SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 1: IDENTIFICAREA FURNIZORULUI

SCHEMĂ PRELUCRARE A DATELOR CU CARACTER PERSONAL

MODEL SCENARIU ÎNCĂLCAREA

SECURITĂȚII DATELOR

Utilizarea datelor personale ale unor persoane fizice pentru efectuarea de operațiuni ilegale
constând în cresterea portofoliului de clientii a firmei SC CARKIT SRL

Muresan Ionut-Vasile

2018

l
SCHEMĂ DE PRELUCRARE DATE PERSONALE

Denumirea operatorului: SC.CARUMO SRL

Adresa: Str. Aviatorilor nr.23 , bl.B5, ap.10, Cluj-Napoca
CUI: 13845573
Nr. ORC: J12/590/2002
Director: KELLER John

Date de contact ale responsabilului cu protecția datelor personale: VASILE Mihai

Adresa: Str. Castanilor, nr. 3, bl.D3, ap. 2, Cluj-Napoca
Functia actuala: Responsabil cu protecția datelor personale
Educatie: Studii superioare

Telefon:…0264 342243 Mobil....0765439895

E-mail: office.mail@ymail.com

Rezumatul incidentului:

-data și ora incidentului: 12:05

-data și ora depistării incidentului: 16:23
-circumstanțele: divulgarea datelor cu caracter personal unei alte persoane
-persoane implicate: SC.CARUMO SRL, Departamentul Resurse Umane, Seful Departamentului
Ionut MIHAI.
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 2: CIRCUMSTANȚELE ÎNCĂLCĂRII SECURITĂȚII DATELOR CU

CARACTER PERSONAL

În fapt, la data de 20.03.2018 numitul Ionut MIHAI folosindu-se în mod nejustificat de funcția
de Sef Resurse Umane pe care o deține în cadrul SC.CARUMO SRL, a sustras date cu caracter
personal din baza de date a companiei.
Ca urmare a obținerii datelor cu caracter personal în cauză, acestea au fost utilizate în vederea
castigarii de noi clientii a firmei SC CARKIT SRL, unde sotia acestuia are functia de Manager.

ACTORI IMPLICAŢI

Natura și conținutul datelor cu caracter personal:

- date cu caracter personal reprezentand clientii firmei SC.CARUMO SRL ( Nume, Prenume, CNP,
specimen de semnătură);

Actorii implicați:
- George MAN în calitate de consilier juridic al SC CARUMO SRL
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 3: EVALUAREA INIŢIALĂ

- 1.Consecințele și efectele adverse asupra persoanei fizice:
- prin accesul neautorizat la datele cu caracter personal ale SC.CARUMO SRL s-au efectuat
cercetari in privinta sustragerii de date cu caracter personal, cu consecința actionarii in instanta
a persoanelor implicate.
2. Efectele și consecințele asupra operatorului:
Se reține în sarcina operatorului o neglijență în ceea ce privește :
- operațiunile privind prelucrarea datelor cu caracter personal
- restricționarea autorizării personalului acestuia la accesul și la folosirea datelor cu caracter
personal;
- instruirea personalului acestuia cu privire la accesul, folosirea și confidențialitatea datelor cu
caracter personal;
- asigurarea confidenţialități și integrității serviciilor de prelucrare;
- luarea de măsuri pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea
operatorului sau a persoanei împuternicite de operator şi care are acces la date cu caracter
personal nu le prelucrează decât la cererea operatorului;
- implementarea măsurilor de protecţie tehnice şi organizatorice pentru a a evita încălcarea
securităţii datelor cu caracter personal;

3. Situația riscurilor în urma încălcării securității datelor:

- -riscuri în relații economice: instabilitatea raporturilor comerciale, cu consecința prejudicierii
sub aspect pecuniar a firmei in cauza prin P
- -riscuri legale: aplicarea unor măsuri administrative și amenzi operatorului, pentru
neaplicarea sau aplicarea defectuoasă a dispoziţiilor legale privind protecția datelor cu
caracter personal.
- -riscuri finaciare: scaderea vanzarilor.

4. Implicarea relevantă a altor operatori :

Din analiza stării de fapt se poate observa că .............................

5. Implicarea autorităților și măsurile luate de acestea în ceea ce privește furnizorul

Au fost implicate următoarele autorități:

- Parchetul de pe lânga Judecatoria Cluj, pentru anchetarea infracțiunilor comise de către
Ionut MIHAI, cu consecința trimiterii acestuia în judecată pentru săvârșirea infracțiunilor de
folosire a datelor cu caracter personal fara instiintarea persoanelor sau a firmei in cauza.
- Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, prin
exercitarea următoarelor competențe:
- competenţe de investigare
- sub formă de audituri privind protecţia datelor;
- accesului la toate datele cu caracter personal şi la toate informaţiile necesare prelucarte de
operator pentru îndeplinirea sarcinilor sale;
- accesul la oricare dintre incintele operatorului şi ale persoanei împuternicite de operator,
inclusiv la orice echipamente şi mijloace de prelucrare a datelor;
- competenţe corective:
- trasarea de dispoziții operatorului în cee ace privește asigurarea conformitatea operaţiunilor de
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 3: EVALUAREA INIŢIALĂ

prelucrare cu dispoziţiile prezentului regulament, cu obligatia de a specifica modalitatea şi
termenul-limită pentru aceasta;
- obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecţiei
datelor cu caracter personal;
- obligarea operatorului la securizarea datelor cu caracter personal sau restricţionarea
prelucrării;
- impunerea de amenzi administrative în în completarea măsurilor menţionate.
- Tribunalul Cluj
- -litigiu privind sustragerea de date cu caracter personal.
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 3: EVALUAREA INIŢIALĂ

Concluzii relevante în urma analizei preliminare a riscurilor

În urma analizei preliminare a riscurilor prezente în această situație, se poate observa că operatorul nu
a depus diligențele necesare în prelucrarea datelor cu caracter personal, prevăzute de reglementările
legale, și de cele cuprinse în directivele europene, prin faptul că au avut acces la aceste date, persoane
neautorizate.
Totodată, operatorul nu a implementat proceduri mai stricte în accesarea datelor cu caracter personal
de către angajații acestuia, proceduri care ar fi prevenit folosirea acestora în scop ilegal cu consecința
producerii de prejudicii în patrimoniul societății și a reprezentantului legal.

Descrierea activității operatorului și a implicării acestuia în prelucrarea datelor cu caracter

personal:

Operatorul este o entitate, cu personalitate juridică, organizată în subordinea SC CARUMO SRL,a

cărei activitate este reglementată de prevederile Legii Legea nr. 677 din 2001 privind protectia
persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date
având următoarele funcții (pe linia protecţiei datelor cu caracter personal):
-funcţia de inregistrare date cu caracter personal in baza unui registru;
-funcţia de eliberare de înscrisuri şi de informare;
-funcţia de arhivare a înscrisurilor în baza cărora se efectuează înregistrările în registrul destinat
datelor cu caracter personal;
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 3: EVALUAREA INIŢIALĂ

Servicii oferite de operator (pe linia protecţiei datelor cu caracter personal):

-Asistență acordată persoanelor interesate pentru prelucrarea datelor cu caracter personal;
-Statistici structurate pe diferite criterii;

În îndeplinirea funcțiilor specifice și pentru acordarea serviciilor, operatorul prelucrează

constant date privind:
A. Persoane fizice: Nume, Prenume, CNP, domiciliu, activitate, număr de telefon, fax, e-mail etc
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 4: MĂSURI TEHNICE ȘI ORGANIZATORICE

Măsurile tehnice și organizatorice aplicate de către operator:

- punerea în aplicare a măsurilor tehnice şi organizatorice adecvate pentru a garanta şi că
prelucrarea se efectuează în conformitate cu reglementările legale, respective:
 Măsuri de tehnice în ceea ce privește asigurarea securității datelor cu caracter
personal
- Utilizatorii, pentru a căpăta acces la o bază de date cu caracter personal, trebuie să se
identifice. Identificarea în cadrul operatorului se face prin introducerea codului de
identificare de la tastatură (un şir de caractere).
- -Fiecare utilizator are propriul său cod de identificare. Niciodată nu este alocat
acelaşi cod de indentificare mai multor utilizatori.
- -Codurile de identificare (sau conturi de utilizator) nefolosite o perioadă mai
îndelungată sunt dezactivate şi distruse după un control prealabil intern al
operatorului. Perioada după care codurile trebuie dezactivate şi distruse este stabilită
prin proceduri interne de operator.
- -Orice cont de utilizator este însoţit de o modalitate de autentificare. Autentificarea se
face prin introducerea unei parole.
- -Parolele sunt şiruri de caractere, adecvate din punct de vedere al securităţii ca
lungime şi compoziţie. La introducerea parolelor acestea nu sunt afişate în clar pe
monitor. Parolele sunt schimbate periodic în funcţie de politicile de securitate ale
operatorului. Schimbarea periodică a parolelor se face numai de către utilizatori
autorizaţi de operator.
- -Operatorul are implementate un sistem informaţional care refuză automat accesul
unui utilizator după 3-6 introduceri greşite ale parolei.
- -Orice utilizator care primeşte un cod de identificare şi un mijloc de autentificare este
obligat prin fişa postului să păstreze confidenţialitatea acestora şi să răspundă în acest
sens în faţa operatorului.
- -Este stabilită o procedură proprie de administrare şi gestionare a conturilor de
utilizator.
- -Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se face
numai pe baza unei liste aprobate de conducerea operatorului.
- -Utilizatorii pot accesa numai datele cu caracter personal necesare pentru îndeplinirea
atribuţiilor lor de serviciu. Pentru aceasta sunt stabile tipurile de prelucrări după
funcţionalitate (administrare,introducere, prelucrare, salvare etc.) şi după acţiuni
aplicate asupra datelor cu caracter personal(scriere, citire, ştergere), precum şi
procedurile privind aceste tipuri de acces.
- -Programatorii sistemelor de prelucrare a datelor cu caracter personal nu au acces la
datele cu caracter personal. Operatorul permite accesul programatorilor la datele cu
caracter personal numai după ce acestea au fost transformate în date anonime.
- -Compartimentul care asigură suportul tehnic poate avea acces la datele cu caracter
personal pentru rezolvarea unor cazuri excepţionale.
 Măsuri specifice de control ale acesulului la datele cu caracter personal:
- în spaţiile destinate desfăşurării activităţii operatorului sunt instalate sisteme de

1
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 4: MĂSURI TEHNICE ȘI ORGANIZATORICE

alarmă antiefracţie ;
- în spaţiul aferent intrării în cadrul operatorului sunt instalate sisteme de supraveghere
video;
- monitorizarea şi intervenţia în caz de alarmă este asigurată de o firmă de protecţie şi
pază
- -Operatorul desemnează utilizatori autorizaţi pentru operaţiile de colectare şi
introducere de date cu caracter personal într-un sistem informaţional.
|
- -Orice modificare a datelor cu caracter personal se poate face numai de către
utilizatori autorizaţi desemnaţi de operator.
- -Operatorul a luat măsuri pentru ca sistemul informaţional să înregistreze cine a
făcut
- modificarea, data şi ora modificării. Pentru o mai bună administrare operatorul are
implementate măsuri ca sistemul informaţional să menţină datele şterse sau
modificate.
- Operatorul stabileşte intervalul de timp la care se vor executa copiile de siguranţă
ale bazelor de date cu caracter personal, precum şi ale programelor folosite pentru
prelucrările automatizate.
- -Utilizatorii care execută aceste copii de siguranţă sunt numiţi de operator, într-un
număr restrâns.
- -Copiile de siguranţă se vor stoca în alte camere, în fişete metalice.
- -Operatorul a luat măsuri ca accesul la copiile de siguranţă să fie monitorizat.
- -Se generează zilnic de către sistemul informatic, în mod automat, un back-up pentru
o eventuală recuperare a datelor, în cazul distrugerii sau disfuncţionalităţii sistemelor
informatice.
 Măsuri în cazul în care prelucrarea urmează să fie realizată în numele
operatoratorului
- Operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente
pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel
încât prelucrarea să respecte cerinţele prevăzute în Regulamentul UE 2016/679 şi să
asigure protecţia drepturilor persoanei vizate.
- Prelucrarea de către o persoană împuternicită de operator este reglementată printr-un
contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care
are caracter obligatoriu pentru persoana împuternicită de operator în raport cu
operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării,
tipul de date cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi
drepturile operatorului
 Măsuri în ceea ce privește evidența activităților de prelucrare
- Întocmirea unei evidenţe a activităţilor de prelucrare desfăşurate sub responsabilitatea
lor.
 Desemnarea responsabilului cu protecţia datelor
 Măsuri în ceea ce privește colaborarea cu autoritatea de supraveghere
- Notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu

2
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 4: MĂSURI TEHNICE ȘI ORGANIZATORICE

caracter personal prin intermediuo responsabilului cu protecția datelor cu caracter
personal

- Operatorul, prin intermediul responsabilului cu protecța datelor cu caracter personal,

consultă autoritatea de supraveghere înainte de prelucrarea atunci când evaluarea
impactului asupra protecţiei datelor indică faptul că prelucrarea ar genera un risc
ridicat în absenţa unor măsuri luate de operator pentru atenuarea riscului.
 Informarea persoanelor vizate cu privire la încălcarea securităţii datelor cu
caracter personal

Conținutul notificării către persoanele fizice implicate

Către

Persoana Fizică Ion STANCU

Domiciliu: Str.Papadiilor, nr. 3, bl.f5, ap. 43, Targu Ocna.

Subscrisa SC CARUMO SRL cu sediul situat în Str. Aviatorilor, nr.23, bl B5, Cluj-
Napoca, in temeiul art. 34 din Regulamentul (UE) 2016/679 formulăm prezenta:

NOTIFICARE

Prin care vă aducem la cunoștință faptul că la data de 20.03.2018 a fost încălcată

securitatea datelor dumneavoastre cu caracter personal, respectiv: Numele, Prenumele,
Adresa, CNP, Seria și Numărul cărții de identitate, Specimenul de semnătură.

Pentru orice alte informații suplimentare, vă rugăm să contactați Responsabilul cu

protecția datelor furnizorului –SC CARUMO SRL - tel:0765439895, fax:- e-
mail:office.mail@ymail.com.

Ca urmare a încălcării securității datelor cu caracter personal, s-au preluat datele

menționate mai sus și s-a recurs la copierea acestora în numele dumneavoastră
constând în incalcarea drepturilor de prelucrare a datelor personale.

3
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 4: MĂSURI TEHNICE ȘI ORGANIZATORICE

Măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema
încălcării securității datelor cu caracter personal și pentru atenuarea eventualelor sale
efecte negative:
 Măsuri de tehnice în ceea ce privește asigurarea securității datelor cu caracter
personal;
 Măsuri specifice de control al accesulului la datele cu caracter personal;
 Măsuri în cazul în care prelucrarea urmează să fie realizată în numele
operatoratorului;
 Măsuri în ceea ce privește evidența activităților de prelucrare;
 Desemnarea Responsabilului cu Protecţia Datelor Personale;
 Măsuri în ceea ce privește colaborarea cu autoritatea de supraveghere;
 Informarea persoanelor vizate cu privire la încălcarea securităţii datelor cu
caracter personal

Mijloace de comunicare utilizate:

- corespondeță electronică;
- prin intermediul serviciilor poștale sau de curierat care asigură confirmarea
trimiterilor.

4
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 4: MĂSURI TEHNICE ȘI ORGANIZATORICE

Notificarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter

Personal
Notificare de încălcare a securităţii datelor cu caracter personal

Secțiunea 1
Identificarea operatorului
1.Denumirea operatorului: SC CARUMO SRL

2.Identitatea şi datele de contact ale responsabilului cu protecţia datelor sau ale unui
alt punct de contact de unde se pot obţine mai multe informaţii

Numele și Prenumele:VASILE Mihai

Număr de telefon: 0765439895
Adresa de e-mail: office.mail@ymail.com
Adresa de corespondență: ---

3.Este prima sau a doua notificare?

 Prima notificare
A doua notificare

Informaţii iniţiale privind încălcarea securităţii datelor cu caracter personal (de

completat în notificările ulterioare, dacă este cazul)
4.Data şi ora incidentului (dacă se cunosc; dacă este necesar, se poate face o estimare) şi
ale depistării incidentului

4.1 Data și ora incidentului: 12:05

4.2 Data și ora depistării incidentului: 16:23

5. Circumstanţele încălcării securităţii datelor cu caracter personal: divulgarea

datelor cu caracter personal unei alte persoane

5
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 4: MĂSURI TEHNICE ȘI ORGANIZATORICE

6. Natura şi conţinutul datelor cu caracter personal în cauză:

- date cu caracter personal ale clientilor SC CARUMO SRL( Nume, Prenume, CNP,
specimen de semnătură);

7. Măsurile tehnice şi organizatorice aplicate (sau care urmează a fi aplicate) de

către operator :
Măsuri de tehnice în ceea ce privește asigurarea securității datelor cu caracter
personal
- Utilizatorii, pentru a căpăta acces la o bază de date cu caracter personal, trebuie să se
identifice. Identificarea în cadrul furnizorului se face prin introducerea codului de
identificare de la tastatură (un şir de caractere).
- Fiecare utilizator are propriul său cod de identificare. Niciodată nu este alocat acelaşi
cod de indentificare mai multor utilizatori.
- Codurile de identificare (sau conturi de utilizator) nefolosite o perioadă mai
îndelungată sunt dezactivate şi distruse după un control prealabil intern al operatorului.
Perioada după care codurile trebuie dezactivate şi distruse este stabilită prin proceduri interne
de operator.
- Orice cont de utilizator este însoţit de o modalitate de autentificare. Autentificarea se
face prin introducerea unei parole.
- Parolele sunt şiruri de caractere, adecvate din punct de vedere al securităţii ca
lungime şi compoziţie. La introducerea parolelor acestea nu sunt afişate în clar pe monitor.
Parolele sunt schimbate periodic în funcţie de politicile de securitate ale operatorului.
Schimbarea periodică a parolelor se face numai de către utilizatori autorizaţi de operator.
- Operatorul are implementate un sistem informaţional care refuză automat accesul
unui utilizator după 3-6 introduceri greşite ale parolei.
- Orice utilizator care primeşte un cod de identificare şi un mijloc de autentificare este
obligat prin fişa postului să păstreze confidenţialitatea acestora şi să răspundă în acest sens în
faţa operatorului.
- Este stabilită o procedură proprie de administrare şi gestionare a conturilor de
utilizator.
- Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se face
numai pe baza unei liste aprobate de conducerea instituţiei.
- Utilizatorii pot accesa numai datele cu caracter personal necesare pentru îndeplinirea
atribuţiilor lor de serviciu. Pentru aceasta sunt stabile tipurile de acces după funcţionalitate
(administrare,introducere, prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu
caracter personal(scriere, citire, ştergere), precum şi procedurile privind aceste tipuri de
acces.
- Programatorii sistemelor de prelucrare a datelor cu caracter personal nu au acces la
datele cu caracter personal. Operatorul permite accesul programatorilor la datele cu caracter
personal numai după ce acestea au fost transformate în date anonime.
- Compartimentul care asigură suportul tehnic poate avea acces la datele cu caracter
personal

6
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 4: MĂSURI TEHNICE ȘI ORGANIZATORICE

pentru rezolvarea unor cazuri excepţionale.
Măsuri specifice de control al accesulului la datele cu caracter personal:
- în spaţiile destinate desfăşurării activităţii operatorului sunt instalate sisteme de
alarmă antiefracţie ;
- în spaţiul aferent intrării în sediul operatorului sunt instalate sisteme de supraveghere
video;
- monitorizarea şi intervenţia în caz de alarmă este asigurată de o firmă de protecţie şi
pază
- Operatorul desemnează utilizatori autorizaţi pentru operaţiile de colectare şi
introducere de date cu caracter personal într-un sistem informaţional.
|
- Orice modificare a datelor cu caracter personal se poate face numai de către
utilizatori autorizaţi desemnaţi de operator.
- Operatorul a luat măsuri pentru ca sistemul informaţional să înregistreze cine a făcut
- modificarea, data şi ora modificării. Pentru o mai bună administrare operatorul are
implementate măsuri ca sistemul informaţional să menţină datele şterse sau modificate. -
Operatorul stabileşte intervalul de timp la care se vor executa copiile de siguranţă ale bazelor
de date cu caracter personal, precum şi ale programelor folosite pentru prelucrările
automatizate.
- Utilizatorii care execută aceste copii de siguranţă sunt numiţi de operator, într-un
număr restrâns.
- Copiile de siguranţă se vor stoca în alte camere, în fişete metalice.
- Operatorul a luat măsuri ca accesul la copiile de siguranţă să fie monitorizat.
- Se generează zilnic de către sistemul informatic, în mod automat, un back-up pentru
o eventuală recuperare a datelor, în cazul distrugerii sau disfuncţionalităţii sistemelor
informatice.
Măsuri în cazul în care prelucrarea urmează să fie realizată în numele
operatorului
- operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru
punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea
să respecte cerinţele prevăzute în Regulamentul UE 2016/679 şi să asigure protecţia
drepturilor persoanei vizate.
- Prelucrarea de către o persoană împuternicită de operator este reglementată printr-un
contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are
caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul şi care
stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter
personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului
Măsuri în ceea ce privește evidența activităților de prelucrare
- Întocmirea unei evidenţe a activităţilor de prelucrare desfăşurate sub responsabilitatea
lor.
Desemnarea Responsabilului cu Protecţia Datelor Personale
Măsuri în ceea ce privește colaborarea cu autoritatea de supraveghere
- Notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu

7
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 4: MĂSURI TEHNICE ȘI ORGANIZATORICE

caracter personal prin intermediuo responsabilului cu protecția datelor cu caracter personal

- Operatorul, prin intermediul responsabilului cu protecța datelor cu caracter personal,

consultă autoritatea de supraveghere înainte de prelucrarea atunci când evaluarea impactului
asupra protecţiei datelor indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor
măsuri luate de operator pentru atenuarea riscului.

8. Utilizarea relevantă a altor operatori (dacă este cazul)

Secțiunea 2

I. Informaţii suplimentare privind încălcarea securităţii datelor cu caracter

personal

9. Rezumatul incidentului care a generat încălcarea securităţii datelor cu caracter

personal (inclusiv localizarea fizică a încălcării şi suporturile de stocare implicate)

În fapt, la data de 20.03.2018 numitul Ionut MIHAI folosindu-se în mod nejustificat de

funcția pe care o deține în cadrul SC CARUMO SRL , a obținut datele personale aparținând
unor persoane fizice.
Ca urmare a obținerii datelor personale în cauză, aceste au fost utilizate în vederea castigarii
de noi clienti a firmei SC CARKIT SRL, fapt care a adus prejudicii considerabile in
departamenul de vanzari.

10. Numărul abonaţilor sau al persoanelor fizice vizate: 1

11. Eventualele consecinţe şi efecte adverse pentru abonaţi sau persoane fizice
vizate:
Prin accesul neautorizat al personalului operatorului, la datele cu caracter personal ale SC
CARUMO SRL, s-au efectuat operațiuni de sustragere date personale, cu consecința
pierderei clientelei firmei SC. CARUMO SRL.

12. Măsurile tehnice şi organizatorice luate de operator în scopul atenuării

eventualelor efecte negative

II. Eventuale notificări suplimentare către abonaţi sau persoane fizice vizate
13. Conţinutul notificării
--

14. Mijloace de comunicare utilizate:

- corespondeță electronică;
- prin intermediul serviciilor poștale sau de curierat care asigură confirmarea trimiterilor.

8
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 4: MĂSURI TEHNICE ȘI ORGANIZATORICE

15. Numărul abonaţilor sau al persoanelor fizice înștiințate: 1

III. Eventuale aspecte transfrontaliere-nu sunt
16. Încălcare a securităţii datelor cu caracter personal care implică abonaţi sau
persoane fizice vizate din alte state membre

Da
 Nu
17. Notificarea altor autorităţi naţionale competente
 Da
Nu

Alte autorități notificate:

Au fost implicate următoarele autorități:
- -Parchetul de pe lângă Tribunalul Cluj pentru anchetarea infracțiunilor comise de
către Ionut MIHAI, cu consecința trimiterii acestuia în judecată pentru săvârșirea
infracțiunilor de sustragere/folosire a datelor cu caracter personal.

- Tribunalul CLUJ-NAPOCA
- litigiu privind sustragerea de date cu caracter personal din baza de date a firmei SC.
CARUMO SRL.

Mijloace de comunicare utilizate:

- corespondeță electronică;
- prin intermediul serviciilor poștale sau de curierat care asigură confirmarea
trimiterilor.

9
SCHEMĂ DE PRELUCRARE DATE PERSONALE

SECTIUNEA 7: OBSERVAŢII
Riscul pentru drepturile şi libertăţile persoanelor fizice, în situația prelucrării datelor cu caracter
personal de către operator prezintă un grad mare de probabilitate de materializare.

În situația de față riscul a fost rezultatul unei prelucrări a datelor cu caracter personal care a generat
prejudicii de natură materială și morală, prelucrarea neconformă a datelor conducând la fraudă a
identităţii, pierdere financiară, pierderea confidenţialităţii datelor cu caracter personal protejate prin
secret profesional, sau la orice alt dezavantaje semnificative de natură economică și socială.

Datele cu caracter personal trebuie tratate în mod corect, în scopurile precizate și pe baza
consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege.

Prelucrarea datelor cu caracter personal trebuie să fie necesară, corectă, legală și proporționată. Datele
furnizate direct sau indirect de persoanele fizice nu trebuie utilizate în alte scopuri decât cele precizate
inițial şi nici transmise fără discriminare entităţilor/persoanelor pe care persoanele în cauză nu le-au
desemnat în acest scop.

Prelucrarea datelor cu caracter personal de către operatori trebuie să respecte normele aplicabile în
materie de protecţie a datelor în conformitate cu scopurile prelucrării.

Operatorul trebuie să adopte politici interne şi să pună în aplicare măsuri care să respecte în special
principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor, în
scopul reducerii la minimum a prelucrării datelor cu caracter personal, pseudonimizării acestor,
abilitării persoanei vizate să monitorizeze prelucrarea datelor, abilitării operatorului să creeze elemente
de siguranţă şi să le îmbunătăţească.

Autoritățile publice ar trebui să asigure un echilibru între accesul public la documentele oficiale şi
reutilizarea informaţiilor din sectorul public, pe de o parte, şi dreptul la protecţia datelor cu caracter
personal, pe de altă parte, şi ar putea prin urmare să prevadă echilibrul necesar cu dreptul la protecţia
datelor cu caracter personal în temeiul normelor de drept.

10