Cum ne pregătim pentru GDPR în 10 pași

R egulamentul General privind protecția Datelor Personale (sau GDPR) va produce efecte
începând cu data de 25 mai 2018. Acesta este prima încercare de a proteja datele personale în
noua eră cibernetică. În urmă cu 20 de ani, o familie normală avea un singur computer, care era
folosit de toți membrii. Studiile actuale arată că astăzi, în aceeași familie, există peste 6
dispozitive conectate la o rețea de Internet. Infracționalitatea informatică este de asemenea la un
nivel fără precedent. Acest aspect ne afectează indiferent că suntem utilizatori fizici, companii
sau instituții de stat. Cum ne protejăm?

1. Fiți informați!
Cea mai bună metodă de a ști ce înseamnă GDPR și mai ales cum vă afectează este să citiți
textul Regulamentului.

2. Asigurați-vă că personalul existent în funcțiile de conducere

conștientizează importanța GDPR.
Pentru a garanta o implementare adecvată, asigurați-vă că personalul cu funcție de conducere
din compania dumneavoastră conștientizează importanța GDPR și impactul acesteia la nivel de
organizație. Ei trebuie să fie suficient de bine pregătiți pentru a lua cele mai bune decizii. Cu cât
compania este mai complexă din punct de vedere al departamentelor cu atât mai mult este
nevoie implicarea lor. Toate echipele trebuie să fie implicate în acest proces de conformare în
special cele cu profil informatic și juridic. Timpul este limitat, iar conformarea poate dura mai mult
decât este estimat. În cele multe cazuri un specialist vă poate economisi timp și bani. Un
specialist GDPRcomplet ideal este o echipă formată din membri cu pregătire cât mai diversă,
pentru a face față tuturor provocărilor.

3. Inventarierea datelor și a documentelor

Evaluarea impactului și crearea unui registru este prima acțiune care trebuie să o faceți.
Identificați prima dată problemele și vulnerabilitățile pentru a găsi cea mai bună rezolvare. Pentru
asta este nevoie să știți:

 ce date cu caracter personal dețineți și unde sunt ele localizate

 de unde provin aceste datele cu caracter personal și cine are acces la ele
 care sunt vulnerabilitățile sistemului de date și cum pot fi ele protejate
 cât timp sunt păstrate datele și când pot fi șterse
 de unde pot fi accesate aceste date
 la ce sunt folosite
 suportul pe care sunt stocate datele
 sunt sau nu criptate
 baza legală pentru a deține astfel de date

Nu este nevoie să urmați un tipar anume în alcătuirea acestui inventar. Important este să țineți
cont de prevederile articolului 30 din Regulament. Această procedură are scopul de a vă ajuta
în conformarea cu GDPR și de vă oferi o imagine de ansamblu asupra datelor cu caracter
personal care le dețineți.

Inventarierea se aplică pentru toate datele indiferent de natura lor. Aici vorbim despre angajați,
voluntari, utilizatori de servicii, clienți, sponsori etc.
 4. Politica de confidențialitate
Persoanele vizate trebuie să știe clar cum și la ce intenționați să le folosiți datele. Cea mai bună
și ușoară metodă de a face acest lucru sunt ”notele de confidențialitate”. Chiar dacă aveți deja
aceste notificări, ele vor trebui modificate și îmbănătățite pentru a informa utilizatorii cu privire la
timpul de stocare a datelor și baza legală pentru aceste operațiuni.

Este foarte important să obțineți acordul pentru fiecare colectare sau procesare în parte, astfel
veți putea dovedi clar că sunteți îndreptățit să folosiți informațiile personale în scopul precizat.

Nu colectați mai multe date decât este necesar. De multe ori, datele furnizate de persoanele
fizice sunt folosite cu scop diferit față de cel propus si uneori, nu sunt folosite deloc. O astfel de
procedură stufoasă, poate să atragă după sine răspundere contravențională. Ca să nu ajungeți la
amenzi, GDPR recomandă să folosiți anonimizarea și criptarea datelor pentru procesul de
prelucrare a acestora sau atunci când ele sunt distribuite către terți.

5. Drepturile persoanelor vizate

GDPR se concentrează pe persoana fizică și îi conferă acesteia mai multe drepturi. Acestea sunt
curpinse în Regulament de la articolul 12 până la articolul 21. Asigură-te că le respecți pe toate.

Persoana privată are dreptul de a avea acces la datele sale și la informații cu privire la felul și
scopul în care îi sunt folosite datele.

Pentru a se asigura că datele sale sunt corecte și complete, persoana fizică are dreptul la
rectificare. În cazul unei sesizări, operatorul de date are obligația de a actualiza datele persoanei
vizate, astfel încât acestea să reflecte realitatea și să nu cauzeze nici un prejudiciu.

Persoanele vizate au dreptul de a solicita ștergerea datelor cu caracter personal, ori de câte
ori acestea consideră că le sunt folosite în scopuri nelegitime sau dacă și-au atins scopul pentru
care au fost colectate. Operatorul de date are obligația de a se conforma întocmai și imediat.

În cazul în care există suspiciuni că datele cu caracter personal ale unei persoane sunt folosite în
alte scopuri decât cele declarate sau că acestea sunt incorecte, el are dreptul de a restricționa
procesarea lor.

Articolul 20 din GDPR vorbește despre dreptul la portabilitatea datelor. În acest sens,
operatorul de date trebuie să pună la dispoziția persoanei toate datele pe care le deține despre
ea. Ele trebuie să fie într-un format corect și universal compatibil din punct de vedere tehnic.
Aceasta asigură transmiterii datelor către un alt operator de date, fără a ridica obligații financiare
din partea persoanei vizate.

În cazul în care datele personale ale unei persoane sunt folosite in scopuri comerciale sau în
acțiuni de profilare, individul are dreptul de a obiecta și a se opune în orice moment.

6. Identificați baza legală conform căreia procesați datele cu

caracter personal
Pentru a avea dreptul de a opera date cu caracter personal, este nevoie de o bază legală solidă
și conformă. Având în vedere că există mai multe forme legale care permit procesarea datelor
personale, trebuie identificată cea mai potrivită în funcție de scop și intenție. Identificarea trebuie
făcută înainte de a se începe colectarea datelor și este necesar să fie cea corectă, asta deoarece
nu poate fi schimbată pe parcursul procesării.
Regulamentul pune un accent mare pe consimțământul persoanei. În cazul în care obținerea
acestuia este dificilă sau imposibilă, este necesar să se identifice o bază legală pentru a continua
procesarea datelor. Consimtământul exprimat trebuie să fie clar, concis și explicit. De asemenea,
trebuie să fie separat de secțiunea ”Termeni și condiții” și trebuie să îi ofere celui vizat
posibilitatea de a și-l retrage oricând.

Interesul legitim este cel mai la îndemână și flexibil mod de a opera date cu caracter personal,
dar asta nu înseamnă că este întotdeauna cel mai corect. Pentru a fi curpins de cadrul legal,
procesul de colectare și prelucare a datelor trebuie să fie imperativ necesar. Dacă se pot obține
aceleași rezultate prin metode mai puțin intruzive, prima data trebuie exploatate acelea.
Înțelegem astfel că protejarea individului primează.

Când vine vorba de categorii de date sensibile, trebuie întâi identificată baza legală, conform
articolului 6 din Regulament și apoi o condiție pentru prelucarea lor.

Categoriile de date sensibile sunt acele date care, prin caracterul lor, pot aduce atingere
integritații sau libertății personale, cum ar fi: rasă, origine etnică, culoare politică, religie, viață
sexuală, orientare sexuală, genetică etc. Toate condițiile de care trebuie să țineți cont când lucrați
cu date sensibile se găsesc în articolul 9 din GDPR.

7. Fiți pregătiți să identificați, investigați și raportați breșele de

securitate
O scurgere de informații poate duce la distrugerea, pierderea, alterarea sau accesarea de către
persoane neautorizate a datelor cu caracter personal. Conform noului Regulament, sunteți
obligați să raportați în decursul a 72 de ore o breșă de securitate. În caz de neconformare
amenzile prevăzute de GDPR au crescut considerabil. Acestea sunt aplicate în cazul în care,
datorită unei scurgeri de informații, persoanei vizate i s-a cauzat un prejudiciu de ordin moral sau
material. Operatorul de date poate fi amendat cu pana la 4% din cifra de afaceri sau 20 de
milioane de euro. Pentru a vă asigura că nu vă aflați în această situație trebuie să securizați toate
datele din sistemul electronic. GDPRcomplet vă pune la dispoziție o unealtă soft dezvoltată cu
acest scop. Pentru a putea identifica cu ușurință persoana care a dus la producerea breșei de
securitate, este necesară o monitorizare a tuturor operațiunilor din cadrul sistemelor de
prelucrare automată, precum colectarea, modificarea, consultarea, divulgarea, inclusiv
transferurile, combinarea sau ștergerea. Identificarea persoanei care a consultat sau divulgat
date cu caracter personal ar trebui să fie înregistrată și, plecând de la identificarea respectivă, ar
putea fi posibil să se stabilească justificarea operațiunilor de prelucrare. Înregistrările ar trebui să
fie utilizate numai pentru verificarea legalității prelucrării, monitorizarea proprie, asigurarea
integrității și securității datelor și pentru proceduri penale.

Monitorizarea proprie include, de asemenea, proceduri disciplinare interne ale autorităților

competente.

8. Ofițerul pentru protecția datelor

Responsabilul cu protecția datelor sau DPO (așa cum este numit în Regulamentul (UE)
2016/679), devine un ”actor-cheie” în noul sistem de protecție a datelor. Toate instituțiile publice
precum și majoritatea companiilor private vor avea obligativitatea de a numi un DPO începand
cu data de 25 mai 2018.

Principala responsabilitate este de cooperare cu autoritatea națională de supraveghere și de

asumare a rolului de punct de contact cu aceasta. Urmărind aceste aspecte, cu toate că
Regulamentul nu prevede cerințe specifice, putem spune că este nevoie de o pregătire
profesionala specializată care să lase cât mai puțin loc erorilor.
Înainte de a lua o hotărâre cu privire la DPO este necesar să fiți atenți la specificațiile acestui
post. În primul rând responsabilul cu protecția datelor trebuie să fie independent. Acesta nu poate
fi sancționat, nici concediat pentru îndeplinirea atribuțiilor sale. Este necesar să aibă acces la
toate operațiunile de prelucrare a datelor până la cel mai înalt nivel al conducerii.

În plan intern, acesta are sarcina de a monitoriza modul în care sunt gestionate datele cu
caracter personal, atât prin îndrumare și consiliere cât și prin control.

Cine poate fi DPO?

 membru al personalului operatorului

 reprezentant comun al unui grup de operatori
 conducătorul unui departament specializat
 angajat extern, să îndeplinească sarcini, pe baza unui contract de servicii

Dacă vorbim de un funcționar public, sarcinile care îi revin sunt reglementate printr-un raport de
serviciu pe baza Legii 188/1999 + atribuțiile din GDPR. Această funcție implică exercitarea
prerogativelor de putere publică, de exemplu: punerea în executare a actelor normative;
consilierea, controlul și auditul public intern; reprezentarea intereselor autorității sau instituției
publice în raporturile acesteia cu persoane fizice sau juridice.

În cazul personalul contractual, atribuțiile sunt reglementate de Codul Muncii împreună cu

Regulamentul de Organizare și Funcționare și Fișa Postului. În data de 21 noiembrie 2017,
Ordinul comun 1786/5384/2017 al MMJS și INS completează Clasificarea ocupațiilor din
România cu responsabil cu protecția datelor cu caracter personal.

Ultima posibilitate sugerată în cadrul Conferinței și care o regăsim în articolul 37 aliniatul (6) din
GDPR este cea de ”Contract de servicii” sinalagmatic (obligații reciproce și interdependente).

Ofițerul responsabil pentru protecția datelor cu caracter personal sau DPO-ul, poate fi un angajat
din cadrul organigramei sau poate fi contractat extern. Este necesară angajarea unuia în
următoarele cazuri:

 operatorul de date cu caracter personal este o Instituție publică

 principala activitate a companiei este prelucrarea datelor cu caracter personal
 principala activitate a companiei este prelucrarea datelor sensibile
 operatorul de date procesează date provenite de la mai mult de 5000 de persoane

Dacă DPO-ul este un angajat intern, este necesar:

 să îi puneți la dispoziție resursele necesare pentru îndeplinirea atribuțiilor care îi revin

 garantarea accesului la datele cu caracter personal și la procesul de prelucrare a
acestora
 ca datele sale de contact să fie publice și să anunțați Autoritatea Națională

9. Înștiințarea angajaților
Înformați și înstruiți angajații privind colectarea și prelucrarea datelor cu caracter personal,
conform GDPR. Toți cei care au acces la date personale trebuie să fie conștienți de riscurile care
pot apărea și trebuie să fie pregătiți să preîntâmpine abuzurile.

10. Implementează protecția datelor în proiectele noi – Privacy

by design
Privacy by design înseamnă dezvoltarea de proiecte noi având ca punct de focus protecția
datelor cu caracter personal. Fie că ne referim la proiecte informatice, legi, regulamente sau
politici noi, trebuie să avem în vedere protejarea intereselor persoanei vizate.

Urmând acest concept, puteți identifica încă de la început punctele slabe și posibilele probleme,
ușurându-vă astfel considerabil munca.