GDPR 2018 - PROTECTIA DATELOR CU CARACTER

PERSONAL IN CADRUL UNEI UNIVERSITATI

PARTICULARE. CUM SE PROCEDEAZA?
In data de 25 mai 2018 va intra in vigoare Regulamentul general privind protectia datelor.
Regulamentul (UE) 2016/679 impune un set unic de reguli in materia protectiei datelor cu
caracter personal, inlocuind cu aceasta data Directiva 95/46/CE si, implicit, prevederile Legii nr.
677/2001. Fiind un regulament, acesta este de direct aplicare; asadar nu va mai fi necesara nicio
lege nationala de transpunere.

De aceea trebuie sa ne pregatim din timp pentru aplicarea acestuia.

In raport cu legalitatea prelucrarii datelor cu caracter personal, Regulamentul precizeaza ca

prelucrarea este legala numai daca, si in masura in care, se aplica cel putin una dintre
urmatoarele conditii:

· persoana vizata si-a dat consimtamantul pentru prelucrarea datelor sale cu caracter personal
pentru unul sau mai multe scopuri specifice...vezi mai multe despre Regulamentul privind
protectia datelor cu caracter personal >>>

Iata o speta prezentata pe PortalCodulMuncii.ro:

"Suntem o universitate privata avand ca misiune principala invatamantul universitar, inregistrata

la Autoritatea Naionala de Supraveghere a Prelucrarii Datelor cu Caracter Personal ca operator
de date cu caracter personal. Mentinam ca datele personale ale studentilor sunt solicitate de
catre institutii ale statului precum: Ministerul Educatiei Nationale (Registrul Matricol Unic,s.a.),
Casa de Sanatate, Agentia Judeteana pentru Ocuparea Fortei de Munca s.a. Avand in vedere
obligatiile legislative cu privire la prelucrarea datelor cu caracter personal din mai 2018, va rugam
sa ne comunicati daca: 1. Universitatea este obligata sa implementeze cerintele impuse de
regulament? 2. E necesar sa desemnam un responsabil cu protectia datelor (DPO) conform
dispozitiilor art. 37 - 39 din Regulament? Daca da, ce profesie este indicat sa aiba? Trebuie sa
intocmim un regulament cu privire la protectia datelor cu caracter personal la nivel de universitate
cu privire la activitatea Secretariatului(opereaza cu datele personale ale studentilor),
Departamentuluiresurse umane si Departamentului financiar-contabil?"

Raspunsul specialistilor Rentrop & Straton:

Referitor la prima intrebare, apreciem ca universitatea trebuie sa aplice prevederile

Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016
privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si
privind libera circulatie a acestor date si de abrogare a directivei 95/46/CE (regulamentul general
privind protectia datelor).

Universitatea este operator de date cu caracter personal inregistrat la Autoritatea Nationala de

Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), in conformitate cu
prevederile Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu
caracter personal si libera circulatie a acestor date.

Aceasta lege urmeaza a fi abrogata insa, in locul ei urmand a fi aplicat Regulamentul (UE)
2016/679. Proiectul de lege de abrogare a Legii nr. 677/2001 propus de Guvern (martie 2018) a
fost deja adoptat de Camera Deputatilor (aprilie 2018), aflandu-se in prezent la Senat in
procedura de aprobare. Apreciem ca va fi aprobata pana la data de 25 mai 2018, avand in
vedere faptul ca, textul proiectului prevede abrogarea Legii nr. 677/2001 la data de 25 mai 2018,
data la care devine aplicabil Regulamentul.

2. Referitor la cea de-a doua intrebare, analizand prevederile Regulamentului, nu ar

rezulta, in mod direct, obligatia unei universitati persoana juridica de drept privat de a
desemna un responsabil cu protectia datelor.

Insa, avand in vedere ca prelucrati date personale ale studentilor si practic universitatea are ca
rol prestarea unor servicii de interes public servicii educationale, apreciem ca este recomandabil
sa desemnati un asemenea responsabil cu protectia datelor.

Aceasta este si recomandarea ANSPDCP care, pe pagina sa de internet, intr-un material referitor
la acest subiect precizeaza ca Desi in unele cazuri nu este necesara desemnarea unui
responsabil cu protectia datelor, Autoritatea de Supraveghere recomanda numirea unei astfel de
persoane, intrucat este utila operatorului pentru respectarea obligatiilor in domeniul protectiei
datelor cu caracter personal.

Desemnarea unui responsabil pentru protectia datelor, apreciem ca este utila si pentru reducerea
riscului de administrare neconforma a datelor personale, situatie care poate conduce la actiuni in
instanta ale persoanelor afectate sau la aplicarea de amenzi de catre ANSPDCP.

Cu privire la profesia responsabilului pentru protectia datelor, precizam ca aceasta ocupatie

exista in Clasificarea ocupatiilor din Romania, avand codul 242231.

Iata fisa postului pentru responsabilul pentru protectia datelor >>>

Referitor la pregatirea de baza a unei asemenea persoane, Regulamentul nu face precizari

specifice in acest sens. Nici Standardul ocupational corespunzator responsabilului cu protectia
datelor cu caracter personal (cod 242231), aprobat prin decizia ANC nr.74/2018 nu precizeaza
un anumit domeniu de studii necesar ci doar nivelul acestuia studii superioare absolvite cu
diploma de licenta si curs de specializare/perfectionare absolvit cu certificat care sa ateste
competentele in domeniu.

Cu privire la ultimul aspect ridicat de dumneavoastra, apreciem ca trebuie sa se elaboreze

proceduri specifice cu privire la gestionarea datelor personale prin care sa se stabileasca
cel putin: cum se face aceasta, cine si in ce conditii este autorizat sa colecteze si sa
prelucreze date personale, cum se asigura securitatea bazelor de date, cine si cum
semnaleaza accesul neautorizat (din interiorul sau din exteiorul universitatii) la
dosarele/bazele de date cu date personale ale studentilor si ale salariatilor.

De asemenea, apreciem ca trebuie introduse in Regulamentul intern prevederi referitoare la

protectia datelor personale, inclusiv legate de sanctiuni disciplinare aplicabile in cazul incalcarii
dreptului salariatilor si studentilor la protectia datelor personale.