Ghid de implementare a prevederilor GDPR

1. Informarea la nivelul entității publice

Pentru a garanta o implementare adecvată, personalul cu funcție de conducere trebuie să
cunoască importanța GDPR și impactul acesteia la nivel de entitate.
Ulterior, este necesară informarea întreg personalului cu privire la impactul prevederilor
GDPR.

2. Desemnarea unui ofițer/ repsonsabil de protecția datelor- DPO

Termen limita: 25 mai 2018

Responsabilul cu protecția datelor sau DPO („data protection officer” așa cum este numit în
Regulamentul (UE) 2016/679), devine principalul responsabil de cooperarea cu autoritatea
națională de supraveghere și își asumă rolul de punct de contact cu aceasta. Acesta trebuie sa
aibă acces la toate operațiunile de prelucrare a datelor, până la cel mai înalt nivel al conducerii
și trebuie sa beneficieze de instruire pentru a-și putea exercita atribuțiile corespunzător.

Cine poate fi ofițer/ repsonsabil de protecția datelor?

• membru al personalului institutiei
• reprezentant comun al unui grup de instituții
• conducătorul unui departament specializat
• angajat extern, care să îndeplinească sarcini, pe baza unui contract de servicii

Dacă vorbim de un funcționar public, sarcinile care îi revin sunt reglementate printr-un raport
de serviciu pe baza Legii 188/1999 + atribuțiile din GDPR. Această funcție implică exercitarea
prerogativelor de putere publică, de exemplu: punerea în executare a actelor normative;
consilierea, controlul și auditul public intern; reprezentarea intereselor autorității sau instituției
publice în raporturile acesteia cu persoane fizice sau juridice.

3. Stabilirea scopului/ temeiul legal în baza căruia se desfășoară activitatea de colectare a datelor
În cazul entităților publice, scopul principal este executarea unei sarcini ce servește unui interes
public, sau executarea unui contract.
Pentru a avea dreptul de a opera date cu caracter personal, este nevoie de o bază legală solidă
și conformă. Având în vedere că există mai multe forme legale care permit procesarea datelor
personale, trebuie identificată cea mai potrivită în funcție de scop și intenție. Identificarea
trebuie făcută înainte de a se începe colectarea datelor și este necesar să fie cea corectă, asta
deoarece nu poate fi schimbată pe parcursul procesării.

4. Inventarierea echipamentelor din cadrul entității

La nivel de entitate trebuie sa existe un inventar cu privire la echipamentele hardware si
software: calculatoare, laptopuri, servere, telefoane mobile, routere, hard-disk-uri externe,
stick-uri USB, sisteme de lucru, adrese de mail, etc. Acest inventar trebuie sa conțină si detalii
cu privire la responsabilitățile, atribuțiile, precum si gradul de acces la documentele ce conțin
date cu caracter personal, al angajaților care utilizează aceste echipamente.

Este necesară identificarea problemelor și a vulnerabilităților pentru a găsi cea mai bună
rezolvare. Pentru această etapă se vor identifica următoarele aspecte:
• natura datelor cu caracter personal și unde sunt ele localizate
• proveniența datelor cu caracter personal personalul care are acces la ele
 • care sunt vulnerabilitățile sistemului de date și cum pot fi ele protejate
• cât timp sunt păstrate datele cu caracter personal și când pot fi șterse
• de unde pot fi accesate aceste datele cu caracter personal
• scopul utilizării datelor cu caracter personal
• suportul pe care sunt stocate datele cu caracter personal
• gradul de criptare al datelor cu caracter personal
• baza legală pentru a deține astfel de date

Inventarierea se aplică pentru toate datele indiferent de natura lor (Inclusiv date despre angajați,
voluntari, utilizatori de servicii, clienți, sponsori etc.).

5. Procedurizarea
Se va elabora o procedură formalizată care va reda imaginea de ansamblu asupra procesului de
colectare și prelucrare a datelor cu caracter personal. Se vor urmări aspecte precum:
- Natura datelor colectate și prelucrate (exemplu: nume, prenume, adresă, serie și nr
CI, CNP, adresă, etc. )
- Scopul prelucrării, temeiul legal
- Persoanele responsabile de prelucrarea datelor
- Metode de securizare
- Descrierea măsurilor de corecție/monitorizare stabilite pentru riscurile identificate

6. Informarea persoanelor vizate.

Informarea persoanelor vizate prin publicarea unei note de informare pe site-ul instituției.

7. Criptarea
- Acest lucru este esențial atunci când vine vorba de protecția datelor. Potrivit Comisiei
Europene, dacă procesați date, trebuie respectate reguli speciale pentru a asigura
confidențialitatea datelor cu caracter personal colectate, cum ar fi: pseudonimizarea,
criptarea, confidențialitatea etc.
- De asemenea, trebuie să existe posibilitatea retragerii consimțământului pentru utilizarea și
prelucrarea datelor. Potrivit comisiei UE, procesul de retragere al consimțământului trebuie
sa fie la fel de ușor precum și cel de acordare.

8. Raportarea scurgerilor de informații către Autoritatea Natională de Supraveghere a Prelucrării

Datelor cu Caracter Personal.
Termen limită: Maxim 72 de ore de la identificare
Exemple de scurgeri de date:
- Furtul unor baze de date
- Furtul unor dosare din arhivă
- Copierea de documente care conțin date cu caracter personal si punerea lor la dispoziția
unor terți fără permisiune