Embed Size (px)
Citation preview
Ghid orientativ privind dispozitiile
Regulamentului UE 2016/679 (GDPR)
2 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)
INTRODUCERE
Legislatia UE referitoare la protectia datelor a fost
modificata in mai 2016, iar Regulamentul 2016/679
legat de protectia persoanelor fizice, in ceea ce
priveste prelucrarea datelor cu caracter personal si
libera circulatie a acestor date, va fi direct aplicabil in
toate tarile UE incepand cu data de 25 mai 2018.
Regulamentul va avea un impact semnificativ in toate
sectoarele de activitate. Este necesar ca toate
companiile sa isi revizuiasca programele actuale de
conformitate a protectiei datelor, astfel incat sa-si
identifice problemele si sa implementeze modificarile
in activitatea lor.
3 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)
CONTINUT
PREVEDERI GENERALE 4
DATE CU CARACTER PERSONAL 5
Date cu nivel de protectie normal ........................................................................................................ 5
Date sensibile ....................................................................................................................................... 6
CONDITII DE PRELUCRARE 6
Conditii de prelucrare a datelor ............................................................................................................ 6
Drepturi noi ale persoanei vizate aduse de Regulament ..................................................................... 7
PREVEDERI SPECIFICE REFERITOARE LA MINORI 7
NUMIREA UNUI DPO 8
Desemnarea unui responsabil cu protectia datelor ............................................................................. 8
Sarcinile responsabilului cu protectia datelor....................................................................................... 8
TRANSFERUL DATELOR IN AFARA UE 9
CARTOGRAFIEREA DATELOR 9
ONE STOP SHOP 10
INCALCAREA SECURITATII DATELOR 10
DREPTUL LA DESPAGUBIRI SI RASPUNDERE 11
SANCTIUNI 11
4 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)
PREVEDERI GENERALE
In Jurnalul Oficial al Uniunii Europene, seria L 119/1, a fost publicat Regulamentul (UE) 2016/679 al
Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in
legatura cu prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de
abrogare a Directivei 95/46/CE (Regulamentul General privind Protectia Datelor).
Motivele adoptarii:
▪ Principiile si normele referitoare la protectia persoanelor fizice, in ceea ce priveste prelucrarea
datelor lor cu caracter personal, ar trebui, indiferent de cetatenia sau de locul de resedinta al
persoanelor fizice, sa respecte drepturile si libertatile fundamentale ale acestora, in special
dreptul la protectia datelor cu caracter personal;
▪ Regulamentul urmareste sa contribuie la realizarea unui spatiu de libertate, securitate si
justitie si a unei uniuni economice, la progresul economic si social, la consolidarea si
convergenta economiilor in cadrul pietei interne si la bunastarea persoanelor fizice;
▪ Apararea dreptului la viata intima, familiala si privata in privinta prelucrarii datelor cu caracter
personal.
Prezentul Regulament a intrat in vigoare in a douazecea zi de la data publicarii in Jurnalul Oficial al Uniunii Europene si se va aplica incepand cu data de 25 mai 2018. Mai mult, Regulamentul impune un set unic de reguli direct aplicabile in toate statele membre ale Uniunii Europene si inlocuieste Directiva 95/46/CE si, implicit, prevederile Legii nr. 677/2001.
5 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)
DATE CU CARACTER PERSONAL
Este considerata data cu caracter personal orice informatie referitoare la o persoana fizica identificata
sau identificabila. O persoana identificabila este acea persoana care poate fi identificata, direct sau
indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori
specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale.
Date cu nivel de protectie normal
▪ Nume
▪ Prenume
▪ Adresa e-mail
▪ Numar telefon
▪ Numarul unui cont bancar
▪ Data nasterii
▪ Numar de identificare personal etc.
Cu alte cuvinte, orice date care permit compromiterea directa sau indirecta a identitatii unei persoane
prin intermediul unei terte parti.
6 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)
Date sensibile
▪ Date genetice
➢ Definite in documente internationale ca date referitoare la caracteristicile ereditare ale
unei persoane sau la modelul ereditar al unor astfel de caracteristici referitoare la un
grup de persoane dintr-o familie, datele genetice sunt date cu caracter personal in
sensul Directivei 95/46/EC, deoarece permit identificarea persoanei in cauza, punand
in evidenta unicitatea acesteia.
▪ Date biometrice
➢ Datele biometrice incluse in documentele electronice sunt imaginea faciala in format
digital si imaginile impresiunilor papilare a doua degete, in format digital.
▪ Date privind sanatatea unei persoane
➢ Presupun date cu caracter personal legate de sanatatea fizica sau mentala a unei
persoane fizice, inclusiv prestarea de servicii de asistenta medicala, care dezvaluie
informatii despre starea de sanatate a acesteia.
CONDITII DE PRELUCRARE
Datele vor fi:
▪ Prelucrate in mod legal, echitabil si transparent fata de persoana vizata (legalitate, echitate si
transparenta);
▪ Adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile in care sunt
prelucrate (reducerea la minimum a datelor).
Conditii de prelucrare a datelor
Prelucrarea legala a datelor se face in urmatoarele conditii:
▪ Persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal
pentru unul sau mai multe scopuri specifice;
▪ Prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte
sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;
▪ Prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine
operatorului;
7 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)
▪ Prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei
persoane fizice;
▪ Prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public
sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
▪ Prelucrarea este necesara in scopul intereselor legitime urmarite de operator sau de o parte
terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile
fundamentale ale persoanei vizate, care necesita protejarea datelor cu caracter personal, in
special atunci cand persoana vizata este un copil.
Drepturi noi ale persoanei vizate aduse de Regulament
▪ Dreptul de acces la date - dreptul de a obtine de la operator informatii cu privire la ce
informatii prelucreaza, scopul lor etc.
▪ Dreptul la rectificarea datelor - dreptul de a obtine de la operator rectificarea datelor cu
caracter personal inexacte care o privesc
▪ Dreptul la stergea datelor (dreptul de a fi uitat) - persoana vizata are dreptul de a obtine
din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri
nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri
nejustificate
▪ Dreptul la restrictionarea prelucrarii - este dreptul de a obtine restrictionarea prelucrarii
datelor de catre persoana vizata
PREVEDERI SPECIFICE REFERITOARE LA MINORI
Conform noului Regulament, copiii au nevoie de o protectie specifica a datelor lor cu caracter
personal, intrucat pot fi mai putin constienti de riscurile, consecintele, garantiile in cauza si drepturile
lor in ceea ce priveste prelucrarea datelor cu caracter personal.
Aceasta protectie specifica ar trebui sa se aplice, in special, utilizarii datelor cu caracter personal
ale copiilor in scopuri de marketing sau pentru crearea de profiluri de personalitate sau de
utilizator si la colectarea datelor cu caracter personal privind copiii in momentul utilizarii
serviciilor oferite direct acestora. Consimtamantul titularului raspunderii parintesti nu ar trebui sa fie
necesar in contextul serviciilor de prevenire sau consiliere oferite direct copiilor.
Intrucat copiii necesita o protectie specifica, orice informatie si orice comunicare, in cazul in care
prelucrarea vizeaza un copil, ar trebui sa fie exprimate intr-un limbaj simplu si clar, astfel incat
copilul sa il poata intelege cu usurinta.
Daca acesta are varsta sub 16 ani, respectiva prelucrare este legala numai daca si in masura in care
consimtamantul respectiv este acordat sau autorizat de titularul raspunderii parintesti asupra copilului.
8 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)
NUMIREA UNUI DPO
Desemnarea unui responsabil cu protectia datelor
Operatorul si persoana imputernicita de operator va desemna un responsabil cu protectia datelor ori
de cate ori:
▪ Prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor
care actioneaza in exercitiul functiei lor jurisdictionale;
▪ Activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in
operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita
o monitorizare periodica si sistematica a persoanelor vizate pe scara larga;
▪ Activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in
prelucrarea pe scara larga a unor categorii speciale de date sau a unor date cu caracter
personal privind condamnari penale si infractiuni.
Sarcinile responsabilului cu protectia datelor
▪ Informarea si consilierea operatorului sau a persoanei imputernicite de operator, precum si a
angajatilor care se ocupa de prelucrare cu privire la obligatiile care le revin in temeiul
prezentului Regulament si al altor dispozitii de drept al Uniunii sau drept intern referitoare la
protectia datelor;
9 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)
▪ Monitorizarea respectarii Regulamentului, a altor dispozitii de drept al Uniunii sau de drept
intern referitoare la protectia datelor si a politicilor operatorului sau ale persoanei
imputernicite de operator in ceea ce priveste protectia datelor cu caracter personal, inclusiv
alocarea responsabilitatilor si actiunilor de sensibilizare si de formare a personalului implicat
in operatiunile de prelucrare, precum si auditurile aferente;
▪ Furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei
datelor si monitorizarea functionarii acesteia;
▪ Cooperarea cu autoritatea de supraveghere;
▪ Asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele
legate de prelucrare, inclusiv consultarea prealabila si, daca este cazul, consultarea cu
privire la orice alta chestiune.
TRANSFERUL DATELOR IN AFARA UE
Transferul de date cu caracter personal catre o tara terta sau o organizatie internationala se poate
realiza atunci cand Comisia a decis ca tara terta, un teritoriu ori unul sau mai multe sectoare
specificate din acea tara terta sau organizatia internationala in cauza asigura un nivel de protectie
adecvat. Transferurile realizate in aceste conditii nu necesita autorizari speciale.
In absenta unei decizii, operatorul sau persoana imputernicita de operator poate transfera date cu
caracter personal catre o tara terta sau o organizatie internationala numai daca operatorul sau
persoana imputernicita de operator a oferit garantii adecvate si cu conditia sa existe drepturi
opozabile si cai de atac eficiente pentru persoanele vizate.
CARTOGRAFIEREA DATELOR
Incepand cu 25 mai 2018, toti operatorii din sistemul public, persoanele imputernicite de
operatori, precum si operatorii din sistemul privat cu mai mult de 250 de angajati vor avea
obligatia de a cartografia prelucrarile de date cu caracter personal efectuate. Aceasta obligatie
este prevazuta de art. 30 din Regulament.
Obligatia de cartografiere este necesara si in cazul in care prelucrarea pe care o efectueaza
operatorul este susceptibila de a genera un risc pentru drepturile si libertatile persoanelor vizate,
prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date sau date cu
caracter personal referitoare la condamnari penale si infractiuni.
10 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)
Respectiva evidenta a activitatilor de prelucrare va cuprinde urmatoarele informatii:
▪ Numele si datele de contact ale operatorului si, dupa caz, ale operatorului asociat, ale
reprezentantului operatorului si ale responsabilului cu protectia datelor;
▪ Scopurile prelucrarii;
▪ Descrierea categoriilor de persoane vizate si a categoriilor de date cu caracter personal;
▪ Categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal,
inclusiv destinatarii din tari terte sau organizatii internationale;
▪ Daca este cazul, transferurile de date cu caracter personal catre o tara terta sau o organizatie
internationala, inclusiv identificarea tarii terte sau a organizatiei internationale respectiv,
documentatia care dovedeste existenta unor garantii adecvate;
▪ Acolo unde este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de
date;
▪ Acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de
securitate.
Evidenta se va pastra in scris, inclusiv in format electronic.
La cerere, operatorul sau persoana imputernicita de acesta, precum si, dupa caz, reprezentantul
operatorului sau al persoanei imputernicite de operator vor pune evidentele la dispozitia autoritatii de
supraveghere.
ONE STOP SHOP
Pentru operatorii de date care isi desfasoara activitatile in mai multe state membre UE, autoritatea de
supraveghere competenta este cea din statul membru in care operatorul respectiv isi are stabilit
sediul principal.
INCALCAREA SECURITATII DATELOR
Operatorul si persoanele imputernicite vor avea obligatia de notificare a autoritatii de supraveghere in
cazul in care are loc o incalcare a securitatii datelor.
Notificarea se va face in maximum 72 ore de la data la care Operatorul a luat cunostinta de aceasta
incalcare. In cazul in care exista un risc major pentru drepturile si libertatile persoanei vizate (de
exemplu, furt de identitate), aceasta va fi informata in cel mai scurt timp.
11 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)
DREPTUL LA DESPAGUBIRI SI RASPUNDERE
Orice persoana care a suferit un prejudiciu material sau moral ca urmare a unei incalcari a prezentului
Regulament are dreptul sa obtina despagubiri de la operator sau de la persoana imputernicita de
operator pentru prejudiciul suferit.
Orice operator implicat in operatiunile de prelucrare este raspunzator pentru prejudiciul cauzat de
operatiunile sale de prelucrare care incalca Regulamentul. Persoana imputernicita de operator este
raspunzatoare pentru prejudiciul cauzat de prelucrare numai in cazul in care nu a respectat obligatiile
din prezentul Regulament, care revin, in mod specific, persoanelor imputernicite de operator sau a
actionat in afara sau in contradictie cu instructiunile legale ale operatorului.
SANCTIUNI SEVERE
Noul Regulament prevede sanctiuni administrative severe, iar acestea pot ajunge pana la 10
milioane de euro sau 2% din cifra de afaceri la nivel international pentru incalcarea regulilor
referitoare la comunicari nesolicitate sau pana la 20 milioane de euro sau 4% din cifra de
afaceri la nivel international pentru prelucrarea nelegala.
12 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)
Mai mult, statele membre stabilesc normele privind alte sanctiuni aplicabile in caz de incalcare a
prezentului Regulament, in special pentru incalcari care nu fac obiectul unor amenzi administrative si
iau toate masurile necesare pentru a garanta faptul ca acestea sunt puse in aplicare. Sanctiunile
respective sunt eficace, proportionale si disuasive.
Fiecare stat membru va avea obligatia sa informeze Comisia cu privire la dispozitiile de drept intern
pe care le adopta in temeiul alineatului (1) pana la 25 mai 2018, precum si, fara intarziere, cu privire
la orice modificare ulterioara a acestora.
Disclaimer
Acest material informativ este furnizat cu titlu orientativ si nu trebuie considerat un serviciu de consultanta. Desi
incercam sa furnizam informatii corecte si de actualitate, nu exista nicio garantie ca aceste informatii vor fi corecte la
data la care sunt primite sau ca vor continua sa ramana corecte in viitor. Este recomandat sa solicitati o analiza a
cazului dumneavoastra si o opinie personalizata inainte de a intreprinde actiuni bazate pe continutul materialului.
Pentru o astfel de opinie sau intrebari suplimentare in ceea ce priveste problemele expuse, nu ezitati sa ne
contactati.
..
13 | Ghid orientativ privind dispozitiile Regulamentului UE 2016/679 (GDPR)
DESPRE ACCACE
Avand peste 550 de profesionisti in cadrul birourilor deschise in 13 tari din Europa
Centrala si de Est, Accace reprezinta una dintre companiile de consultanta si
externalizare de top din regiune. De-a lungul anilor, Accace a dobandit o experienta
remarcabila, detinand un portofoliu ce cuprinde peste 2000 de clienti, majoritatea
companii internationale.
In prezent, furnizam servicii prin intermediul birourilor noastre din Cehia, Ungaria,
Polonia, Romania, Slovacia, Ucraina, Bosnia si Hertegovina, Croatia, Germania,
Macedonia, Muntenegru, Serbia si Slovenia. Alte locatii europene, precum si din afara
Europei, sunt acoperite de partenerii nostri de incredere.
Va putem ajuta?
E-mail: [email protected] | Tel: + 40 314 050 440
Abonati-va la newsletter!
Mai multe despre noi:
www.accace.com | www.accace.ro
