Professional Documents
Culture Documents
Page | 1
Domenii de aplicare
Privire de ansamblu To do:
Concepte noi
Privire de ansamblu
➢ Noul Regulament aduce schimbari majore, inclusiv prin intermediul urmatoarelor concepte noi:
• Transparenta si consimtamant – de exemplu informatiile furnizate si solicitatarea permisiunii de
la persoanele vizate pentru a justifica utilizarea datelor personale. Cerintele GDPR se refera la
faptul ca declaratia de consimtamant nu trebuie sa fie ambigua, ceea ce inseamna ca multe astfel
de declaratii vor trebui modificate.
• Copiii si consimtamantul – pentru serviciile online care solicita consimtamant pentru prelucrarea
datelor personale, in cazul datelor personale ale copiilor se verifica consimtamantul parintelui. Statele
membre sunt libere sa adopte propriile lor reguli pentru copiii cu varste intre 13-15 ani, iar daca nu
adopta astfel de reguli, atunci consimtamantul parintilor este solicitat pentru prelucrarea datelor
copiilor cu varste sub 16 ani.
• Alte date personale reglementate (inclusiv date genetice si biometrice)
• Pseudonimizarea – O noua definitie care se refera la tehnica de prelucrare a datelor personale intr-o
maniera in care acestea sa nu mai poata fi atribuite unei anumite persoane vizate fara utilizarea altor
informatii suplimentare, care trebuie stocate separat.
• Incalcarea securitatii datelor - se introduce un nou articol privind comunicarea incalcarii securitatii
datelor pentru toti operatorii de date, indiferent de domeniul lor de activitate
• Protectia datelor din momentul conceperii si responsabilitatea - organizatiile sunt obligate sa
adopte noi masuri tehnice si organizationale semnificative pentru a demonstra conformitatea cu
GDPR.
• Mai multe drepturi – persoanele vizate beneficiaza de mai multe drepturi, inclusiv dreptul de a fi
uitat, dreptul de portabilitate a datelor si dreptul de a se opune.
• Autoritatile de supraveghere - reglementarea supravegherii protectiei datelor se va schimba in mod
semnificativ, inclusiv prin introducerea unei noi autoritati de supraveghere
Page | 2
Principii privind protectia datelor
➢ Principiile de protectie a datelor sunt revizuite, dar ➢ Revizuiti politicile de protectie a datelor, a
sunt, in general, similare cu principiile stabilite in codurilor de conduita si a instruirii ca sa
Directiva 95/46 / CE ("Directiva privind protectia asigurati conformitatea cu noul GDPR
datelor"): corectitudinea, legalitatea si transparenta;
limitarea scopului; minimizarea datelor; calitatea ➢ Identificati mijloacele prin care puteti
datelor; securitate, integritate si confidentialitate. "demonstra conformitatea" - de ex. respectarea
codurilor de conduita aprobate, deciziilor
adoptate privind prelucrarea datelor si, dupa
caz, evaluari ale impactului asupra
confidentialitatii datelor
Page | 3
Legalitatea prelucrarilor
➢ Motivele de prelucrare a datelor cu caracter personal ➢ Asigurati-va ca va sunt clare motivele pentru
in temeiul GDPR sunt in mare masura pe cele care organizatia dvs prelucreza legal date si ca
prevazute de Directiva privind protectia datelor. aceste motive sunt conforme cu GDPR.
➢ Apar limitari privind utilizarea consimtamantului si
prelucrarea datelor in cazul serviciilor online pentru ➢ Atunci cand e vorba de consimtamant,
copii. asigurati-va ca acesta indeplineste noile cerinte
➢ Exista restrictii specifice privind capacitatea de a se (a se vedea sectiunea privind consimtamantul
baza pe "legalitatea prelucrarii" ca baza de prelucrare pentru detalii suplimentare)
si unele clarificari cu privire la momentul cand acestea
pot fi utilizate. ➢ Evaluati daca noile norme privind datele on-line
➢ Exista o lista de factori care trebuie luati in pentru copii afecteaza in vreun fel prelucrarea
considerare atunci cand se stabileste daca acestora, si, in caz afirmativ, ce norme interne
prelucrarea datelor pentru un nou scop este va trebui sa urmati (a se vedea sectiunea
incompatibila cu scopurile pentru care datele au fost privind copii pentru mai multe detalii).
initial colectate. ➢ Asigurati-va ca procedurile interne va permit sa
demonstrati modul in care au fost luate
deciziile de utilizare a datelor in scopul
prelucrarii ulterioare si ca au fost luati in
considerare factorii relevanti.
Consimtamantul
➢ Consimtamantul este supus unor conditii ➢ Asigurati-va ca sunt clare motivele privind
suplimentare in cadrul GDPR. legalitatea prelucrarii si ca aceste motive vor
• Consimtamantul trebuie separat de alte fi in continuare conforme cu GDPR (a se vedea
acorduri scrise, prezentat in mod clar si usor sectiunea privind legalitatea prelucrarii).
de revocat. ➢ Luati in considerare daca este cazul, cum va
• Se vor aplica reguli specifice copiilor in ceea ce poate impacta procesele de business
priveste serviciile societatii informationale. prelucrarea datelor copiilor si, daca da, care
sunt regulile nationale pe care trebuie sa le
urmati atunci cand obtineti consimtamantul (a
se vedea sectiunea privind copiii pentru mai
multe detalii).
➢ In cazul in care organizatia dvs. se bazeaza pe
consimtamantul de a prelucra date cu caracter
personal in scopul cercetarii stiintifice, luati in
considerare posibilitatea ca persoanele vizate
sa ofere posibilitatea de a consimti numai
Page | 4
anumite domenii de cercetare sau parti ale
proiectelor de cercetare.
➢ Atunci cand va bazati pe consimtamant ca baza
de prelucrare legala, asigurati-va ca:
• consimtamantul este unul activ si nu
este dat prin absenta unui raspuns,
casute bifate in prealabil sau absenta unei
actiuni;
• consimtamantul pentru prelucrare este
distinct, clar si nu este dat cu alte acorduri
sau declaratii scrise;
• prestarea unui serviciu nu este
conditionata de consimtamantul cu
privire la prelucrarea datelor cu caracter
personal care nu este necesar pentru
executarea acestui contract.
• Persoana vizata este informata ca are
dreptul sa isi retraga in orice moment
consimtamantul. Retragerea
consimtamantului nu afecteaza legalitatea
prelucrarii efectuate pe baza
consimtamantului inainte de retragerea
acestuia
• Retragerea consimtamantului se face la
fel de simplu ca acordarea acestuia.
• Se va obtine cate un consimtamant
separat pentru fiecare operatiune de
prelucrare; si
• consimtamantul nu este invocat in cazul
in care exista un dezechilibru clar intre
persoana vizata si operator (in special
daca operatorul este o autoritate
publica).
Notificari
Page | 5
Dreptul la acces, la rectificare si la portabilitatea datelor persoanelor vizate
Dreptul de a se opune
Page | 6
Dreptul „de a fi uitat” si dreptul de restrictie a prelucrarii
➢ Persoanele fizice pot cere ca datele lor sa fie "sterse" ➢ Asigurati-va ca personalul responsabil si
atunci cand exista o problema legata de legalitatea furnizorii care primesc cereri de stergere a
prelucrarii sau de retragerea consimtamantului. datelor stiu cum sa procedeze.
➢ Persoana vizata are dreptul de a obtine din partea
operatorului restrictionarea prelucrarii in cazul in care ➢ Verificati daca sistemele sunt in masura sa
aceasta contesta exactitatea datelor, pentru o indeplineasca cerinte de marcare a datelor ca
perioada care ii permite operatorului sa verifice restrictionate timp in care reclamatiile sunt
exactitatea datelor solutionate.
➢ In cazul in care operatorul a facut publice datele cu
caracter personal si este obligat sa le stearga,
operatorul ia masuri rezonabile pentru a informa
operatorii care prelucreaza datele cu caracter
personal ca persoana vizata a solicitat stergerea de
catre acesti operatori.
Page | 7
Obligatii privind administrarea datelor
➢ GDPR solicita tuturor organizatiilor sa puna in aplicare ➢ Alocati in cadrul organizatiei dumneavoastra un
o gama larga de masuri pentru a reduce riscul de a buget si un responsabil pentru conformitatea
incalca GDPR si pentru a dovedi ca iau in serios privind prelucrarea datelor. Indiferent daca
activitatile de administrare a datelor. numiti sau nu un DPO, lista lunga de masuri
• Acestea includ masuri de responsabilitate privind administrarea datelor personale
precum: evaluari ale impactului asupra trebuie adoptate in cunostinta de cauza.
confidentialitatii, audituri, inregistrari, numirea
unui responsabil de protectie a datelor ("DPO"). ➢ Trebuie sa fie clar daca cei carora le-ati
• Pentru organizatiile care nu au desemnat un desemnat responsabilitatea sunt sau nu
responsabil privind protectia datelor se vor Responsabili cu Protectia Datelor (in scopuri
impune responsabilitati majore. GDPR), avand in vedere regulile privind
conflictul de interese si statutul de angajat
protejat care se vor aplica acestor responsabili
conform GDPR
Page | 8
Remedieri si responsabilitati
Page | 9
Amenzi
➢ Autoritatile de supraveghere sunt imputernicite sa ➢ Realizati “gap analysis” in ceea ce priveste GDPR
impuna amenzi administrative importante atat pentru a identifica zonele cu cele mai multe
operatorilor de date cat si persoanelor neconformitati si prioritizati atenuarea acestora,
imputernicite de catre acestia. in special in ceea ce priveste riscul ridicat in
activitati de prelucrare a datelor cu caracter
➢ Amenzile pot fi impuse in loc de sau in plus fata de personal.
masurile care pot fi ordonate de autoritatile de
supraveghere. Acestea pot fi impuse pentru o gama ➢ Actualizati riscurile
larga de contraventii, inclusiv incalcari de ordin
procedural. ➢ Evaluati riscurile care pot aparea in contractele
➢ Amenzile administrative trebuie impuse de la caz la cu clientii, furnizorii.
caz si trebuie sa fie "eficace, proportionale si cu efect
de descurajare " ➢ Revizuiti politele de asigurare, evaluand gradul
➢ Exista doua niveluri de amenzi administrative: de acoperire a acestora in caz de incalcari.
o Unele contraventii vor fi supuse unor
amenzi administrative de pana la 10 ➢ Instruiti personalul care prelucreaza date
milioane de euro sau, in cazul personale cu privire la principiile din Regulament,
intreprinderilor, 2% din valoarea globala drepturile persoanelor si responsabilitatile
cifra de afaceri, oricare dintre acestea este asumate.
mai mare.
o Alte contraventii vor fi supuse unor amenzi
administrative de pana la 20 milioane EUR
sau, in cazul intreprinderilor 4% din cifra de
afaceri globala, oricare dintre acestea este
mai mare.
Page | 10