Sunteți pe pagina 1din 22

Susținut de

ROMANIAN
BUSINESS
LEADERS

Material realizat cu sprijinul lui


Daniel Suciu -expert GDPR

și al echipelor

î
INTRODUCERE
Ce este GDPR?
De ce să îmi pese? Ce aduce nou?
Și dacă nu mă conformez?

CE ȘI CUM ?
Pași de urmat
Descrierea activităților și recomandări
1.Înțelegerea cerințelor GDPR
2.Evaluarea situației curente
3.Planificarea activității
4.Identificarea datelor
5.Inventarierea mijloacelor de procesare
6.Maparea proceselor
7. Curățirea datelor
8.Actualizarea proceselor
9.Pregătirea operațională

AM ÎNȚELES. ȘI ACUM, CUM DEMONSTREZ CĂ MĂ CONFORMEZ ?


Anexe
Anexa 1 Exemplu de notificare a clienților
Anexa 2 – Bune practici în utilizarea dispozitivelor IT
Anexa 3 Formular de autoevaluare de aderență la GDPR
Anexa 4 Resurse GDPR în limba româna

P/
1
CE ESTE GDPR ?

Regulamentul General de Protecția Datelor GDPR este un Regulament European cu


(nr. 679/2016) - privind protecţia putere de lege aplicabilă în toate țările UE,
persoanelor fizice în ceea ce priveşte ce are rolul de a aplica uniform aspectele
prelucrarea datelor cu caracter personal şi de reglementare a protecției datelor cu
privind libera circulaţie a acestor date - a caracter personal.
intrat în vigoare pe data de 25 mai 2016 și Regulamentul tratează protecția datelor cu
va avea directă aplicabilitate începând cu caracter personal ale cetățenilor europeni
data de 25 mai 2018. sau cele procesate pe teritoriul UE, cu
scopul protejării drepturilor la viață privată
ale persoanelor și a creării unui climat de
încredere în modul de procesare a acestora
de către operatori economici, persoane
fizice sau autorități și instituții.

Principiile prelucrării datelor cu caracter personal


Legalitate, echitate și transparență
Datele cu caracter personal sunt prelucrate
în mod legal, echitabil și transparent față de 1 Integritate și confidențialitate
persoana vizată
Datele cu caracter personal sunt prelucrate într-un
Limitări legate de scop 2 6 mod care asigură securitatea adecvată a datelor cu
caracter personal, inclusiv protecția împotriva
Datele cu caracter personal sunt Responsabilitate prelucrării neautorizate sau ilegale și împotriva
colectate în scopuri determinate, Operatorul este responsabil pierderii, a distrugerii sau a deteriorării accidentale
explicite și legitime și nu sunt prelucrate de respectarea acestor
ulterior într-un mod incompatibil cu principii și poate demonstra Limitări legate de stocare
aceste scopuri respectarea lor
Datele cu caracter personal sunt păstrate într-o formă

Reducerea la minimum a datelor 3 5 care permite identificarea persoanelor vizate pe o


perioadă care nu depășește perioada necesară
Datele cu caracter personal sunt adecvate, îndeplinirii scopurilor în care sunt prelucrate datele

4
relevante și limitate la ceea ce este necesar în
raport cu scopurile în care sunt prelucrate Datele cu caracter personal sunt exacte. În cazul în care este necasar să
fie actualizate, trebuie să se ia toate măsurile necesare pentru a se
asigura că datele cu caracter personal care sunt inexacte, având în vedere
4. Exactitate scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără
întârziere
DE CE SĂ ÎMI PESE?
CE ADUCE NOU GDPR?

Redefinește conceptul de date personale - putea fi procesate (date medicale, despre


orice date referitoare la o persoană convingerile religioase, orientarea sexuală,
identificată sau identificabilă. date biometrice etc.). Un tratament similar
îl au și datele despre copii sau despre
Redefinește tipul de date speciale care condamnări penale, chiar dacă nu sunt
necesită măsuri suplimentare pentru a considerate date speciale.

Exemple de Date cu Caracter Personal conform GDPR


Date de identificare
Date de contact, Date card, cont bancar
bunuri personale
nume prenume, email Istoric plăti, produse
Identificatori, acte de și servicii achiziționate
identitate Date despre
Date despre educație
situația financiară
Istoric angajări, CV Date
Date Facturi
Date depre persoană,
simple
Financiare
familie
Date genetice sau
Inregistrări CCTV medicale
Identitate si activitate
pe Social Media Date despre Date Date despre religie, convingeri
politice, afilieri sindicale

Istoric / detalii activitate


Comportament Speciale
pe Internet Date biometrice (amprentă…)
Identitate si activitate
in rețeaua IT Preferințe sexuale
Evaluarea performanțelor Date despre condamnări…
Monitorizare GPS

Introduce noi drepturi pentru persoanele fizice (dreptul de acces la datele personale, dreptul la
informare, dreptul de a fi uitat etc.)

Drepturi ale persoanelor vizate


INFORMARE ACCES
Persoana vizată are dreptul de a
RECTIFICARE
Persoana vizată are dreptul de a obţine din partea operatorului o
obţine din partea operatorului Persoana vizată are dreptul de a obţine de
confirmare că se prelucrează sau nu
informaţiile referitoare la la operator, fără întârzieri nejustificate,
date cu caracter personal care o
prelucrare, într-o formă concisă, rectificarea datelor cu caracter personal
privesc şi, în caz afirmativ, acces la
transparentă, inteligibilă şi uşor inexacte sau incomplete care o privesc,
datele respective
accesibilă, utilizând un limbaj clar inclusiv prin furnizarea unei declaraţii
şi simplu suplimentare

1 2 3

4 5 6
ȘTERGERE RESTRICȚIONARE PORTABILITATE
sau „dreptul de a fi uitat" Persoana vizată are dreptul de a Persoana vizată are dreptul de a primi
Persoana vizată are dreptul de a obţine din obţine din partea operatorului datele cu caracter personal care o
partea operatorului ştergerea datelor cu restricţionarea prelucrării privesc şi pe care le-a furnizat
caracter personal care o privesc, iar operatorului şi are dreptul de a
operatorul are obligaţia de a şterge datele transmite aceste date altui operator
cu caracter personal fără întârzieri
nejustificate

P/
3
Introduce noi obligații ale operatorilor de EXPLICIT și clar pentru fiecare procesare
date: obligația de a informa clienții despre pentru care nu aveți o obligație legală, de
modul cum sunt folosite datele lor a-i anunța dacă datele lor personale au fost
personale, obligația de a le păstra în compromise.
condiții sigure, de a le cere consimțământul

Obligații ale operatorilor de date cu caracter personal


Securitatea informațiilor
Legalitate
Informare Operatorul este obligat să pună
Operatorul furnizează Colectarea si prelucrarea datelor cu caracter personal se poate în aplicare politici si practici
persoanei vizate face doar având un temei legal clar stabilit (obligație legală, adecvate de protecţie a datelor
informaţiile necesare îndeplinirea unui contract sau serviciu... sau având proporţionale în raport cu
referitoare la prelucrare, consimțământul persoanei vizate) și pentru scopul comunicat. operaţiunile de prelucrare
într-o formă concisă,
transparentă, inteligibilă şi Responsabilitatea operatorului și demonstrarea acesteia
uşor accesibilă, utilizând un
limbaj clar şi simplu Ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării,
precum şi de riscurile operatorul pune în aplicare măsuri tehnice şi organizatorice Asigurarea precum și
adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se riscurile protecției datelor
efectuează în conformitate cu prezentul regulament. Respectivele măsuri începând cu momentul
documentate, se revizuiesc și se actualizează de câte ori este necesar conceperii și în mod implicit
Operatorul trebuie să pună în aplicare
Notificarea încălcărilor măsuri tehnice şi organizatorice
Analiza impactului pentru adecvate şi să integreze garanţiile
În cazul în care încălcarea securităţii datelor cu necesare în cadrul prelucrării, pentru
caracter personal este susceptibilă să genereze
situatiile de risc mare a proteja drepturile persoanelor
un risc ridicat pentru drepturile şi libertăţile vizate
persoanelor fizice, operatorul are obligația de Datele cu caracter personal sunt adecvate, relevante și limitate
a notifica autoritatea în 72 de ore și de a la ceea ce este necesar în raport cu scopurile în care sunt
informa persoana vizată fără întârzieri prelucrate
nejustificate cu privire la situația de încălcare.

Nu este necesară înregistrarea operatorilor Aceste reguli se aplică tuturor tipurilor de


de date cu caracter personal, dar va trebui date, atât celor electronice cât și celor în
demonstrat cum se respectă Regulamentul format fizic (registru înregistrare clienți, fișe
(proceduri despre cum sunt definite, înregistrare).
implementate și monitorizate obligațiile Impune notificarea atât a clientului,
15.6061 cm cât și a
legale). autorităților în cazul unui incident cu
pierderea/divulgarea datelor cu caracter
Activitatea principală este identificarea și personal ce poate afecta viața privată a
documentarea tuturor tipurilor de date subiecților.
personale procesate pe tipuri de subiecți
(clienți, angajați, colaboratori) a modului de Aduce noi obligații în ce privește măsurile
procesare, către cine mai sunt transmise, tehnice și organizatorice "rezonabile" - în
care este motivul/scopul procesării) și funcție de riscurile potențiale dar și de
durata de păstrare – aspecte ce trebuie specificul afacerii.
înscrise în procedura de gestionare.
Procedura va include și accesul la aceste Privind “partea plină a paharului”, această
date tuturor subiecților (angajatul poate lege poate aduce și beneficii celor pregătiți
solicita să parcurgă toate datele pe care să le vadă și să le fructifice.
compania le păstrează despre el; clienții de
asemenea). Câteva exemple:

P/
4
P/
5
ȘI DACĂ NU MĂ CONFORMEZ?

Operatorii vor fi responsabili în primul rând private a clienților + suspendarea procesării


în fața clienților/angajaților/ partenerilor, acestor date (practic suspendarea
nu doar a autorității. Orice (fost) client sau activității) pot să fie piedici cu un risc mai
angajat poate să-și exercite drepturile și să crescut.
ceară explicații referitor la cum sunt aceste Clienții vă vor "obliga" să faceți acest pas,
date prelucrate. de asemenea partenerii și colaboratorii
Amenzile de până la 20 mil. Euro sau 4% dumneavoastră. ”Dacă nici un client,
din cifra globală de afaceri (dacă este mai angajat sau colaborator ori vreo autoritate
mare!) nu sunt singura problemă! Plata nu vă întreabă sau reproșează nimic… e
despăgubirilor în caz de afectare a vieții perfect.” Care credeți că este șansa și
merită să vă asumați acest risc?

Pericole de care suntem pândiți în implementarea GDPR-ului


Neglijarea
Ignorarea GDPR: CLIENTILOR Încrederea într-o ”soluție
”nu ni se aplică nouă” minune” vândută/
“nu ne “prinde” chiar pe noi” promovată de cineva

Ignorarea potențialelor Urmarea unor sfaturi


beneficii greșite sau aplicarea
unor tehnici ”după
Folosirea unor “scurtături” ureche”
Lipsa prioritizării proceselor.
Vreți ca totul să fie perfect În fața schimbării toate
de la bun început devin urgente

Pasarea responsabilității
către avocat/consultant, etc.
Supraestimarea
posibilităților existente
Documentarea proceselor „oficiale”
Concentrarea efortului fără analiza practicilor curente.
pe un singur domeniu

PAȘI DE URMAT

Adaptarea documentației la domeniul de aflați față de cerințele GDPR și ce trebuie să


activitate specific firmei nu trebuie să fie faceți de acum. Stabilirea unei proceduri
complicată, însă punerea în practică vă interne de gestionare a datelor cu caracter
aparține în totalitate, precum și personal este o primă cerință.
responsabilitatea față de clienți, angajați și După aceasta, nu vă rămâne decât să
colaboratori. treceți la acțiune și cum o parte din muncă
am făcut-o noi pentru dumneavostră, nu
Primul pas este de a vă informa și de a rămâne decât să luați ce vi se potrivește, să
conștientiza posibilele probleme, lucru mai introduceți informațiile despre
parțial îndeplinit, dacă ați citit până aici. O afacerea dumneavoastră și să le puneți în
clarificare a concepului de date cu caracter practică.
personal este absolut necesară. Sunt mai Măsurile înscrise în procedură trebuie
multe decât credeați și gestionarea lor transcrise în practică, iar pentru asta
apare în mai multe locuri decât cele clasice trebuie
și cunoscute. să mobilizați și echipa dumneavoastră în
Pasul următor este să verificați unde vă asumarea și respectarea procedurilor.

P/
6
Pașii de adaptare la GDPR:

1 Înțelegerea cerințelor GDPR


2 Evaluarea situației curente din afacere Deși pare mult, nu înseamnă că trebuie să
3 Planificarea activității și dureze mult.
4 Identificarea datelor
5 Inventarierea mijloacelor de procesare Practic pentru o firmă mică din domeniul
6 Maparea proceselor turismului, care nu oferă servicii medicale
7 Curățarea datelor sau servicii speciale pentru grupuri
8 Actualizarea proceselor minoritare, efortul inițial nu ar trebui să
9 Pregătirea operațională dureze mai mult de câteva (3-4) zile.

Implementarea GDPR-ului în 9 pași


8. Actualizarea proceselor
Definirea proceselor lipsă minime și/sau
actualizarea procedurilor și contractelor existente.

6. Maparea proceselor
Identificarea și maparea scopurilor
procesărilor, rolurilor implicate și a
terțelor părți care au acces la date. 9. Pregătirea operațională
Pregătirea personalului conform noilor
4. Identificarea datelor procese și practici și testarea acestor noi
Identificarea și colectarea datelor și a procese cu echipa.
procesărilor implicate și sincronizarea cu
structura organizatorică a afacerii și cu
responsabilitățile serviciilor externalizate.
7. Curățirea datelor
Definirea setului minim de date, ștergerea celor inutile și
curățirea datelor. În plus, reînnoirea cererilor de
2. Evaluarea situației curente consimțământ, dacă este cazul
Identificarea ariilor și a proceselor afectate
și a stării actuale de respectare. 5. Inventarierea mijloacelor de procesare
Identificarea mijloacelor de prelucrare și stocare a
informațiilor (în format fizic sau electronic).

Crearea unui plan de implementare (prioritizare în


funcție de risc, impact , beneficii, efort estimat) cu
responsabilități clare și termene.

1. Ințelegerea cerințelor GDPR


Înțelegerea cerințelor GDPR și conștientizarea riscurilor
de nerespectare, dar și ignorarea potențialelor
beneficii și a impactului asupra afacerii tale.

DESCRIEREA ACTIVITĂȚILOR
ȘI RECOMANDĂRI

Înțelegerea cerințelor GDPR

Întelegerea cerințelor GDPR și Recomandări


conștientizarea riscurilor de nerespectare, Nu tratați GDPR-ul ca un aspect de sine
a potențialelor beneficii și a impactului stătător ci parte din legile, standardele și
asupra drepturilor la viața privată a practicile pe care le respectați în activitatea
persoanelor vizate, dar și a afacerii afacerii dumneavoastră.
dumneavoastră.
Nerespectarea altor legi ce conțin cerințe
Cum? referitoare la modul de înregistrare și
• Citind materialele oferite. păstrare a datelor, a asigurării siguranței
• Pentru alte întrebări și neclarități bunurilor și clienților pot fi folosite
consultați resursele gratuite din Anexa...
• Urmărind ce apare nou în domeniul
dumneavoastră, prin asociațiile de profil...
P/
7
împotriva dumneavoastră și în contextul firme de securitate) și a oricăror altor
GDPR . Eventualele amenzi (mai ales persoane care au acces la date personale.
repetate) putând fi interpretate ca Actualizați contractele cu aceștia stabilind
neasumare a responsabilității - fiind pasibil clar care sunt procedurile cu privire la
de măsuri mult mai dure în caz de încălcare datele gestionate pe care le execută și
a vieții private. responsabilitățile fiecărei părți.
Sunteți direct răspunzător și pentru Cereți să vi se demonstreze ce măsuri au
procesările de date ale celor ce îndeplinesc luat pentru a procesa în siguranță datele
anumite funcții externalizate (de ex. dumneavoastră și ale clienților
salarizare, contabilitate, găzduire site, IT, dumneavoastră.

2 Evaluarea situației curente

Identificarea ariilor și proceselor impactate și eventual împreună cu cine) către cine nu


și a stării actuale de conformitate cu trebuie (alta decât persoana în cauză).
cerințele GDPR. Identificarea după date din acte furnizate
anterior nu este o măsură sigură. De
Cum? asemenea, confirmarea acestora telefonic
Completând chestionarul de autoevaluare poate reprezenta un potențial risc de
din Anexa 3. divulgare către o terță persoană interesată
Analizând procedurile pe care le-ați utilizat (soțul/soția sau angajatorul cărora le pot
în trecut cu privire la aceste aspecte sau parveni aceste date).
situațiile în care ați mai avut probleme. Faptul că trebuie să păstrați datele pentru
Recomandări obligații legale, nu vă dă dreptul să fie
În cazul în care utilizați calculatoare,aplicații folosite în alte scopuri sau de către alte
dedicate sau servicii online, respectarea persoane în afara celor autorizate să aibă
minimelor bune practici în domeniu este o acces.
prioritate. Vezi Anexa 2.
Analizați care sunt situațiile, datele speciale Transparența este una dintre cerințele
sau cele ce pot aduce atingeri vieții private majore ale GDPR.
a clienților, angajaților și partenerilor, Nu încercați să vă ascundeți în spatele unor
acestea fiind cazuri cu prioritate de formulări de tipul "pentru următoarele
adresare. scopuri, dar nu limitate la…" sau să încercați
să "ascundeți" unele scopuri în formulări
Un risc cu impact foarte mare (și des stufoase și eventual scrise cu litere mici...
întâlnit) este divulgarea unor date ce par acest comportament nu este permis și
neimportante (cât a fost cazată o persoană poate atrage sancțiuni.

3 Planificarea activității

Crearea unui plan de implementare a Recomandări


procedurii cu responsabilități clare și
termene de aplicare. Practica va face diferența, iar ajustări și
completări vor apărea mereu, în funcție de
Cum? activitatea desfășurată.
Folosind pașii și materialele propuse,
adaptate la situația și nevoile specifice Nu uitați să monitorizați evoluția. Vorba
afacerii dumneavoastră (priorități- în funcție aceea românească „socoteala de acasă nu
de risc, impact, beneficii, efortul estimat). se potrivește cu cea din târg”. Adaptați
Nu trebuie să fie perfect din prima, însă nu procedura la noile activități dezvoltate de
este un aspect de neglijat în activitățile afacerea dumneavoastră.
afacerii dumneavoastră.

P/
8
4 Identificarea datelor

Identificarea și maparea datelor cu caracter lege sau necesară pentru îndeplinirea


personal prelucrate și a procesărilor serviciului/contractului.
implicate. În practică însă, nu ne vom încadra mereu
Fiecare tip de procesare a datelor trebuie la acest risc minim astfel că o procedură
determinat prin baza sa legală. Acolo unde clar
nu aveți cerințe legale (cum ar fi colectarea determinată de prelucrare a datelor care să
adreselor de email, telefon) trebuie să menționeze durata arhivării lor și
determinați în ce scop aveți nevoie de procedurile de securitate prin care le
acestea și cât intenționați să le păstrați. protejăm în acest interval, sunt necesare
oricărei afaceri.
Riscul minim îl reprezintă colectarea
datelor expres cerute de lege, cele absolut Cum?
necesare îndeplinirii unui contract sau Determinarea procedurilor aplicabile (pe
efectuării unui serviciu cerut de client si tipuri de subiecți) pentru fiecare activitate a
păstrarea acestora pe durata specificată de afacerii dumneavoastră.

Exemple de procesări de date pe tipuri de persoane vizate

ANGAJAȚI si FURNIZORI
VIZITATORI SITE CLIENȚI
CONTRACTORI SERVICII

• Rezervari  
Procese de business • Cazare ?  ?
• Servicii specifice ?  

• Angajari ?

• Administrare personal ?
Procese de Personal 
• Salarizare ?

• Beneficii
 ?

• Contabilitate   
• IT/ Telefonie    
• Internet si email    
Procese auxiliare
• Securitate fizica  ? 
• Marketing  ?
• Curatenie/ Altele  

Identificați tipul datelor procesate (un set Identificați sursele de colectare pentru
de date prelucrat într-un anumit scop prin fiecare tip de date și prelucrările ulterioare.
aceleași mijloace) și caracteristicile
acestora.

P/
9
Pericole de care suntem pândiți în implementarea GDPR-ului
Neglijarea
Ignorarea GDPR: CLIENTILOR Încrederea într-o ”soluție
”nu ni se aplică nouă” minune” vândută/
“nu ne “prinde” chiar pe noi” promovată de cineva

Ignorarea potențialelor Urmarea unor sfaturi


beneficii greșite sau aplicarea
unor tehnici ”după
Folosirea unor “scurtături” ureche”
Lipsa prioritizării proceselor.
Vreți ca totul să fie perfect În fața schimbării toate
de la bun început devin urgente

Pasarea responsabilității
către avocat/consultant, etc.
Supraestimarea
posibilităților existente
Documentarea proceselor „oficiale”
Concentrarea efortului fără analiza practicilor curente.
pe un singur domeniu

Recomandări Facebook pe site . De asemenea salvările


Tipul și volumul datelor colectate este mult automate ale documentelor editate de
mai mare decât cel aparent și se aplică și angajați sau informațiile stocate de către
acelor date pentru care nu există intenția computerele firmei despre navigarea pe
de a le utiliza sau chiar dacă nu Internet, sunt surse de date reglementate
dumneavoastră le colectați în mod direct de GDPR.
(vezi externalizare servicii IT, contabilitate, • Multe tool-uri utilizate transferă
etc.). automat unele date în țări extracomunitare.
• Exemple sunt multe, printre cele Chiar site-ul dumneavoastră (hosting) sau
mai comune fiind „cookie-urile” existente canalele de social media ar putea fi
pe aproape toate site-urile, unele dintre ele găzduite într-o altă țară.
fiind generate de surse externe (cum ar fi Sunteți răspunzător de toate acestea, așa
cookie-urile Facebook ce colectează date că mai bine vă informați și evitați pe cât
despre vizitatorii dumneavoastră doar posibil aceste situații.
având un buton de „like” sau „share” al

5 Inventarierea mijloacelor de
procesare

Identificarea mijloacelor de prelucrare și Cum?


stocare a informațiilor (atât în format fizic, Informațiile prezentate anterior, pentru
cât și electonic) – locații, sisteme și aplicații, fiecare tip de date, vor fi dublate de
foldere și fișiere, documente, etc. identificarea mijloacelor folosite pentru
culegerea, prelucrarea, stocarea și
transmiterea acestora.

6 Maparea proceselor

Identificarea și maparea scopurilor necesare. Stabilirea procedurii trebuie să se


procesărilor, rolurilor implicate și a terțelor concentreze și pe decizii de minimizare a
părți care au acces la date pe baza setului de date colectate și procesate,
informațiilor existente, sunt primele măsuri restrângerea accesului la date personale și
implementarea măsurilor de securitate.

P/
10
Proces de înregistrare client
Responsabil Recepționer Casier
Recepționer Recepționer Recepționer
Acces la date Recepționer
Manager Manager Manager Manager Manager
Activități
Verificare
solicitare rezervare
Verificare
disponibilitate

Inregistrare
Da? client
Cerințe sau
Există?
servicii speciale
Date identificare
client: nume, email, Plată avans
identificator
E nevoie?
sau garanție Gata
Procesare date Date identificare,
personale Date despre cazare, preferințe,
eventual despre copii Date bunuri Date financiare, servicii
călătorie, preferințe
personale, preferințe,
sau date medicale Date despre situația
financiară

Mijloace de
procesare

Social media
Cui se mai Site-uri partenere Banci,
transmit datele Furnizori email, instituțtii Firma
Internet, hosting financiare Contabilitate

Atenție sporită trebuie acordată datelor menționa numele persoanei, ci eventual


speciale. În scopul efectuării serviciilor, apar numărul camerei și data sau un alt număr
cazuri în care primim și trebuie să intern de identificare unică. Astfel, aceste
înregistrăm date speciale (de obicei de date, fără o asociere cu datele din registru
natură medicală). de intrări / ieșiri, nu pot duce la
identificarea persoanei. De asemenea,
O măsură de protecție simplă este accesul la aceste date poate fi asigurat unui
înregistrarea tuturor datelor despre servicii număr mai mic de persoane, implicate
specifice într-un alt document, fără a direct în satisfacerea cerințelor specifice.

7 Curățarea datelor

Definirea setului minim de date, ștergerea Cum?


celor inutile, curățarea datelor și eventual Identificarea setului minim de date care se
reînnoirea cererilor de acord. șterg dintre cele ce nu mai sunt folosite. De
Unele date nu sunt considerate "date asemenea, cele pentru care a expirat timpul
speciale" sub GDPR, dar prin volumul lor de păstrare, stabilit conform procedurii, și a
și/sau contextul lor pot afecta grav dreptul celor ce se arhivează, în funcție de utilitatea
la viață privată. O analiză a riscurilor vă lor.
poate ajuta ( atât prin baza experienței Datele rămase se verifică dacă sunt
proprii, cât și prin practicile din domeniu). complete și/ sau corecte și se completează/
Să luam drept exemplu numele, locul corectează acolo unde este posibil.
nașterii, chiar CNP-ul ce nu sunt Asigurati-vă că nu colectați mai mult decât
considerate date speciale, dar o copie a CI aveți nevoie.
(ce cuprinde toate aceste date poate fi
folosită în alte scopuri decât a fost ea De exemplu nu faceti copie după actul de
furnizată). identitate, doar pentru că e mai ușor decât
De asemenea, datele despre intervalul de sâ scrieți datele. Vă asumați un risc ce nu
cazare al unei persoane nu sunt este necesar.
considerate date speciale, dar în contextul
în care acestea vă sunt cerute de un Apelați la specialiști pentru a configura
angajator pentru a le folosi în procesul de toate sistemele astfel încât să nu colecteze
concediere a unui salariat sau de către decât datele necesare. Instruiți personalul
partenerul de viață al clientului aflat în în utilizarea corectă a sistemelor și
divorț...caracterul se schimbă. respectarea procedurilor interne.
P/
11
8 Actualizarea proceselor

Definirea proceselor minime și/sau Recomandări


actualizarea procedurilor și a contractelor Asigurați-vă că accesul la date cu caracter
existente. personal este posibil doar pentru cei ce au
responsabilități pe acel domeniu și că acest
Ordinea priorităților este: lucru este documentat. De exemplu
1.Crearea unui document de notificare a registrul de intrări-ieșiri nu trebuie să stea
clienților; neîncuiat la recepție sau la dispoziția
2.Actualizarea sau definirea politicii de oricărui turist.
confidențialitate (este primul document Nu scrieți datele pe foi, pentru că nu găsiți
absolut necesar); registrul pe loc. Nu se știe unde ajung acele
3.Actualizarea proceselor de business; foi ulterior.
4.Actualizarea procedurilor IT/ Securitate; De asemenea, nu scrieți în registru
dacă nu aveți, se poate crea un capitol în informații sensibile, chiar dacă vi se par
ROI; utile (că anumiți clienți sunt de la partidul
5.Actualizarea Regulamentului de Ordine cutare, sau polițiști, sau că sunt gay, sau
Interioară; milionari). Dacă țineți evidența mașinilor
6.Actualizarea contractelor de muncă, cel pentru parcare, nu trebuie să scrieți și
puțin al managerului, care să conțină marca și tipul mașinii, pe lângă numărul de
responsabilitatea protecției datelor cu înmatriculare).
caracter personal conform legislației. Nu folosiți datele personale în alte scopuri
(numirea unui ofițer gestionare date decât cele menționate (de exemplu
personale) fotografiile clienților în scopuri de
7.În funcție de nevoi, contractele cu marketing - dacă nu aveți permisiunea lor
parteneri sau colaboratori ar fi următoarea EXPLICITĂ, sau imaginile camerelor de
prioritate – cel puțin notificarea lor cu supraveghere declarate ca fiind pentru
privire la obligația de a se conforma securitate, dar utilizate pentru a verifica
legislației. comportamentul angajaților).

9 Pregătirea operațională

Pregatirea personalului conform noilor Atunci când vă bazați pe consimțământ,


procese și proceduri și testarea acestor noi trebuie să aveți în vedere că trebuie să
procese. comunicați la momentul obținerii
După definirea noilor procese și practici, se consimțământului că acesta poate fi retras
instruiește personalul în utilizarea acestora. oricând și trebuie să vă asigurați că se
De asemenea, acolo unde este cazul, se poate face la fel de ușor ca și în momentul
configurează sistemele astfel încât să oferirii lui.
respecte noile practici. Cea mai simplă metodă este ca variantele
Aveți obligația să mențineți datele cât mai de oferire și de retragere a
actuale și să le ștergeți în siguranță de consimțământului să fie pe același
îndată ce motivele pentru care le procesați formular, evidențiate la fel.
au expirat ( de exemplu CV-urile depuse Nu trimiteți date personale către altcineva
pentru angajare pentru candidații respinși decât proprietarul acestora (deci NU către
și altele asemenea). Procedura internă soț/soție, angajator, colaborator etc.).
stabilește un mecanism documentat despre Verificați fiecare cerere de informații
cum faceți acest lucru și cum îl respectați. despre datele personale pe toate canalele
Pentru sistemele și aplicațiile folosite de comunicare folosite (adrese de email de
asigurați-vă că producătorii vă oferă pe site-ul dumneavoastră, pagina de
funcționalități dedicate pentru aceasta sau Facebook, dacă o folosiți pentru scopuri de
modalități documentate de business…) și răspundeți în maxim 30 zile la
ștergere/actualizare date. orice solicitare de trimitere a datelor
personale.

P/
12
Instruiți angajații atât în ceea ce privește diagnosticare periodică este indicată,
obligațiile specifice, dar și lucrul cu date cu precum și instruirea angajaților cu privire la
caracter personal și bunele practici în aceste aspecte.
utilizarea calculatoarelor și telefoanelor de
serviciu, a lucrului pe Internet și a Definiți o perioadă în care se va monitoriza
comunicării pe email. respectarea noilor reguli de către angajați și
colaboratori.
Este o practică uzuală ca personalul să Nu uitați să modificați documentele la
folosească un calculator de serviciu pentru apariția unor schimbări privind serviciile
a naviga pe internet, sau pentru a oferite, furnizori, noi roluri sau
descărca muzică, filme și jocuri. Având în responsabilități, noi sisteme sau aplicații
vedere că măsurile de protecție în general folosite.
sunt destul de reduse la o firmă mică, riscul Cel puțin odată pe an considerați revizuirea
ca acel calculator să fie virusat este imens. documentelor, chiar dacă aveți impresia că
Practic este aproape imposibil să nu nu s-a schimbat nimic.
conțină programe de tipul viruși/malware,
chiar dacă acest lucru nu este vizibil. O

În primul rând trebuie ca cerințele minime Toate documentele de informare, eventual


de transparență și informare față de client o copie a regulamentului, ar arăta
să fie vizibile;. preocuparea.
Afișarea informațiilor minime necesare la O listă cu probleme observate (eventual
recepția unității, sunt un bun exemplu; după completarea autoevaluării și
Deoarece date personale prelucrăm și în parcurgerii acestui material) și măsuri de
relația cu angajații și colaboratorii, nu uitați îmbunătățire ar fi binevenită.
de ei. Listele menționate la pașii 4,5 si 6 (datele cu
Materiale de conștientizare și reamintire a caracter personal, mijloacele de prelucrare,
principalelor aspecte ale GDPR (incluse ca scopul și cine are acces la aceste date) sunt
figuri în acest material) ar ajuta să fie elementul principal, fără de care nu se
afișate în zonele desemnate personalului. poate vorbi de conformitate.
Existența documentelor care arată Pașii următori ar fi modificarea
preocuparea și responsabilitatea față de documentelor interne existente ( Politica de
acest subiect: confidențialitate, ROI, contracte de muncă/
O decizie a administratorului de analiză si fișa postului – dacă este necesar și
implementarea măsurilor necesare și de contractele cu furnizorii)
numire a unui responsabil (un factor de Nu uitați de evidențele instruirii angajaților,
decizie, putând fi chiar administratorul sau eventual de inclus un training suplimentar
eventual managerul) ar fi de asemenea pe tema protecției datelor personale, în
utilă. instruirile periodice pe care le faceți pentru
protecția muncii.

P/
13
Stimați Clienți
Datele dumneavoastră colectate la înregistrarea in unitatea noastră sunt limitate la cele strict necesare efectuării serviciilor
solicitate, conform legislației in vigoare și nu vor fi divulgate altor entități, exceptând autoritățile cu drept de control și
firmele ce ofera servicii de suport, strict pentru indeplinirea serviciilor specifice
• Servicii IT si Cloud: SC.....
• Internet: SC. Responsabil ......
• Contabilitate:

Acestea sunt păstrate îin condiții de siguranță la sediul nostru și in Cloud pe durata stabilită de lege. Accesul la datele
dumneavoastră îl au doar persoanele special desemnate, pentru scopuri strict legate de atribuțiunile lor și instruite pentru
mânuirea acestora în deplină siguranță.
Datele cu caracter personal furnizate pe durata sejurului dumneavoastră pentru efectuarea unor servicii suplimentare vor fi
folosite doar pentru efectuarea serviciilor si vor fi păstrate doar acele date necesare dovedirii efectuării serviciilor, acolo
unde este necesar.
Acolo unde serviciile suplimentare sunt furnizate de către terțe părți, acest lucru vă va fi comunicat si aceste date vor fi
transmise furnizorului de servicii doar cu acordul dumneavoastră. Sevicii suplimentare oferite si furnizorii acestora:
• Internet: SC. Responsabil ......
• Restaurant: SC. Restaurantul X, CUI... , Manager Icsulescu Ghe.
• Parcare,
• Inchirieri ATV, masina,...
• Servicii medicale

Datele dumneavoastră nu părăsesc spațiul Uniunii Europene

Responsabil:
manager Icsulescu Ghe.

Drepturi ale persoanelor vizate


INFORMARE ACCES
Persoana vizată are dreptul de a
RECTIFICARE
Persoana vizată are dreptul de a obţine din partea operatorului o
obţine din partea operatorului Persoana vizată are dreptul de a obţine de
confirmare că se prelucrează sau nu
informaţiile referitoare la la operator, fără întârzieri nejustificate,
date cu caracter personal care o
prelucrare, într-o formă concisă, rectificarea datelor cu caracter personal
privesc şi, în caz afirmativ, acces la
transparentă, inteligibilă şi uşor inexacte sau incomplete care o privesc,
datele respective
accesibilă, utilizând un limbaj clar inclusiv prin furnizarea unei declaraţii
şi simplu suplimentare

1 2 3

4 5 6
ȘTERGERE RESTRIȚIONARE PORTABILITATE
sau „dreptul de a fi uitat" Persoana vizată are dreptul de a Persoana vizată are dreptul de a primi
Persoana vizată are dreptul de a obţine din obţine din partea operatorului datele cu caracter personal care o
partea operatorului ştergerea datelor cu restricţionarea prelucrării privesc şi pe care le-a furnizat
caracter personal care o privesc, iar operatorului şi are dreptul de a
operatorul are obligaţia de a şterge datele transmite aceste date altui operator
cu caracter personal fără întârzieri
nejustificate

P/
14
Echipamente - calculator
• Calculatorul utilizat pentru procesarea datelor să fie unul dedicat acestei activități, nu
cel ce-l folosiți în scopuri personale, în special pentru activitați online, descărcări de muzică,
filme…

Echipamente – tablete si telefoane mobile (smartphone)


• De preferință nu descărcați date cu caracter personal pe telefoanele de serviciu.
• Dacă utilizați telefonul pentru procesarea datelor cu caracter personal, acesta sa fie
unul dedicat acestei activități, configurat astfel încât să nu se salveze datele personale în alte
locații.

Sistem de Operare
• Calculatorul sau calculatoarele folosite să contină un sistem de operare licențiat și
actualizat cu ultimele patch-uri.

Antivirus si firewall
• Calculatorul folosit sa aibă instalat măcar un antivirus și un firewall activat.

Conturi calculator/ aplicatii


• In utilizarea de fiecare zi să nu se lucreze cu contul de administrator, ci cu un cont
creat special cu drepturi limitate, fără dreptul de a instala programe.
• Asigurați-vă ca fiecare angajat foloseste un cont dedicat, pentru a putea avea o
evidența a operatiunilor facute de fiecare.

Parole
• Folositi parole cu o complexitate mare și schimbați-le periodic… de la
patron, pană la ultimul angajat.

Copii de rezerva
• Faceți regulat un back-up al datelor (pe un dispozitiv extern, de preferintă un hard disk
extern sau in cloud - unul autorizat).

Lucrul pe Internet
• Pentru lucrul pe internet browserul sa fie actualizat
• Nu accesați siteuri care nu incepe cu "https://…", ceea ce indică prezența unui certificat
de securitate pentru o comunicare sigură.

Medii de stocare
• Nu salvați date personale pe CD-uri sau stick-uri de memorie USB (acestea pot fi usor
pierdute sau furate). Pentru calculatoarele de serviciu este recomandabil chiar să nu se
permita copierea pe aceste medii.
• Nu salvați datele personale în fisiere "provizorii", de care oricum o să uitați definitiv.

Comunicarea pe Email
• Nu deschideți atasamente suspecte primite pe email, mai ales dacă nu cunoasteți
expeditorul si/sau dacă nu este un tip de atasament primit in mod curent.
• Transmiteți cat mai putine date personale pe email. Dacă acestea trebuie transmise
catre diversi parteneri, subcontractori… folosiți alte metode sau în cel mai rau caz criptați
fisierul și transmiteți parola separat).

P/
15
Echipa companiei față în față cu GDPR

1. Factorii de decizie și persoanele cheie din afacerea dvs. demonstrează sprijinul pentru
legislația privind protecția datelor și promovează o cultură pozitivă a respectării protecției
datelor în întreaga companie?
ОDA ОNU ОNU ȘTIU
2. A fost stabilit un cadru formal, cu responsabilități definite pentru implementarea legislației
și urmărirea procesului impus de GDPR?
ОDA ОNU ОNU ȘTIU
3. Afacerea dvs. este înregistrată în prezent ca procesator de date cu caracter personal ? Daca
da, știți ce vă asumați prin asta și puteți demonstra?
ОDA ОNU ОNU ȘTIU
4. Afacerea dvs. are standarde minime pentru crearea de înregistrări de hârtie sau
electronice? Vă protejați în vreun fel registrul de clienți și formularele de înregistrare?

ОDA. Este ținut în seif/cameră cu acces restricționat. ОDA, parțial securizat. ОNU ОNU ȘTIU
5. Afacerea dvs. a efectuat un audit de informații pentru a mapa fluxurile de date? (Ce date
personale dețineți? De unde au provenit? Cu cine le împărțiți? Ce faceți cu ele?)
ОDA, în ultimele 6 luni. ОDA, cu mai mult de un an în urmă. ОNU ОNU ȘTIU
6. Afacerea dvs. a stabilit procese pentru a se asigura că există un scop legitim pentru
utilizarea datelor cu caracter personal înainte de colectarea acestora?
ОDA ОNU ОNU ȘTIU
7. Afacerea dvs. a identificat sistemele de înregistrare manuală și electronică în întreaga
organizație și păstrează în mod activ o evidență centralizată a acestor sisteme?
ОDA ОNU ОNU ȘTIU
8. Afacerea dvs. a analizat nevoia și a desemnat un conducător de protecție a datelor sau un
responsabil pentru protecția datelor (DPO)?
ОDA ОNU ОNU ȘTIU

GDPR îmi schimbă modul de comunicare cu clienții

9. Afacerea dvs. a furnizat notificări de confidențialitate persoanelor fizice pentru care


prelucrați date cu caracter personal? (Clienți, angajați, colaboratori și furnizori, vizitatori ai
site-ului, etc.)
ОDA ОNU ОNU ȘTIU
10. Dacă afacerea dvs. oferă servicii online direct copiilor, comunicați informațiile de
confidențialitate într-un mod în care va înțelege un copil? Dar în cazul persoanelor fără studii
sau cu dizabilități?
ОDA ОNU ОNU ȘTIU P/
16
11. Afacerea dvs. are un proces de a recunoaște și de a răspunde solicitărilor persoanelor
fizice de a accesa datele lor personale?
ОDA ОNU ОNU ȘTIU
12. Afacerea dvs. a examinat modul în care solicitați și înregistrați consimțământul, acolo unde
este necesar?
ОDA ОNU ОNU ȘTIU
13. Afacerea dvs. are un proces pentru a dispune în mod sigur de date cu caracter personal
care nu mai sunt necesare sau în cazul în care o persoană v-a cerut să o ștergeți?
ОDA ОNU ОNU ȘTIU
14. Afacerea dvs. are procese pentru a vă asigura că datele personale pe care le dețineți sunt
exacte și actualizate?
ОDA ОNU ОNU ȘTIU
15. Întreprinderea dvs. are proceduri pentru a răspunde solicitării unei persoane de a
restrânge prelucrarea datelor sale personale?
ОDA ОNU ОNU ȘTIU
16. Afacerea dvs. are procese pentru a permite persoanelor fizice să își mute, să copieze sau
să transfere datele lor personale dintr-un mediu informatic în altul într-un mod sigur și fără a
împiedica utilizarea?
ОDA ОNU ОNU ȘTIU
17. Afacerea dvs. are o politică adecvată de protecție a datelor? Este aceasta comunicată și
disponibilă tuturor categoriilor de persoane fizice pentru care prelucrați date personale?
ОDA ОNU ОNU ȘTIU
18. Afacerea dvs. a implementat măsuri tehnice și organizaționale adecvate pentru integrarea
protecției datelor în activitățile dvs. curente (operaționale) ?
ОDA ОNU ОNU ȘTIU
GDPR modifică felul în care îmi instruiesc colegii.

19. Afacerea dvs. oferă cursuri de informare privind protecția datelor pentru întregul
personal?
ОDA ОNU ОNU ȘTIU
20. Afacerea dvs. a stabilit o pregătire periodică de informare în domeniul protecției datelor
cu caracter personal pentru toți angajații?
ОDA ОNU ОNU ȘTIU
21. Afacerea dvs. se asigură că angajații și contractorii sunt conștienți și îndeplinesc
responsabilitățile legate de securitatea informațiilor?
ОDA ОNU ОNU ȘTIU
GDPR modifică felul în care colaborez cu partenerii și furnizorii mei.

22. Afacerea dvs. asigură un nivel adecvat de protecție a tuturor datelor personale prelucrate
de alții în numele dvs. sau care sunt transferate în afara Spațiului Economic European?
ОDA ОNU ОNU ȘTIU
P/
17
23. Afacerea dvs. a încheiat acorduri scrise cu furnizori de servicii terțe, care includ condiții de
securitate a informațiilor adecvate?
ОDA ОNU ОNU ȘTIU
GDPR mă învață cum să gestionez situații precum pierderea datelor sau
securizarea lor.

24. Afacerea dvs. a stabilit un proces de raportare și recuperare a încălcărilor protecției


datelor?
ОDA ОNU ОNU ȘTIU
25. Afacerea dvs. asigură gestionarea încălcărilor protecției datelor inclusiv comunicarea
evenimentelor și a punctelor slabe de securitate a informațiilor?
ОDA ОNU ОNU ȘTIU
26. Afacerea dvs. gestionează riscurile de informare într-un mod structurat, astfel încât
managementul să înțeleagă impactul de afaceri al riscurilor legate de datele personale și să le
gestioneze în mod eficient?
ОDA ОNU ОNU ȘTIU
27. Afacerea dvs. a stabilit măsuri de depozitare sigure pentru a proteja înregistrările și
echipamentele. Afacerea dvs. previne pierderea, deteriorarea, furtul sau compromisul datelor
cu caracter personal?
ОDA ОNU ОNU ȘTIU
28. Afacerea dvs. restricționează accesul la zonele de stocare a înregistrărilor pentru a preveni
accesul neautorizat, deteriorarea, furtul sau pierderea și verifică respectarea regulilor în mod
regulat?
ОDA ОNU ОNU ȘTIU
29. Afacerea dvs. are mecanisme de urmărire pentru înregistrarea mișcării înregistrărilor
manuale și pentru asigurarea securității lor între spațiile interne și în cazurile în care
înregistrările sunt preluate în afara locației?
ОDA ОNU ОNU ȘTIU
30. Compania dvs. a decis să instaleze camerele CCTV ca fiind cea mai bună soluție pentru o
problemă clar definită. Afacerea dvs. verifică în mod regulat dacă CCTV este în continuare cea
mai bună soluție pentru această problemă?
ОDA ОNU ОNU ȘTIU
31. Afacerea dvs. a identificat și documentat impactul potențial asupra confidențialității
persoanelor și a ținut cont de acest lucru la instalarea și operarea sistemului?
ОDA ОNU ОNU ȘTIU

32. Afacerea dvs. are o politică și / sau o procedură privind utilizarea CCTV?
ОDA ОNU ОNU ȘTIU
33. Afacerea dvs. a nominalizat o persoană care este responsabilă de funcționarea sistemului
CCTV?
ОDA ОNU ОNU ȘTIU
P/
18
34. Afacerea dvs. afișează în mod clar semne care arată că CCTV este în funcțiune? În cazul în
care nu este evident cine este responsabil pentru sistem, detaliile de contact sunt afișate pe
semn (e)?
ОDA ОNU ОNU ȘTIU
35. Afacerea dvs. a stabilit un proces de atribuire a conturilor de utilizator unor persoane
autorizate și de gestionare eficientă a conturilor de utilizatori pentru a asigura accesul minim
la informații?
ОDA ОNU ОNU ȘTIU
36. Afacerea dvs. a stabilit proceduri adecvate de securitate a parolei și "reguli" pentru
sistemele informatice și dispune de un proces care să detecteze orice acces neautorizat sau
utilizare anormală?
ОDA ОNU ОNU ȘTIU
37. Afacerea dvs. împiedică dezvăluirea, modificarea, eliminarea sau distrugerea neautorizată
a datelor personale stocate pe suporturi media?
ОDA ОNU ОNU ȘTIU
38. Afacerea dvs. asigură securitatea muncii mobile și utilizarea dispozitivelor personale de
calcul si comunicații (dacă acest lucru este permis)?
ОDA ОNU ОNU ȘTIU
39. Afacerea dvs. a stabilit un proces pentru a vă asigura că software-ul este actualizat și se
aplică cele mai recente patch-uri de securitate?
ОDA ОNU ОNU ȘTIU
40. Cum asigură afacerea dvs. protecția împotriva pierderii datelor cu caracter personal?
ОDA ОNU ОNU ȘTIU
41. Afacerea dvs. a stabilit un proces pentru a sprijini în mod curent informațiile electronice
pentru a ajuta la restabilirea informațiilor în caz de pierdere?
ОDA ОNU ОNU ȘTIU
42. Afacerea dvs. a stabilit o protecție eficientă anti-malware pentru a proteja computerele
împotriva infecțiilor malware?
ОDA ОNU ОNU ȘTIU
43. Afacerea dvs. se identifică atunci când trimite mesaje electronice de marketing și asigură
permisiunea inițială și continuă a destinatarilor în conformitate cu legislația în vigoare?
ОDA ОNU ОNU ȘTIU
44. Afacerea dvs. trimite numai e-mailuri de marketing unor persoane fizice care nu au
obiectat să primească e-mailuri?
ОDA ОNU ОNU ȘTIU

P/
19
Comisia Europeana

Protecția datelor - Norme mai bune pentru întreprinderile mici


http://ec.europa.eu/justice/smedataprotect/index_ro.htm

Intrebari frecvente
https://ec.europa.eu/info/law/law-topic/data-protection/reform_ro

Autoritatea Națională de Supraveghere


a Prelucrării Datelor cu Caracter Personal

Regulament GDPR
http://www.dataprotection.ro/?page=Regulamentul_nr_679_2016

Elemente de noutate - pliant


http://www.dataprotection.ro/servlet/ViewDocument?id=1327

Elemente de noutate - brosura


http://www.dataprotection.ro/servlet/ViewDocument?id=1346

Ghid orientativ de aplicare a Regulamentului General


privind Protecţia Datelor destinat operatorilor
http://www.dataprotection.ro/servlet/ViewDocument?id=1425

Cloudmania

GDPR Explicitat (15 articole )


https://cloudmania2013.com/?s=GDPR+explicitat

P/
20
Susținut de

ROMANIAN
BUSINESS
LEADERS

Material realizat cu sprijinul lui


Daniel Suciu -expert GDPR

și al echipelor