Cum incepem?

Alin Popescu

Curs pentru înțelegerea GDPR și identificarea

primilor pași în conformarea la prevederile acestuia
Alin Popescu
Fondator & CEO avocatnet.ro
avocat

alin@avocatnet.ro
Detalii suplimentare: avocatnet.ro, cursuri GDPR /
serviciul Premium
• Curs de 1 zi “GDPR – Cum incepem?”
http://oferte.avocatnet.ro/gdpr
• Curs de 3 zile “Academia DPO” – perfectionare pentru responsabili privind protectia
datelor personale
http://oferte.avocatnet.ro/dpocurs
• Curs inhouse “Implementare GDPR”
http://oferte.avocatnet.ro/gdpr
• Newsletter saptamanal “Brief GDPR” – noutati, analize, comentarii, inclusiv o rubrica
saptamanala redactata de Alin Popescu.
http://oferte.avocatnet.ro/briefgdpr
• În parteneriat cu ACCA, avocatnet.ro îți oferă un abonament de 3 luni, gratuit, la
serviciul avocatnet.ro premium.
• http://oferte.avocatnet.ro/premiumacca
Ce este GDPR?
GDPR este un Regulament
Regulamentul (UE) 2016/679 al
Parlamentului European si al Consiliului

din 27 aprilie 2016

privind protecția persoanelor fizice în ceea ce privește prelucrarea

datelor cu caracter personal și privind libera circulație a acestor date și
de abrogare a Directivei 95/46/CE (Regulamentul general privind
protecția datelor)
Drumul GDPR

27 Intrare in
vigoare 25 mai
aprilie (perioada de Aplicare
2018
2016 gratie)
Punerea in aplicare a GDPR in Romania
Proiectul de Lege pentru modificarea și completarea nr. Legii nr.
102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii
Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal,
precum și pentru abrogarea Legii nr. 677/2001 pentru protecţia
persoanelor cu privire la prelucrarea datelor cu caracter personal şi
libera circulaţie a acestor date
http://www.mai.gov.ro/index05_1.html

Proiect de Lege privind masuri de punere in aplicare a Regulamentului

2016/679
https://www.senat.ro/legis/PDF/2018/18b094FG.pdf
Concepte importante in GDPR
Punerea in aplicare a GDPR in Romania

Imputernicit Operator

Date cu caracter
personal

Prelucrare Autoritate de supraveghere

Ce sunt “datele cu caracter personal”?

Orice informații privind o persoană fizică identificată sau

identificabilă („persoana vizată”).
• O persoană fizică identificabilă este o persoană care poate fi identificată, direct
sau indirect, în special prin referire la un element de identificare, cum ar fi:
• un nume,
• un număr de identificare,
• date de localizare,
• un identificator online, sau la
• unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice,
genetice, psihice, economice, culturale sau sociale.
Ce sunt “operatorul” și “împuternicitul”?
„Operator” este entitatea care, singură sau
împreună cu altele, stabilește scopurile și
mijloacele de prelucrare a datelor cu caracter
personal.
• Nu poate exista o operatiune de prelucrare fara un operator. Operatorul
este creierul operatiunii de prelucrare, factorul care decide ca ea sa aiba loc.

“Împuternicitul” este entitatea care prelucrează

datele cu caracter personal în numele
operatorului.

• Imputernicitul este instrumentul folosit de operator pentru prelucrare.

Ce este “prelucrarea” datelor personale?
Orice operațiune sau set de operațiuni efectuate
asupra datelor cu caracter personal sau asupra
seturilor de date cu caracter personal, cu sau fără colectarea
utilizarea de mijloace automatizate, cum ar fi:
înregistrarea

• colectarea,
• înregistrarea,
• organizarea,
stergerea
• structurarea,
• stocarea,
• adaptarea sau modificarea,
• extragerea, consultarea,
• utilizarea, divulgarea prin transmitere,
• diseminarea sau punerea la dispoziție în orice alt
mod,
• alinierea sau combinarea,
•
•
restricționarea,
ștergerea sau distrugerea
prelucrare de date personale
Cine este “autoritatea de supraveghere”?

Autoritatea Naţională de
Supraveghere a Prelucrării
Datelor cu Caracter Personal
www.dataprotection.ro
Pasi anteriori inceperii unei
operatiuni de prelucrare de date
cu caracter personal
Proiect activitate prelucrare. Ce analizam?
1. Care este scopul prelucrarii? (ex. Marketing, Plata salarii etc.)
2. Ce date personale vor fi prelucrate? (ex. Email, Nume, IBAN etc.)
3. Care este temeiul legal pentru aceasta prelucrare? (ex. Obligatie
legala, contract, consimtamant etc.)
4. Pentru ce perioada se vor retine datele? (ex. 2 ani, 6 luni de la...)
5. Vor fi datele prelucrate direct sau prin intermediul unor
imputerniciti?
6. Ce masuri de securitate se iau pentru ca prelucrarea sa nu implice
riscuri pentru persoanele vizate? (ex. privacy by design / default)
Temeiul legal al prelucrarii (legal basis)

Interes vital
Interes public / persoana
Obigatie legala Contract Interes Legitim Consimtamant
Sarcina publica vizata / alta
persoana
Informarea persoanelor vizate
Informarea persoanelor vizate

Se face, de regula, inainte de inceperea operatiunii de prelucrare.

Are un continut minimal impus de GDPR.

Trebuie sa fie gratuita, simpla, usor de inteles si in limbaj comun.

Lista actiuni organizatie
1. Analiza si identificarea datelor prelucrate de organizatie, cu analiza
scopului, temeiului si perioadei pentru care sunt prelucrate datele.
2. Politica interna privind prelucrarea datelor personale in organizatie.
3. Politica interna privind retentia datelor prelucrate de organizatie.
4. Politica de informare a angajatilor privind datele care le sunt
prelucrate.
5. Politica de informare a clientilor, vizitatorilor siteului etc.
6. Politica interna privind analiza interesului legitim si realizarea DPIA.
7. Politica interna privind arhitectura organizatiei dpdv date personale.
Drepturile pesoanelor vizate. Ce
sunt, ce importanta au si
cum sa te pregatesti pentru ele?
Filosofia GDPR

GDPR impune Respectarea

organizatiilor o serie de drepturilor
obligatii birocratice persoanelor
vizate
Drepturile persoanelor vizate
Dreptul la
Dreptul de acces Dreptul de stergere
informare

Dreptul la Dreptul la
Dreptul de
restrictionarea portabilitatea
rectificare
prelucrarilor dateor

Dreptul de a nu
face obiectul unor
Dreptul de opozitie
decizii automatizate
cu efect juridic
Proceduri interne, referitoare la
drepturile persoanelor vizate
Lista actiuni organizatie
1. Identificarea datelor prelucrate de organizatie, a temeiurilor pentru care
sunt prelucrate, pentru identificarea aplicarii unuia sau altuia dintre
drepturile persoanelor vizate.
2. Training intern cu privire la GDPR, pentru recunoasterea cererilor, a
procedurii de urmat atunci cand se primesc acestea, precum si a modului
in care se da raspunsul.
3. Politica interna privind metodele de autentificare existente pentru
persoanele vizate ale caror date sunt prelucrate.
4. Politica interna privind raspunsul la cererile persoanelor vizate (sabloane
de raspuns, termen de raspuns etc).
5. Politica tehnica privitoare la dreptul la portabilitatea datelor (cum se
exporta, unde se exporta etc.)
Cum se construieste relatia cu
partenerii de afaceri din
perspectiva GDPR?
Cazuri in care raspunde direct imputernicitul

Nu respecta
Nu respecta obligatiile impuse
instructiunile de GDPR pentru
imputerniciti
Incidentele de securitate
Grila notificare incidente de securitate. Operator
Afli de incident de securitate.

Este susceptibil incidentul să genereze un risc pentru drepturile și libertăţile

persoanelor fizice?

NU DA

Documentezi Notifici autoritatea de supraveghere in cel mai scurt timp,

incidentul, dar nu mai mult de 72 de ore de la aflarea incidentului. Vezi
notificarea nu e continut informare.
necesara Este incidentul unul de risc ridicat?

NU DA
Nu e nevoie de
nicio formalitate Informeazi persoana vizată fără întârzieri nejustificate cu
suplimentara. privire la această încălcare.
Birocratia GDPR
Cand am nevoie de un responsabil
cu protectia datelor cu caracter
personal?
Responsabilul cu protectia datelor e necesar

Prelucrarea este efectuată de o autoritate sau un organism public (cu exceptia

instantelor de judecata).

Activitatea principala presupune operatiuni care necesită o monitorizare periodică și

sistematică a persoanelor vizate pe scară largă.

Activitatea principala presupune prelucrarea pe scară largă a unor categorii speciale de

date sau a unor date cu caracter personal privind condamnări penale și infracțiuni.
Ce este Registrul Operatiunilor de
Prelucrare?
Cine nu trebuie sa tina registrul
Obligaţia nu se aplica entităţilor cu mai puţin de 250 de angajaţi decât daca:
• prelucrarea este susceptibilă să genereze un risc pentru drepturile și
libertăţile persoanelor vizate,
• prelucrarea nu este ocazională, sau
(a se vedea explicatia pentru prelucrare sistematica, in cadrul sectiunii DPO)

• prelucrarea include categorii speciale de date.

Exemple de actiuni care trebuie
intreprinse pentru respectarea
prevederilor GDPR
Lista actiuni organizatie (1)
1. Analiza si identificarea datelor prelucrate de organizatie, cu analiza
scopului, temeiului si perioadei pentru care sunt prelucrate datele.
2. Am nevoie de un DPO? Am nevoie de DPIA pentru diferite prelucrari?
3. Realizare Registrul Operatiunilor de Prelucrare
4. Politica interna privind prelucrarea datelor personale in organizatie.
5. Politica interna privind retentia datelor prelucrate de organizatie.
6. Politica de informare a angajatilor privind datele care le sunt prelucrate.
7. Politica de informare a clientilor, vizitatorilor siteului etc.
8. Politica interna privind analiza interesului legitim si realizarea DPIA.
9. Politica interna privind arhitectura organizatiei dpdv date personale.
Lista actiuni organizatie (2)
10. Identificarea datelor prelucrate de organizatie, a temeiurilor pentru care
sunt prelucrate, pentru identificarea aplicarii unuia sau altuia dintre
drepturile persoanelor vizate.
11. Training intern cu privire la GDPR, pentru recunoasterea cererilor, a
procedurii de urmat atunci cand se primesc acestea, precum si a modului
in care se da raspunsul.
12. Politica interna privind metodele de autentificare existente pentru
persoanele vizate ale caror date sunt prelucrate.
13. Politica interna privind raspunsul la cererile persoanelor vizate (sabloane
de raspuns, termen de raspuns etc).
14. Politica tehnica privitoare la dreptul la portabilitatea datelor (cum se
exporta, unde se exporta etc.)
Lista actiuni organizatie (3)
15. Identificarea rolului pe care il are organizatia in relatia cu alti
contractanti.
16. Redactarea contractelor privind protectia datelor personale dintre
organizatie si contractanti.
17. Realizarea unei proceduri privind analiza furnizorilor dpdv date
personale.
18. Redactarea unei politici interne privind securitatea, identificarea
incidentelor de securitate si a modului in care se raporteaza compania la
acestea.
19. Redactarea unei politici privind notificarea incidentelor de securitate.
Detalii suplimentare: avocatnet.ro, cursuri GDPR /
serviciul Premium
• Curs de 1 zi “GDPR – Cum incepem?”
http://oferte.avocatnet.ro/gdpr
• Curs de 3 zile “Academia DPO” – perfectionare pentru responsabili privind protectia
datelor personale
http://oferte.avocatnet.ro/dpocurs
• Curs inhouse “Implementare GDPR”
http://oferte.avocatnet.ro/gdpr
• Newsletter saptamanal “Brief GDPR” – noutati, analize, comentarii, inclusiv o rubrica
saptamanala redactata de Alin Popescu.
http://oferte.avocatnet.ro/briefgdpr
• În parteneriat cu ACCA, avocatnet.ro îți oferă un abonament de 3 luni, gratuit, la
serviciul avocatnet.ro premium
• http://oferte.avocatnet.ro/premiumacca
Multumesc!
Alin Popescu
alin@avocatnet.ro