– Regulamentul (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE;
– Legea nr. 190/2018 privind masuri de punere in aplicare a Regulamentului, publicata in Monitorul Oficial nr. 651 din 26 iulie 2018. Astfel, legea face referire in art. 10 la obligatia operatorilor si a persoanelor imputernicite de operator de a desemna un responsabil cu protectia datelor, pentru atributiile acestuia facand trimitere la Regulamentul European.
Desemnarea unui Data Protection Officer (DPO) este obligatorie numai in anumite cazuri, special determinate in Regulament, respectiv daca:
– prelucrarea este efectuata de o autoritate sau un organism public;
– operatiunile de prelucrare sunt periodice si sistematice;
– privesc prelucrarea pe scara larga a unor date speciale;
– constituie activitatea principala a firmei.
Regulamentul intern in avantajul dvs Ghid complet
40 Modele de Regulament Intern
Consilier - Codul Muncii abonament 12 actualizari
Activitatile principale reprezinta operatiuni-cheie necesare pentru indeplinirea obiectivelor operatorului sau persoanei imputernicite, dar nu ar trebui interpretate ca excluzand activitatile in care prelucrarea datelor reprezinta o parte indispensabila a activitatii.
De exemplu: o companie de securitate asigura paza unor spatii publice. Supravegherea este activitatea de baza a companiei care, la randul sau, este indisolubil legata de prelucrarea datelor cu caracter personal. Contrar, pentru plata angajatilor se proceseaza date, dar aceasta este functie auxiliara pentru activitatea de baza.
Prelucrarea pe scara larga reprezinta prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, national sau supranational si care ar putea afecta un numar mare de persoane vizate, susceptibile de a genera un risc ridicat. De exemplu: prelucrarea datelor pacientilor in activitatea regulata a unui spital.
Monitorizarea periodica si sistematica poate fi interpretata ca insemnand una sau mai multe din urmatoarele: in curs de desfasurare sau care apare la anumite intervale intr-o anumita perioada; recurenta sau repetata la perioade fixe; constanta sau care are loc periodic; prearanjata, organizata sau metodica; luand loc ca parte a unui plan general de colectare a datelor; efectuata ca parte a unei strategii. De exemplu: operarea unei retele de telecomunicatii; e-mail de directionare repetata si/sau activitati de marketing bazate pe date (newsletter sau oferte personalizate); profilare si scoring in scopul evaluarii riscurilor; programe de loialitate; publicitate comportamentala; monitorizarea datelor de sanatate prin dispozitive portabile etc.
Totusi, desemnarea unui astfel de responsabil poate fi utila si in celelalte cazuri, pentru a avea in cadrul firmei un consultant specializat pe probleme de protectia datelor si pentru a evita orice risc din acest punct de vedere.
Operatorul sau persoana imputernicita de operator publica datele de contact ale responsabilului cu protectia datelor si le comunica autoritatii de supraveghere.
Potrivit art. 39 din Regulamentul european, responsabilul cu protectia datelor are cel putin urmatoarele sarcini:
(a) informarea si consilierea operatorului, sau a persoanei imputernicite de operator, precum si a angajatilor care se ocupa de prelucrare cu privire la obligatiile care le revin in temeiul Regulamentului european in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si al altor dispozitii de drept al Uniunii sau drept intern referitoare la protectia datelor;
(b) monitorizarea respectarii prezentului regulament, a altor dispozitii de drept al Uniunii sau de drept intern referitoare la protectia datelor si a politicilor operatorului sau ale persoanei imputernicite de operator in ceea ce priveste protectia datelor cu caracter personal, inclusiv alocarea responsabilitatilor si actiunile de sensibilizare si de formare a personalului implicat in operatiunile de prelucrare, precum si auditurile aferente;
(c) furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor si monitorizarea functionarii acesteia, in conformitate cu art. 35. Intr-adevar, in art. 35 din Regulament se prevede ca in cazul in care un tip de prelucrare, in special cel bazat pe utilizarea noilor tehnologii, este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, operatorul efectueaza, inaintea prelucrarii, o evaluare a impactului operatiunilor de prelucrare prevazute asupra protectiei datelor cu caracter personal. La realizarea unei evaluari a impactului asupra protectiei datelor, operatorul solicita avizul respon sabilului cu protectia datelor, daca acesta a fost desemnat;
(d) cooperarea cu autoritatea de supraveghere;
(e) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabila cu autoritatea de supraveghere pentru a obtine autorizarea din partea acesteia in legatura cu prelucrarea speciala de date, precum si, daca este cazul, consultarea cu privire la orice alta chestiune.
....Iata cum sa va protejati firma prin politici si proceduri GDPR inteligente si eficiente! Va oferim acum lucrarile pe stick: Manual de politici GDPR si Manual de Proceduri GDPR, super OFERTA AICI <<<
