REGULAMENTUL GENERAL PRIVIND PROTECŢIA DATELOR

 

Regulamentul General de Protecția Datelor este un instrument care stabileşte o relaţie de responsabilitate şi

 între persoanele  de la care sunt prelucrate datele, și operatorii care adună, procesează sau transferă datele. 

 

Acest regulament stabileşte în cuprinsul său domeniul de aplicare, oferindu-i oportunitatea de a fi aplicat

în mai multe direcţii  cu scopul de a maximiza protectia drepturilor persoanelor implicate, de la care se

colectează datele și ale căror date sunt transferate, favorizând extensiea efectelor către operatori/colectorii

de date cu sediul în state din afara Uniunii Europene.

 

Complexitatea noului Regulament se învârte în jurul a trei concept de bază:

 • crează un cadru transparent pentru persoanele de la care se colectează datele, asigurându-le un rol mult

           mai activ și facil în retragerea instant a consimțământului, solicitarea de ștergere a datelor, posibilitatea

           de transmitere a datelor intre operatori.

 • renunță la formalism si la barierele birocratice impuse pentru obținerea unor autorizații de transfer al

           datelor, astfel statele putând fixa cadrul normativ pentru a spori protectia datelor.

 • notificările și autorizațiile de trasnfer vor deveni istorie, după data de 25 mai 2018 acestea ramânând în

           amintirea noastră ca mijloace rudimentare de transferare.

 

Prin simplificarea formalismului și limitarea rolului Autorităților naționale de supraveghere, se transferă

atribuțiile direct catre operatori și colectorii care au responsabilitatea de a asigura obligațiile legale și de a

monitoriza atent standardele de prelucrare şi transfer a datelor. Elementul principal al raportului creat de

regulament, raport care poate fi asimilat unei relații contractuale între subiecte, este consimțământul.

 

Intrând în adancul acestui raport, observăm faptul ca se reduce aportului autorităților publice și plasarea în

sfera privată din perspectiva administrativă, în care părțile își gestionează singure drepturile, obligațiile și

interesele respectând cu exactitate consimțământul dat, care este revocabil, avand rolul de a spori încrederea

între subiecții raportului.

 

Responsabilitatea operatorilor este desprinsa din rolul  dublu pe care ei îl asigura acesta fiind:

 • îndeplinirea obligaţiilor și urmărirea permanentă
 • acțiunile de prevenire și măsurile de control al posibilelor încălcări

 

Mai jos sunt prezentate schimbările pe care le aduce noul regulament:


 
                                                DOMENIUL DE APLICARE

 

CONTEXT LEGISLATIV

 • În 27 aprilie 2016 Parlamentul European și Consiliul au adoptat Regulamentul 2016/679  privind

           protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și   libera

           circulaţie  a acestor date și de abrogare a Directivei 95/46/CE;

 • Regulamentul (UE) 2016/679 (Regulamentul general privind protecţia datelor – RGPD), a fost

            publicat în Jurnalul Oficial al Uniunii L119 din 4 mai 2016, iar prevederile lui vor fi direct aplicabile în

            toate statele membre ale Uniunii Europene, începând cu data de 25 mai 2018;

 • Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecţiei datelor cu caracter 

            personal,  înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.

SCOPUL ELABORĂRII GDPR

 • Transparenţa și responsabilizarea din partea operatorului pentru persoana vizata si faţă de modul în 

            care prelucrează datele cu caracter personal;

 • Imprementarea unui set de garanţii clare pentru protectia minorilor, în special în mediul online;
 • Consolidarea drepturilor persoanelor vizate și introducerea a noi drepturi: dreptul de a fi uitat,

            la portabilitatea datelor și dreptul la restricţionarea prelucrării;

 • Înăsprirea sancțiunilor de până la 10 – 20 milioane de euro sau între 2% și 4% din cifra de afaceri la

           nivel internaţional, pentru operatorii din sectorul privat.

APLICAREA GDPR

Prelucrarea datelor cu caracter personal în cadrul activităţilor derulate la sediul unui operator sau al unei

persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe

teritoriul Uniunii (Weltimmo v Naih – (C-230/14) ; Google Spain, Google Inc. v AEPD, Mario González).

 • Prelucrarea datelor personale ale persoanelor care se află în Uniune de către un operator/ persoană 

            împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activităţile au legatura cu:

 1. oferirea de bunuri sau servicii persoanelor în Uniune, indiferent dacă se solicită sau nu efectuarea

                       unei plăţi de catre aceasta persoană;

 1. monitorizarea atitudinii, dacă acesta se manifestă în cadrul Uniunii.

 • Prelucrarea datelor personale de către un operator care nu este stabilit în Uniune, ci într-un loc în

           care dreptul intern se aplică în temeiul dreptului internaţional public.

 

EXCEPȚII – SITUAȚIILE ÎN CARE NU SE APLICĂ GDPR

GDPR nu se aplică prelucrării datelor cu caracter personal :

 • În activitățile care nu intră sub incidența legislației UE (Ex: securitatea națională);
 • În politica externă și de securitate comună a UE;
 • De autoritățile competente pentru a prevenirii, investigsrea, detectarea sau urmărirea  infracțiunilor;
 • De către instituțiile UE, în cazul în care se va aplica Regulamentul 45/2001 / CE în locul GDPR. 
 • De o persoană fizică, ca parte a unei “persoane pur personale sau de uz casnic

 

                                                                   ELEMENTE INTRODUSE DE GDPR

 

TRANSPARENȚĂ ȘI OBLIGAŢII

 • organizațiile trebuie să furnizeze informații extinse cu privire la prelucrarea datelor  personale;
 • informațiile să fie transmise clar, transparent și ușor;
 • sa se introduca pictograme pentru evidentierea informatiilor importante;
 • sa nu se introducă, campuri completate de tip by default pentru acordarea cosimțământului;
 • prelucrarea datelor angajatului se efectuează în baza unui interes legitim invocat de angajator;

 

CONSIMȚĂMÂNTUL COPIILOR

 • este interzisă prelucrarea datelor de la copii cu vârsta mai mică de 13 ani;
 • este interzisă oferirea de servicii online direct unui copil, sub16 ani;
 • dacă are sub vârsta de 16 ani, prelucrarea este legală numai dacă consimțământul respectiv este

            acordat sau autorizat de către părintele sau tutorele copilului;

 

PSEUDONIMIZARE

 • implica prelucrarea datelor personale pentru a nu se atribui unei anume persoane fără a se utiliza

            informații suplimentare;

 • este necesar ca informațiile să fie stocate separat și să facă obiectul unor măsuri de natură tehnică

           și organizatorică care să asigure lipsa conexiunii dintre ele și persoana vizată;

 • este un factor care trebuie luat în considerare daca se stabileste ca prelucrarea este “incompatibilă”

           cu scopurile pentru care datele cu caracter personal au fost inițial colectate.

 • este ca un exemplu al unei tehnici care îndeplineste cerințele pentru punerea în aplicare a

            conceptelor privacy by design,privacy by default;

 • se poate să contribuie  la îndeplinirea securității datelor GDPR;
 • este necesară pentru organizațiile care intentioneaza să utilizeze date personale caopen data

         pentru cercetări istorice, științifice sau statistice.

 

ÎNCĂLCAREA SIGURANŢEI  DATELOR CU CARACTER PERSONAL

 • prin GDPR este introdus un cadru pentru toți operatorii de date, indiferent de ramura de activitate

           în care operează;

 • obligația de a se notifica este atunci când are loc o încălcare a securității datelor cu caracter personal. 

 

DEFINIREA DATELOR SENSIBILE

 • date genetice– sunt datele cu caracter personal referitoare la elemente genetice moștenite sau dobândite,

           care oferă informații speciale privind fiziologia sau sănătatea persoanei și care rezultă după analizarea unei

           probe de material recoltate de la persoana în cauză;

 • date biometrice– sunt datele cu caracter personal rezultate în urma unor tehnici de prelucrare specifice

           referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit

           sau confirmă identificarea unică a respectivei persoane (imaginile faciale sau datele dactiloscopice);

 

PRIVACY BY DESIGN, PRIVACY BY DEFAULT

 • privacy by design – obligația operatorului de crea o infrastructură care sa ofere siguranţa că aplicaţia

           va respecta regulile şi principiile stabilite de GDPR;

 • privacy by defaultt – trebuie să se asigure că setările iniţiale, de fabrică, vor permite utilizatorilor să

           îşi menţină controlul asupra vieţii lor private asupra a ceea ce postează sau împărtăşesc cu alţi utilizatori.

 

DREPTURI ALE PERSOANELOR DE LA CARE SE ADUNĂ DATELE

 • dreptul de a fi uitat – ştergerea datelor personale dacă sunt prelucrate ilegal, fără acordul persoanei sau

           dacă nu mai folosesc la motivul pentru care au fost colectate.

 • dreptul la portabilitatea datelor–ofera libertate în favoarea subiecților carora li se prelucrează datele. 

 

AUTORITATE DE SUPRAVEGHERE

 • urmareşte aplicarea regulamentului, pentru protejarea drepturilor și libertăților fundamentale  ale

           persoanelor fizice în cadrul prelucrarii;

 • uşurează circulatia datelor cu caracter personal în cadrul Uniunii;
 • funcţionează ca şi interlocutor sau punct de contact, când operatorul  este stabilit în alt stat.

 

RESPONSABIL CU  PROTECŢIA DARELOR

 • numirea unui DPO reprezintă una dintre măsurile prin care se încearcă responsabilizarea operatorilor

           de date si oferă operatorului consultanţa necesară în vederea respectării tuturor obligaţiilor acestuia

           şi asigurării transparenţei necesare

 

CONSECINŢE ALE APLICĂRII GDPR-ULUI ÎN ROMÂNIA

 • eliminarea formalismului – nu mai este necesară notificarea Autorității Naţionale de Supraveghere

           a Prelucrării Datelor cu Caracter Personal;

 • responsabilizarea operatorilor de date prin obligațiile de a asigura respectarea dispozițiilor GDPR-ului

           prin intermediul persoanelor desemnate;

 • în cazul transferului de date în străinătate nu este necesară obținerea autorizației de transfer, dar se

           impune depunerea documentației necesare;

 • operatorul are obligaţia de a asigura îndeplinirea obligațiilor privind informarea clară și neechivocă

           a subiecților de la care se prelucrează datele și să obțină acordul lor în vedera utilizării datelor.

 

SANCȚIUNI

 • la încălcarea ordinelor emise de autoritatatea de supreveghere se aplică amenzi  până la 20 000 000 EUR

            sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare

            exercițiului financiar anterior, luându-se în calcul cea mai mare valoare.