…learning that matters

Chestionar de auto-evaluare a conformitatii organizatiei cu GDPR

Preambul:
Conform Art. 37(1) din GDPR desemnarea unui DPO este obligatorie în trei situații specifice1:

a) atunci când prelucarea este efectuată de o autoritate publică sau un organism public 2

b) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în
operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară
largă; sau

c) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în
prelucrarea pe scară largă a unor categorii speciale de date 3 sau a unor categorii de date cu caracter personal
privind condamnări penale și infracțiuni.

Cu excepția cazului în care este evident faptul că o organizație nu este obligată să desemneze un DPO,
GDPR recomandă ca operatorii și persoanele împuternicite de operator să documenteze evaluările
interne efectuate pentru a determina dacă va fi numit un DPO, pentru a fi în măsură să demonstreze că au
fost luați în considerare în mod corespunzător factorii relevanți. Această analiză, care reprezintă o parte a
documentației potrivit principiului responsabilității poate fi solicitată de autoritatea de supraveghere și ar trebui
actualizată atunci când este necesar, de exemplu, în situația în care operatorii sau persoanele împuternicite de
operatori întreprind activități noi sau furnizează servicii noi care se pot încadra în cazurile enumerate la art. 37(1).
În situația în care o organizație numește un DPO în mod voluntar, condițiile de la art. 37-39 se aplică
numirii, poziției și sarcinilor ca și cum desemnarea ar fi obligatorie.
Nimic nu împiedică o organizație, care nu are obligația legală de a desemna un DPO și nu dorește să
desemneze un DPO în mod voluntar, să angajeze personal sau consultanți externi cu sarcini legate de protecția
datelor cu caracter personal.În acest caz, este important să se asigure că nu există nicio confuzie în ceea ce
privește titlul, statutul, poziția și sarcinile acestora. Prin urmare, trebuie clarificat, în orice comunicare din cadrul
companiei, precum și
cu autoritățile pentru protecția datelor, persoanele vizate și publicul larg, că titlul acestei persoane sau consultant
nu este cel de responsabil cu protecția datelor (DPO) 4.
DPO, fie numit obligatoriu sau voluntar este desemnat pentru toate operațiunile efectuate de operator sau
persoana împuternicită de operator.

N.B. Scopul acestui chestionar este tocmai acela de a veni in sprijinul dvs. pentru
efectuarea unei evaluarii interne preliminare, necesare deciziei pregatirii si numirii unui
DPO.

1
Rețineți faptul că potrivit art. 37(4), dreptul Uniunii sau dreptul intern poate impune numirea unui DPO și în alte situații.
2
Cu excepția instanțelor care acționează în exercițiul funcției. A se vedea art. 32 din Directiva (UE) 2016/680.
3
Potrivit art. 9, acestea includ date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau
convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a
unei persoanei fizice, de date privind starea de sănătate sau de date privind viața sexuală sau orientarea sexuală a unei persoane fizice.
4
Acest lucru este de asemenea relevant pentru responsabilii principali cu protecția datelor (CPO – chief privacy officers) sau alți
profesioniști în domeniu din cadrul companiilor care nu respectă întotdeauna cerințele RGPD, spre exemplu, în legătură cu resursele
disponibile sau garanțiile de independență și, dacă nu sunt respectate, nu pot fi considerați sau numiți DPO.
IT Learning® Str. Olari, Nr. 7A, Et. 4, Sector 2, Bucuresti, ROMANIA
e-mail: office@itlearning.ro R.C. J40/4292/2007; CIF : RO 21249714
Telefon:+4021 659 69 39, Fax: +40371 602 780, Mobil:+4 0787 692 238
…learning that matters

Organizatia dvs. se afla intr-una din situatiile specifice prevazute de Art. 37(1) din GDPR,
descrise mai sus ?

o DA => desemnarea unui DPO este obligatorie

o NU => desemnarea unui DPO este voluntara, in baza unei evaluari interne si a
recomandarii rezultate in baza raspunsurilor dvs. la acest chestionar.

Va rugam sa bifati raspunsul adecvat organizatiei dvs.!

A. Structura organizatorică
1. Exista in organizatia dvs. un cod etic intern (un set de reglementări sau de bune practici interne pentru
protejarea confidențialitatii?

o DA - 5 puncte
o NU / Nu stiu - 0 puncte

2. Efectuati prelucrarea datelor cu caracter personal în organizatia dvs.? (Date cu caracter personal, în sensul
GDPR înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă ("persoana vizată"); o
persoană fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un
identificator cum ar fi nume, număr de identificare (CNP), date despre resedinta, identificator(i) online (e-mail tel.)
sau identificatori specifici de natura fizica, fiziologica, genetică, mentală, economică, culturală sau socială a
persoanei in cauza.)

o DA - 0 puncte
o NU - 10 puncte

3. Aveți implementat un proces de identificare și gestionare a incidentelor de securitate a informațiilor? (de

exemplu, un proces independent de gestionare a incidentelor de securitate, implementat în cadrul unui sistem de
management al securității informațiilor, care include cazuri de încălcare a confidențialități).

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

B. Date personale și procesare

4. Colectați și procesați date personale pentru angajații sau clientii dvs. din categoria celor de mai jos ?
 Informații generale: numele, vârsta și data nașterii, sexul, starea civilă, cetățenia, adresa IP,
fotografie sau alte materiale vizuale;
 Date financiare (numere de card de credit, conturi bancare etc.);
 Informații organizatorice: locul de muncă și adresa de e-mail personale, sau telefon mobil cu
caracter personal, adresele personale, pașaport și carte de identitate, numărul de securitate socială
sau de altă autentificare și identificare.

o DA - 0 puncte
o NU - 5 puncte

5. Colectati si prelucrati date personale din categoria celor de mai sus în scopuri de marketing si/sau pentru a
trimite mesaje comerciale (newsletter, campanii de promovare prin e-mail /mailchimp etc.) ?
2
IT Learning® Str. Olari, Nr. 7A, Et. 4, Sector 2, Bucuresti, ROMANIA
e-mail: office@itlearning.ro R.C. J40/4292/2007; CIF : RO 21249714
Telefon / Fax :+4021 659 69 39, Mobil:+4 0787 692 238
…learning that matters

o DA - 0 puncte
o NU - 10 puncte

6. Se face o analiză a riscurilor de date cu caracter personal in organizatie, care sa va permita luarea de măsuri
împotriva utilizarii abuzive a datelor cu caracter personal ?

o DA - 5 puncte
o NU / Nu stiu - 0 puncte

7. Transmiteti date cu caracter personal de la / către clienți (sau alte terțe părți)?

o DA - 0 puncte
o NU - 5 puncte

8. Solicitati acordul persoanei vizate de a va furniza datele sale personale pentru fiecare prelucrare,
prezentandu-i motivele colectării și prelucrării ulterioare a datelor, solicitandu-i inclusiv acordul pentru
furnizarea de date cu caracter personal către terți ?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

9. Faceti prelucrarea datelor cu caracter personal exclusiv în scopurile pentru care ați primit consimțământul
persoanei vizate ?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

10. Daca faceti campanii de marketing sau alte comunicări de business pe cont propriu, sau prin terțe părți,
daca folosiţi servicii de call center sau daca aveţi un magazin virtual, GDPR prevede obținerea
consimțământului prealabil pentru prelucrarea datelor personale de la persoana vizata care se abonează
voluntar la newsletterul dvs., sau comanda produse online (așa-numitul opt-in).
Respectati cu strictete aceasta prevedere ?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

11. Acordaţi acces la datele cu caracter personal (stocate pe e-mail sau baze de date fizice sau cloud ale
oraganizatiei) partenerilor externi (administratorii de site sau hosting magazin virtual, consultanți fiscali,
auditori, avocați, consultanți IT etc)? Tineti o evidenta cu toți partenerii externi, cărora le sunt furnizate datele cu
caracter personal? Exista semnate contracte de prelucrare a datelor cu caracter personal cu acestia?

o DA - 0 puncte
o NU - 5 puncte

12. Exista o procedură internă de urmat în cazul retragerii acordului persoanei vizate pentru prelucrarea
datelor sale cu caracter personal? Inregistrați consimțământul si retragerea acestuia si actualizați
corespunzator baza de date?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte
IT Learning®
e-mail: office@itlearning.ro
3
Str. Olari, Nr. 7A, Et. 4, Sector 2, Bucuresti, ROMANIA
R.C. J40/4292/2007; CIF : RO 21249714
Telefon / Fax :+4021 659 69 39, Mobil:+4 0787 692 238
…learning that matters

13. Stergeti datele cu caracter personal, atunci cand nu mai este necesară păstrarea lor, sau cand are loc
retragerea consimțământului persoanei vizate? (Ştergeți sau nu mai procesați datele personale întrucît, scopul
procesarii acestora, pentru care s-a luat acordul persoanei vizate nu mai este de actualitate sau a expirat
perioada stabilita în scopul procesării ?Se face ștergerea din toate bazele de date (electronice, inclusiv backup,
cat si pe suport de fizic)?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

C. Securitatea informațiilor

14. Aveti un responsabil pentru gestionarea informațiilor de siguranță ale organizaţiei dvs.?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

15. Aveți implementat un sistem de management al securității informațiilor in organizatia dvs.?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

16. Exista politici sau linii directoare de securitate care se aplică in organizația dvs.?

o DA - 5 puncte
o NU / Nu stiu - 0 puncte

17. Este asigurata securitatea informațiilor în raport cu furnizorii? Sunt partajate contractele pentru
confidențialitatea informațiilor? Este angajamentul de asigurare a securitatii informațiilor stipulat in contractele
cu furnizorii?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

18. Asiguraţi cunoașterea de către personalul organizatiei dvs. a normelor de protecție a informațiilor? Se face
o instruire periodica a angajaților in acest sens?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

19. Tineti o evidenta a incidentelor de Securitate ( acces neautorizat, pierderi de date, etc) ?Aveti un mecanism de
evitare a încălcării securitatii datelor interne? Există regulamente interne în acest scop?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

20. Efectuati un audit (intern/extern) de securitate regulat în organizația dvs.? Este domeniul protecției datelor
cu caracter personal inclus in acest audit?

o DA - 10 puncte

4
IT Learning® Str. Olari, Nr. 7A, Et. 4, Sector 2, Bucuresti, ROMANIA
e-mail: office@itlearning.ro R.C. J40/4292/2007; CIF : RO 21249714
Telefon / Fax :+4021 659 69 39, Mobil:+4 0787 692 238
…learning that matters

o NU / Nu stiu - 0 puncte

21. Sunt protejate informațiile personale ale companiei dvs. împotriva utilizării incorecte, pierderii, distrugerii,
dezvăluirii sau accesului neautorizat?Folosiți pseudonimizare sau alte tehnici de criptare?
o DA - 10 puncte
o NU / Nu stiu - 0 puncte

22. Aveți realizat un plan de securitate la nivelulul organizației dumneavoastră ?

Cuprinde acesta cel putin următoarele categorii de activități pentru asigurarea securității ? :
- administrarea accesului si instruirea personalului care are acces la infrastructura IT&C;
- certificarea, acreditatea și evaluarea securității cibernetice;
- managementul arhitecturii infrastructurii IT&C;
- managementul situațiilor de criza apărute în funcționarea infrastructurii IT&C ;
- identificarea și autentificarea utilizatorilor infrastructurii IT&C;
- raspunsul la incidente de securitate IT&C;
- mentenanța si auditul infrastructurii IT&C;
- protecția la nivel software și hardware a infrastructurii IT&C;
- planificarea activităților de verificare a respectării politicilor de securitate;
- evaluarea riscurilor de securitate;

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

AUTO-EVALUARE: Faceti suma punctelor acordate fiecarui raspuns de mai sus, verificati unde se
incadreaza organizatia dvs. in grila de mai jos si procedati in consecinta pentru a aplica si respecta
prevederile GDPR !

 170-175 de puncte => Organizatia dvs. respecta intru-totul cerintele GDPR. Felicitari !
 150-170 de puncte => Organizatia dvs. respecta in buna masura cerintele GDPR, pregatirea unui DPO nefiind
necesara, ci doar numirea voluntara pe aceasta pozitie a celui care are meritul de a fi adus organizatia pe acest palier
, in scopul supravegherii respectarii permanente a GDPR, prin punerea în aplicare a instrumentelor de
responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea
auditurilor).Un DPO acționează si ca intermediar între părțile interesate relevante (de exemplu autoritățile de
supraveghere, persoanele vizate și unitățile de afaceri din cadrul unei organizații).
 100-150 de puncte => Organizatia dvs. respecta partial cerintele GDPR, astfel incat pregatirea unui DPO este
necesara, iar numirea acestuia, chiar daca este voluntara este recomandata in vederea implementarii acelor masuri
neconforme cu prevederile GDPR și, în plus, poate reprezenta un avantaj competitiv pentru compania dvs., mai ales
in perspectiva dezvoltarii acesteia.
 50-100 de puncte => Organizatia dvs. nu respecta decat cateva din cerintele GDPR, astfel incat pregatirea unui DPO
este absolut necesara, iar numirea acestuia in mod voluntar este cu fermitate recomandata in vederea implementarii
masurilor necesare alinierii la prevederile GDPR.
 0-50 de puncte => Organizatia dvs. nu respecta cerintele GDPR, astfel incat pregatirea unui DPO este obligatorie, iar
numirea acestuia in mod voluntar se impune ca o necesitate in scopul implementarii prevederilor GDPR.

Daca aveti nevoie de informatii privind pregatirea si certificarea DPO, accesati link-ul

5
IT Learning® Str. Olari, Nr. 7A, Et. 4, Sector 2, Bucuresti, ROMANIA
e-mail: office@itlearning.ro R.C. J40/4292/2007; CIF : RO 21249714
Telefon / Fax :+4021 659 69 39, Mobil:+4 0787 692 238