GDPR

PRELUCRAREA DATELOR CU CARACTER PERSONAL ÎN BAZA UNOR TEMEIURI JURIDICE:

1.CONSIMȚĂMÂNTUl– orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a
persoanei vizate prin care această acceptă, printr-o declarație sau printr-o acțiune fără echivoc, că datele
cu caracter personal care o privesc să fie prelucrate (Art.14,pct(11)GDPR.

Consimțământul scris poate fi:

• În format hârtie ,prin semnătură olografă
• În formă electronică (online)
• Prin semnătură electronică

2.EXECUTAREA UNUI CONTRACT – avem două cazuri ce justifică prelucrarea și anume:

1. Cazul în care este necesară pentru executarea unui contract la care persoană vizată este parte.
2. Cazul în care prelucrarea este necesară anterior încheierii unui contract-în cadrul activităților precontractuale
   (ex. redactarea draftului de contact, negocierea unor clauze, recrutare etc.)

3.ÎNDEPLINIREA UNOR OBLIGAȚII LEGALE– Obligația trebuie să fie impusă de lege, să fie fermă și să nu
confere operatorului de date un drept de opțiune între a îndeplini sau nu obligația (ex.HR – în temeiul
art.27.alin(1) și (2) din Codul Muncii –” (1) O persoană poate fi angajată în muncă numai în baza unui
certificat medical, care constată faptul că cel în cauza este apt pentru prestarea acelei munci. (2)
Nerespectarea prevederilor alin(1) atrage nulitatea contractului individual de muncă”.

4.INTERESUL LEGITIM – cerință că un interes să fie considerat legitim -potrivit opiniei nr.63/2014:

a) să fie legal;

b) să fie definit în mod suficient de clar în așa fel încât să permită efetuarea testului “echilibrului de interese”
(balancing of interest test) între interesul legitim al operatorului de date și drepturile și interesele
fundamentale ale persoanei vizate.

c) să reprezinte un interes real și prezent.

DREPTURILE PERSOANEI VIZATE

1) Dreptul la informare – informarea se face anterior inițierii operațiunilor de prelucrare de date( în orcare
dintre formele sale,respectiv colectare,stocare etc.)

Informarea trebuie să cuprindă:

a) identitatea și datele de contact ale operatorului sau a reprezentantului acestuia

b) scopul prelucrării și temeiul juridic al prelucrării,

c) destinatarii sau categoriile de destinatari ai datelor cu caracter personal,

d) perioada pentru care vor fi stocate și criteriile utilizate pentru a stabili această perioada.

2) Dreptul de acces la datele cu caracter personal – cu următoarele componente;

a) posibilitatea persoanei vizate de a obține o confirmare din partea operatorului referitor la efectuarea sau nu a unor
operațiuni de prelucrare,

b) posibilitatea persoanei vizate de a obține de la operator o copie a datelor prelucrate.- art.15 alin.(2)GDPR

3) Dreptul de rectificare și ștergere a datelor –

Dreptul de rectificare -conferă persoanei vizate posibilitatea de a rectifică/obține completarea datelorsale cu
caracter personal,operațiuni realizate cu ajutorul operatorului de date.

Dreptul la ștergerea datelor – cunoscut și sub denumirea de “dreptul de a fi uitat”,conferă persoanei vizate
posibilitatea de a obține ștergerea datelor sale personale.

4) Dreptul la restrictionareea prelucrării datelor – în ceea ce privește sistemele automate de evidență,
asigurarea prelucrării ar trebui în principiu asigurată prin mijloace tehnice în așa fel încât datele cu caracter
personal să nu facă obiectul unor operațiuni de prelucrare ulterioară și să nu mai poată fi schimbate, iar
sistemele ar trebui “să indice în mod clar” operațiunea de marcare a datelor.

5) Dreptul la portabilitatea datelor – inspirat din sistemele cloud computing- în care se pune accent atât pe
portabilitate cât și pe interoperabilitate

Se poate defini că: transmiterea datelor direct de la operatorul care le deține către un alt operator, atunci
când sunt îndeplinite anumite condiții, că de ex: prelucrarea se bazează pe consimțământ sau pe un contract,
respectiv prelucrarea este efectuată prin mijloace informatice.

6) Dreptul de opoziție – posibilitatea persoanei vizate de a se opune prelucrări datelor sale cu caracter
personal, cu următoarea excepție: operatorul de date poate continuă totuși prelucrarea doar dacă
demonstrază că are motive legitime și imperioase care justifică prelucrarea (ex exercitarea sau apărarea
unui drept în instanța)

7) Dreptul de a nu fi subiect al unei decizii individuale – persoană vizată are “dreptul de a nu face obiectul
unei decizii bazate exclusiv pe prelucrarea automată”.

OBLIGAȚIILE OPERATORULUI ȘI A PERSOANEI ÎMPUTERNICITE

OBLIGAȚIILE OPERATORULUI:

• Obligații în relația cu Clientul
• Informare cu privire la prelucrarea prin împuterniciți;
• Informare cu privire la destinatari (împuterniciți și subcontractori) sau categorii de destinatari.

Obligații în relația cu Împuterniciții:

• Să evalueze Împuterniciții înainte de contractare pentru a verifică dacă oferă garanții suficiente pentru aplicarea
  măsurilor astfel încât prelucrarea să respecte cerințele legale și să asigure protecția drepturilor Clienților;
• Să încheie un contract cu Împuterniciții prin care să stabilească:

1. Obiectul și durata prelucrării;
2. Natură și scopul prelucrării;
3. Tipul datelor cu caracter personal și categoriile de persoane vizate;
4. Obligațiile, drepturile și răspunderea părților;

• Să se asigure că Împuterniciții respectă instrucțiunile sale și măsurile tehnice necesare pentru protecția datelor
  și efectuarea prelucrărilor conform legii (audit, inspecții).

Obligații în relația cu Subcontractorul:

Să se asigure că prevederile contractului dintre Împuternicitul Furnizor și Subcontractor reflectă aceleași
obligații privind protecția datelor prevăzute în contractul încheiat între Împuternicitul Furnizor și Operator

OBLIGAȚIILE PERSOANEI ÎMPUTERNICITE

• De a prelucra datele Clienților pe baza instrucțiunilor Operatorului;
• De a adopta măsuri organizatorice adecvate care să permită protecția datelor;
• De a adopta măsuri de securitate adecvate în vederea asigurării unui nivel de securitate corespunzător (inclusiv
  dar fără a se limita la asigurarea confidențialității, integrității disponibilității și rezistenței datelor și sistemelor de
  prelucrare a datelor);
• De a nu prelucra datele Clienților în scopuri personale sau alte scopuri nepermise /neprevăzute în Contract;
• De a nu folosi alți subcontractori fără autorizația prealabilă scrisă a Operatorului;
• De a include în contractul cu Subcontractorul obligații care să reflecte obligațiile privind protecția datelor prevăzute
  în contractul încheiat între Împuternicitul Furnizor și Operator;
• De a numi un număr restrâns de persoane autorizate să prelucreze datele cu caracter personal;
• De a încheia acorduri de confidențialitate cu angajații care sunt persoane autorizate;

ROLUL OFIȚERULUI CU PROTECȚIA DATELOR

• Informare și consilierea operatorului sau a persoanei imputenicite de operator;
• Monitorizarea respectării prezentului regulament, inclusiv de alocarea responsabilităților și acțiunilor de
  sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și audituri aferente;
• Furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și
  monitorizarea funcționarii acesteia.
• Cooperarea cu autoritatea de supraveghere;
• Asumarea rolului de punct de contact pentru autoritatea de supraveghere,privind aspectele legate de prelucrare
• Colaborarea cu alte departamente ex. HR, IT, Marketing, Operațional, Logistic și transmiterea de către acestea
  către DPO a oricăror informații importante din perspectiva protecției datelor cu caracter personal.