Coordonator: Av. Marius-Cătălin Preduţ

Codul muncii comentat 2019 Avocat Marius-Catalin Predut
Prima pagină » Ştiri juridice » GDPR. Cazurile in care este obligatorie realizarea evaluarii impactului asupra protectiei datelor cu caracter personal (DPIA/EIPD)

GDPR. Cazurile in care este obligatorie realizarea evaluarii impactului asupra protectiei datelor cu caracter personal (DPIA/EIPD)

  Publicat: 11 Nov 2018       615 citiri       Sursa: Av. Andrei-Gheorghe Gherasim  


Codul muncii comentat Marius-Catalin Predut
Monitorul Oficial al României este publicaţia oficială a statului român, în care se publică actele prevăzute de Constituţie, de prezenta lege şi alte acte normative.
In conformitate cu prevederile art. 35 alin. (4) din Regulamentul general privind protectia datelor, care stipuleaza ca autoritatea de supraveghere este cea care intocmeste si publica o lista a tipurilor de operatiuni de prelucrare care fac obiectul cerintei de efectuare a unei evaluari a impactului asupra protectiei datelor, a fost emisa de catre ANSPDCP Decizia nr. 174/2018, publicata in Monitorul Oficial al Romaniei nr. 919 din data de 31 octombrie 2018, Partea I, intrand in vigoare la data publicarii.

1. Determinare cu aproximatie (sinonim cu estimare) a unei anumite cantitati, in acest sens evaluarea poate reprezenta o anticipare a operatiei de masurare propriu-zisa sau o poate inlocui, atunci cand nu este posibila o masurare suficient de exacta
1. Determinare cu aproximatie (sinonim cu estimare) a unei anumite cantitati, in acest sens evaluarea poate reprezenta o anticipare a operatiei de masurare propriu-zisa sau o poate inlocui, atunci cand nu este posibila o masurare suficient de exacta
inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal,
Este acel raport juridic in continutul caruia intra dreptul subiectului activ, denumit creditor, de a cere subiectului pasiv, denumit debitor, sa dea, sa faca sau sa nu faca ceva, sub sanctiunea constrangerii de stat in cazul neexecutarii de buna voie.
Orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”);
Este acel raport juridic in continutul caruia intra dreptul subiectului activ, denumit creditor, de a cere subiectului pasiv, denumit debitor, sa dea, sa faca sau sa nu faca ceva, sub sanctiunea constrangerii de stat in cazul neexecutarii de buna voie.
Orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”);
1. Determinare cu aproximatie (sinonim cu estimare) a unei anumite cantitati, in acest sens evaluarea poate reprezenta o anticipare a operatiei de masurare propriu-zisa sau o poate inlocui, atunci cand nu este posibila o masurare suficient de exacta
1. Determinare cu aproximatie (sinonim cu estimare) a unei anumite cantitati, in acest sens evaluarea poate reprezenta o anticipare a operatiei de masurare propriu-zisa sau o poate inlocui, atunci cand nu este posibila o masurare suficient de exacta
Omul considerat in mod individual, ca membru al societatii, avand calitatea de subiect de drept.
Complex de actiuni desfasurate pentru cunoasterea cerintelor de produse si servicii ale coconsumatorilor,
Retea formata din sute de milioane de calculatoare, conectate intre ele, pe principiul \"oricine cu oricine\", pe care se gasesc cateva zeci de mii de servere care asteapta, gata sa deserveasca cereri de la oricare din milioanele de calculatoare client.
Termen folosit in t. VIII, art. 145, C. pen., partea generala, prin el intelegandu-se tot ce priveste autoritatile publice,
Este acel raport juridic in continutul caruia intra dreptul subiectului activ, denumit creditor, de a cere subiectului pasiv, denumit debitor, sa dea, sa faca sau sa nu faca ceva, sub sanctiunea constrangerii de stat in cazul neexecutarii de buna voie.
Forma specifica a motivatiei care consta in orientarea activa si durabila a persoanei spre anumite domenii de activitate, fiind cel mai puternic mobil al actiunilor omenesti.
Termen folosit in t. VIII, art. 145, C. pen., partea generala, prin el intelegandu-se tot ce priveste autoritatile publice,
Ansamblul normelor care reglementeaza relatiile sociale din cadrul unui singur stat.
1. Determinare cu aproximatie (sinonim cu estimare) a unei anumite cantitati, in acest sens evaluarea poate reprezenta o anticipare a operatiei de masurare propriu-zisa sau o poate inlocui, atunci cand nu este posibila o masurare suficient de exacta
Orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”);

Pe langa nominalizarea operatiunilor efective pentru care este necesara aceasta evaluare de impact, Decizia nr. 174/2018 aduce o serie de precizari importante, care se regasesc sub o forma sau alta si in cuprinsul Regulamentului (UE) 679/2016.


De exemplu, in cazul in care o evaluare a impactului asupra protectiei datelor arata ca operatiunile de prelucrare implica un risc ridicat, pe care operatorul nu il poate atenua prin masuri adecvate sub aspectul tehnologiei disponibile si al costurilor implementarii, ar trebui sa aiba loc o consultare a autoritatii de supraveghere, anterior oricarei operatiuni de prelucrare .


In cuprinsul Deciziei nr. 174/2018 se mentioneaza si faptul ca "obligatia generala de a notifica prelucrarea datelor cu caracter personal autoritatilor de supraveghere nu a contribuit intotdeauna la imbunatatirea protectiei datelor cu caracter personal".


Prin urmare, prin abrogarea Directivei 95/46/CE (incepand cu data de25 mai 2018)operatorii nu mai au obligatia notificarii prelucrarilor de date . Aceasta obligatie a fost inlocuita cu alte mecanisme eficiente, inclusiv cu obligatia de a efectua evaluarea impactului asupra protectiei datelor cu caracter personal in cazurile specifice. Acesta este si motivul pentru care pe site-ul oficial al ANSPDCP exista clarificari exprese privind eliminarea obligatiei operatorilor de a notifica prelucrarile de date efectuate.


In mod general, evaluarea impactului asupra protectiei datelor cu caracter personal, cunoscuta si sub numele de DPIA sau EIPD, este necesara ori de cate ori prelucrarea de date cu caracter personal este susceptibila de a genera un risc ridicat pentru drepturile si libertatile persoanelor fizice. Astfel, DPIA/EIPD este necesara cel putin in urmatoarele cazuri:



  • prelucrarea vizeaza o evaluare sistematica si cuprinzatoare a aspectelor personale referitoare la o persoana fizica, inclusiv crearea de profiluri;

  • prelucrarea pe scara larga a unor date sensibile;

  • monitorizarea sistematica pe scara larga a unor zone accesibile publicului.


Operatorii ar trebui sa efectueze, inainte de prelucrarea propriu-zisa, o evaluare a impactului asupra protectiei datelor, in scopul evaluarii urmatoarelor elemente:


- gradul specific de probabilitate a materializarii riscului ridicat;


- gravitatea riscului, avand in vedere natura, domeniul de aplicare, contextul si scopurile prelucrarii;


- sursele riscului.


In mod special, evaluarea impactului asupra protectiei datelor cu caracter personal de catre operatori este obligatorie in urmatoarele cazuri:


a) prelucrarea datelor cu caracter personal in vederea realizarii unei evaluari sistematice si cuprinzatoare a aspectelor personale referitoare la persoane fizice, care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri, si care sta la baza unor decizii care produc efecte juridice privind persoana fizica sau care o afecteaza in mod similar intr-o masura semnificativa;


b) prelucrarea pe scara larga a datelor cu caracter personal privind originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unica a unei persoane fizice, a datelor privind sanatatea, viata sexuala sau orientarea sexuala ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnari penale si infractiuni;


c) prelucrarea datelor cu caracter personal avand ca scop monitorizarea sistematica pe scara larga a unei zone accesibile publicului, cum ar fi supravegherea video in centre comerciale, stadioane, piete, parcuri sau alte asemenea spatii;


d) prelucrarea pe scara larga a datelor cu caracter personal ale persoanelor vulnerabile, in special ale minorilor si ale angajatilor, prin mijloace automate de monitorizare si/sau inregistrare sistematica a comportamentului, inclusiv in vederea desfasurarii activitatilor de reclama, marketing si publicitate;


e) prelucrarea pe scara larga a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, in special in cazul in care operatiunile respective limiteaza capacitatea persoanelor vizate de a-si exercita drepturile, cum ar fi utilizarea tehnicilor de recunoastere faciala in vederea facilitarii accesului in diferite spatii;


f) prelucrarea pe scara larga a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicatii "Internetul lucrurilor", cum ar fi smart TV, vehicule conectate, contoare inteligente, jucarii inteligente, orase inteligente sau alte asemenea aplicatii);


g) prelucrarea pe scara larga si/sau sistematica a datelor de trafic si/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografica a pasagerilor in transportul public sau alte asemenea situatii) atunci cand prelucrarea nu este necesara pentru prestarea unui serviciu solicitat de persoana vizata.


Exista doua exceptii de la obligatia de efectuare a DPIA/EIPD, respectiv:


- prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului, sau


- prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul.


Cand are un temei juridic in dreptul Uniunii sau in dreptul intern si deja s-a efectuat o evaluare a impactului asupra protectiei datelor, DPIA/EIPD nu mai este necesara.


In cuprinsul Deciziei nr. 174/2018 sunt exemplificate si doua cazuri in care DPIA/EIPD nu este obligatorie. In consecinta, cand prelucrarea se refera la date cu caracter personal de la pacienti sau clienti de catre un anumit medic, un alt profesionist in domeniul sanatatii sau un avocat, DPIA/EIPD nu este necesara.



Avocat Gherasim Andra-Madalina



Citeşte mai multe despre:    GDPR    realizarea evaluarii impactului asupra protectiei datelor cu caracter personal    Decizia autoritatii de supraveghere nr. 174/2018



Comentează: GDPR. Cazurile in care este obligatorie realizarea evaluarii impactului asupra protectiei datelor cu caracter personal (DPIA/EIPD)
Alte titluri

Mai 2019: Aniversare 1 an de GDPR
18 May 2019 | 102

[CARTE] Codul muncii comentat, av. Marius-Catalin Predut. Editia a 2-a
06 Feb 2019 | 634

Parlamentul a adoptat noi reglementari privind accesul la informatiile cu caracter confidential ale pacientilor
04 Jan 2019 | 637

[INTEGRAL] Legea GDPR aplicabila in Romania a fost a fost promulgata
19 Jul 2018 | 2573

Rectificarea GDPR din 4 mai 2018
25 May 2018 | 1437



Articole Juridice

Restrangerea dreptului la viata privata, intima si de familie prin metodele speciale de supraveghere tehnica. Proportionalitatea actiunilor
Sursa: Liliana Gologan

Dreptul la viata privata pe retelele de socializare, intre victima si iresponsabil
Sursa: Irina Maria Diculescu

Regulament intern angajatori-salariati | Model 2019
Sursa: MCP Cabinet avocati

Contract individual de munca 2019 (Model editabil WORD si PDF). CIM 2019, conform modificarilor aduse Codului muncii
Sursa: MCP Cabinet avocati