GHIDUL

ANTREPRENORULUI

Noul Regulament de Protecie

a Datelor Personale (G.D.P.R.)

www.decalex.ro Copyright 2017 Decalex Legal Solutions S.R.L

 CUPRINS

Ce este G.D.P.R.? ...................................................................................................................................................... 02

Ce aduce nou G.D.P.R. fa de legislaia actual? ................................................................................................... 03

Studiu de caz privind obinerea consimmntului de prelucrare a datelor personale ....................................... 04

G.D.P.R. se aplic i companiei mele? .................................................................................................................... 05

Criterii pentru a determina dac compania ta prelucreaz date personale .......................................................... 06

Cum pregteti compania pentru punerea n aplicare a G.D.P.R.? ....................................................................... 07

Conceptul de Privacy by design & Privacy by default ............................................................................................ 09

Asigur-te c ndeplineti obligaiile minime pentru a respecta prevederile G.D.P.R. ........................................ 10

Solicit un audit pe protecia datelor personalizat companiei tale ........................................................................ 11

Echipa Decalex ......................................................................................................................................................... 12

www.decalex.ro Copyright 2017 Decalex Legal Solutions S.R.L

 Ce este G.D.P.R.?
Regulamentul General pentru Protecia Datelor (UE) 2016/679
(G.D.P.R.), care intr n vigoare la data de 25 mai 2018 marcheaz o
schimbare semnicativ n reglementrile privind protecia datelor n
Uniunea European. G.D.P.R. va abroga i nlocui actuala directiv
privind protecia datelor, Directiva 95/46/CE, care constituie baza
pentru reglementrile privind protecia datelor existente.

Modicrile aduse de G.D.P.R., au un impact foarte mare la nivelul

companiilor europene, ind introduse cu scopul de a sublinia
necesitatea organizaiilor de a revizui i de a mbunti practicile i
politicile existente n materia datelor personale.

Cea mai important sarcin pentru companii este c, vor trebui

s demonstreze conformitatea atunci cand le este solicitat s fac
acest lucru.

Termenul de intrare n vigoare este n 2018 tocmai pentru c

organizaiile au nevoie de timp pentru a intra n legalitate cu noul
cadrul legislativ.

Companiile ar trebui s nceap pregtirea pentru G.D.P.R. inc

de acum, intruct ncepnd cu 25 mai 2018 pot amendate pentru
neconformare.

02 Copyright 2017 Decalex Legal Solutions S.R.L | www.decalex.ro

 Ce aduce nou G.D.P.R. fa de legislaia actual?
Schimbarea i extinderea deniiilor actuale pentru date
personale i date personale sensibile, ind incluse n categoria de
date personale n mod expres: numele, datele de localizare,
cookie-urile i IP-ul;
Introducerea conceptului de pseudonimizare - procesul de
anonimizare a datelor personale, astfel nct atunci cand datele
respective nu sunt asociate cu alte date, utilizatorul s nu poat
identicat;
Introducerea principiului privind responsabilitatea prelucrrii
datelor - acest principiu presupune ca operatorul care prelucreaz
date personale, s e capabil s demonstreze c ndeplinete
cerinele Regulamentului, altfel va sancionat.
Obinerea acordului expres al utilizatorului pentru prelucrarea
datelor personale - conform G.D.P.R obinerea acordului pentru
prelucrarea datelor personale nu se mai poate face prin intermediul
Termenilor i Conditiilor de pe site ci printr-un document separat ce
prevede n mod specic acest lucru.
Condiii speciale pentru prelucrarea datelor copiilor -
companiile trebuie s ia msurile corespunztoare pentru a se
asigura c informaiile privind prelucrarea datelor sunt furnizate
ntr-o form concis, transparent i usor accesibil, folosind cuvinte
simple i clare.
03
Noi drepturi pentru utilizatorii ale cror date sunt prelucrate -
aici vom meniona doar cele mai importante drepturi introduse i
anume, dreptul de a solicita recticarea i tergerea datelor, precum
i dreptul de a restriciona prelucrarea datelor.
Apariia Oerului de protecie a datelor personale (D.P.O) -
specialist n protecia datelor personale care ajut companiile s se
conformeze cu prevederile Regulamentului. El este obligatoriu
pentru instituiile publice, companiile cu peste 250 de angajai,
precum i pentru cei care au ca obiect de activitate prelucrarea
masiv de date personale. Pentru celelalate tipuri de companii, folos-
irea serviciilor D.P.O-ului este opional, dar se recomand folosirea
unui specialist n domeniul datelor personale care s ajute compania
s indeplineasc toate condiiile cerute de Regulament.
Introducerea conceptului de "One stop shop" pentru companiile
care prelucreaz date i care i desfoar activitile n mai multe state
ale UE. Autoritatea de supraveghere competent s trag la rspundere
compania este cea din statul membru n care operatorul respectiv i are
stabilit sediul principal.
Copyright 2017 Decalex Legal Solutions S.R.L | www.decalex.ro
 Studiu de caz privind obinerea
consimmntului de prelucrarea datelor
cu caracter personal
AxxApp este o aplicaie mobil dedicat gestiunii activitii
companiilor. Atunci cnd clienii noi se nregistreaz i i creeaz
contul, aplicaia i informeaz c "toi clienii care i deschid conturi
sunt de acord cu utilizarea i prelucrarea datelor lor cu caracter
personal."

Din punct de vedere al prevederilor din G.D.P.R. AxxApp nu a reuit

s obin un consimmnt valabil. n acest caz este vorba doar
despre o informare cu privire la prelucrarea datelor i nu un acord
expres aa cum prevede Regulamentul.

Un consimmnt valabil conine informaii despre datele prelucrate,

scopul prelucrrii, dreptul de retragere, precum i dreptul de a nu de
acord cu prelucrarea datelor. Mai mult, o prelucrare pe o perioada
nelimitat sau o perioada nespecicat, constituie o prelucrare ilegal
din perspectiva Regulamentului.

04 Copyright 2017 Decalex Legal Solutions S.R.L | www.decalex.ro

 G.D.P.R. se aplic i companiei mele?
G.D.P.R. se aplic tuturor companiilor care au sediul n Uniunea
European i care prelucreaz date cu caracter personal, n
desfurarea activitii.

G.D.P.R. se aplic i organizaiilor fr un sediu n U.E., n cazul n

care, prelucreaz date cu caracter personal ale persoanelor vizate din
U.E, iar datele se refer la bunuri sau servicii oferite persoanelor din
U.E. sau la monitorizarea comportamentului cetenilor din U.E.

Ce nseamn sediul pe teritoriul Uniunii Europene? Termenul de

sediu, prevzut n Regulament, vizeaz locaia n care i desfoar
efectiv activitatea compania i nu se refer la adresa potal.

G.D.P.R. se aplic att prelucrrii de date cu caracter personal

total sau parial prin mijloace automate (de exemplu prin sistem
computerizat) ct i prelucrrii manuale.

05 Copyright 2017 Decalex Legal Solutions S.R.L | www.decalex.ro

 Criterii pentru a determina dac
compania ta prelucreaz date personale
Conform G.D.P.R. procesarea de date personale nseamn:
culegere - actualizare - prelucrare - tergere/modicare - transfer -
arhivare/ stocare de date personale.

Sunt considerate date personale toate datele care pot duce la

identicarea unei persoane zice ( e-mail, nume, CNP, adresa de
domiciliu, adresa de IP, etc), astfel, putem avea urmtoarele situaii:

Nu procesezi date personale, G.D.P.R. nu se aplic;

Procesezi date personale n scop personal i pentru uz personal,

G.D.P.R. nu se aplic;

Procesezi date personale n scop comercial i compania ta activeaz

pe teritoriul Uniunii Europene, G.D.P.R. se aplic;

Procesezi date personale n scop comercial, compania ta activeaz pe

teritoriul U.E. dar vinde bunuri sau servicii ctre cetenii europene,
G.D.P.R. se aplic;

Procesezi date personale n scop comercial, compania ta nu activeaz

pe teritoriul U.E. dar monitorizeaz comportamentul cetenilor
europeni, G.D.P.R. se aplic.

06 Copyright 2017 Decalex Legal Solutions S.R.L | www.decalex.ro

 Cum pregteti compania pentru punerea n aplicare a G.D.P.R.?
Exist 4 direcii pe care organizaiile ar trebui s le aib n vedere pentru a ntruni cerinele G.D.P.R.
Veric nivelul de conformare actual cu privire la:
Produsele i serviciile comercializate i nivelul de protecie
al datelor personale colectate prin intermediul lor;
Revizuiete i gestioneaz bazele de date;
Revizuiete noticrile i politicile de condenialitate
actuale;
Revizuiete i actualizeaz temeiurile legale actuale invocate
pentru prelucrarea datelor cu caracter personal;
Analizeaz utilizarea datelor personale ale copiilor sau
datelor cu caracter personal sensibile;
Identic lacunele n conformitate cu legislaia G.D.P.R. i
remediile aferente lor.
07
Revizuiete coninutul contractelor i politicilor
interne:
Identic partenerii cu care are loc un schimb de date cu
caracter personal;
Elaborareaz draft-urile pentru:
- acordurile de prelucrare a datelor pentru furnizorii de
servicii de la teri;
- acordurile de prelucrare a datelor n interiorul grupului
(dac este cazul);
- clauzele de stabilire a rspunderii privind prelucrarea
datelor personale;
- acordurile de export de date (dac este cazul);
Notic i actualizeaz politicile de condenialitate privind
datele angajailor;
Revizuiete acordul de obinere a consimmntului de
prelucrare a datelor personale;
Copyright 2017 Decalex Legal Solutions S.R.L | www.decalex.ro
 Cum pregteti compania pentru punerea n aplicare a G.D.P.R.?
Exist 4 direcii pe care organizaiile ar trebui s le aib n vedere pentru a ntruni cerinele G.D.P.R.

Gestioneaz datele personale pe care compania le Revizuiete sistemul de securitate a datelor

deine: personale:

ntocmete i menine un registru cu datele personale pe
care compania le prelucreaz;
Elaboreaz strategia global de conformare i identic
departamentele implicate;
Numete un oer de protecie a datelor personale D.P.O
(dac este cazul);
Revizuiete i actualizeaz politica privind dreptul de acces
al utilizatorului la datele sale;
Revizuiete i actualizeaz protocolul de securitate, lund n
considerare, integrarea msurilor de securitate specicate n
G.D.P.R. inclusiv criptarea i pseudonimizarea;
Redacteaz i pune n aplicare un protocol privind
noticarea breelor de securitate, conform G.D.P.R.;
ntocmete draft-ul pentru noticarea breelor de securitate
precum i a planului de rspuns la nclcarea securitii;

Instruiete personalul care lucreaz cu date personale

privind noile reguli i modul de aplicare;

08 Copyright 2017 Decalex Legal Solutions S.R.L | www.decalex.ro

 Conceptul de Privacy by design & Privacy by default
Privacy by design - se aplic dezvoltatorilor de aplicaii care prelucreaz date personale i
presupune c acetia, s se asigure nc din stadiul dezvoltrii, c aplicaia va respect
regulile i principiile stabilite de G.D.P.R.

Privacy by default - se aplic furnizorilor de aplicaii care prelucreaz date personale i

prespune c acetia s se asigure c setrile iniiale ale aplicaiei permit utilizatorilor s dein
controlul asupra datelor i informaiilor pe care le mprtesc cu ali utilizatori.

Cum se poate verica dac sunt ndeplinite cerinele G.D.P.R?

Prin intermediul unui audit juridic al aplicaiei.

09 Copyright 2017 Decalex Legal Solutions S.R.L | www.decalex.ro

 Asigur-te c ndeplineti obligaiile minime
pentru a respecta prevederile G.D.P.R.
Realizeaz un audit intern i analizeaz toate datele colectate cu
scopul de a stabili dac n raport cu activitatea companiei este
necesar s se colecteze toate acele informaii despre utilizatori.
ntocmete o procedur intern despre informaiile pe care
compania le colecteaz, le stocheaz i le prelucreaz.
ntocmete un registru cu baza de date personale pe care
compania ta o deine.
Revizuiete i actualizeaz drafturile folosite pentru obinerea
acordului utilizatorului de prelucrare a datelor personale.
ntocmete i pune n aplicare politica n caz de bre de
securitate asupra bazei de date personale. Politica trebuie s conin
minim noticarea prin care utilizatorii sunt anunai despre incident i
planul de rspuns la atac (adic msurile de securitate ntreprinse
pentru a minimaliza daunele).
10
ntocmete i pune n funciune politica de acces a utilizatorilor
la informaiile pe care compania le deine despre ei.
Ofer training specializat pentru personalul responsabil cu baza
de date personale, pentru a ti cum s gestioneze cererile venite n
aceast zon.
Modic toate contractele pe care le ai n derulare, ntruct
toate trebuie s prevad noi clauze despre datele personale
utilizate.
Actualizeaz contractele de munc cu clauze privind prelucrarea
datelor personale ale angajailor i obinerea consimmntului n
sensul acesta.
Copyright 2017 Decalex Legal Solutions S.R.L | www.decalex.ro
 Solicit un audit pe protecia datelor
personalizat companiei tale
Decalex este prima companie specializat pe protecia
datelor personale, depunem eforturi constante s m la curent
cu legislaia IT. Suntem focusai pe prevenie i ajutm companiile
s i securizeze afacerea din punct de vedere legal.

Auditul presupune o analiz personalizat a companiei tale

din punct de vedere al Regulamentului. Prin aceast operaiune se
identic nivelul de conformare pe care trebuie s l ndeplineasc
compania ta, ce proceduri trebuie s implementeze i costurile
totale ale operaiunii de conformare.

* Coninutul acestei publicaii este de informare. Ea nu constituie consultan juridic i nu ar trebui

sa e tratat ca atare. Consultana juridic specic cu privire la nevoile companiei dvs. ar trebui
ntotdeauna solicitat separat nainte de a lua orice decizie bazat pe informaiile furnizate n prezenta
brour.

11 Copyright 2017 Decalex Legal Solutions S.R.L | www.decalex.ro

 Echipa Decalex

Cristian Deca
Mediator & Legal Adviser

M: 0724 417 920

E: cristian@decalex.ro

n cazul n care dorii s primii mai multe informaii suplimentare

Cristiana Deca
Data Protection Specialist
M: 0742 297 538
E: cristiana.deca@decalex.ro
despre acest subiect ne putei contacta:
Decalex Legal Solutions
A: 47, Unirii Bvd., District 3, Bucharest
T: 0311 077 550; F: 0311 070 203
E: oce@decalex.ro

www.decalex.ro
Roman Hamed
Lawyer

M: 0755 365 582

E: av.roman@decalex.ro

12 Copyright 2017 Decalex Legal Solutions S.R.L