COLTUC SI ASOCIATII

Ghid practic despre protectia datelor cu caracter personal in Romania – GDPR ( RGPD)

 

2019-2020

 

Ghid practic despre protectia datelor cu caracter personal in Romania – GDPR ( RGPD)

2019-2020

 

 

 

Daca ai o firma in Romania ,daca esti institutie publica ,daca esti consumator de internet si iti lasi datele personale si nu numai TREBUIE sa citesti acest Ghid Practic

Am incercat sa folosim doar informatiile oficiale intrucat acestea sunt cele care produc efecte juridice.Ne referim in special la site ul www.dataprotection.ro

 

 

Ghidul este scris de COLTUC MARIUS VICENTIU cu o experienta de peste 16 ani in probleme juridice, in prezent manager la Coltuc si asociatii www.coltucsiasociatii.ro

 Vezi poza alaturata

 

Cuprins

Legislatia aplicabila,fara a plictisi cititorul

Intrebari frecvente si raspunsuri practice despre GPDR – RGPD

Formulare pentru firme despre GPDR – RGPD

Plangeri GPDR – RGPD la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

Procedura de solutionare GPDR – RGPD la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

Contestatie la instanta competenta amenda sau sanctiune data de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pe GPDR – RGPD

 

Legislatia aplicabila,fara a plictisi cititorul

 

În data de 4 mai 2016 au fost publicate în Jurnalul Oficial al Uniunii Europene cele două acte normative care compun pachetul legislativ privind protecţia datelor la nivelul Uniunii Europene:

– Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor),

– Directiva (UE) 2016/680 referitoare la protecţia datelor personale în cadrul activităţilor specifice desfăşurate de autorităţile de aplicare a legii.

Regulamentul (UE) 2016/679 actualizează principiile stabilite încă de acum două decenii de Directiva 95/46/CE care și-a încetat aplicabilitatea.

• Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
• Legea nr. 102 din 3 mai 2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare – Republicare
• Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
• Legea nr. 363 din 28 decembrie 2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date
• Ghiduri emise de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
• Alte materiale informative destinate aplicării Regulamentului General privind Protecţia Datelor, emise de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
• Documente ale Comitetului European pentru Protecția Datelor
• Intrebări frecvente adresate Autorității Naționale de Supraveghere a Prelucrăii Datelor cu Caracter Personal
• Comunicate ale Autorității de Supraveghere privind participarea la evenimente dedicate Regulamentului General privind Protecţia Datelor

 

Ghiduri emise de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

• Ghidul orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor, emis de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
• Ghid Întrebări și răspunsuri cu privire la aplicarea Regulamentului (UE) 2016/679

Alte materiale informative destinate aplicării Regulamentului General privind Protecţia Datelor, emise de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

• Drepturile persoanelor vizate – Extras din Regulamentul nr. 679/2016
• Noul Regulament 2016/679 aplicabil din 25 mai 2018 – Elemente de noutate (pliant)
• Noul Regulament 2016/679 aplicabil din 25 mai 2018 – Elemente de noutate (broșură)
• Responsabilul cu protecția datelor – informații generale

Documente ale Comitetului European pentru Protecția Datelor

Comitetul European pentru Protecția Datelor, organ cu personalitate juridică al Uniunii Europene este constituit în temeiul art. 68 din Regulamentul General privind Protecția Datelor și este format din șefii autorităților naționale de supraveghere din fiecare stat membru al Uniunii Europene și din Autoritatea Europeană de Protecția Datelor sau reprezentanții acestora.

Ghiduri emise de Comitetul European pentru protecția datelor

• Ghidul privind derogările aplicabile transferurilor internaționale (art. 49 din Regulamentul General privind Protecția Datelor).
• Ghidul Comitetului European pentru Protecția Datelor nr. 1/2019 privind Codurile de conduită și organismele de monitorizare în temeiul Regulamentului 2016/679 privind EDPB – versiune pentru consultare publică
• Ghidul Comitetului European pentru Protecția Datelor nr. 4/2018 privind acreditarea organismelor de certificare în temeiul articolului 43 din Regulamentul general privind protecția datelor (2016/679)

Anexa 1 la Ghidul EDPB nr. 4/2018 – versiune pentru consultare publică

• Ghidul Comitetului European pentru Protecția Datelor nr. 3/2018 privind domeniul de aplicare teritorial al Regulamentul general privind protecția datelor (2016/679) (articolul 3) – versiune pentru consultare publică
• Ghidul Comitetului European pentru Protecția Datelor nr. 1/2018 privind certificarea și identificarea criteriilor de certificare în conformitate cu articolele 42 și 43 din Regulamentul general privind protecția datelor (2016/679)  – versiune revizuită după consultarea publică

Anexa 2 la Ghidul Comitetului European pentru Protecția Datelor nr. 1/2018 – versiune pentru consultare publică

Ghiduri adoptate de Grupul de Lucru art. 29 cu privire la Regulamentul General privind Protecţia Datelor și aprobate de Comitetul European pentru Protecția Datelor

În cadrul primei sale plenare, pe data de 25 mai 2018, Comitetul European pentru Protecția Datelor a aprobat următoarele ghiduri ale Grupului de Lucru Art. 29, privind Regulamentul General privind Protecţia Datelor, aplicabile de la această dată, precum și alte documente:

• Ghidul privind consimțământul în temeiul Regulamentului (UE) 2016/679 (ro/en)
• Ghidul privind transparența în temeiul Regulamentului (UE) 2016/679 (ro/en)
• Ghidul privind deciziile automate individuale și profilare (ro/en)
• Ghidul privind notificarea încălcărilor de securitate (ro/en)
• Ghidul privind dreptul la portabilitatea datelor, raportat la art. 20 din RGDP (ro/en)
• Ghidul privind evaluarea de impact al Grupului de Lucru art. 29 (ro/en)
• Ghidul privind responsabilul pentru protecția datelor (DPO), raportat la art. 37-39 din RGDP (ro/en)
• Ghidul privind identificarea autorității de supraveghere lider a unui operator sau împuternicit (ro/en)
• Ghidul privind aplicarea și stabilirea amenzilor administrative în sensul Regulamentului 2016/679, WP 253 (ro/en)
• Recomandarea privind cererea standard de aprobare a regulilor corporatiste obligatorii pentru transferul datelor cu caracter personal, aplicabile operatorilor WP 264 (en)
• Recomandarea privind formularul standard de solicitare a aprobării regulilor corporatiste obligatorii pentru transferul datelor cu caracter personal, aplicabile împuterniciților WP 265 (en)
• Documentul de poziție privind derogările de la obligația de a păstra o evidență a activităților de prelucrare în conformitate cu art. 30 (5) din Regulamentul (UE) 2016/679 (en)
• Documentul de lucru Stabilirea unei proceduri de cooperare pentru aprobarea „Regulilor corporatiste obligatorii” pentru operatori și împuterniciți, conform GDPR, WP 263 rev.01 (en)
• Documentul de lucru care stabilește un tabel cu elementele și principiile care se regăsesc în Regulile corporatiste obligatorii WP 256 rev.01 (ro/en)
• Document de lucru care stabilește un tabel cu elementele și principiile care trebuie găsite în Regulile corporatiste obligatorii, aplicabile împuterniciților WP 257 rev.01(ro/en)
• Adequacy Referential WP 254 rev.01 (ro/en)

Alte documente emise de Comitetul European pentru Protecția Datelor

Declarații

• Declarația Comitetului European pentru Protecția Datelor 3/2019 referitoare la Regulamentul privind confidențialitatea în mediul electronic
• Declarația 2/2019 privind utilizarea datelor cu caracter personal în cadrul campaniilor politice

Anexa I la Declarația 2/2019 privind utilizarea datelor cu caracter personal în cursul campaniilor politice

• Declarația Comitetului European pentru Protecția Datelor 01/2019 referitoare la Legea privind respectarea impozitului pe contul străin al Statelor Unite (FATCA)
• Declarația Comitetului European pentru Protecția Datelor privind concentrarea economică – 27/08/2018
• Declarația Comitetului European pentru Protecția Datelor privind ePrivacy – 25/05/2018

Rapoarte

• Raportul Comitetului European pentru Protecția Datelor către LIBE privind punerea în aplicare a GDPR – 26/02/2019
• UE-SUA – Al doilea raport anual de revizuire comună – 22/01/2019

Informări

• Informare privind transferurile de date în cadrul GDPR în cazul unei tranzacții nerealizate Brexit – 12/02/2019
• Informare privind BCR pentru societățile care au ICO ca Autoritate de Supraveghere Leader BCR – 12/02/2019

Opinii

• Opinia 7/2019 privind proiectul listei autorității competente de supraveghere a Islandei cu privire la operațiunile de prelucrare care fac obiectul cerinței unei evaluări a impactului privind protecția datelor (articolul 35.4 din GDPR)
• Opinia 6/2019 privind proiectul listei autorității de supraveghere competente din Spania privind operațiunile de prelucrare care fac obiectul cerinței unei evaluări a impactului privind protecția datelor (articolul 35.4 din GDPR)
• Opinia 5/2019 privind interacțiunea dintre Directiva privind confidențialitatea în mediul electronic și GDPR, în special în ceea ce privește competența, sarcinile și competențele autorităților de protecție a datelor
• Opinia 04/2019 privind acordurile administrative pentru transferul datelor cu caracter personal între autoritățile de supraveghere financiară din Spațiul Economic European („SEE”) și autoritățile de supraveghere financiară din afara SEE

Proiect de acord administrativ pentru transferul de date cu caracter personal

• Opinia nr. 3/2019 privind întrebările și răspunsurile privind interacțiunea dintre Regulamentul privind studiile clinice (CTR) și Regulamentul general privind protecția datelor (GDPR) – 23/01/2019 Stratul de confidențialitate
• Opinia 02/2019 privind lista operațiunilor pentru care este necesară realizarea evaluării impactului asupra protecţiei datelor – Norvegia
• Opinia 01/2019 privind lista operațiunilor pentru care este necesară realizarea evaluării impactului asupra protecţiei datelor -Liechtenstein
• Opinia 28/2018 privind proiectul de implementare a deciziei Comisiei Europene privind protecția adecvată a datelor cu caracter personal în Japonia
• Opinia 23/2018 referitor la propunerile Comisiei privind ordinea juridică europeană de divulgare și de păstrare a probelor electronice în materie penală
• Opinii privind lista operațiunilor pentru care este necesară realizarea evaluării impactului asupra protecţiei datelor  (nr. 1-22; 24-27 din anul 2018)

 

 

Intrebari frecvente si raspunsuri practice despre GPDR – RGPD

1. Ce înseamnă operator de date cu caracter personal?  

Potrivit art. 4 din Regulamentul general privind protecția datelor, „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern”.

 

2. Ce înseamnă operatori asociați?

Potrivit art. 26 din Regulamentul (UE) 2016/679, în cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. Ei stabilesc într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecăruia de furnizare a informațiilor prevăzute la articolele 13 și 14, prin intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor sunt stabilite în dreptul Uniunii sau în dreptul intern care se aplică acestora. Acordul poate să desemneze un punct de contact pentru persoanele vizate.

 

3. Ce înseamnă persoană împuternicită de operator?

Potrivit art. 4 din Regulamentul (UE) 2016/679, persoana împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.

 

4. Este necesar să mai notific prelucrările de date?    

Având în vedere faptul că începând din data de 25 mai se aplică Regulamentul UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE,operatorii nu mai au obligația de notificare a prelucrărilor de date.

 

5. Ce înseamnă autorități și organisme publice?

Autoritățile și organismele publice sunt: Camera Deputaților și Senatul, Administrația Prezidențială, Guvernul, ministerele, celelalte organe de specialitate ale administrației publice centrale, autoritățile și instituțiile publice autonome, autoritățile administrației publice locale și deja nivel județean, alte autorități publice, precum și instituțiile din Subordinea/coordonarea acestora; de asemenea, sunt assimilate autorităților/organismelor publice și unitățile de cult și asociațiile și fundațiile de utilitate publică potrivit art. 2 alin. (1) lit. a din Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE)

 

6. Ce obligaţii am în calitate de operator potrivit Regulamentului (UE) 2016/679?

Obligațiile pe care le au operatorii de date cu caracter personal sunt reglementate în Capitolul IV din Regulamentul 2016/679. Printre principalele obligații ale operatorului în aplicarea Regulamentului sunt:

• desemnarea unui responsabil cu protecția datelor in conditiile art. 37-39 din Regulament;
• cartografierea prelucrărilor de date cu caracter personal (art. 30 din Regulament) ;
• asigurarea securității datelor (art. 25 și art. 32 din Regulament);
• notificarea încalcărilor de securitate în condițiile art. 33 din Regulament;
• evaluarea impactului asupra protecției datelor si respectarea drepturilor persoanelor fizice (art. 35 din Regulament).

Pentru mai multe informații puteți accesa Ghidul orientativ de aplicare a Regulamentului general privind protecția datelor  emis de Autoritatea Națională de Supraveghere.

 

7. Când trebuie să desemnez un responsabil cu protecția datelor (dpo)?

Potrivit prevederilor art. 37 alin. (1) din Regulamentul (UE) 2016/679, desemnarea responsabilului cu protecția datelor se solicită atunci când:

1. a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
2. b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
3. c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

Pentru mai multe informații puteți accesa Ghidul privind responsabilul cu protecția datelor emis de Comitetul european pentru protecția datelor.

 

8. Ce înseamnă prelucrare pe scară largă?

Atunci când se stabilește dacă prelucrarea este efectuată pe scară largă, trebuie să fie luați în considerare următorii factori:

• numărul persoanelor vizate (ori un număr exact ori un procent din populația relevantă);
• volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare;
• durata sau permanența activității de prelucrare a datelor;
• suprafața geografică a activității de prelucrare.

Pentru mai multe informații puteți accesa Ghidul privind responsabilul cu protecția datelor emis de Comitetul european pentru protecția datelor.

 

9. Ce condiții trebuie să îndeplinească responsabilul cu protecția datelor?

Responsabilul cu protecţia datelor este desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a-și îndeplini sarcinile. Nivelul necesar al cunoștințelor de specialitate trebuie să fie stabilit în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate.

Pentru mai multe informații puteți accesa Ghidul privind responsabilul cu protecția datelor emis de Comitetul european pentru protecția datelor.

 

10. Se poate desemna un singur responsabil cu protecția datelor pentru un grup de întreprinderi sau pentru mai multe autorități sau organisme publice?

Art. 37 alin. (2) din Regulamentul (UE) 2016/679 permite unui grup de întreprinderi să numească un responsabil cu protecția datelor unic, cu condiția ca acesta să fie „ușor accesibil din fiecare întreprindere”. Noțiunea de accesibilitate se referă la sarcinile responsabilului cu protecția datelor ca punct de contact în ceea ce privește persoanele vizate, autoritatea de supraveghere, dar și pe plan intern în cadrul organizației, având în vedere că una dintre sarcinile responsabilului este de informare și consiliere a operatorului și persoanei împuternicite de operator, precum și a angajaților care se ocupă de prelucrarea cu privire la obligațiile care le revin în temeiul Regulamentului (UE) 2016/679.

Art. 37 alin. (3) din Regulamentul (UE) 2016/679 permite, de asemenea, desemnarea unui responsabil cu protecția datelor unic pentru mai multe autorități sau organisme publice, luând în considerare structura organizatorică și dimensiunea acestora.

Operatorul sau persoana împuternicită de operator are obligația de a publica datele de contact ale resonsabilului cu protecția datelor și de a le comunica autorității de supraveghere.

Pentru mai multe informații puteți accesa Ghidul privind responsabilul cu protecția datelor emis de Comitetul european pentru protecția datelor.

 

11. Cum comunic responsabilul cu protecția datelor autorității de supraveghere?

Comunicarea responsabilului cu protecția datelor se realizează prin completarea formularului de declarare a responsabilului cu protecția datelor existent pe site-ul autorității la Secțiunea „Responsabilul cu protecția datelor”.

În situația în care grup de întreprinderi sau mai multe autorități sau organisme publice desemnează un responsabil cu protecția datelor unic, fiecare operator sau persoană împuternicită va completa formularul de declarare a responsabilului cu protecția datelor existent pe site-ul autorității la Secțiunea „Responsabilul cu protecția datelor”.

 

12. Când nu se aplică Regulamentul (UE) 2016/679?

Regulamentul (UE) 2016/679 nu se aplică prelucrării datelor cu caracter personal:

• în cadrul unei activități care nu intră sub incidența dreptului Uniunii;
• de către statele membre atunci când desfășoară activități legate de politica externă și de securitatea comună a Uniunii;
• de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
• de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora; acestea sunt reglementate de Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului.

 

13. Care sunt condițiile legale de prelucrare a datelor cu caracter personal, altele decât cele speciale? 

Potrivit art 6 din Regulamentul (UE) 2016/679 prelucrarea este legală numai dacă și în masura în care se aplică cel puțin una din condițiile prevăzute la alin. (1):

1. a) când persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale pentru unul sau mai multe scopuri specifice;
2. b) când prelucrarea este necesară pentru exercitarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
3. c) când prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
4. d) când prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
5. e) când prelucrarea este necesară pentru îndeplinira unei sarcini care servește unui interes public  sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
6. f) când prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Litera (f) nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.

 

14. Care sunt condițiile de prelucrare a categoriilor speciale de date cu caracter personal?

Prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Prelucrarea acestor categorii de date este permisă numai în condițiile prevăzute la art. 9 alin. (2) din Regulamentul (UE) 2016/679.

Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), prevede la art. 3 alin. (1) că „prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate”.

 

15. Dacă prelucrarea este prevăzută de un act normativ, mai este necesar să obțin consimțământul persoanelor vizate? 

Atunci când prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului, nu mai este necesară obținerea consimțământului persoanelor vizate.

 

16. Care sunt condițiile de acordare și valabilitate a consimțământului?

Potrivit art. 7 alin. (1) din Regulament, operatorul trebuie să fie în măsură să demonstreze faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare a datelor cu caracter personal.

În cazul în care consimțământul persoanei vizate este dat în contextual unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu.

Art. 7 alin. (3) din Regulament prevede faptul că retragerea consimțământului se face la fel de simplu ca și acordarea acestuia.

În situația în care consimțământul este retras, operatorul are obligația de a șterge, fără întârzieri nejustificate, toate datele cu caracter personal ale persoanei vizate care și-a exercitat dreptul prevăzut la art. 17 alin. (1) lit. b) din Regulament.

Considerentul 32 din Regulamentul (UE) nr. 2016/679 stabilește următoarele: ”Consimțământul ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.”

Pentru mai multe informații puteți accesa Ghidul privind consimțământul emis de Comitetul european pentru protecția datelor.

 

17. În ce condiții pot prelucra datele cu caracter personal ale copiilor în ceea ce privește oferirea de servicii ale societății informaționale?

Prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul este acordat sau autorizat de titularul răspunderii părintești asupra copilului. Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii părintești a acordat sau a autorizat consimțământul, ținând seama de tehnologiile disponibile (art. 8 din Regulamentul (UE) 2016/679).

 

18. Operatorii sunt obligați să țină o evidență a prelucrărilor de date? 

 

Fiecare operator sau persoană împuternicită trebuie să păstreaze, atât în scris cât și în format electronic, o evidență a activităților de prelucrare. Această evidență trebuie să cuprindă toate informațiile prevăzute la art. 30 alin. (1) din Regulamentul General de Protecție a Datelor 2016/679.

Alegerea modalităților de a păstra evidența prelucrărilor de date rămâne la latitudinea operatorilor, ținând cont de activitatea desfășurată până în prezent în domeniul datelor cu caracter personal.

Evidența prelucrării cuprinde toate următoarele informații:

– numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;

– scopurile prelucrării;

– o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;

– categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din țări terțe sau organizații internaționale;

– dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor menționate la articolul 49 alineatul (1) al doilea paragraf, documentația care dovedește existența unor garanții adecvate;

– acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;

– acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menționate la articolul 32 alineatul (1).

 

19. Când este necesară efectuarea evaluării de impact?

În cazul în care sunt identificate prelucrări de date cu caracter personal susceptibile de a prezenta riscuri ridicate pentru drepturile și libertăţile persoanelor fizice, operatorul sau persoana împuternicită va efectua o evaluare a impactului asupra protecţiei datelor, în condiţiile art. 35 din Regulamentul General privind Protecţia Datelor.

Evaluarea impactului asupra protecţiei datelor se realizează anterior colectării datelor cu caracter personal și efectuării prelucrării.

Evaluarea impactului asupra protecției datelor se impune mai ales în cazul:

– unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează e prelucrare automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

– prelucrării pe scară largă a unor categorii speciale de date, menționată la art. 9 alin. (1), sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la art. 10;

– unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

Evaluarea conține cel puțin:

– o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;

– o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;

– o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate menționate la alineatul (1); și

– măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.

Pentru mai multe informații puteți accesa Ghidul privind evaluarea de impact emis de Comitetul european pentru protecția datelor, precum și Ghidul orientativ de aplicare a Regulamentului general privind protecția datelor  emis de Autoritatea Națională de Supraveghere.

 

20. În cât timp notific încălcările de securitate?

Cu excepţia cazului în care este puţin probabil ca o încălcare a securităţii datelor cu caracter personal să genereze un risc pentru drepturile şi libertăţile persoanelor fizice, operatorul are obligația de a notifica autorităţii de supraveghere orice încălcare a securităţii datelor, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta.

Prin Decizia nr. 128 din 22 iunie 2018 a președintelui Autorității de supraveghere s-a adoptat formularul tipizat al notificării de încălcare a securităţii datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679.

Pentru mai multe informații puteți accesa Ghidul privind notificarea încălcărilor de securitate emis de Comitetul european pentru protecția datelor.

 

21. Care sunt drepturile persoanei vizate?  

La Capitolul III din Regulamentul (UE) 2016/679 sunt reglementate drepturile persoanei vizate:

• dreptul la informare (art. 13 și art. 14);
• dreptul de acces (art. 15);
• dreptul la rectificare (art. 16);
• dreptul la ștergere („dreptul de a fi uitat” – art. 17);
• dreptul la restricționarea prelucrării (art. 18);
• dreptul la portabilitatea datelor (art. 20 –);
• dreptul la opoziție (art. 21);
• dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată (art. 22 – pentru mai multe informații puteți accesa);
• dreptul de a depune o plângere la o autoritate de supraveghere (art. 77).

Pentru exercitarea acestor drepturi, este necesar ca persoanele vizate să adreseze o cerere operatorului în acest sens. Operatorul furnizează persoanei vizate informaţii privind acţiunile întreprinse în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ţinându-se seama de complexitatea şi numărul cererilor.

Pentru mai multe informații puteți accesa Ghidul privind dreptul la portabilitatea datelor și Ghidul privind deciziile automate individuale și profilare.

22. Cum pot formula o plângere la autoritatea de supraveghere?

Pe site-ul autorității de supraveghere www.dataprotection.ro este disponibil un formular electronic de plângere la secțiunea Plângeri.

De asemenea, vă recomandăm să aveți în vedere prevederile Deciziei nr. 133/2018 a președintelui Autorității de supraveghere privind aprobarea Procedurii de primire și soluționare a plângerilor.

 

23. Când este admisibilă o plângere?

Potrivit Deciziei nr. 133/2018 și în concordanță cu Legea nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, cu modificările și completările ulterioare, pentru primirea şi înregistrarea valabilă a plângerilor este obligatorie furnizarea următoarelor date ale petiţionarului: nume, prenume, adresă poştală de domiciliu sau de reşedinţă. În cazul în care plângerea este depusă electronic este obligatorie furnizarea adresei de poştă electronică a petiţionarului.

În cazul plângerilor înaintate prin reprezentant, în afara datelor petiţionarului menţionate la alin. (1), este obligatorie şi furnizarea următoarelor date ale reprezentantului: nume şi prenume/denumire, adresă poştală de corespondenţă/sediu, adresă de poştă electronică, număr de telefon, număr de înregistrare în registrul asociaţiilor şi fundaţiilor, dacă este cazul.

Pentru primirea şi înregistrarea valabilă a plângerilor este obligatorie furnizarea datelor de identificare ale operatorului reclamat sau a persoanei împuternicite reclamate, precum nume şi prenume/denumire, adresă/sediu, sau cel puţin a informaţiilor disponibile deţinute de petiţionar, în vederea identificării acestora.

Plângerile trimise se semnează olograf sau electronic, iar în cazul petiţiilor trimise electronic care nu pot fi semnate, ANSPDCP poate solicita confirmarea corectitudinii datelor transmise electronic.

Autoritatea națională de supraveghere informează persoana vizată cu privire la admisibilitatea plângerii, în termen de cel mult 45 de zile de la înregistrare. În cazul în care se constată că informațiile din plângere sau documentele transmise sunt incomplete sau insuficiente, Autoritatea națională de supraveghere solicită persoanei vizate să completeze plângerea pentru a putea fi considerată admisibilă în vederea efectuării unei investigații. Un nou termen de cel mult 45 de zile curge de la data completării plângerii.

Autoritatea națională de supraveghere informează persoana vizată în legătură cu evoluția sau cu rezultatul investigației întreprinse în termen de 3 luni de la data la care s-a comunicat acesteia că plângerea este admisibilă.

 

24. Cum se realizează transferul de date în străinătate?

Transferul de date cu caracter personal se poate realiza prin:

– decizii ale Comisiei Europene privind caracterul adecvat al nivelului de protecție asigurat de statul terț;

– clauze standard de protecție a datelor adoptate de Comisie;

– reguli corporatiste obligatorii în conformitate cu art. 47 din Regulament;

– alte modalități prevăzute la art. 46 și art. 49 din Regulament.

 

25. Ce măsuri trebuie să iau pentru asigurarea securităţii prelucrării datelor cu caracter personal?

Securitatea datelor cu caracter personal este reglementată la art. 25 și art. 32 din Regulamentul (UE) 2016/679.

În vederea asigurării unui nivel de securitate corespunzător, operatorul implementează măsuri tehnice și organizatorice adecvate, incluzând printre altele:

– capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;

– capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

– un proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.”

– pseudonimizarea și criptarea datelor cu caracter personal, după caz.

 

26. Cât timp pot stoca datele cu caracter personal?

Potrivit art. 5 alin. (1) lit. e) din Regulamentul (UE) 2016/679, ”datele cu caracter personal sunt păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”);”

Potrivit Regulamentului general privind protecția datelor, datele se păstrează într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. Datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, cu instituirea unor garanții.

Perioada de stocare poate fi stabilită prin acte normative ce reglementează domeniile specifice de activitate. În măsura în care se impune, este necesară modificarea/completarea acestora astfel încât normele să fie puse în conformitate cu Regulamentul general privind protecția datelor.

 

27. Cine acreditează organismele de certificare?

Potrivit art. 11 din Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679, acreditarea organismelor de certificare prevăzute la art. 43 din Regulamentul general privind protecția datelor se realizează de Asociația de Acreditare din România – RENAR, în calitate de organism național de acreditare, în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9 iulie 2008, precum și în conformitate cu Ordonanța Guvernului nr. 23/2009 privind activitatea de acreditare a organismelor de evaluare a conformității, aprobată cu modificări prin Legea nr. 256/2011.

 

 

 

 

Formulare pentru firme despre GPDR – RGPD

 

RESPONSABILUL CU PROTECȚIA DATELOR DESEMNAT DE OPERATOR/PERSOANĂ ÎMPUTERNICITĂ

 

https://www.dataprotection.ro/formulare/formularRpd.do?action=view_action&newFormular=true

 

 

 

Notificare de încălcare a securităţii datelor cu caracter personal pentru operatorii de date cu caracter personal, înconformitate cu Regulamentul (UE) nr. 679/2016 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

 

Decizia nr. 128/2018 privind aprobarea formularului tipizat al notificării de încălcare a securităţii datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE

Decizia nr. 161 din 9 Octombrie 2018 privind aprobarea Procedurii de efectuare a investigațiilor

Notificare de încălcare a securităţii datelor cu caracter personal pentru furnizorii de servicii publice de reţele sau servicii de comunicaţii electronice, în conformitate cu Regulamentul (UE) nr. 611/2013 al Comisiei din 24 iunie 2013 privind măsurileaplicabile notificării încălcărilor securităţii datelor cu caracter personal în temeiul Directivei 2002/58/CE a Parlamentului European şi a Consiliului privind confidenţialitatea şi comunicaţiile electronice

 

Decizie nr. 184/2014 privind aprobarea formularului tipizat al notificării de încălcare a securităţii datelor cu caracter personal pentru furnizorii de servicii publice de reţele sau servicii de comunicaţii electronice, în conformitate cu Regulamentul (UE) nr. 611/2013 al Comisiei din 24 iunie 2013 privind măsurile aplicabile notificării încălcărilor securităţii datelor cu caracter personal în temeiul Directivei 2002/58/CE a Parlamentului European şi a Consiliului privind confidenţialitatea şi comunicaţiile electronice (publicată în Monitorul Oficial 964 din 30.12.2014)

Decizia nr. 161 din 9 Octombrie 2018 privind aprobarea Procedurii de efectuare a investigațiilor

Ghid de notificare

 

 

 

 

Plangeri GPDR – RGPD la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

 

 

 

Depunerea Plângerilor în baza Regulamentului General privind Protecția Datelor

 

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu sediul în București, sector 1, Bd. G-ral Gh. Magheru nr. 28-30, prelucrează datele personale ale persoanelor fizice care i se adresează cu plângeri în baza reglementărilor legale aplicabile în domeniul specific de activitate.

Scopul prelucrării este cel de soluționare a plângerilor, în limitele atribuțiilor și obligațiilor legale de autoritate ce monitorizează aplicarea legislației privind protecția datelor personale.

Datele personale ale petenților sunt obținute din plângerile depuse de aceștia și dovezile atașate, precum și, după caz, în urma demersurilor efectuate pentru soluționarea lor.

Datele personale pot fi dezvăluite către operatorii sau persoanele împuternicite reclamate, în scopul soluționării plângerilor depuse, precum și către alte autorități sau instituții publice ori către autorități de supraveghere similare cu care ANSPDCP cooperează în vederea îndeplinirii atribuțiilor sale legale.

Este obligatorie furnizarea datelor de identificare și de corespondență reale, exacte și complete ale petiționarului și dacă este cazul, ale reprezentantului acestuia, în vederea soluționării adecvate a plângerilor și a transmiterii răspunsurilor. Nerespectarea acestor condiții poate atrage respingerea plângerilor ca inadmisibile ori dificultăți în transmiterea corespondenței. (consultați procedura)

În cazul în care petenții nu doresc ca anumite date personale să fie dezvăluite în cadrul demersurilor efectuate pentru soluționarea plângerilor, au posibilitatea de a-și exercita dreptul de opoziție, în condițiile prevăzute de art. 21 din RGPD.

Datele personale ale petenților sunt stocate pe perioada necesară efectuării tuturor demersurilor întreprinse pentru rezolvarea plângerilor, precum și a soluționării acțiunilor de către instanțele de judecată competente, dacă este cazul, după care vor fi arhivate potrivit legislației aplicabile.

Persoanele ale căror date personale sunt prelucrate de către ANSPDCP pot să își exercite drepturile de acces la date, de rectificare, ștergere, restricționare, în conformitate cu dispozițiile art. 15-19 din RGPD, precum și dreptul de a depune o plângere la ANSPDCP pentru modul de soluționare a cererilor de exercitare a acestor drepturi, printr-o cerere trimisă prin poștă la sediul ANSPDCP sau la adresa de e-mail: dpo[at]dataprotection.ro

Plângerile pot fi formulate de către persoanele fizice ale căror date personale au fost prelucrate cu încălcarea dispozițiilor legale aplicabile în materia protecției datelor personale (”persoane vizate”), în special în cazul în care reşedinţa obişnuită a petentului, locul său de muncă sau presupusa încălcare se află sau, după caz, are loc pe teritoriul României.

În situația în care nu vă încadrați în această categorie (”persoane vizate”), vă rugăm să transmiteți cererea dvs. folosind adresa anspdcp@dataprotection.ro sau adresa poștală a ANSPDCP.

Înainte de a începe completarea formularului de plângere, vă rugăm să consultați condițiile de admisibilitate dinProcedura de primire și soluționare a plângerilor.

 

Depune plângere online

 

Formular electronic de plangere (format .PDF)*

 

 

 

Procedura de solutionare GPDR – RGPD la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

Procedura de soluţionare a plângerilor – Decizia nr. 133/2018

 

CAPITOLUL I: Dispoziţii generale

Art. 1

(1)În exercitarea atribuţiilor sale legale, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP, primeşte, analizează şi soluţionează plângeri legate de prelucrarea datelor cu caracter personal care intră sub incidenţa Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei95/46/CE (Regulamentul general privind protecţia datelor), denumit în continuare RGPD, sau a altor dispoziţii legale aplicabile în domeniul protecţiei dreptului la viaţă intimă, familială şi privată prin prelucrarea datelor personale, inclusiv în sectorul comunicaţiilor electronice şi al comerţului electronic.

(2)Prezenta procedură se aplică numai în cadrul activităţii de soluţionare a plângerilor care intră în competenţa compartimentului/compartimentelor de specialitate cu atribuţii în acest sens, conform Regulamentului de organizare şi funcţionare a Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, aprobat prin Hotărârea Biroului permanent al Senatului nr.16/2005, cu modificările şi completările ulterioare.

(3)Alte petiţii şi cereri decât cele menţionate la alin. (2) se soluţionează de către compartimentele sau persoanele desemnate ca având atribuţii în acest sens, potrivit dispoziţiilor legale aplicabile. Orice alt tip de corespondenţă trimisă către ANSPDCP, care nu îndeplineşte condiţiile unei petiţii în sensul Ordonanţei Guvernului nr. 27/2002 privind reglementarea activităţii de soluţionare a petiţiilor, aprobată cu modificări şi completări prin Legea nr. 233/2002, cu modificările ulterioare, se clasează, fără a se transmite un răspuns.

Art. 2

Plângerile pot fi adresate de orice persoană vizată identificată conform prevederilor din prezenta procedură, care consideră că prelucrarea datelor sale cu caracter personal încalcă prevederile legale în vigoare, în special în cazul în care reşedinţa sa obişnuită, locul său de muncă sau presupusa încălcare se află sau, după caz, are loc pe teritoriul României.

CAPITOLUL II: Condiţii procedurale privind adresarea unei plângeri admisibile

Art. 3

(1)Plângerile adresate ANSPDCP trebuie formulate în scris, în limba română sau engleză, cu respectarea condiţiilor prevăzute de RGPD, de alte dispoziţii legale aplicabile, precum şi de prezenta procedură.

(2)Plângerile pot fi depuse la registratura generală de la sediul ANSPDCP sau pot fi transmise prin poştă, inclusiv cea electronică, ori prin utilizarea formularului electronic, disponibil pe pagina de internet a ANSPDCP. Plângerile primite se înregistrează în registrul general al ANSPDCP, primind număr şi dată, şi se repartizează compartimentului/compartimentelor de specialitate.

(3)Plângerile se înaintează personal sau prin reprezentant, cu anexarea împuternicirii emise în condiţiile legii de un avocat sau a procurii notariale, după caz.

(4)Plângerile pot fi depuse şi de către mandatarul persoanei vizate care este soţ sau rudă până la gradul al doilea inclusiv. În cazul soţilor sau rudelor până la gradul al doilea inclusiv, se anexează o declaraţie pe propria răspundere semnată de petiţionar, iar în cazul altor persoane, se anexează procura notarială.

(5)În cazul în care plângerea este depusă prin intermediul unui organism, al unei organizaţii, al unei asociaţii sau fundaţii fără scop patrimonial, acestea trebuie să dovedească faptul că au fost constituite legal, cu un statut ce prevede obiective de interes public, şi că sunt active în domeniul protecţiei drepturilor şi libertăţilor persoanelor vizate în ceea ce priveşte protecţia datelor lor cu caracter personal. În acest caz, la plângere se anexează inclusiv împuternicirea avocaţială sau procura notarială de reprezentare, după caz, conform alin. (3), din care să rezulte limitele mandatului acordat de persoana vizată, precum şi statutul organismului/organizaţiei/asociaţiei/fundaţiei, precum şi dovezi privind activitatea acestora în domeniul protecţiei drepturilor şi libertăţilor persoanelor vizate în ceea ce priveşte protecţia datelor lor cu caracter personal.

Art. 4

(1)Pentru primirea şi înregistrarea valabilă a plângerilor este obligatorie furnizarea următoarelor date ale petiţionarului: nume, prenume, adresă poştală de domiciliu sau de reşedinţă. În cazul în care plângerea este depusă electronic este obligatorie furnizarea adresei de poştă electronică a petiţionarului.

(2)În cazul plângerilor înaintate prin reprezentant, în afara datelor petiţionarului menţionate la alin. (1), este obligatorie şi furnizarea următoarelor date ale reprezentantului: nume şi prenume/denumire, adresă poştală de corespondenţă/sediu, adresă de poştă electronică, număr de telefon, număr de înregistrare în registrul asociaţiilor şi fundaţiilor, dacă este cazul.

(3)Pentru primirea şi înregistrarea valabilă a plângerilor este obligatorie furnizarea datelor de identificare ale operatorului reclamat sau a persoanei împuternicite reclamate, precum nume şi prenume/denumire, adresă/sediu, sau cel puţin a informaţiilor disponibile deţinute de petiţionar, în vederea identificării acestora.

(4)Plângerile trimise se semnează olograf sau electronic, iar în cazul petiţiilor trimise electronic care nu pot fi semnate, ANSPDCP poate solicita confirmarea corectitudinii datelor transmise electronic.

Art. 5

(1)La depunerea plângerilor este obligatorie precizarea detaliată a obiectului acestora, a demersurilor întreprinse de petiţionar la nivelul operatorului reclamat sau al persoanei împuternicite reclamate, după caz, a informaţiilor disponibile pentru susţinerea afirmaţiilor, precum şi anexarea de dovezi concludente, în măsura în care le deţine.

(2)În cazul în care, anterior depunerii plângerii la ANSPDCP, petiţionarul a introdus pe rolul instanţelor judecătoreşti o acţiune cu acelaşi obiect şi cu acelaşi operator sau persoană împuternicită, aduce aceste aspecte la cunoştinţa ANSPDCP. În caz afirmativ, în plângere se menţionează denumirea instanţei şi numărul dosarului respectiv.

Art. 6

(1)În cazul plângerilor care au ca obiect încălcarea dreptului la viaţă intimă, familială şi privată în domeniul comunicaţiilor electronice şi comerţului electronic, în afara datelor prevăzute la art. 4, este obligatorie menţionarea numărului/numerelor de telefon sau fax, a adresei/adreselor de poştă electronică ori a adresei/adreselor de IP care au legătură cu obiectul plângerii, după caz.

(2)În cazul plângerilor care au ca obiect încălcarea dreptului la viaţă intimă, familială şi privată prin transmiterea de comunicări comerciale nesolicitate, prin servicii de comunicaţii electronice destinate publicului, este obligatorie anexarea mesajelor originale primite de petiţionar printr-o metodă care să permită identificarea expeditorului respectivei comunicări, mesaje care trebuie conservate, pe cât posibil, în sistemul electronic utilizat de petiţionar.

Art. 7

(1)Petiţionarii şi, după caz, reprezentanţii acestora îşi asumă răspunderea că toate informaţiile furnizate prin depunerea plângerilor sunt reale şi corecte.

(2)Petiţionarii pot solicita păstrarea confidenţialităţii anumitor date cu caracter personal, menţionate în mod expres, furnizate prin plângere, cu excepţia situaţiilor în care, pentru soluţionarea corespunzătoare a obiectului plângerilor depuse, datele de identificare ale petiţionarului trebuie să fie dezvăluite către entitatea reclamată.

(3)Petiţionarii au posibilitatea de a utiliza modelele de plângere puse la dispoziţie de ANSPDCP.

(4)Primirea plângerilor la ANSPDCP şi analizarea acestora este, de regulă, gratuită.

(5)În cazul în care plângerile sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, ANSPDCP poate percepe o taxă rezonabilă, bazată pe costurile administrative, sau poate refuza să le trateze. Sarcina de a demonstra caracterul evident nefondat sau excesiv al cererii revine ANSPDCP.

Art. 8

(1)Fără a se aduce atingere posibilităţii de a se adresa cu plângere ANSPDCP, persoanele vizate au dreptul de a se adresa instanţei competente pentru apărarea drepturilor garantate de legislaţia aplicabilă, care le-au fost încălcate.

(2)În cazul în care a fost introdusă o cerere în justiţie cu acelaşi obiect şi având aceleaşi părţi, ANSPDCP poate dispune suspendarea sau/şi clasarea plângerii, după caz.

(3)Instanţa competentă este cea de la sediul operatorului sau al persoanei împuternicite de operator ori de la reşedinţa obişnuită a persoanei vizate. Cererea este scutită de taxă de timbru.

CAPITOLUL III: Condiţii privind analizarea şi soluţionarea plângerilor

Art. 9

(1)În cazul în care petiţionarul nu furnizează datele, informaţiile şi documentele solicitate potrivit prevederilor legale aplicabile şi prezentei proceduri, ANSPDCP înştiinţează, în scris, petiţionarul asupra faptului că plângerea depusă nu îndeplineşte condiţiile prevăzute de prezenta procedură pentru a fi calificată ca o plângere admisibilă, în termen de cel mult 45 de zile de la înregistrare, potrivit legii.

(2)În cazul în care se constată că informaţiile din plângere sau documentele transmise sunt incomplete sau insuficiente, ANSPDCP solicită persoanei vizate să completeze plângerea pentru a putea fi considerată admisibilă în vederea efectuării unei investigaţii. Un nou termen de cel mult 45 de zile curge de la data completării plângerii.

(3)ANSPDCP informează persoana vizată în legătură cu evoluţia sau cu rezultatul investigaţiei întreprinse, în termen de trei luni de la data la care s-a comunicat acesteia că plângerea este admisibilă potrivit alin. (1) sau (2). Informarea va cuprinde şi calea de atac împotriva ANSPDCP.

(4)Dacă este necesară efectuarea unei investigaţii mai amănunţite sau coordonarea cu alte autorităţi de supraveghere în conformitate cu art. 57 alin. (1) lit. f) din Regulamentul general privind protecţia datelor, ANSPDCP informează persoana vizată în legătură cu evoluţia investigaţiei, din trei în trei luni, până la finalizarea acesteia.

(5)Rezultatul investigaţiei se aduce la cunoştinţa persoanei vizate în termen de cel mult 45 de zile de la finalizarea acesteia. Art. 11 din prezenta procedură se aplică în mod corespunzător.

Art. 10

(1)Plângerile în care nu se precizează datele de identificare ale petiţionarilor, obligatorii conform art. 4, sunt considerate anonime şi se clasează cu această menţiune, fără a se formula un răspuns petiţionarilor.

(2)Plângerile care nu au un obiect clar determinat, precum şi plângerile care nu respectă condiţiile prevăzute de art. 3 se resping ca fiind inadmisibile. Petiţionarii sunt informaţi în scris cu privire la necesitatea respectării condiţiilor de admitere a plângerii, în termenul prevăzut la art. 9 alin. (1) sau (2).

(3)În cazul în care plângerile se referă la aspecte care nu intră în sfera de competenţă materială sau teritorială a ANSPDCP, acestea se resping ca fiind inadmisibile. Petiţionarii sunt informaţi în scris, în termenul prevăzut la art. 9 alin. (1).

Art. 11

(1)În cazul în care un petiţionar adresează mai multe plângeri, pentru reclamarea aceleiaşi chestiuni, acestea se conexează, petiţionarul urmând să primească un singur răspuns care face referire la toate petiţiile primite.

(2)În cazul în care petiţionarul revine cu o nouă plângere prin care reclamă aceleaşi aspecte semnalate într-o petiţie anterioară la care a primit răspuns, plângerea se anexează la prima petiţie şi se clasează, fără a se mai trimite un răspuns petiţionarului.

Art. 12

În cazul nerespectării de către ANSPDCP a dispoziţiilor art. 9, persoana vizată se poate adresa secţiei de contencios administrativ a tribunalului competent, după parcurgerea procedurii prealabile prevăzute de Legea contenciosului administrativ nr. 554/2004, cu modificările şi completările ulterioare. Recursul se judecă de curtea de apel competentă. În toate cazurile, instanţele competente sunt cele din România.

Art. 13

(1)În cazul în care, pentru soluţionarea plângerilor primite, devin incidente prevederile RGPD referitoare la mecanismele de cooperare şi coerenţă, se aplică în mod corespunzător dispoziţiile RGPD şi documentele emise de Comitetul European pentru Protecţia Datelor.

(2)În cazurile prevăzute la alin. (1) este posibilă transmiterea datelor personale, a informaţiilor şi dovezilor prezentate de către petiţionar către alte autorităţi de supraveghere şi/sau către Comitetul European pentru Protecţia Datelor, în vederea soluţionării plângerii respective potrivit reglementărilor legale în vigoare.

Art. 14

Investigaţiile pentru soluţionarea plângerilor se desfăşoară în conformitate cu procedura de efectuare a investigaţiilor, aprobată prin decizie a preşedintelui ANSPDCP, care se publică în Monitorul Oficial al României, Partea I.

 

 

 

Contestatie la instanta competenta amenda sau sanctiune data de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pe GPDR – RGPD

 

Ce trebuie știut în cazul controalelor ANSPDCP privind aplicarea GDPR?

 

Contestare Amenzi GDPR – Impactul pe care GDPR l-a avut asupra întregii activitati comerciale nu mai este o surpriză pentru nimeni.

Cele mai importante reguli instituite sunt cunoscute la nivel general, aproape orice persoană cunoscând care sunt drepturile și obligațiile pe care le are prin prisma noului Regulament.

Cuvinte precum controale, sancțiuni, amenzi, investigații, care păreau a avea, cel putin până de curând, un sens pur teoretic, mai ales în România, capătă un caracter practic din ce în ce mai pronunțat și destul de tăios pentru operatorii de date cu caracter personal.

Având în vedere că avem deja din luna iunie și un cadru procedural de aplicare a GDPR, oferit de Legea 129 din 15 iunie 2018, este important să trecem în revista cele mai utile informații pe care

operatorii de date și nu numai, trebuie să le cunoască.

1. CADRUL LEGISLATIV

LEGEA nr. 129 din 15 iunie 2018 a abrogat Legea nr. 677/2001, care constituia până atunci principalul act normativ național referitor la protecția datelor.

Important: Legea 129 din 15 iunie 2018 nu derogă sub niciun aspect de la GDPR, ci ofertă numai reguli de procedură și norme de aplicare. Astfel, în această lege vom găsi toate informațiile cu privire la: activitatea de control a organelor ANSPDCP, modul si criteriile de aplicare a sancțiunilor, contestarea și plata amenzilor, drepturile si obligațiile procesuale ale părților etc.

1. CONTROALE

• Investigaţiile sunt efectuate de Autoritatea naţională de supraveghere prin personalul de control;
• Personalul de control are dreptul să efectueze și investigaţii neanunțate, să ceară şi să obţină
• de la operator orice informaţii şi documente, să ridice copii de pe acestea, să aibă acces la oricare dintre incintele operatorului, precum şi să aibă acces şi să verifice orice echipament, mijloc sau suport de stocare a datelor;
• Dacă veți refuza accesul personalului de control la informațiile necesare investigației, ANSPDCP le va putea accesa numai dacă va obține autorizarea judiciară de la președintele Curţii de Apel Bucureşti sau de la un judecător delegat de acesta și numai dacă va comunica autorizarea entităţii controlate înainte de începerea investigaţiei.
• Investigațiile nu pot începe înainte de ora 8:00 și nu pot continua după ora 18:00 decât cu acordul persoanei la care se efectuează sau a reprezentantului;

Important: Încheierea de autorizare de mai sus se poate contesta numai în cel mult 72 de ore de la comunicare, la Înalta Curte de Casaţie şi Justiţie și nu va suspenda efectuarea investigației

• SANCȚIUNI
• Sancţiunile contravenţionale principale pe care le aplică Autoritatea naţională de supraveghere, sunt mustrarea şi amenda, în condițiile stabilite de GDPR;
• Dacă Autoritatea națională de supraveghere apreciază că urmează să se încalce legislația aplicabilă, atunci aceasta poate să emita si o avertizare în condițiile GDPR;
• Sancțiunile menționate pot fi aplicate și impreuna cu alte masuri prevăzute de GDPR;

IMPORTANT: Sancțiunile se prescriu în termen de 3 ani de la data săvârșirii încălcarii Regulamentului și termenul de prescripție se întrerupe prin efectuarea oricărui act de procedură, fără să se poată depăși 4 ani de la data săvârșirii faptei. Astfel, nu veți mai putea fi sancționați dupa scurgerea termenelor precizate.

• CONTESTAREA SANCȚIUNILOR – Contestare Amenzi GDPR

In primul rand aveti nevoie de un avocat consultant GDPR care sa va ajute si asiste pe tot parcursul procesului de contestare a amenzilor sanctionatoare in baza directivei GDPR.

• Împotriva procesului-verbal de constatare/sancţionare şi/sau a deciziei de aplicare a măsurilor corective, se poate introduce contestaţie la instanța competentă în termen de 15 zile de la înmânare, respectiv de la comunicare iar hotărârea prin care s-a soluţionat contestaţia poate fi atacată numai cu apel.
• Dacă nu veți formula contestație in termen de 15 zile de la data înmânării, respectiv comunicării, actul de sancționare va constitui titlu executoriu fără vreo altă formalitate.

Important: Introducerea contestaţiei va suspenda plata amenzii, până la pronunţarea unei hotărâri judecătoreşti definitive.

1. PLATA AMENZILOR

6. Termenul de plată a amenzii este de 15 zile de la data înmânării, respectiv de la data comunicării.
7. Important: În cazul în care nu veți achita amenda în acest termen se va putea trece la executarea silită.

 

 

COLTUC MARIUS VICENTIU

Manager www.coltucsiasociatii.ro