Noul Regulament General privind

Protecia Datelor

2017
 Regulamentul nr. 679/2016 privind protecia persoanelor fizice n
ceea ce privete prelucrarea datelor cu caracter personal i privind libera
circulaie a acestor date i de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecia datelor)

Comisia European a semnalat, n R e g ul amentul accentue az

anul 2012, necesitatea actualizrii responsabilitatea operatorilor care
cadrului normativ european aplicabil n prelucreaz date personale,
domeniul proteciei datelor i a propus simplificnd, n acelai timp,
noi reguli utiliznd ca instrument formalitile administrative pe care
acetia trebuie s le parcurg.
normativ regulamentul.
Prevederile Regulamentului
Regulamentul (UE) 2016/679 a
consolideaz drepturile garantate
intrat n vigoare pe 25 mai 2016, iar
persoanelor vizate (persoanele ale cror
prevederile lui vor fi aplicabile ncepnd
date sunt prelucrate).
cu data de 25 mai 2018.
Astfel, dreptul la informare este
Dei principiile i obiectivele
extins, n sensul c persoanele vizate
principale stabilite de Directiva
pot obine de la operatorul de date
95/46/CE rmn valabile, scopul
informaii mai clare i cuprinztoare cu
principal al Regulamentului este acela
privire la scopul i temeiul legal n care
de a adapta i actualiza aceste principii
se prelucreaz datele personale,
n acord cu evoluia tehnologiei.
perioada de stocare a acestora i
Regulamentul stabilete un set
drepturile de care beneficiaz.
unic de reguli, direct aplicabile n toate
Dreptul de a fi uitat cu
statele membre ale Uniunii, destinat
aplicabilitate n mediul on-line este
protejrii mai eficiente a vieii private a
consacrat expres.
persoanelor fizice de pe teritoriul
Regulamentul mai prevede i un
Uniunii Europene.
drept nou, cel la portabilitatea datelor -
Principiile i regulile stabilite de
mai exact posibilitatea persoanelor
Regulament privesc un drept
vizate de a cere transferarea datelor la
fundamental al persoanei dreptul la
un alt operator de date.
protecia datelor personale, garantat de
art. 8 al Cartei Drepturilor
Fundamentale a UE i art. 16 al
Tratatului UE.

www.dataprotection.ro
 Minorii beneficiaz de mai mult
atenie ntruct regulamentul stabilete
o serie de garanii specifice pentru a
proteja ct mai eficient viaa privat a
acestora, n special, n mediul on-line.
Regulile stabilite de Regulament
vor fi aplicabile tuturor operatorilor de
date, indiferent de locul unde sunt
stabilii acetia, n anumite condiii.
Astfel, n msura n care bunurile
sau serviciile oferite de o companie
aflat n afara UE, care presupun
prelucrarea datelor personale, sunt
adresate n mod vdit i cetenilor
Uniunii Europene, regulile stabilite de
Regulament i vor fi aplicabile i acestei
companii.

Domeniul de aplicare:
este direct aplicabil n toate statele membre
Domeniul
de UE
Aplicare protejeaz drepturile tuturor persoanelor
fizice aflate pe teritoriul UE, indiferent de situarea
geografic a operatorului de date
extinde sfera de aplicare i asupra
operatorilor de date stabilii n afara UE, n msura
n care bunurile i/sau serviciile acestora sunt
adresate (i) persoanelor aflate pe teritoriul UE

Scopul Regulamentului este s /persoane fizice/instituii/orice alte

contribuie la asigurarea unei zone de entiti de drept public sau privat.
libertate, securitate i justiie pe Aceste reguli i principii sunt
teritoriul Uniunii Europene, o zon n a plic a bile tuturor p ers oanelor,
indiferent de cetenia acestora sau de
care este asigurat att progresul
reedin (n interiorul UE).
economic i social, ct i binele
Operatorilor de date le este
individual.
oferit posibilitatea de a interaciona cu
Regulile i principiile stabilite de
o singur autoritate de supraveghere,
Regulament protejeaz viaa privat a
respectiv cea din statul membru n care
tuturor persoanelor aflate pe teritoriul
este stabilit sediul principal al
Uniunii Europene, ale cror date
operatorului de date.
personale sunt prelucrate de companii

www.dataprotection.ro
 Regulamentul privete att
companiile aflate pe teritoriul Uniunii
Europene, ct i cele din afara acestui
spaiu care prelucreaz, ns, date
personale pentru a oferi bunuri i
servicii persoanelor aflate pe teritoriul
Uniunii Europene, indiferent dac
bunurile i serviciile respective sunt
condiionate sau nu de efectuarea unei
pli.
Impor tant este inteni a
companiei de a oferi n mod efectiv
bunuri i/sau servicii persoanelor
aflate pe teritoriul UE.
Pentru a identifica intenia de a
oferi bunuri sau servicii pe teritoriul
Uniunii Europene sunt analizai mai
muli factori, cum ar fi: utilizarea
limbii oficiale a unuia dintre statele
membre, posibilitatea de a plti n euro
sau alt moned oficial a statelor
membre ori de a livra produsele
comandate pe teritoriul UE sau orice
alte asemenea indicii.
De asemenea, Regulamentul va
fi aplicabil i companiilor aflate n
afara Uniunii Europene n msura n
care prelucrarea de date efectuat
presupune monitorizarea
comportamentului persoanelor aflate
pe teritoriul UE.
www.dataprotection.ro
O astfel de monitorizare
presupune, spre exemplu, urmrirea
comportamentului n mediul on-line,
inclusiv folosirea unor tehnici
ulterioare de prelucrare a datelor cum
ar fi crearea de profiluri. Astfel de
tehnici sunt folosite pentru a stabili
preferinele persoanelor,
comportamentele i atitudinile
acestora.
Excepii:
prevederile Regulamentului nu
vor fi aplicabile prelucrrilor efectuate
n scopul prevenirii, cercetrii i
urmririi penale a infractorului sau
executarea sanciunii penale. n cazul
acestora vor fi aplicabile prevederile
unei reglementri naionale n
aplicabilitatea Directivei (UE)
2016/680, (care face parte din acelai
pachet legislativ cu Regulamentul
UE 2016/679).
Regulamentul nu va fi aplicabil
activitilor aflate n afara dreptului
Uniunii aici se ncadreaz i
prelucrrile de date referitoare la
securitatea naional a statelor
membre i relaiile externe.
Regulamentul nu va fi aplicabil
prelucrrilor de date efectuate de o
persoan fizic n cadrul unei activiti
exclusiv personale.
 Activitile cuprinse n ultima n aceast excepie, spre exemplu,
excepie sunt unele strict personale i corespondena personal prin e-mail,
exclud orice legtur cu profesia sau cu socializarea n mediul on-line i orice
orice activitate comercial. Sunt incluse alt asemenea activitate.

Pentru persoanele vizate:

Sunt consolidate drepturile garantate

persoanelor i sunt introduse drepturi noi:

dreptul de a f i uitat - caracter personal n cazul n care

persoanele fizice pot cere tergerea
datelor personale dac acestea au fost
prelucrate ilegal, fr consimmntul
acestora sau dac datele nu mai sunt
necesare scopului n care au fost
prelucrate iniial.
n cazul dreptului de a fi uitat, a
fost avut n vedere n special
prelucrarea datelor n mediul on-line.
Dreptul de a fi uitat nu este unul
absolut vor fi analizate ntotdeauna
circumstanele specifice fiecrui caz n
parte. Regulamentul permite
pstrarea n continuare a datelor cu
ace a s t a e s te n e ce s a r p e n t r u
respectarea libertii de exprimare i a
dreptului la informare, pentru
respectarea unei obligaii legale,
pentru ndeplinirea unei sarcini care
servete unui interes public sau care
rezult din exercitarea autoritii
p u b l i ce c u c a re e s te nve s t i t
operatorul, din motive de interes
public n domeniul sntii publice,
n scopuri de arhivare n interes public,
n scopuri de cercetare tiinific sau
istoric ori n scopuri statistice sau
pentru constatarea, exercitarea sau
aprarea unui drept n instan.

www.dataprotection.ro
 dreptul la portabilitatea datelor
- ofer posibilitatea persoanei fizice de
a cere s se transmit datele la un alt
operator sau de a primi datele
personale care o privesc i pe care le-a
furnizat operatorului.
Operatorul de date trebuie s
ofere datele ntr-un format structurat,
utilizat n mod curent, prelucrabil
automat i interoperabil, tocmai
pentru ca i un alt operator de date s le
poat prelucra ulterior.
Dreptul la portabilitatea datelor
este aplicabil n msura n care
persoana vizat a oferit operatorului
datele personale, iar acesta le
prelucreaz n baza consimmntului
sau n executarea unui contract.
Nu se va putea exercita dreptul
la portabilitatea datelor n cazul
operatorilor de date care prelucreaz
datele persoanelor fizice n cadrul
exercitrii funciilor lor publice, n
cazul n care prelucrarea este necesar
n vederea respectrii unei obligaii
legale creia i este supus operatorul
ori n cazul ndeplinirii unei sarcini
care servete unui interes public sau
care rezult din exercitarea unei
autoriti publice cu care este nvestit
operatorul de date.
n exercitarea dreptului la
portabilitatea datelor, nu trebuie
a d u s e a t i n g e r i d re p t u r i l o r i
www.dataprotection.ro
libertilor altor persoane spre
exemplu cazul unui set de date care
privete mai multe persoane sau
dreptul altei persoane de a obine
tergerea datelor care o privesc.
Atunci cnd se exercit dreptul
la portabilitatea datelor, operatorul de
date poate transmite datele personale
direct altui operator de date ales de
persoana vizat.
Aspecte diverse:
R e g u l a m e n t u l s t a b i l e te
obligaia operatorului de a
demonstra obinerea
consimmntului persoanei pentru
prelucrrile de date personale.
Persoana vizat are dreptul s i
retrag n orice moment
consimmntul, n situaia n care
acesta constituie temei de prelucrare
a datelor.
 Absena unei manifestri clare Proximitatea fa de persoana
de acord nu poate fi privit ca o form vizat - autoritatea de supraveghere
de exprimare a consimmntului. din statul membru n care se afl
Spre exemplu, n cazul csuelor bifate persoana vizat acioneaz ca
(prin care este prestabilit acordul) nu interlocutor/punct de contact atunci
poate fi prezumat un consimmnt cnd operatorul de date este stabilit
exprimat n cunotin de cauz. ntr-un alt stat.
n cazul n care datele sunt n cazul prelucrrilor de date
prelucrate n mai multe scopuri, este care vizeaz persoane din mai multe
important ca operatorul de date s state membre, fiecare persoan are
poat demonstra c a obinut acordul posibilitatea de a se adresa (dup caz,
persoanei pentru a-i prelucra datele n de a depune plngere) autoritii de
toate acele scopuri. supraveghere din statul (membru UE)
Regulamentul stabilete n care i are domiciliul/reedina. n
obligaia operatorului de date de a acest fel, este asigurat implicarea
asigura un anumit nivel de autoritii de supraveghere din statul
transparen fa de persoanele vizate. membru n care se afl persoana n
Acestea trebuie s tie cine este procedura de adoptare a unei decizii n
operatorul de date, scopul n care le vor cazul unui operator de date stabilit
fi prelucrate datele, ce date sunt ntr-un alt stat membru.
utilizate, ce drepturi le sunt garantate, Cooperare consolidat ntre
cum i pot exercita aceste drepturi i autoritile de supraveghere - n cazul
cine sunt/vor fi terii crora operatorul prelucrrilor de date transnaionale
le va dezvlui datele, dac este cazul. (cele care privesc persoane din mai
n cazul n care sunt prelucrate multe state membre UE), autoritii de
d ate p e rs on a le a le m i nor i lor, supraveghere din statul respectiv i
operatorul de date trebuie s ofere sunt oferite competene pentru a se
informaiile respective utiliznd un asigura, alturi de autoritile din
limbaj ct mai simplu i clar, astfel celelalte state implicate, c datele sunt
nct copilul/minorul s poat nelege prelucrate conform regulilor i
cu uurin scopul i modul n care i principiilor stabilite de Regulament.
vor fi prelucrate datele personale.

www.dataprotection.ro

Responsabilizarea
operatorilor de date - accentul este
pus pe transparena fa de persoana
vizat i responsabilitatea operatorului
de date fa de modul n care
prelucreaz datele.
n cazul prelucrrilor de date
care pot presupune un risc ridicat
pentru viaa privat a persoanelor,
operatorul trebuie s efectueze un
studiu de impact asupra vieii private.
Rezultatul unui astfel de studiu i
va permite s identifice riscuri specifice
i s adopte msuri care s mpiedice
apariia / producerea acestor situaii.
Prelucrarea categoriilor de date
sensibile poate presupune, de cele mai
multe ori, apariia unor riscuri
specifice referitoare la viaa privat a
persoanelor.
www.dataprotection.ro
Pentru operatorii de date:
One stop shop - formaliti reduse
pentru operatorii de date (interlocutor unic
la nivel UE).
Operatorii de date care i desfoar
activitile n mai multe state membre UE i
pot alege un singur interlocutor -
autoritatea de supraveghere din statul
membru n care i au stabilit sediul
principal.
O asemenea evaluare va ncepe
ntotdeauna cu inventarierea
datelor/categoriilor de date personale
pe care operatorul intenioneaz s le
prelucreze.
Acestea vor fi supuse unei
analize de necesitate pentru a verifica
dac sunt, ntr-adevr, necesare toate
acele date/categorii de date pentru a
atinge scopul urmrit de operator, n
vederea respectrii principiului
minimizrii datelor.
Ulterior pot fi identificate i
riscurile presupuse de prelucrarea
acelor date, spre exemplu dezvluirea
neautorizat/accidental/ilicit a
datelor i atingerile pe care producerea
unui astfel de risc le pot aduce dreptului
persoanei la via privat.
 n funcie de riscurile acestea vor beneficia n continuare de
identificate, operatorul de date i va nivelul de protecie asigurat de regulile
stabili i msuri tehnice i i principiile stabilite de Regulament.
organizatorice (proceduri interne) Operatorul de date utilizeaz
pentru a preveni producerea acestora. unul dintre instrumentele prevzute
de Regulament:
Privacy by design & Privacy BCR - reguli cor poratiste
by default - dou principii eseniale obligatorii
pentru operatorii de date. clauze contractuale standard
Decizii privind caracter ul
Privacy by design - eti adecvat al nivelului de protecie
dezvoltator de aplicaii prin care se vor
emise de ctre Comisia
prelucra i date personale? Trebuie s
European.
te asiguri, nc din stadiul dezvoltrii,
c aplicaia ta va respecta regulile i
Pentru a se asigura nivelul de
principiile stabilite de Regulament.
protecie a datelor persoanelor fizice,
transferul datelor cu caracter personal
Privacy by default - furnizezi o
ntr-un stat ter sau ctre o organizaie
aplicaie care prelucreaz date
internaional se poate realiza doar cu
personale? Trebuie s te asiguri c
respectarea unor condiii de ctre
setrile iniiale le vor permite
operator i persoana mputernicit de
utilizatorilor s i menin controlul
operator, inclusiv n ceea ce privete
asupra vieii lor private/ceea ce
transferurile ulterioare de date din
posteaz sau mprtesc cu ali
statul ter ctre un alt stat ter sau
utilizatori. Utilizatorul poate alege s
ctre o alt organizaie internaional.
dezvluie mai multe informaii/date
personale, ns trebuie s o fac n
cunotin de cauz, nu implicit
(datorit setrilor iniiale).

Transferul datelor n afara

UE - atunci cnd datele personale sunt
transferate n afara Uniunii Europene,

www.dataprotection.ro
 Transferul datelor cu caracter
personal ctre un stat ter, un teritoriu
sau un sector specificat dintr-un stat
ter sau o organizaie internaional nu
necesit autorizare atunci cnd Comisia
European a decis c statul ter,
teritoriul, sectorul specificat sau
organizaia internaional ofer un
nivel de protecie adecvat.
n absena unei decizii privind
caracterul adecvat al nivelului de
protecie, operatorul sau persoana
mputernicit trebuie s adopte msuri
care s compenseze lipsa proteciei
datelor ntr-un stat ter prin adoptarea
unor garanii e ficiente pentr u
persoanele vizate, cum ar fi:
un instrument obligatoriu din
punct de vedere juridic i
executoriu ntre autoritile sau
organismele publice (acorduri
administrative);
reguli corporatiste obligatorii/
BCR (binding corporate rules);
clauzele standard de protecie a
www.dataprotection.ro
datelor adoptate de Comisia
European;
clauzele standard de protecie a
datelor adoptate de autoritatea de
supraveghere;
un cod de conduit aprobat;
un mecanism de certificare
aprobat;
clauze contractuale ntre operator
sau persoana mputernicit de
operator i operatorul,persoana
mputernicit de operator sau
destinatarul datelor din statul
ter sau organizaia
internaional;
dispoziii care urmeaz s fie
incluse n acordurile
administrative dintre autoritile
sau organismele publice, care
includ drepturi opozabile i
efective pentru persoanele vizate
(autorizaia autoritii
competente ar trebui obinut
cnd garaniile sunt oferite prin
acorduri administrative fr
caracter juridic obligatoriu).
 Un transfer ctre un stat ter sau transferul este necesar pentru
o organizaie internaional mai poate stabilirea , exercitarea sau
avea loc, n absena unei decizii privind aprarea unui drept n instan;
caracterul adecvat al nivelului de transferul este necesar pentru

protecie sau a unor garanii adecvate, protejarea intereselor vitale ale

persoanei vizate sau ale altor
n una din urmtoarele condiii:
persoane, atunci cnd persoana
persoana vizat i-a exprimat n
vizat nu are capacitatea fizic
mod explicit acordul cu privire la
sau juridic de a-i exprima
transferul propus;
acordul;
transferul este necesar pentru
transferul se realizeaz dintr-un
executarea unui contract ntre
registru care, potrivit dreptului
persoana vizat i operator sau
Uniunii sau dreptului intern, are
pentru aplicarea unor msuri
scopul de a furniza informaii
precontractuale adoptate la
publicului i care poate fi
cererea persoanei vizate;
consultat fie de public n general,
transferul este necesar pentru
fie de orice persoan care poate
ncheierea unui contract sau
face dovada unui interes legitim,
pentru executarea unui contract
dar numai n condiiile n care
ncheiat n interesul persoanei
sunt ndeplinite condiiile cu
vizate ntre operator i o alt
privire la consultare prevzute de
persoan fizic sau juridic;
dreptul Uniunii Europene sau de
transferul este necesar din
dreptul intern n acel caz specific.
considerente importante de
interes public;

www.dataprotection.ro
 Responsabilul pentru
protecia datelor - DPO
Numirea unui responsabil
pentru protecia datelor la nivelul
operatorului de date reprezint una
dintre msurile prin care se ncearc
responsabilizarea operatorilor de date.
Responsabilul pentru protecia
datelor ofer consultana necesar n
vederea respectrii tuturor obligaiilor
operatorului de date i asigurrii
transparenei necesare fa de
persoanele vizate.
Responsabilul pentru protecia
datelor poate oferi operatorului de date
consultana necesar n vederea
efecturii studiului de impact asupra
vieii private.
Operatorul de date trebuie s i
desemneze un responsabil pentru
protecia datelor n urmtoarele
situaii:
atunci cnd operatorul de date
este o autoritate public (cu
excepia instanelor sau a a
autoritilor judiciare);
www.dataprotection.ro
n cazul n care activitatea
principal a operatorului de date
const n operaiuni de prelucrare
care necesit o monitorizare
regulat i sistematic a
persoanelor vizate pe scar larg;
n cazul n care activitatea
principal a operatorului de date
(sau a mputernicitului acestuia)
const n prelucrarea pe scar
larg de categorii speciale de date
cu caracter personal i de date
privind condamnrile penale i
infraciunile.
Este recomandat numirea unui
responsabil pentru protecia datelor la
nivelul operatorului de date i n afara
cazurilor de mai sus, ntruct n acest fel
p oate f i asig urat res p e c tarea
prevederilor Regulamentului n cadrul
prelucrrii de date efectuat de ctre
operatorul de date / mputernicitul
acestuia.
 Sanciuni severe - pn la 10 nclcarea a fost adus la cunotina
20 milioane de euro sau ntre 2% i 4% autoritii de supraveghere,
din cifra de afaceri la nivel conformitatea cu msurile adoptate
internaional, pentru operatorii din mpotriva operatorului sau a persoanei
mputernicite de operator, aderarea la
sectorul privat.
un cod de conduit i orice alt factor
Regulamentul stabilete criterii
agravant sau atenuant.
clare de individualizare a sanciuni
Fiecare stat membru poate
vor fi avute n vedere n mod
prevedea norme prin care s se
corespunztor natura, gravitatea i
stabileasc dac i n ce msur pot fi
durata nclcrii, caracterul deliberat al
impuse amenzi autoritilor publice.
nclcrii, aciunile ntreprinse pentru
a reduce prejudiciul cauzat, gradul de
rspundere sau or ice nclcr i
anterioare relevante, modul n care

www.dataprotection.ro
Bulevardul G-ral Gheorghe Magheru 28-30, sector 1
Bucureti, cod potal 010336
Telefon : 031.805.9211
Fax : 031.805.9602
E-mail : anspdcp@dataprotection.ro
Web : www.dataprotection.ro