Cereți o ofertă pentru externalizarea serviciilor de Protecția Datelor
Va putem da o cotatie de analiza initiala si de abonament lunar, in urma furnizarii unor minime informatii despre compania dumneavoastra.
In abonamentul lunar includem si persoana responsabila cu prelucrarea datelor (DPO)
Servicii GDPR
Art. 1: Obiect şi obiective
(1)Prezentul regulament stabileşte normele referitoare la protecţia persoanelor fizice în ceea
ce priveşte prelucrarea datelor cu caracter personal, precum şi normele referitoare la libera
circulaţie a datelor cu caracter personal.
Art. 2: Domeniul de aplicare material
(1)Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau
parţial prin mijloace automatizate, precum şi prelucrării prin alte mijloace decât cele
automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă a
datelor sau care sunt destinate să facă parte dintr-un sistem de evidenţă a datelor.
(2)Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:
a)în cadrul unei activităţi care nu intră sub incidenţa dreptului Uniunii; c)de către o persoană fizică în cadrul unei activităţi exclusiv personale sau domestice;…
d)de către autorităţile competente în scopul prevenirii, investigării, depistării sau urmăririi
penale a infracţiunilor, sau al executării sancţiunilor penale, inclusiv al protejării împotriva
ameninţărilor la adresa siguranţei publice şi al prevenirii acestora.
Art. 3: Domeniul de aplicare teritorial
(1)Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul
activităţilor unui sediu al unui operator sau al unei persoane împuternicite de operator pe
teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
(2)Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor persoane
vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator
care nu este stabilit(ă) în Uniune, atunci când activităţile de prelucrare sunt legate de:
a)oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se
solicită sau nu efectuarea unei plăţi de către persoana vizată; sau
b)monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
Art. 4: Definiţii
În sensul prezentului regulament:
1.”date cu caracter personal” înseamnă orice informaţii privind o persoană fizică identificată
sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care
poate fi identificată, direct sau indirect, în special prin referire la un element de identificare,
cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la
unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice,
psihice, economice, culturale sau sociale;
2.”prelucrare” înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu
caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de
mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea,
adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere,
diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea,
restricţionarea, ştergerea sau distrugerea;
4.”creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter
personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite
aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea
aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele
personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică
respectivă sau deplasările acesteia;
5.”pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod
încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza
informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi
să facă obiectul unor măsuri de natură tehnică şi organizatorică care să asigure neatribuirea
respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
11.”consimţământ” al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică,
informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o
declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să
fie prelucrate;
12.”încălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii care
duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea
neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod,
sau la accesul neautorizat la acestea;
13.”date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile
genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind
fiziologia sau sănătatea persoanei respective şi care rezultă în special în urma unei analize a
unei mostre de material biologic recoltate de la persoana în cauză;
14.”date biometrice” înseamnă o date cu caracter personal care rezultă în urma unor tehnici
de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale
unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum
ar fi imaginile faciale sau datele dactiloscopice;
Art. 5: Principii legate de prelucrarea datelor cu caracter personal
(1)Datele cu caracter personal sunt:
a)prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată (“legalitate,
echitate şi transparenţă”);
c)adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt
prelucrate (“reducerea la minimum a datelor”);
Art. 6: Legalitatea prelucrării
(1)Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre
următoarele condiţii:
a)persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter
personal pentru unul sau mai multe scopuri specifice;
b)prelucrarea este necesară pentru executarea unui contract la care persoana vizată este
parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui
contract;
c)prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine
operatorului;
d)prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale
altei persoane fizice;
e)prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public
sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;
f)prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte
terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile
fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în
special atunci când persoana vizată este un copil.
Art. 7: Condiţii privind consimţământul
(1)În cazul în care prelucrarea se bazează pe consimţământ, operatorul trebuie să fie în
măsură să demonstreze că persoana vizată şi-a dat consimţământul pentru prelucrarea
datelor sale cu caracter personal.
(2)În cazul în care consimţământul persoanei vizate este dat în contextul unei declaraţii
scrise care se referă şi la alte aspecte, cererea privind consimţământul trebuie să fie
prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o formă
inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Nicio parte a respectivei
declaraţii care constituie o încălcare a prezentului regulament nu este obligatorie.
(3)Persoana vizată are dreptul să îşi retragă în orice moment consimţământul. Retragerea
consimţământului nu afectează legalitatea prelucrării efectuate pe baza consimţământului
înainte de retragerea acestuia. Înainte de acordarea consimţământului, persoana vizată este
informată cu privire la acest lucru. Retragerea consimţământului se face la fel de simplu ca
acordarea acestuia.
(4)Atunci când se evaluează dacă consimţământul este dat în mod liber, se ţine seama cât
mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui
serviciu, este condiţionată sau nu de consimţământul cu privire la prelucrarea datelor cu
caracter personal care nu este necesară pentru executarea acestui contract.
Art. 8: Condiţii aplicabile în ceea ce priveşte consimţământul copiilor în legătură
cu serviciile societăţii informaţionale
(1)În cazul în care se aplică articolul 6 alineatul (1) litera (a), în ceea ce priveşte oferirea de
servicii ale societăţii informaţionale în mod direct unui copil, prelucrarea datelor cu caracter
personal ale unui copil este legală dacă copilul are cel puţin vârsta de 16 ani. Dacă copilul are
sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă şi în măsura în care
consimţământul respectiv este acordat sau autorizat de titularul răspunderii părinteşti asupra
copilului.
Art. 9: Prelucrarea de categorii speciale de date cu caracter personal
(1)Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau
etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la
sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei
persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea
sexuală ale unei persoane fizice.
Art. 11: Prelucrarea care nu necesită identificare
(1)În cazul în care scopurile pentru care un operator prelucrează date cu caracter personal
nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator,
operatorul nu are obligaţia de a păstra, obţine sau prelucra informaţii suplimentare pentru a
identifica persoana vizată în scopul unic al respectării prezentului regulament.
(2)Dacă, în cazurile menţionate la alineatul (1) din prezentul articol, operatorul poate
demonstra că nu este în măsură să identifice persoana vizată, operatorul informează
persoana vizată în mod corespunzător, în cazul în care este posibil. În astfel de cazuri,
articolele 15-20 nu se aplică, cu excepţia cazului în care persoana vizată, în scopul exercitării
drepturilor sale în temeiul respectivelor articole, oferă informaţii suplimentare care permit
identificarea sa.
Art. 12: Transparenţa informaţiilor, a comunicărilor şi a modalităţilor de exercitare
a drepturilor persoanei vizate
(1)Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informaţii
menţionate la articolele 13 şi 14 şi orice comunicări în temeiul articolelor 15-22 şi 34
referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă,
utilizând un limbaj clar şi simplu, în special pentru orice informaţii adresate în mod specific
unui copil. Informaţiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este
oportun, în format electronic. La solicitarea persoanei vizate, informaţiile pot fi furnizate
verbal, cu condiţia ca identitatea persoanei vizate să fie dovedită prin alte mijloace.
Art. 13: Informaţii care se furnizează în cazul în care datele cu caracter personal
sunt colectate de la persoana vizată
(1)În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate
de la aceasta, operatorul, în momentul obţinerii acestor date cu caracter personal, furnizează
persoanei vizate toate informaţiile următoare:
a)identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;
b)datele de contact ale responsabilului cu protecţia datelor, după caz;
c)scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al
prelucrării;
(2)În plus faţă de informaţiile menţionate la alineatul (1), în momentul în care datele cu
caracter personal sunt obţinute, operatorul furnizează persoanei vizate următoarele informaţii
suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă:
a)perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu
este posibil, criteriile utilizate pentru a stabili această perioadă;
b)existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter
personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora
sau restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum şi a dreptului
la portabilitatea datelor;
c)atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9
alineatul (2) litera (a), existenţa dreptului de a retrage consimţământul în orice moment, fără
a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea
acestuia;
d)dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;
e)dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală
sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă persoana vizată este
obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale
nerespectării acestei obligaţii;
f)existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la
articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii
pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei
astfel de prelucrări pentru persoana vizată.
Art. 15: Dreptul de acces al persoanei vizate
(1)Persoana vizată are dreptul de a obţine din partea operatorului o confirmare că se
prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la
datele respective şi la următoarele informaţii:
a)scopurile prelucrării;
b)categoriile de date cu caracter personal vizate;
Secţiunea 3: Rectificare şi ştergere
Art. 16: Dreptul la rectificare
Persoana vizată are dreptul de a obţine de la operator, fără întârzieri nejustificate, rectificarea
datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care
au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu
caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.
Art. 17: Dreptul la ştergerea datelor (“dreptul de a fi uitat”)
(1)Persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor cu
caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligaţia de a
şterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul
dintre următoarele motive:
a)datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care
au fost colectate sau prelucrate;
b)persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea
Art. 24: Responsabilitatea operatorului
(1)Ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi
de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile
persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate
pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în
conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează
dacă este necesar.
Art. 30: Evidenţele activităţilor de prelucrare
(1)Fiecare operator şi, după caz, reprezentantul acestuia păstrează o evidenţă a activităţilor
de prelucrare desfăşurate sub responsabilitatea lor. Respectiva evidenţă cuprinde toate
următoarele informaţii:
a)numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat, ale
reprezentantului operatorului şi ale responsabilului cu protecţia datelor;
b)scopurile prelucrării;
c)o descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal;
d)categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter
personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
e)dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o
organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale
respective şi, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf,
documentaţia care dovedeşte existenţa unor garanţii adecvate;
f)acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii
de date;
g)acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de
securitate menţionate la articolul 32 alineatul (1).
(3)Evidenţele menţionate la alineatele (1) şi (2) se formulează în scris, inclusiv în format
electronic.
(4)Operatorul sau persoana împuternicită de acesta, precum şi, după caz, reprezentantul
operatorului sau al persoanei împuternicite de operator pun evidenţele la dispoziţia autorităţii
de supraveghere, la cererea acesteia.
(5)Obligaţiile menţionate la alineatele 1 şi 2 nu se aplică unei întreprinderi sau organizaţii cu
mai puţin de 250 de angajaţi, cu excepţia cazului în care prelucrarea pe care o efectuează
este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor vizate,
prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, astfel cum
se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnări
penale şi infracţiuni, astfel cum se menţionează la articolul 10.
Art. 32: Securitatea prelucrării
(1)Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de
aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi
gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana
împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea
asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după
caz:
a)pseudonimizarea şi criptarea datelor cu caracter personal;
b)capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa
continue ale sistemelor şi serviciilor de prelucrare;
c)capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea
în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d)un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor
tehnice şi organizatorice pentru a garanta securitatea prelucrării.
(2)La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile
prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea,
pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter
personal transmise, stocate sau prelucrate într-un alt mod.
(3)Aderarea la un cod de conduită aprobat, menţionat la articolul 40, sau la un mecanism de
certificare aprobat, menţionat la articolul 42, poate fi utilizată ca element prin care să se
demonstreze îndeplinirea cerinţelor prevăzute la alineatul (1) din prezentul articol.
(4)Operatorul şi persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice
persoană fizică care acţionează sub autoritatea operatorului sau a persoanei împuternicite de
operator şi care are acces la date cu caracter personal nu le prelucrează decât la cererea
operatorului, cu excepţia cazului în care această obligaţie îi revine în temeiul dreptului Uniunii
sau al dreptului intern.
Secţiunea 4: Responsabilul cu protecţia datelor
Art. 37: Desemnarea responsabilului cu protecţia datelor
(1)Operatorul şi persoana împuternicită de operator desemnează un responsabil cu protecţia
datelor ori de câte ori:
a)prelucrarea este efectuată de o autoritate sau un organism public, cu excepţia instanţelor
care acţionează în exerciţiul funcţiei lor jurisdicţionale;
b)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau
în operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor,
necesită o monitorizare periodică şi sistematică a persoanelor vizate pe scară largă; sau
c)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau
în prelucrarea pe scară largă a unor categorii speciale de date, menţionată la articolul 9, sau
a unor date cu caracter personal privind condamnări penale şi infracţiuni, menţionată la
articolul 10.
(2)Un grup de întreprinderi poate numi un responsabil cu protecţia datelor unic, cu condiţia
ca responsabilul cu protecţia datelor să fie uşor accesibil din fiecare întreprindere.
(5)Responsabilul cu protecţia datelor este desemnat pe baza calităţilor profesionale şi, în
special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor,
precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.
(6)Responsabilul cu protecţia datelor poate fi un membru al personalului operatorului sau
persoanei împuternicite de operator sau poate să îşi îndeplinească sarcinile în baza unui
contract de servicii.
(7)Operatorul sau persoana împuternicită de operator publică datele de contact ale
responsabilului cu protecţia datelor şi le comunică autorităţii de supraveghere.
Art. 38: Funcţia responsabilului cu protecţia datelor
(1)Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia
datelor este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia
datelor cu caracter personal.
(2)Operatorul şi persoana împuternicită de operator sprijină responsabilul cu protecţia datelor
în îndeplinirea sarcinilor menţionate la articolul 39, asigurându-i resursele necesare pentru
executarea acestor sarcini, precum şi accesarea datelor cu caracter personal şi a operaţiunilor
de prelucrare, şi pentru menţinerea cunoştinţelor sale de specialitate.
(3)Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia
datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.
Acesta nu este demis sau sancţionat de către operator sau de persoana împuternicită de
operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct
în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.
(4)Persoanele vizate pot contacta responsabilul cu protecţia datelor cu privire la toate
chestiunile legate de prelucrarea datelor lor şi la exercitarea drepturilor lor în temeiul
prezentului regulament.
(5)Responsabilul cu protecţia datelor are obligaţia de a respecta secretul sau
confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale, în conformitate cu dreptul
Uniunii sau cu dreptul intern.
(6)Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau
persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu
generează un conflict de interese.
Art. 39: Sarcinile responsabilului cu protecţia datelor
(1)Responsabilul cu protecţia datelor are cel puţin următoarele sarcini:
a)informarea şi consilierea operatorului, sau a persoanei împuternicite de operator, precum şi
a angajaţilor care se ocupă de prelucrare cu privire la obligaţiile care le revin în temeiul
prezentului regulament şi al altor dispoziţii de drept al Uniunii sau drept intern referitoare la
protecţia datelor;
b)monitorizarea respectării prezentului regulament, a altor dispoziţii de drept al Uniunii sau
de drept intern referitoare la protecţia datelor şi a politicilor operatorului sau ale persoanei
împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv
alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în
operaţiunile de prelucrare, precum şi auditurile aferente;
c)furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei
datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35;
d)cooperarea cu autoritatea de supraveghere;
e)asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele
legate de prelucrare, inclusiv consultarea prealabilă menţionată la articolul 36, precum şi,
dacă este cazul, consultarea cu privire la orice altă chestiune.
(2)În îndeplinirea sarcinilor sale, responsabilul cu protecţia datelor ţine seama în mod
corespunzător de riscul asociat operaţiunilor de prelucrare, luând în considerare natura,
domeniul de aplicare, contextul şi scopurile prelucrării.
Ce înseamnă ”Categorii speciale de date”?
Categoriile speciale sunt acele date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
Exemple de situații care pot constitui o monitorizare periodică și sistematică a persoanelor vizate:
- gestionarea unei rețele de telecomunicații;
- profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul acordării unui credit, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor);
- urmărirea locației, spre exemplu prin aplicații mobile (geolocalizare);
- desfășurarea de programe de loialitate;
- monitorizarea stării de sănătate prin intermediul dispozitivelor portabile;
- televiziune cu circuit închis – CCTV;
- prelucrarea datelor pacienților de către un spital;
- prelucrarea datelor datelor de conținut, locație, trafic de către furnizorii de servicii de internet;
- prelucrarea datelor personale de către companii de asigurări;
- publicitate comportamentală.
III. Sarcinile responsabilului cu protecția datelor
- de a informa şi consilia operatorul, sau persoana împuternicită de operator, precum şi angajaţii care se ocupă de prelucrările de date;
- de a monitoriza respectarea Regulamentului, a altor dispoziţii de drept al Uniunii sau de drept intern referitoare la protecţia datelor;
- de a consilia operatorul în ceea ce priveşte realizarea unei analize de impact asupra protecţiei datelor şi de a monitoriza executarea acesteia;
- de a coopera cu Autoritatea de Supraveghere și de a reprezenta punctul de contact cu aceasta;
- de a ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, la îndeplinirea sarcinilor sale
Este important ca DPO sau echipa sa, să fie implicat, cât mai devreme posibil, în toate aspectele legate
de protecția datelor. În ceea ce privește evaluările impactului asupra protecției datelor, RGPD prevede
în mod explicit implicarea timpurie a DPO și precizează că operatorul solicită avizul DPO atunci când
se efectuează o astfel de evaluare a impactului.33 Asigurarea că DPO este informat și consultat de la
bun început va facilita respectarea RGPD, va promova o abordare privacy by design și, prin urmare, ar
trebui să fie o procedură standard în cadrul guvernării organizației. În plus, este important ca DPO să
fie văzut ca un partener de discuție în cadrul organizației și ca acesta să facă parte din grupurile de
lucru relevante care se ocupă cu activități de prelucrare a datelor din cadrul organizației.
În consecință, organizația ar trebui să se asigure, de exemplu, că:
DPO este invitat să participe în mod regulat la ședințele conducerii la nivel înalt și la nivel
mediu.
Prezența DPO este recomandată în cazul în care se iau decizii cu implicații asupra protecției
datelor. Toate informațiile relevante trebuie să fie transmise DPO în timp util pentru a permite
ca acesta să ofere o consiliere corespunzătoare.
Avizului DPO trebuie să i se acorde întotdeauna o importanță deosebită. În caz de dezacord,
WP29 recomandă, ca bună practică, documentarea motivelor pentru care nu a fost urmat
avizul DPO.
DPO trebuie să fie consultat cu promptitudine imediat ce a avut loc o încălcare a securității
datelor sau un alt incident.