Bucharest 04 December 2019 - 06 December 2019
Trainer: Raul - Felix Hodoş
Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecția Datelor) a fost pus în aplicare în toate statele membre ale Uniunii Europene începând cu data de 25 mai 2018.
Cunoscut mai ales prin prisma obligațiilor pentru conformare, ce incumbă în sarcina operatorilor publici sau privați, precum și a regimului sancționator pe care l-a instituit, calificat ca fiind unul dintre cele mai severe, regulamentul prevede limita maximă a unora dintre măsurile corective de natura amenzilor administrative de până la 20.000.000 EURO sau până la 4% din cifra de afaceri.
Considerăm deosebit de important să cunoaștem și să analizăm încălcările ce pot fi sancționate, calificarea sancțiunilor și limitele acestora, caracterul deliberat al încălcărilor precum și principiul responsabilității, dar și garanțiile procedurale eficiente, în conformitate cu principiile generale ale dreptului Uniunii Europene și Cartei Drepturilor Fundamentale a Uniunii Europene.
Trebuie să subliniem, de asemenea, competența statelor membre, precum și rolul autorităților naționale de supraveghere și noile competențe ale acestora, în ceea ce privește regimul sancționator prevăzut prin regulament, dar și rolul în această materie a unui nou organ al Uniunii Europene înființat prin regulament începând cu data de 25 mai 2018, Comitetul European pentru Protecția Datelor care, pe lângă preluarea atribuțiilor fostului Grup de lucru „Articolul 29”, are competențe inclusiv în ceea ce privește aplicarea regimului sancționator.
Acest regulament general instituie, în sarcina statelor membre, obligații de reglementare a anumitor componente ale regimului sancționator, respectiv necesare pentru punerea sa în aplicare. Deși au fost adoptate cu întârziere, după punerea în aplicare a regulamentului, Legile nr.129/2018 și nr.190/2018 instituie proceduri naționale și obligații diverse pentru autoritățile competente, dar mai ales pentru operatori, necesar a fi detaliate pentru o corectă aplicare. De asemenea, în anul 2018, președintele ANSPDCP a emis câteva decizii menite a institui proceduri și formulare necesare pentru punerea în aplicare a regulamentului în România. Și, nu în ultimul rând, au fost aplicate deja primele sancțiuni de natura amenzilor, pentru încălcarea regulamentului.
Toate acestea trebuie dezbătute, analizate și cunoscute, pentru a orienta, ulterior, o corectă aplicare a regulamentului și a legislației naționale aferente, în scopul, evident, al conformării activității operatorilor cu cerințele noilor reglementări și pentru evitarea aplicării regimului sancționator foarte sever. Cine ii poate ajuta pe operatori? Responsabilul cu protecția datelor.
Responsabilul cu protecția datelor (DPO) nu este o instituție nouă pe care Regulamentul (UE) 2016/679 (GDPR) o reglementează, fiind prevăzută și anterior de Directiva 95/46/CE . Regulamentul, recunoaște însă DPO ca un actor-cheie în noul sistem de protecție a datelor cu caracter personal, atât prin prisma obligativității desemnării sale de către autoritățile sau organismele publice, ori de către anumiți operatori sau persoane împuternicite de aceștia, cât și prin prisma nivelului de experiență și al pregătirii profesionale, respectiv a locului și rolului său în arhitectura organizațională.
Luând în considerare obligațiile pe care operatorii și persoanele împuternicite de aceștia le au, potrivit regulamentului, pentru a asigura conformarea activității proprii cu prevederile GDPR, rolul responsabilului cu protecția datelor este esențial inclusiv pentru evitarea aplicării noului regim sancționator, foarte sever, instituit de GDPR.
În luna noiembrie 2017 Clasificarea Ocupațiilor din România a fost completată cu o nouă ocupație, aceea de responsabil cu protecția datelor. Pentru aplicarea concretă se impune analizarea acestei instituții importante a GDPR și prin prisma acestui aspect, dar și a celorlalte aspecte ce vizează statutul aplicabil, desemnarea, locul, rolul, atribuțiile și răspunderea responsabilului cu protecția datelor, principiul obiectivității în desfășurarea sarcinilor și activităților responsabilului cu protecția datelor cu caracter personal dar și evitarea conflictelor de interese ori asumarea rolului de punct de contact în legătură cu autoritatea națională de supraveghere.
Cursul se adresează persoanelor interesate de domeniul protecției datelor, atât responsabili cu protecția datelor (DPO) cât și persoane care doresc să devină DPO, însă în același timp este util conducătorilor de compartimente, juridic, IT, resurse umane, financiar sau persoanelor din cadrul acestor departamente cu rol în procedurile instituite pentru protecția datelor cu caracter personal.
*Condiţii de eligibilitate:
Participanţii trebuie să facă dovada că:
La finalul programului, participanţii vor avea competenţele specifice codului COR 242231:
Modul I
A. Identificarea instrumentelor de monitorizare a modului în care organizația respectă prevederile legislației privind protecția datelor cu caracter personal, organizarea și utilizarea acestora în cadrul organizației
1. Politici și instrumente care pot fi aplicate în vederea monitorizării modului în care organizația respectă prevederile legislației privind protecția datelor cu caracter personal
a. Date cu caracter personal. Concept. Identificare. Utilizare
b. Politici generale privind drepturile persoanelor
c. Politici și proceduri în materie de securitate
d. Politici și proceduri în materia formării și conștientizării personalului
e. Politici și proceduri privind prelucrarea datelor cu caracter personal
a. Scopul verificării
b. Obiectul verificării
c. Modurile de efectuare a verificărilor
d. Documente privind verificările efectuate
e. Identificarea cazurilor în care este necesară externalizarea activității de verificare.
a. Registrul de evidență a prelucrărilor de date cu caracter personal
b. Procedura privind ținerea evidenței prelucrărilor de date cu caracter personal
B. Sfera activităților aferente asistenței de specialitate acordate de responsabilul cu protecția datelor cu caracter personal. Elaborarea planului de lucru al responsabilului cu protecția datelor cu caracter personal
1. Evaluarea impactului asupra protecției datelor
a. Realizarea studiului de impact al prelucrării datelor cu caracter personal asupra vieții private
b. Interpretarea și utilizarea rezultatelor studiului de impact
2. Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit
a. Conceptul “data protection by design”
b. Conceptul ”privacy by default”
c. Redactarea și aplicarea codurilor de conduită
d. Certficările și recunoașterile
3. Transferul de date cu caracter personal
a. Regim juridic aplicabil
b. Drepturile și obligații incidente în funcție de natura destinatarului
c. Transferul de date cu caracter personal către țări terțe
4. Securitatea prelucrării datelor cu caracter personal
a. Detalierea conceptului
b. Implementarea politicilor și procedurilor de securitate
c. Încălcarea securității datelor cu caracter personal
d. Breșele de securitate
e. Planul de măsuri și obligațiile operatorului și ale responsabilului cu protecția datelor pentru limitarea daunelor în cazul breșelor de scuritate
Modul II
1. Cadrul normativ al protecției datelor și principiile de aplicare
a. Cadrul legislativ actual aplicabil protecției datelor cu caracter personal din perspectivă națională și europeană
b. GDPR – Elemente cu caracter de noutate introduse prin noul cadru legislativ – comparație cu dispozițiile legale actuale, ghiduri și opinii emise în domeniu protecției datelor cu caracter personal – Comitetul european pentru protecția datelor
c. Domeniul de aplicare al GDPR din punct de vedere material și teritorial
d. Noțiuni aplicabile în domeniul protecției datelor cu caracter personal – definiția datelor cu caracter personal, categorii speciale de date cu caracter personal (date sensibile), persoanele implicate în prelucrarea datelor cu caracter personal (persoane vizate, operator, împuternicit)
e. Principiile prelucrării datelor cu caracter personal
f. Noțiunea de responsabil cu protecția datelor cu caracter personal
2. Drepturile și obligațiile operatorului în prelucrarea datelor cu caracter personal. Aspecte particulare cu privire la prelucrarea datelor sensibile
a. Drepturile și obligațiile împuternicitului în prelucrarea datelor cu caracter personal. Aspecte particulare cu privire la prelucrarea datelor sensibile.
b. Temeiurile de prelucrare a datelor cu caracter personal
c. Prelucrarea datelor cu caracter personal în temeiul consimțământului persoanei vizate. Condiții speciale aplicabile în ceea ce privește consimțământul minorilor
3. Drepturile și obligațiile persoanelor vizate în prelucrarea datelor cu caracter personal. Instrumente de informare.
a. Drepturi și obligații aferente prelucrării datelor cu caracter personal
b. Drepturile și obligațiile persoanei vizate cu privire la prelucrarea datelor cu caracter personal (categorii de drepturi, informațiile care se furnizează persoanei vizate, modalitatea de exercitare a acestor drepturi)
4. Drepturi și obligații aferente prelucrării datelor cu caracter personal
a. Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate
b. Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată
c. Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată
d. Dreptul de acces al persoanei vizate
e. Dreptul la rectificare
f. Dreptul la ștergerea datelor („dreptul de a fi uitat”)
g. Dreptul la restricționarea prelucrării
h. Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării
i. Dreptul la portabilitatea datelor
j. Dreptul la opoziție
k. Procesul decizional individual automatizat, inclusiv crearea de profiluri
l. Restricții
Modul III
1. Relația operator – împuternicit.
a. Drepturi
b. Responsabilități
c. Prevederi contractuale obligatorii
d. Răspunderea
2. Răspunderea și sancțiunile aplicabile în cazul nerespectării dispozițiilor legislației în domeniul protecției datelor cu caracter personal
a. Noțiuni generale privind răspunderea în accepțiunea Regulamentul general privind protecția datelor
b. De ce a fost instituit regimul sancționator prin regulament?
c. Caracteristicile regimului sancționator
d. Regim sancționator instituit prin regulament vs. competențe de reglementare în sarcina statelor membre
e. Calificarea sancțiunilor
f. Încălcările supuse sancțiunilor și caracterul acestora
g. Condițiile generale pentru impunerea amenzilor administrative
h. Garanții procedurale eficiente
i. Dreptul la despăgubiri
j. Răspunderea
k. Exemple recente privind aplicarea regimului sancționator în România
3. Relația cu autoritatea de supraveghere în domeniul protecției datelor cu caracter personal
a. Competențele autorității de supraveghere (investigative, corective, de autorizare și supraveghere; rolul autorităților de supraveghere și competența acestora de a iniția sau de a interveni în procedurile judiciare)
b. Noutățile legislative din România (Legea nr.129/2018, Legea nr.190/2018, Deciziile nr. 128/2018, nr.133/2018 și nr. 161/2018, ale președintelui ANSPDCP)
c. Conceptul de autoritate de supraveghere principală, conform GDPR.
d. Consultarea și/ sau aprobarea autorității de supraveghere cu privire la efectuarea anumitor operațiuni de prelucrare în cazurile prevăzute de legislația aplicabilă
e. Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal.
f. Caracteristicile reformei instituționale europene. Rolul și competențele Comitetului European privind Protecția Datelor
4. Aspecte specifice cu privire la rolul și activitatea responsabilului cu protecția datelor cu caracter personal
a. Noțiuni generale privind responsabilul cu protecția datelor
b. Desemnarea responsabilului cu protecția datelor
c. Funcția responsabilului cu protecția datelor
d. Sarcinile responsabilului cu protecția datelor
e. Responsabilul pentru protecția datelor personal contractual, în baza unui contract de muncă
f. Responsabilul pentru protecția datelor funcționar public, pe baza unui raport de serviciu
g. Responsabilul pentru protecția datelor - parte a unui contract de servicii
h. Responsabilul pentru protecția datelor - reprezentant comun al unui grup de întreprinderi
i. Responsabilul pentru protecția datelor unic pentru mai multe autorități sau organisme publice
j. Responsabilul pentru protecția datelor – conducător al unei structuri specializate
k. Consultant sau angajat care, fără a fi DPO, îndeplinește sarcinile acestuia
l. Răspunderea DPO
Domnul Raul - Felix Hodoș este doctor în drept al Universității „Babeș-Bolyai” din Cluj Napoca cu teza „Plata electronică”, lector universitar al Universității „Petru Maior” din Tîrgu Mureș, Facultatea de Științe Economice, Juridice și Administrative, coordonator al Centrului de Cercetări Aplicative în Drept și Afaceri (CECADA), titular al cursurilor “Proceduri speciale de insolvență și preinsolvență”, la nivel master, “Drept comercial”, “Dreptul afacerilor” și “Drept și administrarea afacerilor”, la nivel licență. Profesează ca avocat, mediator și practician în insolvență, coordonator al Hodoș și Asociații și al Hodoș Business Recovery. Conciliator SAL-Fin (A.S.F.), mediator și arbitru pe lista Curții de Arbitraj Comercial de pe lângă Camera de Comerț și Industrie Mureș și al Asociației “Centrul de Arbitraj și Mediere în Asigurări” (ACAMA). Președinte al Societății Române de Cercetare pentru Afaceri Publice și Private din Tîrgu Mureș (SOROCAPP). Domenii de interes: drept comercial, dreptul insolvenței, drept financiar, dreptul noilor tehnologii, protecția datelor personale.
Programul cursului va fi structurat în trei module.
Sesiune examinare: data examinării se va stabili ulterior în funcție de disponibilitatea comisiei ANC.
* Participanţii care obţin media finală de cel puţin 7 (din 10) vor primi un certificat de absolvire şi suplimentul descriptiv al certificatului în care se menţionează competenţele generale şi specifice dobândite.
Certificatul este recunoscut la nivel naţional de către Ministerul Muncii, Familiei şi Protecţiei Sociale şi Ministerul Educaţiei, Cercetării, Tineretului şi Sportului şi de Inspectoratul Teritorial de Muncă.
Investiţia la acest program este de 1600 lei/participant şi include: suportul de curs, pauze de cafea și certificat de absolvire.