GDPR – Protecția datelor personale

6 iulie 2017
Agenda: protecția datelor personale
1. Frauda utilizând identități furate sau falsificate
2. GDPR
3. Măsuri de protecție a datelor personale
4. Răspunsul în caz de incidente

2
 1.Frauda utilizând identități furate
sau falsificate

© 2017 Deloitte Romania 3

Frauda utilizând identități furate sau falsificate
Furt de identitate

• Tip de delict prin care un infractor sau grup de infractori fură

informații/ date personale pentru a comite fraude
• Tipuri de furturi de identitate includ:
• Furtul codurilor/ datelor de identificare (CNP, security number,
serie și număr documente de indentificare, etc.)
• Furtul datelor personale utilizate în mediului online - nume,
prenume, fotografii, alte informații personale
• Furtul datelor personale wireless (RFID)
• Furturi de date personale pentru categorii speciale, vulnerabile:
copii, batrani, bolnavi, persoane decedate

© 2017 Deloitte Romania 4

Frauda utilizând identități furate sau falsificate
Identități furate sau falsificate

• Câstiguri financiare și economice

• Aplicații false pentru credite sau carduri de credit
• Retrageri frauduloase de bani din conturi
• Utilizare frauduloasă a cardurilor preplatite și a conturilor online
• Obtinerea frauduloasă de bunuri și servicii
• Impersonare în mediul online (FB, LinkedIn, Twitter, etc.)
• Delicte cibernetice
• Spălare de bani
• Trafic de persoan, droguri, arme
• Imigrație ilegală

© 2017 Deloitte Romania 5

Frauda utilizând identități furate sau falsificate
Exemple

• Compromiterea rețelei Play Station și furtul datelor cardurilor

utilizatorilor – 77 mil de conturi au fost expuse; serviciile au fost
indisponibile pentru 23 de zile
• TJX – 45 mil de conturi compromise, inclusive carduri de debit și
credit
• Phillip Cummings – a vândut rapoarte de credit către o rețea
nigeriană – 30,000 de păgubiți, 15mil $
• Amar Singh și Neha Punjani-Singh – au folosit informații personale
pentru a face carduri de credit false - 13 mil $
• Cazuri ciudate: un francez a impersonat cel puțin 500 de
persoane, o mamă a pretins că este fiica sa pentru a intra în
clubul de majorete, …

© 2017 Deloitte Romania 6

Frauda utilizând identități furate sau falsificate
Statistici - 2016

• 15.4 mil persoane au fost victime ale

furtului de identitate, 16% +

• Fraudele cu tranzacții efectuate prin

telefon au crescut cu 40%

• +31% acces neautorizat la conturi

• Conturi noi fraudulos create + 20%

• 16 miliarde furate in 2016, + 1

miliard față de 2015

© 2017 Deloitte Romania 7

 2. GDPR

© 2017 Deloitte Romania 8

GDPR
Un pericol iminent?

According to the Digital Clarity Group „The GDPR could

be a mortal threat to your company’s existence
— and it makes fundamental decisions about data
collection, processing, and storage into key strategic
business issues."

© 2017 Deloitte Romania 9

GDPR
Reglementarea securității datelor și a obligației de raportare

Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protecția persoanelor
fizice in ceea ce privește prelucrarea datelor cu caracter personal si privind libera circulație a acestor date (“GDPR”) a intrat
in vigoare la data de 25 mai 2016.

GDPR înlocuiește Directiva 95/46/EC privind protecția persoanelor fizice in ceea ce privește prelucrarea datelor cu caracter
personal si libera circulație a acestor date si va fi direct aplicabil in toate statele membre ale UE fără a fi necesara
transpunerea in legislația națională.

Lege nr. 677/2001 Romania adera

la UE
pentru protecția persoanelor
cu privire la prelucrarea datelor Aprobarea GDPR Aplicare GDPR

cu caracter personal si libera circulație

a acestora (“LPD”)

21 noiembrie 3 mai 2005 1 ianuarie 2007 27 aprilie 2016 25 mai 2016 25 mai 2018
2001 Legea nr. 102/2005
privind înființarea
Autorității Naționale de
Supraveghere a
Prelucrării Datelor cu Intrare in vigoare a GDPR
Caracter Personal
(“ANSPDCP”)

© 2017 Deloitte Romania

GDPR
Reglementarea securității datelor și a obligației de raportare
Reglementare anterioară în LPD: Capitolul V – Confidențialitatea și securitatea
prelucrărilor, art. 20 privind securitatea prelucrărilor:

Art. 20. - (1) Operatorul este obligat să aplice măsurile tehnice şi

organizatorice adecvate pentru protejarea datelor cu caracter personal
împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii
sau accesului neautorizat, în special dacă prelucrarea respectivă comportă
transmisii de date în cadrul unei rețele, precum și împotriva oricărei alte
forme de prelucrare ilegală.
(2) Aceste măsuri trebuie să asigure, potrivit stadiului tehnicii utilizate în
procesul de prelucrare şi de costuri, un nivel de securitate adecvat în ceea
ce priveşte riscurile pe care le reprezintă prelucrarea, precum și în ceea ce
privește natura datelor care trebuie protejate. Cerințele minime de
securitate vor fi elaborate de autoritatea de supraveghere și vor fi
actualizate periodic, corespunzător progresului tehnic și experienței
acumulate.
[…]
(4) Autoritatea de supraveghere poate decide, în cazuri individuale, asupra
obligării operatorului la adoptarea unor măsuri suplimentare de securitate,
cu excepția celor care privesc garantarea securității serviciilor de
telecomunicații.
• Cerințele privind măsurile de securitate și obligațiile de raportare către
autoritatea de supraveghere sunt reglementate in articolele 32 – 34 din
GDPR.
© 2017 Deloitte Romania
GDPR
Sancțiuni mai mari
01
LPD
334 EUR - 11,112 EUR
Art. 33 LPD: Neîndeplinirea obligațiilor privind
aplicarea măsurilor de securitate și de păstrare
a confidențialității prelucrărilor, prevăzute la
art. 19 și 20, constituie contravenție, dacă nu
este săvârșită în astfel de condiții încât să
constituie infracțiune, și se sancționează cu
amendă de la 1.500 lei la 50.000 lei.
© 2017 Deloitte Romania
02
GDPR
Amenzi de pana la 10.000.000 EUR
sau, in cazul unor întreprinderi, 2% din
cifra de afaceri mondială totală anuala
corespunzătoare exercițiului financiar
anterior, luându-se cea mai mare
valoare
pentru încălcarea dispozițiilor privind, de
exemplu, următoarele:
 Obligațiile operatorului si ale persoanei
împuternicite de operator
 Obligațiile organismului de certificare
GDPR
Clarificarea temeiului legal al prelucrării

Prelucrarea este legală numai dacă și în măsura în care se aplică

cel puțin una dintre următoarele condiții:
Consimțământ – atenție!

(a) persoana vizată și-a dat consimțământul pentru prelucrarea

Consimțământul – doar una dinte condițiile de legalitate a prelucrării:
datelor sale cu caracter personal pentru unul sau mai multe
scopuri specifice;
• forma accesibilă și inteligibilă
• limbaj clar și simplu
(b) prelucrarea este necesară pentru executarea unui contract la
• acțiune clară
care persoana vizată este parte sau pentru a face demersuri la
• în cunoștință de cauză – informare prealabilă
cererea persoanei vizate înainte de încheierea unui contract;

(c) prelucrarea este necesară în vederea îndeplinirii unei obligații
legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale
ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care
servește unui interes public sau care rezultă din exercitarea
autorității publice cu care este învestit operatorul;
Daca societatea s-a bazat pe consimțământ, iar acesta este invalidat (e.g.
viciat sau retras), este discutabil daca poate sa se ralieze pe un alt temei legal
de prelucrare (e.g. interes legitim). In plus, apelarea la consimțământ
afectează drepturile persoanelor vizate, acestea vor avea drepturi
suplimentare in baza Regulamentului (e.g. dreptul de a fi uitat si dreptul la
portabilitate).

(f) prelucrarea este necesară în scopul intereselor legitime

urmărite de operator sau de o parte terță, cu excepția cazului în
care prevalează interesele sau drepturile și libertățile
fundamentale ale persoanei vizate, care necesită protejarea
datelor cu caracter personal, în special atunci când persoana
vizată este un copil.

© 2017 Deloitte Romania 10

GDPR
Responsabilul cu protectia datelor personale

© 2017 Deloitte Romania 14

GDPR
Ce este responsabilul cu protectia datelor personale?

1 Concept, clarificări

2 COR – o noua ocupatie (?)

3
Principala recomandare – evaluarea
necesitatii de a numi o persoana
responsabila

© 2017 Deloitte Romania 15

GDPR
Responsabilul cu protecția datelor personale

activitățile principale ale

operatorului sau ale
activitățile principale
persoanei împuternicite
ale operatorului sau de operator constau în
ale persoanei prelucrarea pe scară
împuternicite de largă a unor categorii
operator constau în speciale de date sau a
operațiuni de unor date cu caracter
prelucrare care, prin personal privind
natura, domeniul de condamnări penale și
prelucrarea este aplicare și/sau infracțiuni.
efectuată de o autoritate scopurile lor, necesită o
sau un organism public monitorizare periodică
și sistematică a
persoanelor vizate pe
scară largă, sau

© 2017 Deloitte Romania

GDPR
Poziția responsabilului cu protecția datelor

4 o anumita
“imunitate”

3
instructiuni
cu privire la
indeplinirea
atributiilor

2
resurse
necesare
pentru
exercitarea
atributiilor
implicare in mod

1
corespunzator si in
timp util in toate
aspectele legate
de protectia
datelor cu caracter
personal

© 2017 Deloitte Romania 17

GDPR
Evaluarea diagnostic a activităților de prelucrare la nivelul societății
Scop
Primul pas pe care îl recomandăm societăților care prelucrează
date cu caracter personal este o auto-evaluare, un audit intern
care să răspundă cel puțin următoarelor întrebări:
− care sunt categoriile de date cu caracter personal prelucrate
de către societate?
− dacă aceste date cu caracter personal sunt transferate şi
către cine?
− dacă prelucrarea şi/sau transferul datelor respectă
principiile şi regulile impuse de Regulament?
− dacă societatea are implementat un sistem de
notificare/informare a persoanelor vizate, precum şi de
preluare a consimțământului acestora?
− dacă există proceduri la nivelul societății pentru cazurile în
care securitatea datelor cu caracter personal ar fi
compromisă?
− este societatea în situația în care trebuie să numească un
responsabil cu protecția datelor?
© 2017 Deloitte Romania
− mediul ITC utilizat de organizație pentru prelucrarea datelor cu caracter
personal;
− măsurile tehnice și organizatorice luate deja de organizație pentru a
respecta cerințele de confidențialitate, e.g. documentație de
confidențialitate, politici, ghiduri, declarații de confidențialitate, clauze
contractuale, măsuri luate cu privire la transferul internațional de date,
etc.
Scopul evaluării este de a oferi o viziune de ansamblu clară asupra gradului de
respectare a confidențialității și protecției datelor cu caracter personal în cadrul
organizației locale. Practic, societatea va avea o privire de ansamblu a tuturor
activităților de prelucrare de date la nivelul societății, a proceselor de business
care implica prelucrare de date, cu indicarea precisa a zonelor in care trebuie
luate masuri pentru a asigura respectarea Regulamentului.
Rezultate
După îndeplinirea acestei auto-evaluări societățile pot începe implementarea
măsurilor necesare pentru asigurarea conformității cu prevederile
Regulamentului. Această etape presupune atât măsuri organizatorice (de
exemplu prin crearea cadrului pentru funcționarea responsabilului cu protecția
datelor sau prin implementarea procedurilor în cazul în care securitatea datele
cu caracter personal ar fi compromisă), dar şi tehnică.
 3. Măsuri de protecție

© 2017 Deloitte Romania 19

Măsuri de protectie
Privire de ansamblu

1. Guvernanta (datelor)

Atitudinea conducerii, politicile implementate, roluri și responsabilități

precum și structuri organizatorice contribuie decisiv la protecția
datelor personale
Cerințe ale
2. Drepturile persoanelor vizate regulamentului care sunt
implementate la nivel
Operatorii oferă persoanelor vizate controlul pentru conținutul si central si care pot fi
scopul datelor procesate evaluate o singura data
pentru intreaga
organizatie
3. Securitatea datelor 4. Transferul datelor

Datele sunt procesate in conditiii Controale sunt implementate

de siguranță; divulgările de date pentru a asigura protecția
personale semnificative sunt adecvata a datelor personale de
raportate către terți
Cerințe ale standardului
5. Principiile protectiei datelor care sunt implementate
separat la nivelul proceselor
Procesarea datelor personale este realizata conform cerintelor legale, de resurse umane si de
limitata ca scop, proportionala, precisa si transparenta pentru business si care trebuie
persoana vizata, asigurand pastrare pentru o perioada limitata evaluate individual

© 2017 Deloitte Romania 20

Măsuri de protecție
Guvernanța organizației în contextul GDPR

Inregistrări ale
Politici și Responsabil cu
activităților de
proceduri protecția datelor
procesare

Protecția datelor
Analiza impactului
începând cu Protectia implicită
asupra protecției
momentul a datelor
datelor
proiectării

Managementul riscurilor

© 2017 Deloitte Romania 21

Măsuri de protecție
GDPR art. 25

(1) Având în vedere stadiul actual al tehnologiei, costurile implementării[...], Privacy

operatorul [...] pune în aplicare măsuri tehnice și organizatorice adecvate, by
cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod design
eficient principiile de protecție a datelor, precum reducerea la minimum a
datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a
îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor
vizate
(2) Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate Privacy
pentru a asigura că, în mod implicit, sunt prelucrate numai date cu by
caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. default
Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare
a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de
măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi
accesate, fără intervenția persoanei, de un număr nelimitat de persoane

Motivare (1): Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal
este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii
Europene („carta”) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene
(TFUE) prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.
© 2017 Deloitte Romania 22
Măsuri de protecție
Privacy by Design

Asigurarea protecției datelor începând cu

momentul conceperii și în mod implicit –
înseamnă construirea de sisteme care iau
in considerare confidențialitatea datelor
încă de la arhitectura, operarea și
managementul unui sistem, procese
de business sau chiar specificații de
design;
Se bazează pe aderarea la cele 7
Principii Fundamentale ale Privacy by
Design în construirea de noi sisteme
(formulate de Dr. Ann Cavoukian, Executive Director, Privacy and Big Data
Institute)

Privacy by ReDesign – aplicarea

principiilor asupra diferențele de
conformitate a sistemelor existente.

© 2017 Deloitte Romania 23

4. Răspunsul la incidente

© 2017 Deloitte Romania 24

Răspunsul la incidente
Breșă și incident

art. 4 (12) „încălcarea securității datelor cu caracter personal” înseamnă o Securizare –

încălcare a securității care duce, în mod accidental sau ilegal, la operatiuni și
distrugerea, pierderea, modificarea, sau divulgarea infrastructură
neautorizată a datelor cu caracter personal transmise, stocate sau
prelucrate într-un alt mod, sau la accesul neautorizat la acestea;

art. 5 (1)(f) Datele cu caracter personal sunt: Securizare –

(f) prelucrate într-un mod care asigură securitatea adecvată a operatiuni,
datelor cu caracter personal, inclusiv protecția împotriva aplicații și
prelucrării neautorizate sau ilegale și împotriva pierderii, a infrastructură
distrugerii sau a deteriorării accidentale, prin luarea de măsuri
tehnice sau organizatorice corespunzătoare („integritate și
confidențialitate”).

© 2017 Deloitte Romania 25

Răspunsul la incidente
Securitatea prelucrării - art. 32

(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și Securizare –

natura, domeniul de aplicare, [...], operatorul și persoana împuternicită de operațiuni și
acesta implementează măsuri tehnice și organizatorice adecvate în infrastructură
vederea asigurării unui nivel de securitate corespunzător acestui risc,
incluzând printre altele, după caz:
(a) pseudonimizarea și criptarea datelor cu caracter personal; Tehnologii
specifice
(b) capacitatea de a asigura confidențialitatea, integritatea, Securizare –
disponibilitatea și rezistența continue ale sistemelor și serviciilor operațiuni și
de prelucrare; infrastructură

(c) capacitatea de a restabili disponibilitatea datelor cu caracter

personal și accesul la acestea în timp util în cazul în care are loc un
incident de natură fizică sau tehnică;
(d) un proces pentru testarea, evaluarea și aprecierea periodice Teste de
ale eficacității măsurilor tehnice și organizatorice pentru a garanta penetrare
securitatea prelucrării.

© 2017 Deloitte Romania 26

Răspunsul la incidente
Provocări strategice – reziliența

• Dezvoltarea unei viziuni privind

managementul securității și riscului, bazată
pe încredere și reziliență în dimensiunea
digitală a businessului.
• Adaptarea obiectivelor strategice de risc și
securitate pentru a fi aliniate noilor realități
digitale.
• Adoptarea celor 6 principii de încredere și
reziliență (#6 Trecerea de la protecție la
detecție și răspuns)
• Dezvoltarea și adaptarea unei arhitecturi
contextuale de securitate.
• Implementarea și gestionarea unui program
formal de management al securității și
riscului bazat pe procese interne, care să
susțină business-ul digital.
• Sursa: Gartner, Managing Risk and Security at the Speed of Digital Business

© 2017 Deloitte Romania 27

Răspunsul la incidente
Monitorizare – evidențe

art. 30(1) Fiecare operator și, după caz, reprezentantul acestuia păstrează o Monitorizare –
evidență a activităților de prelucrare desfășurate sub activități și
responsabilitatea lor. Respectiva evidență cuprinde toate următoarele securitate
informații:
(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și
organizatorice de securitate menționate la articolul 32 alineatul (1).
art.30(2) Fiecare operator și, după caz, persoana împuternicită de operator Monitorizare –
păstrează o evidență a tuturor categoriilor de activități de activități și
prelucrare desfășurate în numele operatorului, care cuprind: securitate

* art 32 (1) – Securitatea prelucrării

© 2017 Deloitte Romania 28

Răspunsul la incidente
Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter
personal

art.33(1) în cazul în care are loc o încălcare a securității datelor cu caracter personal,
operatorul notifică acest lucru autorității de supraveghere competente în temeiul
articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult
72 de ore [...]. în cazul în care notificarea nu are loc în termen de 72 de ore,
aceasta este însoțită de o explicație motivată din partea autorității de
supraveghere.
art.33(2) Persoana împuternicită de operator înștiințează operatorul fără întârzieri
nejustificate după ce ia cunoștință de o încălcare a securității datelor [...]
art.33(3) Notificarea menționată la alineatul (1) cel puțin:
(a) descrie caracterul încălcării securității datelor cu caracter personal, inclusiv,
acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în
cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu
caracter personal în cauză;
(b) comunică numele și datele de contact ale responsabilului [...]
(c) descrie măsurile luate sau propuse spre a fi luate de operator pentru a
remedia problema încălcării securității datelor cu caracter personal, inclusiv, după
caz, măsurile pentru atenuarea eventualelor sale efecte negative.

© 2017 Deloitte Romania 29

Sumar
Recomandări
 Obține implicarea conducerii superioare
 Implica principalii actori: responsabilul de securitate,
persoana din conducere responsabila de conformitate
privind protecția datelor, IT (dezvoltare & operațiuni), risc,
juridic, conformitate, responsabili
procese/produse/servicii, utilizatori finali, …
 Caută aliați în interiorul organizației, e.g. Financiar,
Achiziții (funcții “cheie”)
 Definirea clară: aceeași înțelegere evitarea modificării
scopului și obiectivelor
 Evită abordarea departamentală: este important să fie
înțeles întregul ciclu de viață al datelor de către toți
responsabilii
 Termene clare necesare pentru acțiuni de remediere
 Protecția datelor nu trebuie sa încetinească
activitățile de afaceri ci sa le faciliteze
© 2017 Deloitte Romania
• Determinați-vă rolul: sunteți operator sau persoană
împuternicită?
• Protecția datelor prin proiectare si dezvoltare va deveni
obligatorie (General Data Protection Regulation)
• Nu exista un standard (încă), doar cerințe minime
(bune practici)
• Adaptarea cerințelor fiecărei organizații în parte
• Creșterea valorii prin integrare in procesul existent de
management al riscurilor informaționale
• Folosește protecția datelor personale pentru a creste
nivelul de conștientizare privind securitatea datelor
in general in cadrul organizației
• Desfășurați o evaluare de risc, dacă este cazul și
implementați măsurile sugerate de experți.
• Asigurați-vă că este clar cine este persoana responsabilă
cu securitatea datelor cu caracter personal și cu
securitatea sistemelor informatice.
30
GDPR – Protecția datelor personale
6 iulie 2017
Numele Deloitte se refera la organizatia Deloitte Touche Tohmatsu Limited, o companie cu raspundere limitata din Marea Britanie, la
firmele membre ale acesteia, in cadrul careia fiecare firma membra este o persoana juridica independenta. Pentru o descriere amanuntita a
structurii legale a Deloitte Touche Tohmatsu Limited si a firmelor membre, va rugam sa accesati www.deloitte.com/ro/despre.

Reff si Asociatii SCA este societate de avocati membra a Baroului Bucuresti, independenta in conformitate cu reglementarile aplicabile
profesiei de avocat, si reprezinta reteaua de societati de avocati Deloitte Legal in Romania. Deloitte Legal inseamna practicile juridice ale
membrilor Deloitte Touche Tohmatsu Limited si afiliatii acestora care ofera servicii de asistenta juridica. Pentru o descriere a serviciilor de
asistenta juridica oferite de entitatile membre ale Deloitte Legal, va rugam accesati: http://www.deloitte.com/deloittelegal.

Deloitte furnizeaza servicii clientilor din sectorul public si privat in urmatoarele domenii profesionale - audit, taxe, consultanta, consultanta
financiara – deservind numeroase industrii. Prin intermediul retelei sale globale de firme membre, care activeaza in peste 150 de tari,
Deloitte pune la dispozitia clientilor sai resursele internationale precum si priceperea locala pentru a-i ajuta sa exceleze indiferent de locul
in care acestia isi desfasoara activitatea. Obiectivul celor 225 000 de profesionisti din Deloitte este acela de a crea un impact vizibil in
societate.

© 2017 Deloitte Romania