Sectiunea 3 Evaluarea impactului asupra protectiei datelor si consultarea prealabila Articolul 35 Evaluarea impactului asupra protectiei datelor (1) Avand in vedere natura, domeniul de aplicare, contextul si scopurile prelucrarii, in cazul in care un tip de prelucrare, in special cel bazat pe utilizarea noilor tehnologii, este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, operatorul efectueaza, inaintea prelucrarii, o evaluare a impactului operatiunilor de prelucrare prevazute asupra protectiei datelor cu caracter personal. O evaluare unica poate aborda un set de operatiuni de prelucrare similare care prezinta riscuri ridicate similare. (2) La realizarea unei evaluari a impactului asupra protectiei datelor, operatorul solicita avizul responsabilului cu protectia datelor, daca acesta a fost desemnat. (3) Evaluarea impactului asupra protectiei datelor mentionata la alineatul (1) se impune mai ales in cazul: (a) unei evaluari sistematice si cuprinzatoare a aspectelor personale referitoare la persoane fizice, care se bazeaza pe prelucrarea automata, inclusiv crearea de profiluri, si care sta la baza unor decizii care produc efecte juridice privind persoana fizica sau care o afecteaza in mod similar intr-o masura semnificativa; (b) prelucrarii pe scara larga a unor categorii speciale de date, mentionata la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnari penale si infractiuni, mentionata la articolul 10; sau (c) unei monitorizari sistematice pe scara larga a unei zone accesibile publicului. (4) Autoritatea de supraveghere intocmeste si publica o lista a tipurilor de operatiuni de prelucrare care fac obiectul cerintei de efectuare a unei evaluari a impactului asupra protectiei datelor, in conformitate cu alineatul (1). Autoritatea de supraveghere comunica aceste liste comitetului mentionat la articolul 68. (5) Autoritatea de supraveghere poate, de asemenea, sa stabileasca si sa puna la dispozitia publicului o lista a tipurilor de operatiuni de prelucrare pentru care nu este necesara o evaluare a impactului asupra protectiei datelor. Autoritatea de supraveghere comunica aceste liste comitetului. (6) Inainte de adoptarea listelor mentionate la alineatele (4) si (5), autoritatea de supraveghere competenta aplica mecanismul pentru asigurarea coerentei mentionat la articolul 63 in cazul in care aceste liste implica activitati de prelucrare care presupun furnizarea de bunuri sau prestarea de servicii catre persoane vizate sau monitorizarea comportamentului acestora in mai multe state membre ori care pot afecta in mod substantial libera circulatie a datelor cu caracter personal in cadrul Uniunii. (7) Evaluarea contine cel putin: (a) o descriere sistematica a operatiunilor de prelucrare preconizate si a scopurilor prelucrarii, inclusiv, dupa caz, interesul legitim urmarit de operator; (b) o evaluare a necesitatii si proportionalitatii operatiunilor de prelucrare in legatura cu aceste scopuri; (c) o evaluare a riscurilor pentru drepturile si libertatile persoanelor vizate mentionate la alineatul (1); si (d) masurile preconizate in vederea abordarii riscurilor, inclusiv garantiile, masurile de securitate si mecanismele menite sa asigure protectia datelor cu caracter personal si sa demonstreze conformitatea cu dispozitiile prezentului regulament, luand in considerare drepturile si interesele legitime ale persoanelor vizate si ale altor persoane interesate. (8) La evaluarea impactului operatiunilor de prelucrare efectuate de operatorii sau de persoanele imputernicite de operatori relevante, se are in vedere in mod corespunzator respectarea de catre operatorii sau persoanele imputernicite respective a codurilor de conduita aprobate mentionate la articolul 40, in special in vederea unei evaluari a impactului asupra protectiei datelor. (9) Operatorul solicita, acolo unde este cazul, avizul persoanelor vizate sau al reprezentantilor acestora privind prelucrarea prevazuta, fara a aduce atingere protectiei intereselor comerciale sau publice ori securitatii operatiunilor de prelucrare . (10) Atunci cand prelucrarea in temeiul articolului 6 alineatul (1) litera (c) sau (e) are un temei juridic in dreptul Uniunii sau al unui stat membru sub incidenta caruia intra operatorul, iar dreptul respectiv reglementeaza operatiunea de prelucrare specifica sau setul de operatiuni specifice in cauza si deja s-a efectuat o evaluare a impactului asupra protectiei datelor ca parte a unei evaluari a impactului generale in contextul adoptarii respectivului temei juridic, alineatele (1)-(7) nu se aplica, cu exceptia cazului in care statele membre considera ca este necesara efectuarea unei astfel de evaluari inaintea desfasurarii activitatilor de prelucrare . (11) Acolo unde este necesar, operatorul efectueaza o analiza pentru a evalua daca prelucrarea are loc in conformitate cu evaluarea impactului asupra protectiei datelor, cel putin atunci cand are loc o modificare a riscului reprezentat de operatiunile de prelucrare . Articolul 36 Consultarea prealabila (1) Operatorul consulta autoritatea de supraveghere inainte de prelucrarea atunci cand evaluarea impactului asupra protectiei datelor prevazuta la articolul 35 indica faptul ca prelucrarea ar genera un risc ridicat in absenta unor masuri luate de operator pentru atenuarea riscului. (2) Atunci cand considera ca prelucrarea prevazuta mentionata la alineatul (1) ar incalca prezentul regulament, in special atunci cand riscul nu a fost identificat sau atenuat intr-o masura suficienta de catre operator, autoritatea de supraveghere ofera consiliere in scris operatorului si, dupa caz, persoanei imputernicite de operator, in cel mult opt saptamani de la primirea cererii de consultare, si isi poate utiliza oricare dintre competentele mentionate la articolul 58. Aceasta perioada poate fi prelungita cu sase saptamani, tinandu-se seama de complexitatea prelucrarii prevazute. Autoritatea de supraveghere informeaza operatorul si, dupa caz, persoana imputernicita de operator, in termen de o luna de la primirea cererii, cu privire la orice astfel de prelungire, prezentand motivele intarzierii. Aceste perioade pot fi suspendate pana cand autoritatea de supraveghere a obtinut informatiile pe care le-a solicitat in scopul consultarii. (3) Atunci cand consulta autoritatea de supraveghere in conformitate cu alineatul (1), operatorul ii furnizeaza acesteia: (a) daca este cazul, responsabilitatile respective ale operatorului, ale operatorilor asociati si ale persoanelor imputernicite de operator implicate in activitatile de prelucrare, in special pentru prelucrarea in cadrul unui grup de intreprinderi;
Orice persoana are dreptul sa stie cui i-au fost comunicate datele sale personale Sursa: MCP Cabinet avocati
Incidenta Regulamentului GDPR in cazul difuzarii in direct prin videoconferinta a cursurilor de invatamant scolar Sursa: MCP Cabinet avocati
Simpla incalcare a Regulamentului GDPR nu constituie temeiul unui drept la despagubiri Sursa: MCP Cabinet avocati
Prelucrarea datelor minorilor, inclusiv a codului numeric personal, in contextul functionarii sistemului e-ticheting cu carduri Sursa: Raportul pe anul 2020 al ANSPDCP
Evaluarea salariatilor prin procese automate, aplicatii si platforme electornice Sursa: avocat Gales Iulian | MCP Cabinet avocati
Revocarea consimtamantului din perspectiva Regulamentulului general privind protectia datelor nr. 679/2016 Sursa: avocat STOICA IOANA, BAROUL CONSTANTA
Raspunderea operatorului de date cu caracter personal in cazul unui incident de securitate Sursa: avocat Irina Maria Diculescu | MCP Cabinet avocati