie a acestor date, va fi direct aplicabil in

toate tarile UE incepand cu data de 25 mai 2018.

Regulamentul va avea un impact semnificativ in toate

sectoarele de activitate. Este necesar ca toate

companiile sa isi revizuiasca programele actuale de

conformitate a protectiei datelor, astfel incat sa-si

identifice problemele si sa implementeze modificarile

in activitatea lor.

3 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)

CONTINUT

PREVEDERI GENERALE 4

DATE CU CARACTER PERSONAL 5

Date cu nivel de protectie normal ........................................................................................................ 5

Date sensibile ....................................................................................................................................... 6

CONDITII DE PRELUCRARE 6

Conditii de prelucrare a datelor ............................................................................................................ 6

Drepturi noi ale persoanei vizate aduse de Regulament ..................................................................... 7

PREVEDERI SPECIFICE REFERITOARE LA MINORI 7

NUMIREA UNUI DPO 8

Desemnarea unui responsabil cu protectia datelor ............................................................................. 8

Sarcinile responsabilului cu protectia datelor....................................................................................... 8

TRANSFERUL DATELOR IN AFARA UE 9

CARTOGRAFIEREA DATELOR 9

ONE STOP SHOP 10

INCALCAREA SECURITATII DATELOR 10

DREPTUL LA DESPAGUBIRI SI RASPUNDERE 11

SANCTIUNI 11

4 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)

PREVEDERI GENERALE

In Jurnalul Oficial al Uniunii Europene, seria L 119/1, a fost publicat Regulamentul (UE) 2016/679 al

Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in

legatura cu prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de

abrogare a Directivei 95/46/CE (Regulamentul General privind Protectia Datelor).

Motivele adoptarii:

▪ Principiile si normele referitoare la protectia persoanelor fizice, in ceea ce priveste prelucrarea

datelor lor cu caracter personal, ar trebui, indiferent de cetatenia sau de locul de resedinta al

persoanelor fizice, sa respecte drepturile si libertatile fundamentale ale acestora, in special

dreptul la protectia datelor cu caracter personal;

▪ Regulamentul urmareste sa contribuie la realizarea unui spatiu de libertate, securitate si

justitie si a unei uniuni economice, la progresul economic si social, la consolidarea si

convergenta economiilor in cadrul pietei interne si la bunastarea persoanelor fizice;

▪ Apararea dreptului la viata intima, familiala si privata in privinta prelucrarii datelor cu caracter

personal.

Prezentul Regulament a intrat in vigoare in a douazecea zi de la data publicarii in Jurnalul Oficial al Uniunii Europene si se va aplica incepand cu data de 25 mai 2018. Mai mult, Regulamentul impune un set unic de reguli direct aplicabile in toate statele membre ale Uniunii Europene si inlocuieste Directiva 95/46/CE si, implicit, prevederile Legii nr. 677/2001.

5 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)

DATE CU CARACTER PERSONAL

Este considerata data cu caracter personal orice informatie referitoare la o persoana fizica identificata

sau identificabila. O persoana identificabila este acea persoana care poate fi identificata, direct sau

indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori

specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale.

Date cu nivel de protectie normal

▪ Nume

▪ Prenume

▪ Adresa e-mail

▪ Numar telefon

▪ Numarul unui cont bancar

▪ Data nasterii

▪ Numar de identificare personal etc.

Cu alte cuvinte, orice date care permit compromiterea directa sau indirecta a identitatii unei persoane

prin intermediul unei terte parti.

6 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)

Date sensibile

▪ Date genetice

➢ Definite in documente internationale ca date referitoare la caracteristicile ereditare ale

unei persoane sau la modelul ereditar al unor astfel de caracteristici referitoare la un

grup de persoane dintr-o familie, datele genetice sunt date cu caracter personal in

sensul Directivei 95/46/EC, deoarece permit identificarea persoanei in cauza, punand

in evidenta unicitatea acesteia.

▪ Date biometrice

➢ Datele biometrice incluse in documentele electronice sunt imaginea faciala in format

digital si imaginile impresiunilor papilare a doua degete, in format digital.

▪ Date privind sanatatea unei persoane

➢ Presupun date cu caracter personal legate de sanatatea fizica sau mentala a unei

persoane fizice, inclusiv prestarea de servicii de asistenta medicala, care dezvaluie

informatii despre starea de sanatate a acesteia.

CONDITII DE PRELUCRARE

Datele vor fi:

▪ Prelucrate in mod legal, echitabil si transparent fata de persoana vizata (legalitate, echitate si

transparenta);

▪ Adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt

prelucrate (reducerea la minimum a datelor).

Conditii de prelucrare a datelor

Prelucrarea legala a datelor se face in urmatoarele conditii:

▪ Persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal

pentru unul sau mai multe scopuri specifice;

▪ Prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte

sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;

▪ Prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine

operatorului;

7 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)

▪ Prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei

persoane fizice;

▪ Prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public

sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;

▪ Prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte

terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile

fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in

special atunci cand persoana vizata este un copil.

Drepturi noi ale persoanei vizate aduse de Regulament

▪ Dreptul de acces la date - dreptul de a obtine de la operator informatii cu privire la ce

informatii prelucreaza, scopul lor etc.

▪ Dreptul la rectificarea datelor - dreptul de a obtine de la operator rectificarea datelor cu

caracter personal inexacte care o privesc

▪ Dreptul la stergea datelor (dreptul de a fi uitat) - persoana vizata are dreptul de a obtine

din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri

nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri

nejustificate

▪ Dreptul la restrictionarea prelucrarii - este dreptul de a obtine restrictionarea prelucrarii

datelor de catre persoana vizata

PREVEDERI SPECIFICE REFERITOARE LA MINORI

Conform noului Regulament, copiii au nevoie de o protectie specifica a datelor lor cu caracter

personal, intrucat pot fi mai putin constienti de riscurile, consecintele, garantiile in cauza si drepturile

lor in ceea ce priveste prelucrarea datelor cu caracter personal.

Aceasta protectie specifica ar trebui sa se aplice, in special, utilizarii datelor cu caracter personal

ale copiilor in scopuri de marketing sau pentru crearea de profiluri de personalitate sau de

utilizator si la colectarea datelor cu caracter personal privind copiii in momentul utilizarii

serviciilor oferite direct acestora. Consimtamantul titularului raspunderii parintesti nu ar trebui sa fie

necesar in contextul serviciilor de prevenire sau consiliere oferite direct copiilor.

Intrucat copiii necesita o protectie specifica, orice informatie si orice comunicare, in cazul in care

prelucrarea vizeaza un copil, ar trebui sa fie exprimate intr-un limbaj simplu si clar, astfel incat

copilul sa il poata intelege cu usurinta.

Daca acesta are varsta sub 16 ani, respectiva prelucrare este legala numai daca si in masura in care

consimtamantul respectiv este acordat sau autorizat de titularul raspunderii parintesti asupra copilului.

8 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)

NUMIREA UNUI DPO

Desemnarea unui responsabil cu protectia datelor

Operatorul si persoana imputernicita de operator va desemna un responsabil cu protectia datelor ori

de cate ori:

▪ Prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor

care actioneaza in exercitiul functiei lor jurisdictionale;

▪ Activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in

operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita

o monitorizare periodica si sistematica a persoanelor vizate pe scara larga;

▪ Activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in

prelucrarea pe scara larga a unor categorii speciale de date sau a unor date cu caracter

personal privind condamnari penale si infractiuni.

Sarcinile responsabilului cu protectia datelor

▪ Informarea si consilierea operatorului sau a persoanei imputernicite de operator, precum si a

angajatilor care se ocupa de prelucrare cu privire la obligatiile care le revin in temeiul

prezentului Regulament si al altor dispozitii de drept al Uniunii sau drept intern referitoare la

protectia datelor;

9 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)

▪ Monitorizarea respectarii Regulamentului, a altor dispozitii de drept al Uniunii sau de drept

intern referitoare la protectia datelor si a politicilor operatorului sau ale persoanei

imputernicite de operator in ceea ce priveste protectia datelor cu caracter personal, inclusiv

alocarea responsabilitatilor si actiunilor de sensibilizare si de formare a personalului implicat

in operatiunile de prelucrare, precum si auditurile aferente;

▪ Furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei

datelor si monitorizarea functionarii acesteia;

▪ Cooperarea cu autoritatea de supraveghere;

▪ Asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele

legate de prelucrare, inclusiv consultarea prealabila si, daca este cazul, consultarea cu

privire la orice alta chestiune.

TRANSFERUL DATELOR IN AFARA UE

Transferul de date cu caracter personal catre o tara terta sau o organizatie internationala se poate

realiza atunci cand Comisia a decis ca tara terta, un teritoriu ori unul sau mai multe sectoare

specificate din acea tara terta sau organizatia internationala in cauza asigura un nivel de protectie

adecvat. Transferurile realizate in aceste conditii nu necesita autorizari speciale.

In absenta unei decizii, operatorul sau persoana imputernicita de operator poate transfera date cu

caracter personal catre o tara terta sau o organizatie internationala numai daca operatorul sau

persoana imputernicita de operator a oferit garantii adecvate si cu conditia sa existe drepturi

opozabile si cai de atac eficiente pentru persoanele vizate.

CARTOGRAFIEREA DATELOR

Incepand cu 25 mai 2018, toti operatorii din sistemul public, persoanele imputernicite de

operatori, precum si operatorii din sistemul privat cu mai mult de 250 de angajati vor avea

obligatia de a cartografia prelucrarile de date cu caracter personal efectuate. Aceasta obligatie

este prevazuta de art. 30 din Regulament.

Obligatia de cartografiere este necesara si in cazul in care prelucrarea pe care o efectueaza

operatorul este susceptibila de a genera un risc pentru drepturile si libertatile persoanelor vizate,

prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date sau date cu

caracter personal referitoare la condamnari penale si infractiuni.

10 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)

Respectiva evidenta a activitatilor de prelucrare va cuprinde urmatoarele informatii:

▪ Numele si datele de contact ale operatorului si, dupa caz, ale operatorului asociat, ale

reprezentantului operatorului si ale responsabilului cu protectia datelor;

▪ Scopurile prelucrarii;

▪ Descrierea categoriilor de persoane vizate si a categoriilor de date cu caracter personal;

▪ Categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal,

inclusiv destinatarii din tari terte sau organizatii internationale;

▪ Daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie

internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respectiv,

documentatia care dovedeste existenta unor garantii adecvate;

▪ Acolo unde este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de

date;

▪ Acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de

securitate.

Evidenta se va pastra in scris, inclusiv in format electronic.

La cerere, operatorul sau persoana imputernicita de acesta, precum si, dupa caz, reprezentantul

operatorului sau al persoanei imputernicite de operator vor pune evidentele la dispozitia autoritatii de

supraveghere.

ONE STOP SHOP

Pentru operatorii de date care isi desfasoara activitatile in mai multe state membre UE, autoritatea de

supraveghere competenta este cea din statul membru in care operatorul respectiv isi are stabilit

sediul principal.

INCALCAREA SECURITATII DATELOR

Operatorul si persoanele imputernicite vor avea obligatia de notificare a autoritatii de supraveghere in

cazul in care are loc o incalcare a securitatii datelor.

Notificarea se va face in maximum 72 ore de la data la care Operatorul a luat cunostinta de aceasta

incalcare. In cazul in care exista un risc major pentru drepturile si libertatile persoanei vizate (de

exemplu, furt de identitate), aceasta va fi informata in cel mai scurt timp.

11 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)

DREPTUL LA DESPAGUBIRI SI RASPUNDERE

Orice persoana care a suferit un prejudiciu material sau moral ca urmare a unei incalcari a prezentului

Regulament are dreptul sa obtina despagubiri de la operator sau de la persoana imputernicita de

operator pentru prejudiciul suferit.

Orice operator implicat in operatiunile de prelucrare este raspunzator pentru prejudiciul cauzat de

operatiunile sale de prelucrare care incalca Regulamentul. Persoana imputernicita de operator este

raspunzatoare pentru prejudiciul cauzat de prelucrare numai in cazul in care nu a respectat obligatiile

din prezentul Regulament, care revin, in mod specific, persoanelor imputernicite de operator sau a

actionat in afara sau in contradictie cu instructiunile legale ale operatorului.

SANCTIUNI SEVERE

Noul Regulament prevede sanctiuni administrative severe, iar acestea pot ajunge pana la 10

milioane de euro sau 2% din cifra de afaceri la nivel international pentru incalcarea regulilor

referitoare la comunicari nesolicitate sau pana la 20 milioane de euro sau 4% din cifra de

afaceri la nivel international pentru prelucrarea nelegala.

12 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)

Mai mult, statele membre stabilesc normele privind alte sanctiuni aplicabile in caz de incalcare a

prezentului Regulament, in special pentru incalcari care nu fac obiectul unor amenzi administrative si

iau toate masurile necesare pentru a garanta faptul ca acestea sunt puse in aplicare. Sanctiunile

respective sunt eficace, proportionale si disuasive.

Fiecare stat membru va avea obligatia sa informeze Comisia cu privire la dispozitiile de drept intern

pe care le adopta in temeiul alineatului (1) pana la 25 mai 2018, precum si, fara intarziere, cu privire

la orice modificare ulterioara a acestora.

Disclaimer

Acest material informativ este furnizat cu titlu orientativ si nu trebuie considerat un serviciu de consultanta. Desi

incercam sa furnizam informatii corecte si de actualitate, nu exista nicio garantie ca aceste informatii vor fi corecte la

data la care sunt primite sau ca vor continua sa ramana corecte in viitor. Este recomandat sa solicitati o analiza a

cazului dumneavoastra si o opinie personalizata inainte de a intreprinde actiuni bazate pe continutul materialului.

Pentru o astfel de opinie sau intrebari suplimentare in ceea ce priveste problemele expuse, nu ezitati sa ne

contactati.

..

13 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)

DESPRE ACCACE

Avand peste 550 de profesionisti in cadrul birourilor deschise in 13 tari din Europa

Centrala si de Est, Accace reprezinta una dintre companiile de consultanta si

externalizare de top din regiune. De-a lungul anilor, Accace a dobandit o experienta

remarcabila, detinand un portofoliu ce cuprinde peste 2000 de clienti, majoritatea

companii internationale.

In prezent, furnizam servicii prin intermediul birourilor noastre din Cehia, Ungaria,

Polonia, Romania, Slovacia, Ucraina, Bosnia si Hertegovina, Croatia, Germania,

Macedonia, Muntenegru, Serbia si Slovenia. Alte locatii europene, precum si din afara

Europei, sunt acoperite de partenerii nostri de incredere.

Va putem ajuta?

E-mail: romania.office@accace.com | Tel: + 40 314 050 440

Abonati-va la newsletter!

Mai multe despre noi:

www.accace.com | www.accace.ro

https://www.linkedin.com/showcase/accace-romania/https://www.facebook.com/accace.romania/https://plus.google.com/b/102979809115941740739/+AccaceSRLBucuresti?gmbpt=true&pageId=102979809115941740739mailto:romania.office@accace.comhttps://accace.ro/subscribers-ro/?utm_source=Text_Link_Click&utm_medium=PDF&utm_campaign=eBook_GDPR_ROhttp://accace.ro/?utm_source=Website_Link_Click&utm_medium=PDF&utm_campaign=eBook_GDPR_ROhttp://accace.ro/?utm_source=Website_Link_Click&utm_medium=PDF&utm_campaign=eBook_GDPR_RO