Concepte cheie din legislația specifică. Principalele obligații referitoare la prelucrarea datelor personale pe baza GDPR din mai 2018. Pașii pentru a ajunge spre respectarea legislației. Prezentare susținută de Bogdan Manolea - Asociația pentru Tehnologie și Internet (ApTI - www.apti.ro), pe 7 noiembrie 2017, în cadrul Școlii Digitale pentru ONG-uri: ONG Online. Școala Digitală pentru ONG-uri este un program anual creat de Asociația Techsoup pentru a ajuta angajați și voluntarii organizațiilor neguvernamentale din România și Republica Moldova să beneficieze de training profesionist și la îndemână online în utilizarea tehnologiei sau soluțiilor online disponibile lor. Mai multe pe https://ongonline.techsoup.ro/.

1. Protecția datelor personale în
cadrul unui ONG
Bogdan Manolea
https://www.apti.ro
Webinar
7 noiembrie 2017
București

3. Cine suntem și
ce facem
• Advocacy
• Educație
• Conștientizare

4. CUPRINS
Date personale & zona ONG
• Concepte cheie din legislația specifică datelor cu caracter
personal;
• Principalele obligații referitoare la prelucrarea datelor
personale pe baza GDPR din mai 2018;
• Pașii pentru a ajunge spre respectarea legislației - primele 5
întrebări și primul pas.

5. Ce sunt datele personale
Legea 677/2001
Date cu caracter personal
orice informații referitoare la o persoana fizică
identificată sau identificabilă; o persoană identificabilă
este acea persoană care poate fi identificată, direct sau
indirect, în mod particular prin referire la un număr de
identificare ori la unul sau la mai mulți factori specifici
identității sale fizice, fiziologice, psihice, economice,
culturale sau sociale;

6. Care din informațiile de mai jos pot fi considerate date
cu caracter personal în mod independent:
a. Numărul și seria de buletin
b. Adresa de email
c. Data nașterii
d. Numărul de înmatriculare a unei mașini
e. Adresa IP

7. Datele personale NU sunt doar
l CNP-ul
l Numărul și Seria Cărții de Identitate
l Datele înscrise în Cartea de Identitate

8. Prelucrarea datelor
Cu respectarea principiilor:
l Procesate legal și cu bună-credință
l Colectate în scop determinat și explicit
l Adecvate, pertinente și neexcesive în
raport cu scopul
l Exacte și actualizate. Șterse când nu mai
sunt necesare
l Păstrate doar cât sunt necesare scopului

9. Categorii speciale de date
l originea rasială sau etnică
l convingerile politice, religioase, filozofice
sau de natură similară
l apartenența sindicală,
l datele cu caracter personal privind starea
de sănătate sau viața sexuală
l + CNP sau alte date având funcție de
identificare de aplicabilitate generală
l + Date legate de fapte
penale/contravenții/cazier

10. Pentru categoriile speciale
l Prelucrarea este interzisă – de principiu
l Excepții (exemple)
- Acordul expres al persoanei
- Dreptul muncii – dispoziții specifice
- Când prelucrarea este efectuată în cadrul
activităților sale legitime de către o fundație,
asociație (…) cu condiția ca persoana vizată
să fie membră sau să întrețină cu aceasta
relații care privesc specificul activității
organizației

11. Pentru categoriile speciale
l Exceptii (exemple)
- Date făcute publice în mod manifest de către
persoana vizată
- Prelucrarea este necesară în scopuri de medicină
preventivă, de stabilire a diagnosticelor medicale, de
administrare a unor îngrijiri sau tratamente medicale
pentru persoana vizată – doar daca prelucrarea e
facuta de un medic
- Prelucrarea datelor privind starea de sănătate poate
fi efectuată numai de către ori sub supravegherea
unui cadru medical
l Exceptie: pericol iminent sau consimțământ expres scris

12. Trebuie să mă intereseze ca
organizație protecția datelor?
Păstrezi sau procesezi orice informație cu privire la
persoane fizice în viață?
Da – atunci ești operator de date cu caracter personal
Ce informație personală este păstrată?
Cum se utilizează informația și pentru ce?
Asta rezultă într-o politică a organizației cu privire la
modul de procesare a datelor personale
Înregistrare la Autoritate (?!)

13. Dacă colectez date cu caracter personal trebuie
întotdeauna să:
a. Notific Autoritatea înainte de începerea colectării
b. Obțin consimțământul persoanei înainte de
începerea colectarii
c. Informez persoanele vizate despre scopurile
prelucrării

14. Notificare Autoritate
D 200/2015
a) prelucrarea datelor legate de rasă, etnie, sex, convingeri politice,
religie, starea de sănătate, apartenența sindicală
b) prelucrarea datelor genetice și biometrice
c) prelucrarea datelor care permit localizarea geografică
(...)
e) prelucrarea datelor care duc la monitorizarea comportamentului,
competenței profesionale sau personalității sau a creării de profile
despre utilizatori
(...)
l) prelucrarea datelor cu caracter personal prevăzute la lit. a),
referitoare la propriii membri, efectuată de asociaţii, fundaţii sau
orice alte organizaţii fără scop patrimonial exclusiv în vederea
realizării specificului activităţii organizaţiei, în măsura în care datele
sunt dezvăluite unor terţi fără consimţământul persoanei vizate.

15. GDPR
GDPR – General Data Protection Regulation –
Regulamentul general privind protecția datelor –
Regulamentul UE 2016/679
l Directă aplicare în legislația internă (va înlocui
legea 677/2001) din 25 mai 2018
l Domeniul larg de aplicare – orice persoană
(fizică sau juridică) care prelucrează date cu
caracter personal
l Sancțiuni impresionante
- Până la 10 milioane euro sau 2% din cifra de afaceri
- Până la 20 milioane euro sau 4% din cifra de afaceri
»

16. Câteva noutăți pentru România
l Fără notificare/înregistrare
l Responsabilitate și conformare
(compliance)
l Notificarea pentru încălcarea securității
l Responsabilul pentru protecția datelor
l Coduri de conduită și certificare

17. Responsabilitatea operatorului
Art 24. Ținând seama de natura, domeniul de
aplicare, contextul și scopurile prelucrării, precum
și de riscurile cu grade diferite de probabilitate și
gravitate pentru drepturile și libertățile
persoanelor fizice, operatorul pune în aplicare
măsuri tehnice și organizatorice adecvate pentru
a garanta și a fi în măsură să demonstreze că
prelucrarea se efectuează în conformitate cu
prezentul regulament.

18. Adică cum?
Art 5 (2) Operatorul este responsabil de
respectarea alineatului (1) și poate demonstra
această respectare („responsabilitate”):
Principii:
prelucrate în mod legal, echitabil, transparent
colectate în scopuri determinate, explicite și legitime
adecvate, relevante și limitate
exacte, actualizate
stocate pe o perioadă determinată
în condiții de integritate și confidențialitate

19. Ca să fim clari...
Până în 25 mai 2018 NU se aplică GDPR,
obligațiile actuale din legea română
(inclusiv notificarea – în anumite cazuri)
fiind obligatorie;
Cele 5 întrebări nu reprezinta un test complet
...

20. 1. Ce date personale colectați?

21. Domeniu de aplicare
date cu caracter personal - orice informații privind o
persoană fizică identificată sau identificabilă
(„persoana vizată”); o persoană fizică identificabilă
este o persoană care poate fi identificată, direct sau
indirect, în special prin referire la un element de
identificare, cum ar fi un nume, un număr de
identificare, date de localizare, un identificator
online, sau la unul sau mai multe elemente
specifice, proprii identității sale fizice, fiziologice,
genetice, psihice, economice, culturale sau sociale

22. Pentru un ONG ar putea fi:
Datele membrilor
Datele persoanelor înscrise la newsletter
Datele vizitatorilor paginii web
Datele vizitatorilor paginii de Facebook
Datele angajaților
Datele suporterilor
Datele participanților la un eveniment
Etc?

23. 2. Legalitate - Pe ce bază colectați datele
personale?

24. GDPR – Art 6 (1)
Consimțământ Art 6 (1) a)
Executarea unui contract la care persoana vizată
este parte sau pentru a face demersuri la cererea
persoanei vizate înainte de încheierea unui
contract Art 6 (1) (b)
Prelucrarea este necesară în vederea îndeplinirii
unei obligații legale care îi revine operatorului Art
6 (1) (c)
Interesele legitime ale Operatorului - Art 6 (1) (f)

25. La un ONG ar putea fi:
Datele pentru newsletter - art 6 (1) a)
Datele pentru un contract – art 6 (1) b)
Datele pentru o factură – art 6 (1) c)
Datele de la un eveniment:
- de obicei bazate pe consimțământ

26. 3. Cui îi mai dați datele personale?

27. GDPR – Art 4 Pct 7&8
Operator - înseamnă persoana fizică sau juridică,
(...) care, singur sau împreună cu altele,
stabilește scopurile și mijloacele de prelucrare a
datelor cu caracter personal; (eng – data
controller)
Persoană împuternicită de operator - înseamnă
persoana fizică sau juridică (...) care prelucrează
datele cu caracter personal în numele
operatorului; (eng – data processor)

28. La un ONG ar putea fi:
Operator – ONG-ul
Împuterniciți:
Găzduirea sau Programatorii
Banca
CRM?
Furnizori de marketing (integrali sau specializați – de ex.
Newsletter - Mailchimp, etc.)
Terți care sunt integrați în site – Google Analytics, Facebook
Like, etc.

29. Obligații
Contract scris între operator și împuternicit
(art 28 (3))
Prelucrează datele cu caracter personal numai
pe baza unor instrucțiuni documentate din
partea operatorului
Obligații de confidențialitate
Etc.
Nu pot delega operațiunile unui alt
împuternicit (sub-processor) fără acordul
operatorului.

30. 4. Ce măsuri luați pentru a asigura securitatea
datelor?

31. GDPR
l Securitatea prelucrării (art 32)
(1) Având în vedere stadiul actual al dezvoltării, costurile
implementării și natura, domeniul de aplicare, contextul și
scopurile prelucrării, precum și riscul cu diferite grade de
probabilitate și gravitate pentru drepturile și libertățile
persoanelor fizice, operatorul și persoana împuternicită
de acesta implementează măsuri tehnice și
organizatorice adecvate în vederea asigurării unui nivel de
securitate corespunzător acestui risc, incluzând printre
altele, după caz:

32. GDPR - securitate
l Deci poate include (art 32)
(a) pseudonimizarea și criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confidențialitatea, integritatea,
disponibilitatea și rezistența (resilience) continue ale sistemelor și
serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter
personal și accesul la acestea în timp util în cazul în care are loc un
incident de natură fizică sau tehnică;
(d) un proces pentru testarea, evaluarea și aprecierea periodice ale
eficacității măsurilor tehnice și organizatorice pentru a garanta
securitatea prelucrării.

33. La un ONG ar putea fi:
Securitatea datelor colectate de către ONG
Inclusiv păstrarea de către angajați a securității
prelucrărilor (clauze contractuale)
Securitatea datelor de către împuterniciți
Contract
“oferă garanții suficiente pentru punerea în
aplicare a unor măsuri tehnice și organizatorice
adecvate”

34. 5. Puteți să informați autoritatea în cazul
încălcării securității datelor?

35. GDPR – art 33
l Notificarea privind încălcarea securității datelor personale
l În cazul în care are loc o încălcare a securității datelor
cu caracter personal, operatorul notifică acest lucru (...),
fără întârzieri nejustificate și, dacă este posibil, în termen
de cel mult 72 de ore de la data la care a luat cunoștință
de aceasta (…)
l „încălcarea securității datelor cu caracter personal”
înseamnă o încălcare a securității care duce, în mod
accidental sau ilegal, la distrugerea, pierderea,
modificarea, sau divulgarea (...), sau la accesul
neautorizat la acestea;

36. GDPR – Notificarea (2)
Notificarea privind încălcarea securității datelor
personale:
l Către Autoritate (ANSPDCP)
l Sau către persoanele vizate, daca “este
susceptibilă să genereze un risc ridicat pentru
drepturile și libertățile persoanelor fizice”
- Excepție: criptarea (sau alte măsuri tehnice similare)
sau riscul ridicat nu mai este susceptibil să se
materializeze;

37. Noul Regulament privind protecția datelor personale
obligă:
a. Notificarea Autorității după începerea colectării
b. Obținerea consimțământului pentru toate prelucrările
c. Notificarea autorității în cazul încălcării securității
d. Depunerea contractelor la Autoritate

38. Acestea ar putea fi:
O procedură pentru:
• A detecta incălcările de securitate la date
personale
• A stabili cum și ce notifici către Autoritate
• A primi informări similare de la împuterniciți
Obligația de a impune obligații similare pentru
împuterniciți.

39. TEMĂ
Primul pas spre compliance
Construiți un document care să răspundă la primele întrebări:
• Ce date colectați?
• Care este baza legală?
• Cui îi mai dați datele personale?
• Ce măsuri de securitate aveți?
Primele 5 răspunsuri primite până pe vineri, 10 noiembrie, ora 23:59 primesc un
feedback punctual pe informațiile trimise, ca și următorii pași.

40. Următorul webinar
Drepturi de autor și
licențe deschise
Luni, 20 noiembrie 2017 - ora 17:00, vei învăța despre:
• Noțiuni de drepturi de autor (copyright);
• Excepții și limitări ale legislației actuale ce permit utilizarea operelor;
• Ce înseamnă licențele libere și de ce sunt importante;
• Cum folosești creativ licențele libere pentru a publica și/sau folosi conținut de pe
Internet în mod legal.

41. Mulțumesc
Bogdan.manolea@apti.ro