GDPR PENTRU ECOMMERCE

GDPR PENTRU ECOMMERCE

GDPR 2018

TOPUL CELOR MAI DISCUTATE SUBIECTE

DESPRE GDPR PENTRU ECOMMERCE
 GDPR PENTRU ECOMMERCE

Pentru ca primim multe intrebari despre ce inseamna exact GDPR pentru

magazinele online din Romania - am ales cele mai frecvente raspunsuri la

intrebarile asupra masurilor ce trebuie implementate pentru a respecta politica

GDPR.

GHID Practic pentru pregatirea conform politicii GDPR.

 GDPR PENTRU ECOMMERCE

DATA INTRARII IN VIGOARE

2 5 0 5 2 0 1 8

CUPRINS

01 DESPRE GDPR 11 INFORMARE. CONFIDENTIALITATE

02 DOMENIUL DE APLICABILITATE 12 MECANISME JURIDICE

03 CONFORMITATEA CU GDPR 13 DPO - DATA PROTECTION OFFICER

04 CONSIMTAMANTUL IN LUMINA GDPR 14 REGULI SI PROCEDURI

05 ACTIUNI PRINCIPALE IN APLICAREA GDPR 15 REPONSABILITATILE OFITERULUI DPO

06 DREPTURILE PERSOANEI VIZATE 16 REPONSABILITATILE OPERATORULUI

07 PRINCIPII GDPR 17 SECURITATE INFORMATICA

08 GDPR IMPUNE 18 ABORDAREA NOASTRA: PACHETUL GDPR

09 TO DO LIST 19 SERVICIILE GDPR

10 POLITICI INTERNE
 GDPR PENTRU ECOMMERCE

DESPRE GDPR

• Regulamentul UE 679/2016/GDPR este prima reglementare completa cu privire la protectia datelor

emisa in ultimii 20 de ani.

• Inlocuieste fosta Directiva 95/46/EC

DOMENIUL DE APLICABILITATE

• Operatori publici si privati din UE

• Operatori publici si privati din afara UE, daca prelucreaza date ale unor cetateni UE

CONFORMITATEA CU GDPR

Schimbari de Transparenta
procese

Protectia
DPO
datelor
GDPR

Drepturi Sanctiuni
 GDPR PENTRU ECOMMERCE

Ce date cu caracter personal colectati?

• Nume/Prenume • Culoarea ochilor

• Adresa • Date bancare

• CNP • Fotografii

• Apartenenta religioasa • Nr. inmatriculare auto

• Telefon • IP

1. Trebuie sa asigurati securitatea datelor respective si sa nu le prelucrati decat in scopurile si conform

instructiunilor din contractele cu clientii Dvs.

2. Trebuie sa aveti contracte incheiate cu clientii Dvs. si sa le asigurati suport in situatia in care vreun
angajat de la client isi exercita drepturile mentionate in GDPR (dreptul de access, de stergere, de

restrictionare a prelucrarii, de opozitie).

De exemplu: daca primiti CV-uri direct de la candidati, atunci trebuie sa ii informati, cu prima
ocazie/la primul contact, despre scopurile pentru care le colectati si prelucrati datele cu caracter
personal.

Ce facem cu bazele de date si cu toate datele cu caracter personal colectate

inainte de 25 mai 2018?

• Prelucrarea numai in acord cu GDPR

• Consimtamant nou - explicit sau temei (obligatie legala, interes legitim obligatie contractuala)

• Daca nu - datele trebuie sterse

Ca regula generala, prelucrarea datelor colectate anterior datei de 25 mai 2018 vor putea fi prelucrate

ulterior acestui moment numai in acord cu exigentele GDPR.

De exemplu: daca prelucrarea s-a efectuat in temeiul consimtamantului persoanei vizate dat ante-
GDPR, continuarea prelucrarii ulterior datei de 25 mai 2018 poate fi facuta doar in situatia in care
consimtamantul prelevat respecta cerintele GDPR. In caz contrar, va fi necesara obtinerea unui nou
consimtamant.
 GDPR PENTRU ECOMMERCE

CONSIMTAMANTUL IN LUMINA GDPR

• Consimtamantul persoanei vizate trebuie sa fie • Operatorul trebuie sa fie in masura sa

liber exprimat, specific si lipsit de ambiguitate. demonstreze ca persoana vizata si-a dat

consimtamantul pentru prelucrarea datelor

• De asemenea, in momentul prelevarii sale cu caracter personal.

consimtamantului, persoana vizata trebuie

informata asupra posibilitatii de a-si retrage • Analizam daca poate fi identificat un alt temei

consimtamantul. al prelucrarii.

• Daca prelucrarea datelor se face in mai multe Daca nu se obtine din nou consimtamantul

scopuri, consimtamantul ar trebui dat pentru persoanei vizate sau nu se identifica un alt

fiecare scop in care datele sunt prelucrate. temei al prelucrarii, datelor vor trebui sterse,

altfel ne vom afla in situatia unei prelucrari

• Consimtamantul ar trebui acordat printr-o nelegale.

actiune afirmativa neechivoca care sa

constituie o manifestare de vointa liber • Consimtamantul persoanei, privind

exprimata, specifica, in cunostinta de cauza si prelucrarea datelor sale cu caracter personal,

clara a acordului persoanei vizate pentru trebuie colectat in momentul in care ii solicitati

prelucrarea datelor sale cu caracter personal. datele pentru un anumit scop de prelucrare.

Acest lucru semnifica faptul ca absenta unui Inainte ca persoana sa furnizeze datele, trebuie

raspuns, casutele bifate in prealabil sau sa fie informata asupra scopurilor prelucrarii si

absenta unei actiuni nu constituie un sa i se colecteze consimtamantul, intr-o forma

consimtamant in acceptiunea Regulamentului. demonstrabila ulterior.

 GDPR PENTRU ECOMMERCE

ACTIUNI PRINCIPALE IN APLICAREA GDPR

Procese IT Legal Documentatie

• Inventarul datelor • Criptarea datelor • Stabilirea • Elaborarea privacy

temeiului policy
• Informarea • Controlul prelucrarii
persoanelor accesului la date • Elaborarea
privind • Modificarea planurilor de
prelucrarea • Asigurarea contractelor cu raspuns in caz de
datelor disponibilitatii furnizoriii incident
datelor
• Colectarea • Desemnare DPO • Elaborarea
consimtamantului • Evaluarea termenilor de
periodica a prelucrare a
• Notificarea controalelor de datelor
incidentelor de securitate
securitate • Elaborarea
• Analiza riscurilor template-urilor de
raspuns

DREPTURILE PERSOANEI VIZATE

Trebuie sa asigurati urmatoarele drepturi catre persoanele ale caror date le-ati colectat:

1. Dreptul de acces 4. Dreptul la portabilitate

2. Dreptul de rectificare 5. Dreptul de „a fi uitat”

3. Dreptul de restrictionare a prelucrarii 6. Dreptul de a depune o plangere

Consimtamantul persoanei vizate trebuie exprimat in mod liber, fara a constrange in vreun fel
optiunea persoanei.
 GDPR PENTRU ECOMMERCE

• Daca utilizatorul si-a exprimat optiunea de dezabonare, atunci NU mai trebuie contactat deloc.

Pentru ca, in acest caz, si-a exercitat dreptul la opozitie (conf. Art.21), ceea ce inseamna ca Dvs. NU

mai trebuie sa ii prelucrati datele cu caracter personal, pentru scopurile pentru care si-a exprimat

opozitia.

• Nu exista prevederi specifice privind modalitatea de functionare a linkului de dezabonare, insa exista

prevederi specifice privind dreptul la opozitie al persoanei vizate.

Art. 21: Dreptul la opozitie (1) In orice moment, persoana vizata are dreptul de a se opune, din motive
legate de situatia particulara in care se afla, prelucrarii datelor cu caracter personal care o privesc,
inclusiv crearii de profiluri pe baza respectivelor dispozitii.

• Operatorul NU prelucreaza datele cu caracter care sunt colectate si prelucrate datele lor cu

personal. Cu exceptia cazului in care caracter personal.

operatorul demonstreaza ca are motive

legitime si imperioase care justifica prelucrarea • In cazul in care datele cu caracter personal

si care prevaleaza asupra intereselor, sunt prelucrate in scopuri de marketing direct,

drepturilor si libertatilor persoanei vizate sau persoana vizata ar trebui sa aiba dreptul de a

ca scopul este constatarea, exercitarea sau se opune unei astfel de prelucrari, inclusiv

apararea unui drept in instanta. crearii de profiluri in masura in care aceasta

are legatura cu marketingul direct, indiferent

• GDPR nu trateaza caracterul retroactiv al daca prelucrarea in cauza este cea initiala sau

aplicarii sale. Daca este fezabil, se recomanda una ulterioara, in orice moment si in mod

obtinerea consimtamantului de prelucrare de gratuit. Acest drept ar trebui adus in mod

la clientii existenti. Daca este un efort prea explicit in atentia persoanei vizate si prezentat

mare, care ar perturba functionarea in mod clar si separat de orice alte informatii.

functionala a business-ului, atunci se

recomanda sa se realizeze o • Prelucrarea datelor cu caracter personal in

notificare/informare catre clientii existenti, scopuri statistice ar trebui sa faca obiectul

pentru a-i informa asupra scopurilor pentru unor garantii adecvate pentru drepturile si

libertatile persoanei vizate. Respectivele

 GDPR PENTRU ECOMMERCE

garantii ar trebui sa asigure faptul ca au fost trebuie pastrate timp de 50 ani, conform Legii
instituite masuri tehnice si organizatorice Arhivarii Nationale.
necesare pentru a se asigura, in special,

principiul reducerii la minimum a datelor. • Daca nu mai aveti nevoie de datele cu caracter

personal, atunci trebuie sa le stergeti in

• Trebuie respectat dreptul la opozitie, al momentul in care scopul pentru care au fost

persoanei vizate, atunci cand aceasta doreste colectate a expirat.

sa se opuna prelucrarii datelor sale cu caracter

personal, in scopuri de marketing direct. • Daca persoana isi exercita dreptul de a fi uitat

(dreptul la stergere) si nu va aflati sub restrictia

• In primul rand, trebuie sa stabiliti care este nici unei legi de a pastra acele date, atunci

perioada necesara pentru a pastra datele trebuie sa efectuati stergerea efectiva a

personale si care este temeiul legal care va datelor din toate sursele (aplicatii IT, arhive,

obliga sa pastrati datele personale. De documente fizice, laptop-uri ale angajatilor) in

exemplu, in cazul dosarului de personal, datele care le-ati stocat.

Notificari cu privire la incidentele de securitate

• Notificare catre ANSPDCP in termen de cel mult 72 de ore de la data producerii

• Notificare catre persoana vizata daca incidentul este de natura sa genereze un risc ridicat pentru

drepturile si libertatile sale.

Responsabilul pentru protectia datelor (DPO)

• Monitorizeaza conformitatea organizatiei cu GDPR

• Este persoana de contact in relatia cu ANSPDCP

• Este persoana de contact in relatia cu persoana vizata, in aspecte ce tin de protectia datelor cu

caracter personal

Responsabilitati dupa implementarea GDPR

• Monitorizarea permanenta a conformitatii organizatiei cu GDPR
 GDPR PENTRU ECOMMERCE

• Monitorizare si evaluare riscuri legate de protectia datelor cu caracter personal

• Evaluarea periodica a proceselor operationale de prelucrare si stocare a datelor cu caracter personal

• Mentinerea relatiei cu ANSPDCP

Cine este operator de date cu caracter personal?

• Orice persoana care colecteaza, pastreaza sau proceseaza o informatie cu privire la persoane fizice,

informatie care intra in categoria datelor cu caracter personal.

• Operatorul este responsabil de respectarea tuturor acestor principii si trebuie sa poata demonstra

aceasta respectare.

Important: punctul de plecare in realizarea conformarii cu noua reglementare il reprezinta

intelegerea si aplicarea principiilor de baza legate de prelucrarea datelor cu caracter personal.

 GDPR PENTRU ECOMMERCE

PRINCIPII GDPR

• Prelucrarea datelor cu caracter personal sa se faca in mod legal (adica sa existe un temei al

prelucrarii dintre cele prevazute la Art. 6 din Regulament), echitabil si transparent (cu informarea

persoanei vizate).

• Datele sa fie colectate in scopuri determinate, explicite si legitime (operatorul trebuie sa stabileasca

aceste scopuri).

• Datele sa fie adecvate, relevante si limitate (scopul este reducerea la minimum a datelor, operatorul

sa colecteze strict datele necesare pentru atingerea scopurilor stabilite).

• Datele sa fie exacte si actualizate.

• Datele sa fie stocate pe o perioada determinate.

• Datele sa fie prelucrate intr-o modalitate care asigura securitatea adecvata a acestora, prin luarea de

masuri tehnice sau organizatorice corespunzatoare.

GDPR nu specifica frecventa actualizarii, insa trebuie luate masuri rezonabile pentru a Organizatia sa
fie, in mod continuu, in conformitate cu GDPR.

Ce date cu caracter personal colecteaza?

Conform punctului 30 din Preambulul Regulamentului:

"Persoanele fizice pot fi asociate cu identificatorii online furnizati de dispozitivele, aplicatiile si

instrumentele si protocoalele lor, cum ar fi adresele IP, identificatorii cookies sau alti identificatori.
Acestia pot lasa urma care, in special atunci cand sunt combinate cu identificatori unici si alte
informatii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice si
pentru identificarea lor."

• Intrucat vorbim de magazine online, acestea ar newsletter, datele privind vizitatorii (3

putea fi datele clientilor obtinute in vederea concepte: client, abonat, vizitator).

plasarii unei comenzi, datele abonatilor la

 GDPR PENTRU ECOMMERCE

• Bineinteles, fiindca in spatele oricarui magazin • Daca serverele nu sunt in Romania, atunci

online se afla o societate si dincolo de website trebuie asigurate masuri tehnice adecvate

exista cu siguranta date cu caracter personal pentru protectia datelor cu caracter personal.

colectate: datele angajatilor, datele Trebuie sa aveti un contract cu furnizorul

candidatilor, datele de contact ale co- respectiv, pentru a include aspectele

contractantilor. mentionate la Art.28, privind raspunderea

• Noutate: inclusiv cookies-urile si alti persoanelor imputernicite, din punct de vedere

identificatori online sunt asimilate datelor cu al respectarii GDPR.

caracter personal.

Cum sunt colectate datele cu caracter personal?

• In ceea ce priveste datele clientilor: acestea sunt in mod uzual colectate pe baza consimtamantului

persoanei vizate, direct de la aceasta sau in temeiul executarii unui contract.

• Noutate: conform GDPR, persoana vizata trebuie sa isi dea acordul printr-o actiune afirmativa si

informata realizata de catre aceasta, oferita liber, intr-un context specific si lipsit de ambiguitati.

• Impact: daca vorbim de un vizitator, in ipoteza in care website-ul foloseste cookies-uri, simpla

informare ca ” Navigarea pe acest site se considera acceptarea Dvs. cu privire la politica de utilizare a

cookie-urilor” nu va mai fi considerata ca fiind consimtamant, intrucat nu va satisface noile cerinte

privind consimtamantul.

• Se elimina astfel tipurile de consimtamant implicit. In plus, atat clientii, cat si vizitatorii, in calitate de

persoane vizate ale caror date sunt colectate, trebuie sa aiba mereu optiunea de a-si retrage acordul

de colectare si prelucrare a datelor.

Cum sunt colectate legal datele cu caracter personal?

• In ceea ce priveste datele vizitatorilor: trebuie tinut cont ca si alte detalii ale simplilor vizitatori vor fi

clasificate ca fiind date personale (identificatorii online, locatia si cookies)?

 GDPR PENTRU ECOMMERCE

• Solutii: un exemplu de acord acceptat prin GDPR este bifarea unei casute de catre vizitator; casuta NU

poate fi pre-bifata.

• Modul prin care un magazin online colecteaza datele personale ale vizitatorilor se va schimba.

Pe ce baza prelucreaza datele cu caracter personal si in ce scop le colecteaza?

GDPR stabileste anumite temeiuri ale prelucrarii:

1. Consimtamantul persoanei vizate

2. Prelucrare necesara in vederea indeplinirii obligatii legale care ii revine operatorului

3. Executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea

persoanei vizate inainte de incheierea unui contract,

4. Prelucrare necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului

5. Interesul legitim al operatorului

6. Pentru fiecare categorie de date cu caracter personal prelucrata, trebuie identificat un temei, altfel

prelucrarea este ilegala.

De exemplu: Datele solicitate pentru o comanda – temei art. 6 alin. (1) lit. b): prelucrarea este

necesara pentru executarea unui contract.

Datele solicitate pentru o factura - temei art. 6 alin. (1) lit. c): prelucrarea este necesara in vederea
indeplinirii unei obligatii legale care ii revine operatorului
Datele pentru marketing: exista o dezbatere in sensul in care ar putea fi bazate:
Fie pe baza consimtamantului persoanei vizate, care trebuie sa fie conform GDPR
Fie pe baza interesului legitim – discutabil

Cu cine partajeaza datele cu caracter personal?

Operator/persoana imputernicita de operator
 GDPR PENTRU ECOMMERCE

GDPR IMPUNE
1. Existenta unui contract scris

2. Acelasi nivel de securitate si pentru imputernicit

3. Pe langa notiunea de operator, trebuie avuta in vedere si notiunea de persoana imputernicita de

operator – este persoana care prelucreaza date in numele si pe seama operatorului.

De exemplu: firma de curierat, procesatorul de plati, furnizorul de marketing.

GDPR impune ca si obligatie existenta unui contract scris intre operator si persoana imputernicita,

contract care sa contina instructiuni documentate.

De avut in vedere: NU se poate adauga un alt imputernicit fara acordul prealabil al operatorului.

Imputernicitii trebuie sa asigure acelasi nivel de securitate a datelor si trebuie sa informeze

operatorul despre incidentele de securitate privind datele prelucrate in numele si pe seama acestuia.

Cu cine se partajeaza datele cu caracter personal?

Foarte important: contractul trebuie sa prevada cum se partajeaza raspunderea in cazul unui

incident de securitate. Altfel, operatorul va fi tinut raspunzator pentru prejudiciile cauzate de

operatiunile de prelucrare, daca acestea nu sunt conforme cu GDPR.

Imputernicitul va fi raspunzator numai daca:

• nu a respectat obligatiile impuse de GDPR persoanelor imputernicite sau

• a actionat contrar instructiunile operatorului.

Ce masuri sunt implementate pentru a asigura securitatea datelor?

Masuri adecvate conform Art. 32 GDPR: "Avand in vedere stadiul actual al dezvoltarii, costurile

implementarii si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscul cu

diferite grade de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice,
operatorul si persoana imputernicita de acesta implementeaza masuri tehnice si organizatorice
adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc."
 GDPR PENTRU ECOMMERCE

TO DO LIST

1. Verificarea operatiunilor de prelucrarea si pregatirea unui inventar al acestora.

2. Pentru a putea evalua masurile care se impun in vederea asigurarii conformitatii cu GDPR, este

necesar sa se analizeze si sa se identifice fluxul datelor cu caracter personal in interiorul platformei.

3. Astfel spus, nu se pot identifica aspectele de neconformitate, riscurile si punctele slabe ale prelucrarii

si securizarii datelor pe care le procesati, pana cand nu este clarificat: ce date sunt procesate, cum

sunt procesate, cine are acces la ele, unde ajung datele, cat timp sunt stocate si sub ce forma.

4. Aceasta prima operatiune permite ulterior elaborarea unor proceduri interne privind prelucrarea

datelor cu caracter personal in interiorul organizatiei

Identificarea temeiurilor prelucrarilor

1. Executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea

persoanei vizate inainte de incheierea unui contract.

2. Prelucrare necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului

3. Interesul legitim al operatorului

4. Consimtamantul expres

Odata ce avem informatii privind datele cu caracter personal prelucrate si scopul in care acestea sunt

prelucrate, este obligatoriu sa identificam si un temei al prelucrarii; in caz contrar, in lipsa unui temei,

respectiva prelucrare va fi ilegala si suntem pasibili de sanctiuni.

Daca este consimtamantul – de verificat daca acesta indeplineste cerintele GDPR.

 GDPR PENTRU ECOMMERCE

POLITICI INTERNE

Pregatirea unor politici interne privind gestionarea datelor cu caracter personal:

• Instruire

• Regulamente/procedura

Ceea ce aduce nou GDPR si va fi dificil pentru operatori este faptul ca acestia trebuie sa demonstreze
respectarea cerintelor Regulamentului.

Cu alte cuvinte, pentru a putea demonstra autoritatii ca tot ceea ce se face cu datele cu caracter

personal (de la modalitatea de colectare a lor, pana la stergeri la cererea utilizatorului, procesari,

transferuri) este conform cerintelor Regulamentului, operatiunile si modalitatile de gestiune a datelor

trebuie documentate prin intermediul unor politici interne care sa fie implementate.

INFORMARE. CONFIDENTIALITATE

• Revizuirea politicilor de informare a persoanelor vizate conform GDPR

• Revizuirea politicii de confidentialitate a website-ului

• GDPR pune foarte mult accent pe transparenta, mai ales in relatia cu persoana vizata, care ar trebui

sa stie foarte clar ce se intampla cu datele sale.

• La nivelul website-urilor, aceasta transparenta se traduce, din punctul nostru de vedere, prin

existenta, pe langa pagina de ”Termeni si conditii”, a unei pagini de confidentialitate sau prelucrare a

datelor cu caracter personal si a unei pagini de utilizare a cookies-urilor.

Cum trebuie sa arate acum aceste din urma pagini?

• Trebuie sa contina informatii simplu de inteles, formulate pentru utilizatorul obisnuit, in care sa fie

descris procesul prin care este asigurata confidentialitatea datelor colectate, securitatea lor, precum

si alte informatii; de exemplu, entitatile care acces la datele colectate si scopul in care acestea au

acces).
 GDPR PENTRU ECOMMERCE

De asemenea, persoana vizata ar trebuie sa fie informata cu privire la toate drepturile pe care le are
in virtutea GDPR.

Revizuirea modalitatii de realizare a Marketingului

1. Privacy by design

2. Consimtamant expres

• Pentru asigurarea implementarii principiului privacy by design al GDPR, trebuie eliminate paginile in

cadrul carora casutele de abonare la newsletter sau alt tip de colectare a unor date cu caracter

personal pot fi bifate in mod automat.

• Utilizatorul ar trebui sa poata fi capabil sa isi dea acordul pentru orice tip de actiune care priveste

datele personale ce-i apartin (abonare la newsletter, abonare la alte mesaje de marketing, pastrarea

datelor pentru statistici de utilizare a site-ului, pastrarea datelor pentru crearea contului de client in

site, etc.).

• In principiu, temeiul pentru marketing ar trebui sa fie consimtamantul explicit al utilizatorului. Este

discutabil daca se poate folosi ca temei interesul legitim, dat fiind ca acesta trebuie analizat temeinic

si sa fie justificat.

MECANISME JURIDICE

Implementarea unor mecanisme care sa permita persoanei vizate exercitarea drepturilor sale.

1. Retragerea consimtamantului

2. Stergerea totala

3. Portarea

• Nu va fi suficient ca persoana vizata sa fie informata cu privire la drepturile sale, ci operatorul va

trebui sa instituie mecanisme care sa asigure si exercitarea lor efectiva.

 GDPR PENTRU ECOMMERCE

• Astfel, vor trebui create mecanisme pentru ca utilizatorul sa isi poata retrage consimtamantul dat

pentru modul in care sunt folosite datele lui, la fel de usor precum si l-a dat, fie total (stergerea totala

a datelor atat din baza de data a operatorului, cat si din cea a tertilor carora le-au fost divulgate

datele), fie partial (dezabonarea de la newsletter, dar fara stergerea contului de client de pe site-ul).

• Mai mult, intrucat Regulamentul introduce dreptul la portabilitatea datelor, datele cu caracter

personal ale clientilor vor trebui pastrate intr-un format portabil (usor de transferat online in alte

sisteme), in eventualitatea in care acesta solicita portarea lor catre un alt operator.

GDPR se aplica pentru protectia datelor personale ale persoanelor fizice.

Daca interactionati DOAR cu persoane juridice, atunci aceasta prelucrare NU intra sub incidenta
GDPR.

Revizuirea contractelor
• Atentia se va indrepta asupra revizuirii sau inserarii clauzelor de confidentialitate si cele privind

prelucrarea de datelor cu caracter personal.

• Va fi supusa analizei relatia dintre partile contractante in vederea identificarii raporturilor operator-

persoana imputernicita de operatori- operatori asociati.

Analiza transferurilor de date

• Decizii privind caracterul adecvat al nivelului de protectie

• Clauze standard Comisia Europeana Garantii adecvate

• Aderarea la un cod de conduita sau mecanism de certificare

• Preexistenta acordului explicit al persoanei fizice

 GDPR PENTRU ECOMMERCE

GDPR pune la dispozitie diferite instrumente pentru incadrarea transferurilor de date din UE intr-o
tara terta:

• in baza unei „decizii privind caracterul adecvat al nivelului de protectie” prin care Comisia Europeana

considera ca tara terta poate fi declarata ca oferind un nivel adecvat de protectie, caz in care

transferul va fi asimilat unui transfer de date in interiorul UE.

• in absenta unei decizii privind caracterul adecvat al nivelului de protectie, transferul se poate face

prin asigurarea unor garantii adecvate si cu conditia ca persoanele fizice sa beneficieze de drepturi

opozabile si de cai de atac eficace.

Printre asemenea garantii adecvate se numara:

• in cazul unui grup de intreprinderi sau de societati implicat intr-o activitate economica comuna,

societatile pot transfera datele cu caracter personal pe baza unor reguli corporatiste obligatorii;

• acorduri contractuale cu destinatarul datelor cu caracter personal, folosind, de exemplu, clauzele

contractuale standard aprobate de Comisia Europeana;

• Aderarea la un cod de conduita sau la un mecanism de certificare, precum si obtinerea unor

angajamente obligatorii si executorii din partea destinatarului de a aplica garantii adecvate pentru

protectia datelor transferate.

• Transferul se poate realiza pe baza mai multor derogari pentru situatii specifice, de exemplu, in cazul

in care o persoana fizica si-a exprimat in mod explicit acordul cu privire la transferul propus dupa ce a

primit toate informatiile necesare privind riscurile asociate transferului.

 GDPR PENTRU ECOMMERCE

DPO - DATA PROTECTION OFFICER

1. Este o Autoritate Publica sau un Organism public, cu exceptia instantelor care actioneaza in exercitiul

functiei lor jurisdictionale

2. Realizeaza o activitate care conduce la monitorizare sistematica si permanenta

3. Realizeaza o activitate care consta in prelucrarea datelor cu caracter personal - condamnari si

infractiuni

Activitatile principale ale operatorului/persoanei imputernicite de operator

constau in:

• Operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o

monitorizare periodica si sistematica a persoanelor vizate pe scara larga.

• Prelucrarea pe scara larga a unor categorii speciale de date sau a unor date cu caracter personal

privind condamnari penale si infractiuni.

ROLUL responsabilului cu protectia datelor:

1. Rol de informare: sa informeze si sa consilieze operatorul sau persoana imputernicita de operator,

precum si angajatii acestora cu privire la obligatiile existente in domeniul protectiei datelor cu

caracter personal.

2. Sa monitorizeze respectarea GDPR si a legislatiei nationale in domeniul protectiei datelor;

3. Sa consilieze operatorul sau persoana imputernicita in legatura cu realizarea de studii de impact

privind protectia datelor si sa verifice efectuarea acestora.

4. Rol de persoana de legatura in caz de compromitere a sistemului de securitate - 72 ore termen de

raspuns catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal. Sa

coopereze cu autoritatea pentru protectia datelor si sa reprezinte punctul de contact in relatia cu

aceasta.
 GDPR PENTRU ECOMMERCE

5. Rol de implementare - Implementarea unor politici de securitate si de actionare in caz de incalcare a

securitatii. In momentul in care securitatea datelor a fost compromisa, indiferent de cauza,

operatorul trebuie sa aiba mecanismele pentru a o detecta si raporta, dupa caz, trebuie sa ai

resursele, in maximum 72 de ore.

Notificarea presupune atat informarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu

Caracter Personal, cat si a utilizatorilor potential afectati.
 GDPR PENTRU ECOMMERCE

REGULI SI PROCEDURI GDPR

1. Pseudonimizarea si criptarea datelor cu caracter personal

2. Controlul accesului la date: parola, PIN, amprenta

3. Managementul dispozitivelor prin controlul accesului: parola, PIN, amprenta

4. Disaster Recovery, back-up pentru ca in cazul unei brese de securitate sau accident informatic, datele

sa poata fi restabilite imporiva accesului neautorizat (malmare, phishing)

5. Protectia dazei de date

Exemple:

• Veti limita accesul tertilor cu care colaborati la datele cu caracter personal, oferindu-le acestora acces

doar la datele pseudonimizate.

• In cazul furtului unui dispozitiv pe care sunt stocate date cu caracter perosnal (de exemplu: HDD

extern), datele nu vor putea fi accesate.

• Securitatea datelor se refera si la angajatii care au acces la datele cu caracter personal, deoarece

exista riscul de aparitie a unor brese de securitate din interiorul companiei. In acest sens, trebuie

asigurate masuri tehnice adecvate pentru protectia datelor cu caracter personal, in cadrul companiei

(politica privind acordarea drepturilor de accces in aplicatiile IT care prelucreaza datele personale,

solutie de antivirus activa, care sa nu poata fi dezactivata de angajati, training periodic pentru

responsabilizare privind securitatea IT).

Criptarea este o cerinta a GDPR pentru toate companiile care colecteaza si prelucreaza date cu
caracter personal (conf. Art.32). In conformitate cu aceasta cerinta, este responsabilitatea Dvs. sa
selectati acei furnizori care va ofera servicii securizate, inclusiv din punct de vedere al criptarii.

Informarea autoritatii si/sau persoanelor in cazul incalcarii securitatii datelor?

In cazul in care a avut loc o incalcare a securitatii datelor cu caracter personal (bresa) care poate

genera riscuri asupra drepturilor si libertatilor persoanelor vizate, aceasta trebuie investigata si
 GDPR PENTRU ECOMMERCE

notificata, impreuna cu informatiile referitoare la natura incalcarii, consecintele posibile si masurile

adoptate sau propuse pentru diminuarea efectelor.

ANSPDCP este autoritatea nationala cu competente in domeniul verificarii conformitatii cu cerintele

GDPR.

Se poate apela la un consultant/expert extern in protectia datelor, care sa ofere consiliere cateva zile

pe luna, raportat la volumul datelor si la necesitatile organizatiei.

Notificarea persoanelor vizate. Cand?

Notificarea bresei prezentand riscuri asupra drepturilor si libertatilor trebuie efectuata fara intarzieri

nejustificate, in termen de maximum 72 de ore de la data la care operatorul a luat cunostinta de

aceasta.

Notificarea autoritatii

1. In masura in care, din investigatii, rezulta ca bresa poate genera riscuri asupra drepturilor si

libertatilor persoanelor vizate, operatorul va transmite catre ANSPDCP o notificare care sa contina

informatiile minimale impuse de GDPR.

2. In cazul in care incalcarea securitatii datelor cu caracter personal este susceptibila sa genereze un risc

ridicat pentru drepturile si libertatile persoanelor fizice, operatorul trebuie sa instiinteze persoanele

afectate.

Cum prelucram datele personale ale copiilor?

• Consimtamant expres al parintelui este necesar pentru prelucrarea datelor minorilor pana la varsta

13-16 ani.
 GDPR PENTRU ECOMMERCE

• Datele cu caracter personal ale unui copil pot fi prelucrate numai daca aveti consimtamantul explicit

al parintelui sau al tutorelui acestuia, pana la o anumita varsta.

• Limita de varsta pentru obtinerea consimtamantului parintilor variaza intre 13 si 16 ani, in functie de

varsta stabilita in fiecare stat membru al UE.

Obtinerea consimtamantului prin eforturi rezonabile. Cum se va face dovada

obtinerii acestui consimtamant?

• Trebuie sa depuneti eforturi rezonabile, tinand seama de tehnologiile disponibile, pentru a va asigura

ca respectivul consimtamant a fost intr-adevar acordat in conformitate cu prevederile legii. Cu alte

cuvinte, societatea/organizatia Dvs. trebuie sa puna in aplicare masuri de verificare a varstei (de

exemplu, intrebari de control, actiuni efectuate pe site-ul web).

• Trebuie obtinut consimtamantul parintelui sau al tutorelui daca lucrati la site-uri de retele sociale

care pun la dispozitie jocuri gratuite pentru copii sau asigurari pentru familii, de exemplu.

• Daca sunteti o organizatie care vizeaza copiii, trebuie sa va asigurati ca orice informatii si comunicari

adresate unui copil sunt usor accesibile si sunt exprimate intr-un limbaj simplu si clar, astfel incat

copilul sa il poata intelege cu usurinta.

Cum prelucram codul numeric personal (CNP)?

1. Garantia confidentialitatii 4. Aderarea la un cod de conduita

2. Masuri tehnice adecvate 5. Instruirea periodica a personalului

3. DPO

Conform proiectul de lege publicat pe site-ul Senatului, CNP-ul este inclus in categoria mai larga
desemnata ca numar de identificare national (care cuprinde, de asemenea, numarul de asigurare de
sanatate, seria si numarul cartii de identitate, numarul de permis auto, numarul pasaportului),
prevazand ca poate fi prelucrat in conditiile Art. 6 (1) din GDPR. Rezulta astfel ca prelucrarea CNP-ului
se poate realiza si in absenta consimtamantul persoanei vizate.
 GDPR PENTRU ECOMMERCE

Pentru situatiile in care CNP-ul este prelucrat in scopul indeplinirii unui interes legitim al operatorului
sau al unui tert, operatorul trebuie sa instituie urmatoarele garantii suplimentare:
1. Luarea de masuri tehnice si organizatorice pentru asigurarea minimizarii, a securitatii si

confidentialitatii prelucrarii;

2. Numirea unui responsabil cu protectia datelor (DPO);

3. Aderarea la un cod de conduita aprobat de autoritatea de supraveghere;

4. Stabilirea de termene de stocare si de stergere a datelor;

5. Asigurarea instruirii periodice a angajatilor care iau parte la activitatea de prelucrare.

Recomandare este ca CNP-ul sa se prelucreze doar in situatiile in care este strict necesar (temei legal
precum HG privind registrul de evidenta al salariatilor).

REPONSABILITATILE OFITERULUI DPO

ANSPDCP recomanda numirea unui DPO avand in vedere efectul benefic al activitatii acestuia, in
asigurarea respectarii GDPR de catre Organizatie.
Ca regula generala: pozitiile conflictuale din cadrul organizatiei pot include pozitii de conducere (cum

ar fi seful executivului, seful operativ, seful financiar, sef-sef medical, seful departamentului de

marketing, seful departamentului de resurse umane sau seful departamentelor IT).

DPO trebuie sa fie o persoana cu competente in domeniul protectiei datelor.

Administratorul firmei nu poate fi DPO

• Pot fi pozitii conflictuale si rolurile inferioare in fi DPO. Cu conditia sa raporteze direct la cel

structura organizatorica, daca astfel de pozitii mai inalt nivel de management.

sau roluri conduc la determinarea scopurilor si

mijloacelor de procesare. • Consilierul Dvs. Juridic poate ocupa pozitia de

DPO dar cu conditia sa raporteze direct la cel

• Daca prin pozitia sa, persoana respectiva poate mai inalt nivel de management.

determina scopurile si mijloacele de procesare

a datelor cu caracter personal, atunci nu poate

 GDPR PENTRU ECOMMERCE

• Daca acel consilier juridic nu este responsabil de prelucrare a datelor, atunci ar putea fi

sa reprezinte firma in fata Instantei si daca nu numit DPO.

are atributii de a stabili scopurile si mijloacele

Nu este obligatoriu ca DPO sa fie extern. Poate fi si un angajat al Organizatiei, insa NU trebuie sa se
afle in conflict de interese cu atributiile pe care ca DPO versus pozitia pe care o ocupa in companie.
Adica NU trebuie sa fie o persoana din conducerea companiei sau care ar putea sa fie implicata in
determinarea scopurilor si mijloacelor in care sunt prelucrate datele cu caracter personal (altfel, ar fi
pus in situatia sa isi verifice propria munca).

• Persoanele vizate trebuie informate, conform • Ofiterul DPO NU poate detine o pozitie in

Art.14. De asemenea, trebuie sa aveti in vedere cadrul organizatiei, prin care poate sa

si posibilitatea ca persoana vizata sa isi stabileasca scopurile si mijloacele de

exercite dreptul la opozitie. In acest caz, prelucrare a datelor cu caracter personal.

trebuie sa incetati prelucarea datelor sale cu GDPR cere ca Responsabilii cu Protectia

caracter personal. Art. 21. (3): In cazul in care Datelor sa isi desfasoare sarcinile in mod

persoana vizata se opune prelucrarii in scopul independent, astfel incat sa nu se afle in

marketingului direct, datele cu caracter conflict de interese intre pozitia din companie

personal nu mai sunt prelucrate in acest scop. si atributiile de DPO.

GDPR spune ca: nu trebuie acordate atributii de DPO nici unei persoane care s-ar putea gasi intr-un
conflict de interese intre pozitia din companie si sarcinile privind protectia datelor (specifice unui
DPO).
 GDPR PENTRU ECOMMERCE

REPONSABILITATILE OPERATORULUI

Pornind de la definita GDPR cu privire la operator, acesta poate fi reprezentat de o persoana fizica
sau juridica, autoritate publica, agentie sau alt organism care, singur sau impreuna cu altele,
stabileste scopurile si mijloacele de prelucrarea datelor cu caracter personal.
Responsabilitatea indeplinirii cerintelor GDPR este a Operatorului si colectorului de date cu caracter
personal.
De exemplu, Contentspeed va fi doar o persoana imputernicita care va ofera un serviciu si cu care

veti trebui sa actualizati contractul conform GDPR.

• Este necesar sa se obtina consimtamantul redirectioneze si catre o pagina de Termeni si

persoanei inainte de a-i colecta si prelucra Conditii, pentru a-l informa despre scopurile si

datele cu caracter personal. modalitatile de prelucrare a datelor sale cu

caracter personal colectate.

• Acordul implicit NU mai este persmis de GDPR.

Trebuie obtinut consimtamantul intr-o forma • Relatia cu persoanele imputernicite de

liber exprimabila de catre persoana vizata. In Operator trebuie reglementata printr-un

cazul Dvs., trebuie implementata o bifa privind contact, conf. Art.28, prin care sa se stipuleze

exprimarea consimtamantului pentru obligatia persoanelor imputernicite de a se

prelucrarea datelor sale cu caracter personal, conforma cerintelor GDPR, de a prelucra datele

inainte ca persoana sa-si creeze cont. personale doar conform instructiunilor

Operatorului si de a asigura masuri tehnice

• NU este permis consimtamantul implicit, ci adecvate pentru protectia datelor cu caracter

trebuie liber exprimat de persoana vizata. personal, pe care le au in custodie.

• Referitor la preluarea consimtamantului, • La Art.38. alin. (3), GDPR mentioneaza ca

atunci trebuie sa se preia consimtamantul operatorul si persoana imputernicita de

utilizatorului cu privire la datele pe care operator se asigura ca responsabilul cu

urmeaza sa le transmita operatorului, o protectia datelor nu primeste niciun fel de

singura data. Insa site-ul trebuie sa il instructiuni in ceea ce priveste indeplinirea

 GDPR PENTRU ECOMMERCE

acestor sarcini. Acesta nu este demis sau recomanda ca DPO sa fie o persoana cu

sanctionat de catre operator sau de persoana competente in domeniul protectiei datelor.

imputernicita de operator pentru indeplinirea

sarcinilor sale. Responsabilul cu protectia • IAPP (International Association of Privacy

datelor raspunde direct in fata celui mai inalt Professionals) este un organism international
nivel al conducerii operatorului sau persoanei care emite certificari in domeniul protectiei

imputernicite de operator. datelor, cum ar CIPM (Certified Information

Privacy Manager), CIPP (Certified Information

• GDPR nu impune nicio obligativitate pentru Privacy Professional).
detinerea unei anumite certificari, insa

GDPR solicita desemnarea unui DPO atunci cand operatorul sau persoana imputernicita de operator
(Art.37.(1))
• Este o autoritate publica sau un organism

public, cu exceptia instantelor in exercitarea • Desfasoara o activitate principala care consta

functiei lor jurisdictionale. in prelucrarea pe scara larga de date sensibile

• Desfasoara o activitate principala care (cum ar fi: date privind originea rasiala sau

conduce la realizarea unei monitorizari etnica, convingerile religioase, apartenenta

constante si sistematice pe scara larga a sindicala, date genetice, biometrice, privind

persoanelor. starea de sanatate) sau referitoare la

condamnari penale si infractiuni.

De exemplu: o farmacie prelucreaza datele privind starea de sanatate, atunci ar trebui sa desemneze
un DPO.

Daca veti colecta e-mailurile abonatilor, atunci intra in zona de GDPR, deoarece prelucreaza date cu
caracter personal. Conform Art.4.(1): prelucrare inseamna orice operatiune sau set de operatiuni
efectuate asupra (seturilor de) date cu caracter personal, cu/fara utilizarea de mijloace automatizate,
cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea,
extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la
dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea.
Nu trebuie sa colectati si sa procesati datele cu caracter personal fara consimtamantul persoanei.
 GDPR PENTRU ECOMMERCE

• Trebuie sa informati persoana cu privire la • Daca urmeaza sa contactati persoane, ale caror

scopurile si modalitatile in care veti prelucra date nu le-ati primit in mod direct de la acestia,

datele cu caracter personal. Utilizatorul trebuie atunci, la momentul primului contact/mail,

informat, in prealabil, despre scopurile si trebuie sa informati persoana respectiva

modalitatile in care vor fi prelucrate datele sale despre sursa din care aveti datele cu sale cu

cu caracter personal, precum si despre sursa caracter personal, scopurile pentru care le veti

din care aceste date au fost obtinute. prelucra, durata pentru care le veti colecta,

Informarea trebuie realizata, respectand potentialii destinatari catre care veti trimite

cerintele Art.14. datele, conform cerintelor Art.14.

De exemplu: daca in procesul de facturare exista date cu caracter personal, datele intra sub incidenta
GDPR.

Art.6. Legalitatea prelucrarii:

(1) Prelucrarea este legala numai daca si in masura in care se aplica cel putin una dintre urmatoarele
conditii:
b) prelucrarea este necesara pentru executarea unui contract la care persoana vizata este parte sau

pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract;

c) prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului.

IP intra sub incidenta GDPR, deoarece este o data care poate duce la identificarea unei persoane

fizice.

Art.4. Definitii:
In sensul prezentului regulament: 1. date cu caracter personal inseamna orice informatii privind o
persoana fizica identificata sau identificabila (persoana vizata); o persoana fizica identificabila este o
persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de
dentificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online,
sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice,
psihice, economice, culturale sau sociale.
 GDPR PENTRU ECOMMERCE

• Continuarea navigarii pe site trebuie sa se faca doar in cazul in care userul accepta politica de

cookies.

• Daca aceasta conditionare nu este posibila a fi implementata de Organizatie, atunci utilizatorul

trebuie informat asupra datelor cu caracter personal colectate despre el si asupra scopurilor pentru

care sunt prelucrate datele sale cu caracter personal (conform cerintelor Art.13).

Daca dvs colectati datele cu caracter personal direct de la persoane fizice:

Exemplu: aveti nevoie de e-mail si nume.prenume pentru a le trimite newsletters sau pentru a se
inscrie la un concurs sau pentru a-i contacta in scop de vanzare, atunci trebuie sa le colectati

consimtamantul cu privire la prelucrarea datelor cu caracter personal (si sa demonstrati ulterior ca

ati colectat acest consimtamant). De asemenea, trebuie sa informati persoanele cu privire la ce date

colectati, in ce scop si cum intentionati sa le prelucrati conf. Art.13.

Daca obtineti datele personale de la alti colaboratori, atunci trebuie sa informati persoanele (la
momentul primului contact) despre sursa din care ati obtinut datele si scopurile pentru care le
colectati si prelucrati (conf. Art.14).
• Trebuie sa asigurati dreptul de acces, opozitie, stergere, rectificare a datelor catre persoanele ale

caror date le-ati colectat.

• Trebuie sa aveti masuri tehnice de securitate implementate pentru a asigura securitatea datelor cu

caracter personal (criptarea bazelor de date, antivirus activ, firewall, controale de access logic in

aplicatiile IT utilizate).

• Trebuie revenit catre fiecare titular de card de fidelitate si sa le cereti acordul pentru prelucrarea

datelor cu caracter personal. Daca acesta este un efort prea mare, care ar perturba functionarea

optima a business-ului, atunci trebuie sa reveniti cu un mesaj de notificare catre titularii de carduri,

prin care sa-i informati despre scopurile prelucrarii datelor cu caracter personal.
 GDPR PENTRU ECOMMERCE

SECURITATE INFORMATICA
Securitatea informatica devine de importanta vitala in contextual GDPR

Recomandam:

• Folosirea programelor de scanare a vulnerabilitatilor precum: Acunetix, Burp Suite sau Netsparker

• Apelati si la o companie de securitate informatica cel putin o data pe an

 GDPR PENTRU ECOMMERCE

ABORDAREA NOASTRA: PACHETUL GDPR

ETAPE DE IMPLEMENTARE

1. Analiza GAP

2. Elaborarea politicilor de protectie a datelor

3. Elaborarea planului de actiuni

4. Analiza datelor existente

5. Asistenta implementarea masurilor de conformitate

SERVICIILE GDPR
1. Curs de introducere si instruire

2. Prezentarea cerintelor GDPR si a modalitatii in care aceste cerinte trebuie puse in aplicare de

angajatii din cadrul organizatiei.

3. Audit initial si analiza GAP

4. Asistenta in implementarea masurilor GDPR

5. Evaluarea conformitatii organizatiei si a sistemului de controale implementat in prezent in raport cu

cerintele tehnice si operationale specifice GDPR

6. Analiza modelului de date utilizat

7. Furnizarea recomandarilor de modificare a proceselor operationale in vederea alinierii la GDPR.

8. Dezvoltarea documentatiei specifice GDPR

9. Inchirierea responsabilului cu protectia datelor

10. Expert calificat, cu competente in domeniul protectiei datelor

 GDPR PENTRU ECOMMERCE

Ce Face Contentspeed Si Cum Va Putem Ajuta?

1. Se documenteaza responsabil din timp si implementeaza noile functii pentru GDPR on deadline

2. Toti clientii platformei ContentSpeed care au serviciile de update active (ContentSpeed StartUP –

toate abonamentele, ContentSpeed Premium si Portal B2B cu abonament de Mentenanta si Garantie

active), primesc upgrade-ul de GDPR compliance GRATUIT.

3. Sistemul de update-uri este un avantaj competitiv major oferit clientilor, deoarece update-ul de GDPR

se va publica simultan pentru toti clientii ContentSpeed pe 25 mai 2018 la ora 00:00.

Concluzie
Daca vrei sa ai un magazin compliant GDPR, atunci platforma de eCommerce ContentSpeed este ceea

ce cauti astfel incat afacerea ta sa functioneze asa cum iti doresti.

Upgradeaza magazinul online la ContentSpeed si grabeste-te sa incepem colaborarea ca sa fii GDPR

compliant pe 25.05.18.
 GDPR PENTRU ECOMMERCE

Deci, sa ne conformam rapid!

Lasa grijile in seama echipei noastre de specialisti si vom face totul pentru tine.
 GDPR PENTRU ECOMMERCE

DOINA VILCEANU Business Development Manager ContentSpeed

RADU VILCEANU CEO & Founder ContentSpeed
+40745 620 230 gdpr@contentspeed.com

COSMIN MACANEATA Managing Partner OMEGA Trust

+40 722 812 812 gdpr@omega-trust.ro

DINU PETRE Avocat coordonator Cunescu, Balaciu & Asociatii

gdpr@cunescu.ro