Sunteți pe pagina 1din 34

COMPANIA DE UTILITATI PUBLICE S.A.

Focsani

operator regional al serviciilor de alimentare cu apa si canalizare


operator de date cu caracter personal, inregistrat la ANSPDCP la numarul ……...

Regulamentul European

privind protectia persoanelor fizice in ceea ce


priveste prelucrarea datelor cu caracter personal si
privind libera circulatie a acestor date.
Introducere

Regulamentul general privind protecția datelor (GDPR) este o schimbare revoluționară în protecția
datelor cu caracter personal și va deveni, standardul de facto pentru reglementarea protecției datelor
la nivel global.
Cele două zone influente în acest sens se referă la

responsabilitate și executare.

1. Responsabilitate: Organizațiile trebuie să îmbrățișeze noua responsabilitate (principiul introdus de


GDPR) prin trecerea de la "teorie la practică" în ceea ce privește eforturile lor de protecție a datelor.

2. Executarea: Autoritățile de protecție a datelor din statul membru trebuie să aplice cu rigurozitate
regulamentul prin emiterea de sancțiuni în cazul în care organizațiile nu pot dovedi în mod adecvat
respectarea principiului responsabilității GDPR.

În timp ce există numeroase organizații, cum ar fi cele din domeniul serviciilor publice, serviciilor
financiare, sectorul sănătății, care sunt obișnuite să facă față cerințelor de reglementare, există mulți
alții care vor întâmpina provocarea de punere în aplicare a unor cerințe stricte de reglementare pentru
prima dată.
DOMENIUL DE APLICARE "date cu caracter
personal" înseamnă:

orice informaţie privind o


persoană fizică identificată
Datele cu Caracter Personal (DCP) care: sau identificabilă ("persoana
vizată");

- fac parte dintr-un... o persoană fizică identificabilă


este o persoană care poate fi
identificată, direct sau indirect,
în special prin referire la un
SISTEM ●
element de identificare:
un nume,
DE - sunt destinate unui... ● un număr de

EVIDENTA identificare (CNP, data


nasterii, telefon, carte
identitate, cod client,
cont bancar etc)
● date de localizare
si care sunt prelucrate (adrese ale
TOTAL sau proprietatilor)

PARTIAL ● un identificator online


(adresa de e-mail,
prin mijloace automatizate nume utilizator, parola
etc)
"prelucrare"
Regulamentul NU se aplica înseamnă:
orice operaţiune sau
set de operatiuni
efectuate asupra
- De catre o persoana fizica, datelor cu caracter
in cadrul unei activitati exclusiv personale sau domestice; personal sau asupra
seturilor de date cu
caracter personal, cu
sau fără utilizarea de
mijloace automatizate:
- De catre autoritatile competente,
in scopul prevenirii, investigarii, depistarii sau urmaririi penale a infractiunilor, sau a
executarii sanctiunilor penale, inclusiv al protejarii impotriva amenintarilor la adresa
sigurantei publice si al prevenirii acestora;
Tipuri de prelucrari de date cu caracter personal
Tip prelucrare a DCP (datelor cu caracter Explicatie
personal)

Colectare orice proces de obtinere a unei informatii considerate DCP (inregistrarea unei adrese / petiție, primirea unei facturi, a unei
citațiii etc)

Inregistrare Introducerea în baza de date sau în evidența scriptică a departamentului a DCP colectate

Organizare si structurare Organizarea datelor in entitati de sine statatoare, individualizate prin nume (fisiere, baze de date)

Stocare Inregistrarea DCP intr-un mediu de stocare (memorie sistem, memorie stick, discuri optice etc)

Adaptarea, Modificarea, Alinierea sau Orice modificare sau actualizare / adaptare a DCP inregistrate initial
Combinarea

Regasire, extragere sau consultare Cautarea si extragerea DCP pentru o prelucrare ulterioara sau doar pentru vizualizare

Utilizare Folosirea DCP in orice scop

Divulgarea prin transmitere,diseminarea Transmiterea sau punerea la dispozitie a DCP catre terte persoane sau catre persoana vizata

Restrictionare Limitarea accesului (prin parole) altor persoane la DCP inregistrate initial

Stergere sau distrugere Stergerea datelor inregistrate initial.


Denumire Definitie
restricţionarea prelucrării marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora

creare de profiluri orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte
personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică,
sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia

pseudonimizare prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza
informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor măsuri de natură tehnică şi organizatorică
care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile

sistem de evidenţă a datelor orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii
funcţionale sau geografice

operator persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a
datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile
specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern

destinatar persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau
nu o parte terţă.

consimţământ orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o
acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate

încălcarea securităţii datelor cu caracter personal o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter
personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea

date genetice / date biometrice / date privind datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind
sănătatea fiziologia sau sănătatea persoanei respective şi care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în
cauză / date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale
ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice / date cu
caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii
despre starea de sănătate a acesteia
Legalitate, echitate, transparenta

DCP trebuie sa fie prelucrate in mod legal, echitabil si transparent fata de persoana vizata.

Limitari legate de scop

DCP trebuie sa fie colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un
mod incompatibil cu aceste scopuri. Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de
cercetare ştiinţifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile iniţiale

Principii Reducerea la minimum a datelor

DCP trebuie sa fie adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt
prelucrate

Principiul Responsabilității GDPR Exactitatea informatiilor

Intenția noului Principiu de Responsabilitate DCP trebuie sa fie exacte şi actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că DCP
care sunt inexacte, sunt şterse sau rectificate fără întârziere
GDPR, așa cum este definit în Articolul 5 alineatul
(2) din textul GDPR încercă să reafirme și să
Limitarea stocarii
consolideze responsabilitatea controlorilor de
date și a procesatorilor de date, în legătură cu DCP trebuie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu
procesarea datelor, solicitându-le acestora să depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele

demonstreze conformitatea cu măsuri care să


pună în aplicare celelalte șase principii GDPR Integritate si confidentialitate
(enumerate anterior).
DCP trebuie prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv
protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării
accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare
Responsabilitatea în prelucrarea datelor cu caracter
personal necesită:

• Politici interne transparente privind protecția datelor, aprobate de managementului


organizației.
• Informarea și instruirea tuturor persoanelor din organizație despre cum să pună în
aplicare politicile.
• Responsabilitatea la cel mai înalt nivel pentru monitorizarea politicii, implementarea,
evaluarea și demonstrarea la nivel extern părților interesate și autorităților de protecție
a datelor.
• Proceduri de remediere a nerespectării conformității și a încălcării politicilor.
Prelucrarea este legala
numai daca si in masura in care se aplica cel putin una din urmatoarele conditii

persoana vizata
si-a dat pentru executarea în vederea pentru indeplinirea
consimtamantul unui contract îndeplinirii unei unei sarcini care
obligatii legale serveste un interes
pentru prelucrarea DCP in unul la care persoana vizata
sau mai multe scopuri specifice. este parte, sau pentru a public
Totodata persoana vizata face demersuri la cererea care ii revine operatorului sau care rezulta din
trebuie informata in legatura cu persoanei vizate inainte de exercitarea autorității
drptul ei de asi retrage incheierea unui contact publice cu care este
consimtamantul investit operatorul
Categorii speciale
de date cu caracter Cand pot fi prelucrate aceste date
personal
ESTE INTERZISA
PRELUCRAREA DATELOR
REFERITOARE LA Cand persoana vizata si-a dat consimtamantul explicit

- Originea rasiala sau etnica Indeplinirii obligatiilor si executarii unor drepturi specifice
- Opiniile politice ale operatorului sau al persoanei vizate in domeniul
- Confesiunea religioasa ocuparii fortei de munca
- Convingerile filozofice
- Apartenenta sindicala Prelucrarea este necesara pentru constatarea, exercitarea
- Datele genetice sau apararea unui drept in instanta
- Datele biometrice pentru
identificarea unica a unei Prelucrarea este necesara in domeniul sanatatii
persoane fizice publice, medicina preventiva sau a muncii, stabilirea
- Datele privind sanatatea unui diagnostic medical etc. Toate acestea sunt supuse
- Orientarea si viata sexuala obligatiei de pastrare a secretului profesional
1. Identitatea si datele de contact ale operatorului,
reprezentatului acestuia sau responsabilului cu
Declarația de 2.
protectia DCP;
Scopurile in care sunt prelucrate DCP si temeiul
Confidentialitate 3.
juridic al prelucrarii;
Destinatarii sau categoriile de destinatari ai DCP;
4. Perioada pentru care vor fi stocate DCP sau
criteriile utilizate pentru stabilirea perioadei;

Informatiile necesare 5. Interesul legitim urmarit de operator sau de o parte


terta;
6. Existenta dreptului de a solicita operatorului
a fi comunicate accesul, rectificarea, restrictionarea, opunerea,
portabilitatea si stergerea DCP
persoanei vizate in 7.
8.
Existenta dreptului de a retrage consimtamantul
Existenta dreptului de a depune o plangere in fata
momentul colectarii 9.
unei autoritati de supravechere
Consecintele nerespectarii obligatiei de a furniza

DCP 10.
DCP in scopul incheierii unui contract;
Existenta unui proces decizional automat (crearea
de profiluri), logica utilizata si consecintele unei
astfel de prelucrari pentru persoana vizata;
1. Identitatea si datele de contact ale operatorului,

Declarația de reprezentatului acestuia sau responsabilului cu


protectia DCP;
2. Scopurile in care sunt prelucrate DCP si temeiul
Confidentialitate juridic al prelucrarii;
3. Categoriile de DCP vizate
4. Destinatarii sau categoriile de destinatari ai DCP;
5. Perioada pentru care vor fi stocate DCP sau
Informatiile care se criteriile utilizate pentru stabilirea perioadei;
6. Interesul legitim urmarit de operator sau de o parte
furnizeaza persoanei vizate terta;
in situatia in care DCP nu au 7. Existenta dreptului de a solicita operatorului
accesul, rectificarea, restrictionarea, opunerea,
fost colectate de la aceasta, portabilitatea si stergerea DCP
8. Existenta dreptului de a retrage consimtamantul
iar persoana vizata NU 9. Existenta dreptului de a depune o plangere in fata

detine aceste informatii. 10.


unei autoritati de supravechere;
Sursa din care provin DCP;
11. Consecintele nerespectarii obligatiei de a furniza
Informatiile se furnizeaza in cel mult 1 luna de la data DCP in scopul incheierii unui contract;
colectarii, sau cu prima ocazie cand DCP sunt divulgate 12. Existenta unui proces decizional automat (crearea
unei terte persoane sau persoanei vizate. de profiluri), logica utilizata si consecintele unei
astfel de prelucrari pentru persoana vizata;
Acces (Art. 15)

Rectificare (Art. 16)

Stergerea datelor, dreptul de a fi uitat (Art. 17)

Drepturile Restrictionarea prelucrarii (Art. 18)

persoanei vizate
Portabilitate (Art. 20)

Opozitie (Art. 21)


Ghidul punerii în aplicare a implementării GDPR
• Informați conducerea pentru a vă asigura în timp util și eficient organizarea pentru GDPR.

• Implementarea unor proceduri eficiente care să încorporeze standardele GDPR .

• Stabilirea unor criterii asiguratoare care să susțină răspunderea GDPR.

Metodologia de implementare constă în trei faze

1. Pregătirea,
2. Operarea,
3. Mentenanța.
fiecare fază încorporează o serie de activități de sprijin. Obiectivul definit pentru fiecare fază este
atins odată ce toate activitățile pentru acea fază au fost executate cu succes. Ultimul obiectiv al
metodologiei este susținerea și evidențierea respectării principiul Responsabilității GDPR.
PREGĂTIREA
Această etapă inițială ia în considerare activitățile necesare pentru asigurarea și pregătirea organizației în vederea
implementării GDPR. Este foarte important să implicați încă de la început persoanele cu putere de decizie ale organizației. În
continuare, va trebui numită echipa de implementare a GDPR, să identificați și să evaluați toate operațiunile de prelucrarea a
datelor din cadrul organizației, să stabiliți un registru centralizat de date personale și politicile de protecție a datelor.
Ca ultima fază a acestei etape va fi necesar ca toate persoanele implicate în prelucrarea DCP să fie informate despre politicile
de protecție a DCP și să-și asume confidențialitatea prelucrării acestora iar persoanele vizate s[ fie informate prin Notele de
Confidentialitate

Activitatea 1.1. Obțineți sprijinul conducerii pentru impementarea GDPR.

Activitatea 1.2. Stabilrea echipei de lucru pentru implementarea GDPR.


Activitatea 1.3. Cartografierea datelor.
Activitatea 1.4. Stabilirea Registrului central al DCP.
Activitatea 1.5. Stabilirea politicilor de protecție a DCP și informarea
persoanelor responsabile cu aplicarea si respectarea acestor politici, cat si
transmiterea Declaratiei de Confidentialitate catre persoanele vizate.
Activitatea 1.1. Obțineți sprijinul conducerii pentru impementarea GDPR.

În contextul implementării GDPR, echipa de conducere poate asigura liantul între principalii actori implicați în
stabilirea modului în care va avea loc implementarea GDPR.
Este în interesul managementului și al echipei executive să se asigure că riscul de neconformitate a GDPR se
află în atenția tuturor în cadrul companiei.

Este important să identificați în întreaga organizație toate departamentele în care se realizează prelucrarea
DCP. Există diferite abordări care pot fi implementate pentru a conștientiza și învăța părțile interesate despre
modul în care se poate implementa și gestiona GDRP. Acestea depind de mai mulți factori, cum ar fi mărimea
organizației, cultura companiei, acoperirea locală sau globală și numărul de personal implicat în prelucrarea
DCP.

De exemplu, dacă sunteți o companie locală sau regională cu un număr relativ mic de personal, ați putea
prefera să desemnați o persoană din cadrul organizației pentru gestiunea prelucrării datelor cu caracter
personal. Dacă, pe de altă parte, sunteți o mare multinațională cu mii de angajați distribuiți la nivel global va
trebui să alegeți contractarea unor firme specializate în implementarea GDPR.
Activitatea 1.2. Stabilrea echipei de lucru pentru implementarea GDPR.

Înainte de a vă angaja în implementarea GDPR, este esențial să definiți clar rolurile și responsabilitățile
personalului desemnat să se ocupe de această sarcină.
Numirea unui Responsabilul cu protecția datelor (DPO) și stabilirea unui program clar de implementare ar fi o
modalitate ideală “de a face mingea să se rostogolească”.

Există circumstanțe în care organizațiile trebuie să numească un Ofițer de protecție a datelor (DPO). Acesta
este cazul în care organizația este una publică, sau efectuează urmărirea comportamentului online sau
desfășoară activități la scară largă de procesare a categoriilor de date speciale.

Chiar dacă organizația nu este obligată să numească un DPO, trebuie să vă asigurați că ați indeplinit toate
cerințele și competențele necesare asigurării conformării cu GDPR.

Doar atunci când există o echipa gata să implementeze GDPR, obiective cheie clar definite și măsurabile,
bugetul alocat, iar resursele sunt pe deplin angajate, se poate spune că intr-adevăr ești gata să te angajezi în
implementarea GDPR.
Activitatea 1.3. Cartografierea datelor
Implementarea cu succes a oricărui proiect, fără a identifica toate procesele informaționale din cadrul activității curente sau fără
consultarea persoanelor care îndeplinesc sarcinile operaționale, este o greșeală comună pentru multe organizații.
Indiferent de motiv, eșecul în acest sens face imposibil de livrat un program de conformitate cu GDPR.

Identificarea cu succes a tuturor departamentelor in care se prelucreaza DCP și înțelegerea ciclului de viață al informațiilor
(colectare, procesare, stocare etc) purtatoare de DCP din aceste procese, trebuie sa fie baza plecării în implementarea cu
succes a GDPR.
Prin cartografierea datelor se identifică în primul rând zonele supuse riscului de procesare a DCP.

După terminarea cartografierii va trebui definit și stabilit cu prioritate un set de acțiuni corective bazate pe lacunele de
neconformitate descoperite în urma cartografierii. Fiecare dintre aceste acțiuni de remediere trebuie să fie bine definite, să aibă
un termen specific, și încadrate în suficiente resurse.

Forma in care informatiile referitoare la prelucrarea DCP pot fi colectate

Denumirea DCP Originea (sursa) Destinatia Se arhiveaza Ce tip de Scopul Persoanele din Masurile
tipului de continute documentului sau documentului documentul la prelucrare a prelucrarii DCP cadrul organizatorice
document departamantul de si a DCP acest DCP se continute de departamentulu si tehnice
unde a fost primit continute departament? executa in acest i care pentru
cadrul document prelucreaza protejarea si
departamentulu DCP continute securitatea
i pentru acest de acest DCP
tip de document
document
Activitatea 1.4. Stabilirea Registrului central al DCP

Evaluările efectuate in legatura cu procesele si activităților relevante de prelucrare a datelor personale ale
persoanelor vizate răspund la următoarea listă de întrebări privind colectarea acestor informații:
• Ce date sunt colectate?
• De la cine sunt colectate datele?
• De ce sunt colectate datele?
• Cum sunt procesate datele?
• Care este baza legală pentru fiecare operațiune de procesare?
• Unde sunt stocate datele?
• Cât timp sunt păstrate datele?
• Cine are acces la date?
• Unde și la cine sunt transferate datele?

Răspunsurile adunate trebuie să fie colectate pentru a forma un Registru central al DCP. Registrul devine
"sursa unică de adevăr" centralizată, detaliind caracteristicile și activitățile de procesare pentru toate DCP
pentru care operatorul este în cele din urmă responsabil. Registrul trebuie să fie verificat si actualizat
periodic pentru a se asigura integritatea în timp a datelor. Ar fi, de asemenea benefic de a construi o
hartă a fluxului de date pe baza conținutului registrului, care ar oferi o reprezentare vizuală a
diferitelor fluxuri de date cu caracter personal atât.
Activitatea 1.5. Stabilirea politicilor de protecție a DCP și informarea persoanelor responsabile cu
aplicarea si respectarea acestor politici, cat si transmiterea Notei de Confidentialitate catre
persoanele vizate.

GDPR afirmă că toate organizațiile trebuie să implementeze Politici de protecție a DCP. În plus, trebuie să
furnizați Notele de Confidentialitate ca o dovada a transparentei in ceea ce priveste prelucrarea DCP, din
care persoanele vizate sa inteleaga usor si sa-si dea acordul pentru ca informatiile lor personale sa poata fi
utilizate.

Scopurile de colectare pot include furnizarea de bunuri sau servicii, activități de marketing direct, obligații
legale, etc. Fără a cunoaște motivul din spatele colecției, nu se poate stabili un temei juridic definitiv care
justifică această procesare. Aceasta înseamnă că ne gasim in imposibilitatea de a ne asigura că toate
informațiile corespunzătoare sunt incluse în Nota de Confidentialitate pe care o furnizați persoanelor vizate

Oferirea de asistenta persoanelor care se ocupa de prelucrarea DCP din întreaga organizație este esențială
pentru a se asigura că acestea înțeleg pe deplin rolul lor în realizarea, menținerea si respectarea GDPR.
Formarea oferită trebuie să le permită:
• Identificarea DCP aflate sub controlul lor;
• Înțelegerea modului cum și de ce are loc procesarea DCP;
• Protejarea DCP din perspectiva securității informațiilor;
• Să se ocupe în mod corespunzător de solicitările de DCP;
• Răspundeți cu promptitudine oricăror încălcări ale prelucrarii DCP suspectate.
Oferirea de asistenta persoanelor care se ocupa de prelucrarea DCP din întreaga
organizație este esențială pentru a se asigura că acestea înțeleg pe deplin rolul lor în
realizarea, menținerea si respectarea GDPR. Formarea oferită trebuie să le permită:

• Identificarea DCP aflate sub controlul lor;

• Înțelegerea modului cum și de ce are loc procesarea DCP;

• Protejarea DCP din perspectiva securității informațiilor;

• Să se ocupe în mod corespunzător de solicitările de DCP;

• Răspundeți cu promptitudine oricăror încălcări ale prelucrarii DCP suspectate.


OPERAREA
Această fază a ciclului de prelucrare a DCP se adresează nevoii de a defini și de a încorpora proceduri care permit
personalului care gestionează DCP să efectueze sarcinile lor într-o manieră eficientă și conformă. GDPR cere nu
doar că persoanele care manipulează DCP sa-si îndeplinesc sarcinile în concordanta cu obligațiile stipulate in GDPR,
dar că există, de asemenea, o inregistrare a deciziilor și acțiunilor legate de îndeplinirea acestor sarcini.
Având în vedere obligațiile substanțiale privind GDPR (de exemplu, drepturile persoanelor vizate) care se referă la
manipularea operațională a DCP, este esențial ca personalul de pe front-line să fie prevăzut cu o viziune directă
și orientări procedurale specifice pentru prelucrarea datelor cu caracter personal.

Activitatea 2.1. Diseminarea si arhivarea Notelor de Confidentialitate externe


Activitatea 2.2. Înregistrarea mecanismelor legale de procesare a DCP.

Activitatea 2.3. Procesarea și înregistrarea solicitărilor privind drepturilor


prersoanelor vizate
Activitatea 2.4. Validarea și înregistrarea transferurilor de date între țări.
Activitatea 2.5. Gestionarea și raportarea incidentelor de încălcare a
prelucrărilor de DCP.
Activitatea 2.1. Diseminarea si arhivarea Notelor de
Confidentialitate externe

GDPR subliniază nevoia de transparență în ceea ce privește utilizarea DCP. Dreptul


unui individ de a fi informat solicită ca organizațiile să furnizeze informații "corecte de
prelucrare" clienților și angajaților prin intermediul unei notificări privind
confidențialitatea (Nota de Confidentialitate)
Informațiile furnizate și momentul furnizării acestora pot varia, de asemenea, în
funcție de situația în care se află ați obținut datele personale prin intermediul direct
(adică din subiectul datelor) sau prin mijloace indirecte.

Aceste note trebuie să rămână exacte și actualizate pentru a reflecta orice activități
de prelucrare noi sau modificate.
Activitatea 2.2. Înregistrarea mecanismelor legale de procesare a DCP
Una dintre cerințele fundamentale ale GDPR este necesitatea de a stabili, justifica si documenta temeiul juridic pentru prelucrarea datelor cu caracter
personal. Legalitatea variază în funcție de natura datelor prelucrate.
De asemenea, este important de menționat că temeiul juridic ales pentru procesare poate avea efect asupra drepturilor persoanei vizate.

De exemplu, dacă vă bazați doar pe obținerea unui consimțământ de a procesa DCP, atunci persoana vizata va avea dreptul la stergerea datelor.

Determinarea bazei juridice prin care operatorul poate prelucra DCP trebuie să aibă o justificare clară și bine documentată.
Un exemplu în acest sens îl reprezintă interesele legitime utilizate pentru a justifica procesarea datelor cu caracter personal. În acest caz, trebuie să fie
un record menținând descrierea evaluării efectuate pentru echilibrarea Legii
Interesele controlorului de date și drepturile individului.
Deși o mulțime de lucrări inițiale vor fi efectuate de echipa juridică, există
de asemenea, situații legate de procesarea legală în cazul în care personalul dvs. frontal
Personalul de prelucrare a datelor are un rol de jucat. De exemplu, prelucrarea ulterioară
a datelor personale în scopuri noi necesită instruirea personalului de primă linie
identificați scenarii în care prelucrarea ulterioară poate fi incompatibilă cu
mecanismul original de prelucrare legal. În mod ideal, ele vor fi, de asemenea, date clar
orientare care le permite să stabilească dacă propunerea este sau nu propusă în continuare
Procesarea este legitimă, eliminând necesitatea de a vă adresa personalului dvs. juridic.
Activitatea 2.3. Procesarea și înregistrarea solicitărilor privind drepturilor
prersoanelor vizate

GDPR mărește semnificativ drepturile persoanelor și, ca urmare, organizațiile vor vedea o creștere a cererilor și plângerilor din partea persoanelor vizate.
Organizațiile sunt obligate să răspundă la astfel de solicitări în termen de o lună, cu excepția cazului în care cererile sunt vădit nefondate, excesive sau
legislație națională prevede altceva.
În conformitate cu actuala directivă a UE privind protecția datelor, cererile sunt axate pe "dreptul de acces" și sunt denumite în mod obișnuit ca Solicitări
de Acces sau SAR-uri.
GDPR extinde drepturile de acces ale persoanelor vizate și introduce o serie de drepturi noi și îmbunătățite.

Dreptul persoanei vizate Schimbarile din GDPR

Dreptul de acces

Dreptul de stergere

Dreptul de restrictionare a procesarii

Dreptul la portabilitatea datelor

Dreptul de a se opune prelucrarii

Dreptul de rectificare a datelor


Activitatea 2.5. Gestionarea și raportarea incidentelor de încălcare a
prelucrărilor de DCP.
GDPR definește "încălcare a securității” care duce la distrugerea, pierderea, modificarea, dezvăluirea neautorizată accidentală sau ilegală
sau accesul neautorizat la datele personale transmise, stocate sau prelucrate în alt mod.
GDPR specifică, de asemenea, că fiecare eveniment trebuie să fie documentat cuprinzând faptele referitoare la încălcarea prelucrării datelor, efectele
acesteia și acțiuni corective întreprinse.
Vor trebui create proceduri de raportare.
Un rezumat al cerințelor este prezentate în tabelul de mai jos.
Dată fiind complexitatea și sensibilitatea DCP, în identificarea și gestionarea incidentelor, este important ca personalul operațional să fie familiarizat cu
procedurile de gestionare a încălcărilor. Trebuie să fie furnizate indicații clare pentru aplicarea procedurii, astfel încât să se identifice cu ușutință o
încălcare și să se ia măsuri prompte și corespunzătoare și să se înregistreze toate informațiile necesare legate de incident.
Utilizarea unui arbore de decizie în combinație cu un instrument de gestionare a incidentelor ar servi mai bine pentru identificarea, raportarea și
gestionarea incidentelor de încălcare a prelucrării DCP.
MENTENANTA
Această fază a ciclului de prelucrare a DCP se adresează nevoii de a defini și de a încorpora proceduri care permit
personalului care gestionează DCP să efectueze sarcinile lor într-o manieră eficientă și conformă. GDPR cere nu
doar că persoanele care manipulează DCP sa-si îndeplinesc sarcinile în concordanta cu obligațiile stipulate in GDPR,
dar că există, de asemenea, o inregistrare a deciziilor și acțiunilor legate de îndeplinirea acestor sarcini.
Având în vedere obligațiile substanțiale privind GDPR (de exemplu, drepturile persoanelor vizate) care se referă la
manipularea operațională a DCP, este esențial ca personalul de pe front-line să fie prevăzut cu o viziune directă
și orientări procedurale specifice pentru prelucrarea datelor cu caracter personal.

Activitatea 3.1. Testarea tuturor persoanelor implicate pentru asigurarea


înțelegerii politicilor de protecție a DCP;
Activitatea 3.2. Asigurarea integrității și actualizarea continua a Registrului de
prelucrare a DCP;
Activitatea 3.3. Evaluarea impactului asupra protecției DCP in cazul apariției
unor forme noi de prelucrare a DCP;
Activitatea 3.4. Verificarea conformității activităților de prelucrare a DCP.
Activitatea 3.5. Demonstrarea eficacității practicilor de prelucrare a DCP.
Activitatea 3.1. Testarea tuturor persoanelor implicate pentru asigurarea
înțelegerii politicilor de protecție a DCP;
Dobandirea capacitatii de a demonstra o implementare de calitate în ceea ce privește politicile de protecție a
datelor solicită să se dovedeasca:

• Diseminarea politicilor actualizate de protecție a datelor care au fost aprobate de conducere.


• Conștientizarea și instruirea efectivă a personalului pentru toți oamenii din organizație
cu privire la modul de respectare a politicilor.

Înainte de GDPR, se arata că ați distribuit politica companiei catre angajati prin confirmarea din partea lor că
au citit acele politici si ca si-au insusit datele, a fost o data acceptata ca fiind cea mai buna metoda la scara
larga. Acest lucru nu va mai fi cazul. Dvs. trebuie să arătați că ați distribuit materialul de formare
corespunzător audienței corespunzatoare într-un mod care să se potrivească culturii dvs. organizaționale.
Registrele reprezintă o modalitate bună de a măsura succesul conștientizării dvs. si programului de
scolarizare. Tabelul de mai jos prezintă exemple despre cum ai putea demonstra că cerințele GDPR au fost
îndeplinite.
Activitatea 3.2. Asigurarea integrității și actualizarea continua a Registrului de
prelucrare a DCP;
GDPR cere ca datele personale să fie "limitate la ceea ce este necesar în legătura cu scopurile pentru care sunt prelucrate ".
Cu alte cuvinte, organizațiile ar trebui să colecteze numai datele personale de care au nevoie și ar trebui să le păstreze numai
atâta timp cât este absolut necesar.
Ca estimare, calitatea datelor (de ex. Completitudinea, validitatea și acuratețea) cu caracter personal se deteriorează, în medie,
la o rată de 15% pe an.
Problema este faptul că majoritatea organizațiilor stochează mult mai multe date personale decât este necasar în mod efectiv
sub forma de duplicate și de date depășite. Ca atare, există o nevoie evidentă pentru organizații să revizuiască periodic, să
actualizeze și să epuizeze registrul lor cu date personale. Concentrând eforturile de identificare a datelor cu caracter personal
care pot fi eliminate, au beneficiul suplimentar al reducerii considerabile a costurilor de stocare asociate păstrarii inutile a
datelor.
Există mai mulți furnizori existenți de exploatare a datelor care își dezvoltă serviciile oferind produse care permite descoperirea
automată a Datelor Personale.
În timp ce este benefic pentru unele organizații în identificarea dinainte adepozitelor necunoscute ale datelor cu caracter
personal, astfel de produse nu ar trebui să fie privită ca o solutie. Angajarea personalului din prima mana care sa efectuează
operatiunile legate de Datele personale, vor da întotdeauna cea mai bună perspectivă.
Acest lucru poate fi realizat în mod eficient prin distribuția de chestionare intutive către o audiență atentă la process, proprietari
de afaceri, companii care manipulează datele personale și procesorii de date de la terți.
Feedback-ul de la aceste chestionare poate fi folosit apoi direct pentru actualizarea de date aferente din registrul dvs. de date
personale.
Activitatea 3.3. Evaluarea impactului asupra protecției DCP in cazul apariției
unor forme noi de prelucrare a DCP;
GDPR mandatează că organizațiile sa aiba implementate proceduri care să le definească atunci când evaluările impactului asupra
protecției datelor (DPIA) trebuie inițiate în relație cu evenimente de schimbare de afaceri. Exemple de evenimente de schimbare a
procedurilor activităților de bază:

• Proiecte de dezvoltare referitoare la noile sisteme sau procese de afaceri.


• Modificările operaționale ale unităților sau proceselor de afaceri existente.
• Achiziții care implică accesul sau prelucrarea de către terți, a Datelor cu caracter personal.
Punctele de declanșare (sau pragurile) reprezintă o modalitate bună de capturare a oricărui proiect nou sau procesarea procesului de
activități care implică date cu caracter personal. Ele pot fi construite în metodologiile de gestionare a proiectelor existente sau introduse ca
parte a unor proceduri juridice, procedurile de revizuire a procedurilor de achiziții și de finanțare.

Procesul DPIA trebuie să permită controlorului de date să evalueze impactul operațiunilor de prelucrare noi sau modificate, privind protecția
datelor cu caracter personal. Solicitarea minima pentru procesul DPIA, este:
• O descriere sistematică a prelucrării și a scopurilor sale.
• O evaluare a necesității și proporționalității prelucrării.
• Evaluarea riscurilor la adresa drepturilor și libertăților persoanelor care fac obiectul datelor.
• Măsurile avute în vedere pentru abordarea riscurilor.
Riscurile de protecție a datelor care sunt identificate ca parte a unui proces DPIA trebuie să fie
prioritizate și sa detina planuri de remediere convenite, urmand sunt urmărite până la finalizare. Pentru a facilita îmbunătățirea continuă,
este de asemenea benefic ca organizațiile să identifice și să trateze în mod consecvent riscuri similare de protecție a datelor, care la rândul
său, permite aplicarea abordării de remediere a DPIA ulterioare.
Activitatea 3.4. Verificarea conformității activităților de prelucrare a DCP.

Organizațiile trebuie să stabilească un proces de verificare al antecedentelor,pentru a verifica daca comportamentele operaționale ale
terților, cum ar fi furnizorii, sunt conforme cu acordurile contractuale. Pentru a raționaliza acest proces, organizațiile ar trebui să stabilească
un prag de risc care să duca la continuarea eforturilor de monitorizare a conformității din perspectiva timpului, frecvenței și a domeniului de
aplicare. Nivelul de monitorizare a conformității aplicat se bazează apoi pe evaluarea riscului atribuit.
Pentru riscurile "scăzute" și "mediu" identificate, este probabil suficient un audit desktop.

O abordare practică și eficientă care trebuie luată aici este redistribuirea evaluarii inițiale a procesului de prelucrare a părților terțe solicitând
terței părți sa faca actualizări:

• Evidențierea oricărei modificări a activităților lor de prelucrare a datelor personale.


• Furnizarea de dovezi privind eficacitatea operațională a controalelor pentru a îndeplini cerințele contractuale.
• Evidențierea oricăror lacune de conformitate cunoscute în ceea ce privește cerințele contractuale.

Pentru riscurile "mari" care sunt identificate, probabil că veți dori să efectuați personal un audit sau dacă aveți un companie externa care sa
o faca în numele dvs. Este important să se asigure că auditorul este bine instruit și înțelege modul în care cerințele GDPR se aplică relației
specifice dintre terțe părți care face obiectul auditului.
Indiferent de gradul de risc și de abordarea adoptată, o revizuire a contractului ar trebui inclusa pentru a asigura:
• Rămânerea potrivita pentru scopuri dintr-o perspectivă organizațională, luând în considerare să respecte orice cerințe, de moficare, noi
ale afacerii.
• Ca se modifică pentru a aborda orice probleme pe care le-ați descoperit atunci când ati solicitat feedback de la părțile interesate interne.
Activitatea 3.5. Demonstrarea eficacității practicilor de prelucrare a DCP.

Evaluarea eficacității practicilor operaționale legate de datele personale este foarte important ca mijloc de a demonstra responsabilitatea cu
GDPR. Pe lângă demonstrarea eficacitatii, arată un angajament față de îmbunătățirea continuă.
O abordare mai complexă a evaluării este considerată cea mai bună practică deoarece oferă multiple niveluri de apărare. De exemplu, o
evaluare poate consta din următoarele etape:
• Autoevaluarea proprietarului procesului de afaceri.
• Revizuirea auditului intern al conformității unităților de afaceri.
• Examinarea părții externe a conformității organizației.
Analiza comparativă este un mijloc excelent de vizualizare a eficienței dvs. practici operaționale. De exemplu, analiza dvs. comparativă ar
putea sa:
• Compare rezultatele față de evaluările și auditurile anterioare.
• Faca comparații ale conformității operaționale între unitățile comerciale.
• Măsoare performanța operațională a organizației împotriva celorlalte organizații.
Valorile de performanță pot fi, de asemenea, valoroase pentru demonstrarea continuării îmbunătățiri practicilor dvs. operaționale legate de
datele personale. De exemplu, ați putea dezvolta anumite ținte de performanță pentru valorile afișate mai jos.
• Rezolvarea satisfăcătoare a plângerilor privind protecția datelor.
• Manipularea în timp util a solicitărilor de date.
• Încălcarea datelor cu caracter personal a fost gestionată în conformitate cu procedurile de documentare.
Prin efectuarea de evaluări regulate și prin compararea punctelor de referință și a performanței registrelor, sunteți pregătit să dați dovadă
de responsabilitate față de conducerea dvs. superioară
echipa, autoritățile de protecție a datelor și alte părți interesate externe.
GDPR aduce toate temeiurile legale de prelucrare a DCP pe
pozitie de egalitate.
Nu are niciun rost sa obtii consimtamantul persoanei atata
timp cat prelucrarea ta are alt temei, ca executare unui
contract,indeplinirea unei obligatii legale sau chiarun interes
legitim.
Dar dacă ești obligat să obții
Consimțământul…acesta trebuie să fie:

1. dat in mod liber - alegere reala


2. specific, pentru fiecare scop in parte
3. informat asupra tuturor detaliilor prelucrării
4. lipsit de ambiguitate
5. Operatorul trebuie sa poata face dovada ca a obtinut
un consimtamant valabil
6. In situatia unui dezechilibru de putere, de exemplu
angajat-angajator, consimtamantul nu este valabil
decat in mod exceptional
7. Inainte de obtinerea consimtamantului, persoanei
trebuie sa i se furnizeze, intr-un limbaj simplu si clar:
identitatea operatorului, scopurile prelucrarii,
tipurile de date colectate, existenta dreptului de
retragere si, daca e cazul, informatii despre profilare
și decizii automate