1.

ASIGURAREA CONFORMITĂȚII MODURILOR DE PRELUCRARE A

DATELOR PERSONALE CU CERINȚELE IMPUSE PRIN GDPR
Descriere:

1. Identificarea necesităților privind prelucrarea datelor cu caracter personal în funcție

de activitățile desfășurate.
2. Asigurarea legalității prelucrării datelor cu caracter personal, prin:

o Elaborarea documentației privind cerințele de legalitate și securitate impuse prin

GDPR pentru prelucrarea datelor cu caracter personal, conform specificului de
activitate;
o Managementul riscurilor specifice prelucrării datelor cu caracter personal prin
elaborarea raportului de analiză a riscurilor și a măsurilor de reducere a impactului
sau de eliminare a acestora;
o Elaborarea documentației privind adaptarea procedurilor de lucru și a modului de
utilizare a sistemelor informatice în conformitate cu prevederile GDPR privind
exercitarea drepturilor persoanelor vizate prin prelucrare, respectarea principiilor
prelucrării, asigurarea legalității prelucrării și a securității datelor prelucrate
electronic;
o Elaborarea planului de protecție a datelor personale și de menținere a accesului la
acestea în situații de urgență;
o Coordonarea și consilierea activităților prin care sunt implementate măsurile tehnice
și procedurale destinate protecției datelor personale prelucrate;
o Elaborarea planurilor de evaluare periodică a eficacității măsurilor tehnice și
procedurale destinate protecției datelor personale prelucrate;
o Instruirea utilizatorilor privind exploatarea sistemelor de calcul în conformitate cu
măsurile tehnice și procedurale implementate pentru protecția datelor personale;
o Consultanță oferită gratuit în perioada derulării contractului de servicii atât
componentei manageriale și utilizatorilor, cât și departamentului IT;

3. Elaborarea raportului final privind nivelul de conformitate a prelucrării datelor cu

caracter personal, care va conține ca anexe, documentele elaborate până în această
etapă:

o raportul privind analiza de risc (va include și descrierea modului de eliminare sau
diminuare a riscurilor privind prelucrarea datelor cu caracter personal fără o bază
legală adecvată),
o cerințele de securitate specifice prelucrării datelor cu caracter personal,
o procedurile operaționale privind prelucrarea în condițiile de legalitate şi securitate
prevăzute de GDPR a datelor cu caracter personal,
o planurile de menținere a securității datelor și a accesului la acestea în situații de
urgență,
o documentele prin care se atestă instruirea utilizatorilor privind protecția datelor cu
caracter personal.

Precizări:
Serviciul nu include:

 Modificările software sau hardware necesare compatibilizării sistemelor

informatice prin intermediul cărora sunt prelucrate date și informații cu caracter
personal cu cerințele tehnice rezultate din prevederile GDPR;
 Managementul periodic al riscului, așa cum este prevăzut prin art. 32 și art. 35
din GDPR.
 2. MONITORIZAREA PRELUCRĂRII DATELOR CU CARACTER
PERSONAL
Descriere:

Descriere: Serviciul este destinat entităților care, fără a avea obligația de a numi un
responsabil cu protecția datelor personale, au însă obligația de a monitoriza periodic
accesul la datele personale stocate şi prelucrate precum şi conformitatea prelucrării
datelor cu caracter personal cu prevederile GDPR și a legislației interne.
Pentru a se putea crea premisele identificării unor posibile erori tehnice sau
procedurale în modurile de prelucrare a datelor personale şi care se pot manifesta cu
frecvenţă redusă, serviciul este asigurat minim trei luni și include desfășurarea
următoarelor activități:

Lunar:

1. Analiza fișierelor de auditare a accesului la informaţiile personale prelucrate în

format electronic și a registrelor de evidență a accesului la datele și informațiile
cu caracter personal prelucrate în format fizic;
2. Analiza viabilității soluțiilor tehnice și procedurale de protecție a datelor personale
precum şi a modului de respectare a procedurilor de lucru implementate pentru
asigurarea conformării la prevederile GDPR;
3. Analiza modului de protecţie a datelor şi a accesului la acestea, în situaţii de
urgenţă;

Suplimentar, ori de câte ori va fi necesar, se vor mai asigura:

 Instruirea utilizatorilor privind procedurile de prelucrare a datelor cu

caracter personal, în funcție de dinamica de personal sau de
modificările configurației tehnicii de calcul;
 Informarea componentei manageriale cu privire la modificările
legislative intervenite în domeniul protecției datelor cu caracter personal
precum și cu privire la elementele de neconformitate identificate,
prezentându-se totodată soluțiile tehnice și procedurale necesare
pentru corectarea acestora.
 Consultanță şi consiliere în domeniul protecţie datelor personale, oferită
pe toată perioada de derulare a contractului atât componentei
manageriale cât și departamentelor tehnice (IT).

Precizări:

Furnizarea serviciului presupune preexistența condițiilor tehnice și procedurale

privind compatibilizarea activităților de prelucrare a datelor personale cu condițiile
impuse prin GDPR. Orice neconformități sunt aduse la cunoștința managementului
împreună cu soluțiile de corectare a acestora.
Serviciul nu include corectarea/elaborarea documentației prin care sunt descrise
măsurile procedurale implementate și nici implementarea soluțiilor prin care se asigură
conformitatea modurilor de prelucrarea a datelor personale cu cerințele impuse prin
GDPR.
 3. EXTERNALIZAREA FUNCȚIEI "RESPONSABIL CU PROTECȚIA
DATELOR"
Descriere:

Serviciul se furnizează numai pe bază de contract, încheiat pentru o perioadă de minim

12 luni. Prin intermediul acestui serviciu, beneficiați de:

1. Furnizarea serviciului de asigurare a conformității modurilor de prelucrarea a

datelor personale cu cerințele impuse prin GDPR;
2. Furnizarea serviciului de management continuu al riscurilor și evaluarea
impactului asupra protecției datelor precum şi monitorizarea funcționării
mijloacelor şi metodelor de protecţie, în conformitate cu art. 35 din GDPR;
3. Consultanță și consiliere a componentei manageriale precum și instruirea
angajaților care se ocupă de prelucrare, cu privire la obligațiile care le revin în
temeiul GDPR dar și al altor dispoziții de drept al UE sau drept intern, referitoare
la protecția datelor;
4. Monitorizarea respectării GDPR, precum și a altor dispoziţii cu caracter
obligatoriu adoptate la nivelul UE sau dreptului intern, prin care se
reglementează protecția datelor personale şi a politicilor de protecţie aferente
acestora;
5. Derularea acțiunilor necesare pentru sensibilizarea și formarea personalului
implicat în operațiunile de prelucrare a datelor cu caracter personal;
6. Cooperarea cu autoritatea de supraveghere;
7. Asumarea rolului de punct de contact pentru autoritatea de supraveghere privind
aspectele legate de prelucrare, inclusiv pentru consultarea prealabilă menționată
la art. 36 din GDPR;
8. Coordonarea modului de relaționare cu persoanele vizate de prelucrarea datelor,
în conformitate cu drepturile acestora prevăzute prin GDPR;

4. INSTRUIRE, FORMARE ȘI DEZVOLTARE ABILITĂȚI PROFESIONALE

Descriere:

Pentru respectarea unor standarde didactice menite să garanteze atingerea obiectivelor

urmărite, această activitate va fi derulată în următoarele etape:

1. Stabilirea obiectivelor instruirii în conformitate cu cerințele formulate și

necesitățile identificate – o oră;
2. Evaluarea nivelului inițial de cunoștințe al personalului vizat – 0,5 ore;
3. Elaborarea temelor și a bugetului de timp necesar în colaborare cu componenta
managerială, în funcție de cerințe și necesități.
4. Instruirea personalului – conform bugetului de timp stabilit în acord cu
componenta managerială
5. Testarea abilităților dobândite de personalul instruit – 0,5 ore.
6. Prezentarea raportului privind nivelul de atingere al obiectivelor urmărite.

Exemple de teme de instruire:

 Utilizarea optimă a sistemelor de calcul;

 Utilizarea aplicațiilor Microsoft Office Word, Excell, PowerPoint, Visio, Outlook;
 Utilizarea aplicației IBM i2 Analyst's Notebook pentru analiza datelor;
  Utilizarea setărilor de securitate Windows în vederea protecției sistemelor de calcul împotriva
accesului neautorizat la date și resurse;
 Protecția datelor cu caracter personal: principii, măsuri tehnice și procedurale, monitorizarea
accesului la date personale, incidente de securitate privind datele personale, etc.;
 Protecția datelor confidențiale;

Precizări:
Indiferent de numărul de ore efective ale instruirii, la acestea se mai adaugă costul a
două ore, necesare pentru minim două deplasări la sediul solicitantului, identificarea
nivelului inițial al cunoștințelor, elaborarea materialelor didactice adaptate la nivelul
inițial de cunoștințe și la obiectivele urmărite, elaborarea și administrarea testelor privind
abilitățile dobândite, întocmirea raportului privind gradul de îndeplinire a obiectivelor
urmărite prin instruire.

5. EXTERNALIZAREA SERVICIILOR IT&C

Descriere:

Pachet de bază:

 Management staţii de lucru:

o instalare, reinstalare, configurare, actualizare sistem de operare;
o administrare conturi utilizatori;
o actualizare și configurare drivere sistem și echipamente periferice;
o configurare și actualizare software antivirus și protecție firewall;
o configurare și mentenanță software utilizatori;
 Management servere:
o configurare, instalare, reinstalare, actualizare sistem de operare și partajare resurse
și servicii;
o gestionarea credențialelor de acces la resurse;
o activarea și configurarea sistemelor de jurnalizare a accesului la server, în
conformitate cu politicile de securitate (dacă există);
o back-up al datelor stocate pe serverele de fișiere;
 Diagnosticarea defecţiunilor hardware ale echipamentelor IT&C;
 Management domenii si site-uri web (doar în măsura în care pot fi puse la
dispoziţie codurile sursă, aplicaţiile utilizate pentru construcţia site-urilor
şi credenţialele necesare pentru accesarea şi modificarea acestora).

Pachet extins, include pachetul de bază, la care se adaugă:

 Elaborarea sau actualizarea documentației care descrie în amănunțime sistemul

IT&C: schema funcțională, configurația rețelei, inventarul resurselor, lista
utilizatorilor, fluxurile de date;
 Analiza trimestrială (sau la cerere) a necesităţilor de echipamente şi
componente, în vederea menţinerii sistemelor IT&C la un nivel optim;
 Proiectarea şi implementarea configuraţiilor optime ale sistemelor de calcul;
 Management echipamente de comunicaţii:
o instalare, configurare, cablare switch-uri, routere, firewall-uri;
o actualizare firmware, politici de securitate, configurații de acces;
o activare și administrare (analiză și back-up lunar) fișiere de jurnalizare;
o configurare rețele private distincte (în situațiile prevăzute de politicile de securitate și
în condițiile în care echipamentele au această facilitate).
  Management echipamente periferice:
o optimizarea driverelor și a aplicațiilor prin care sunt exploatate acestea;
o optimizarea accesului utilizatorilor la echipamentele periferice;
o optimizarea consumurilor de materiale și resurse (hârtie, toner, cerneală, energie
electrică) prin setări software și instruirea utilizatorilor;
 Management de securitate:
o elaborarea, implementarea sau optimizarea politicilor de securitate,
o optimizarea şi adaptarea fluxurilor informaţionale conform necesităţilor impuse
de activităţile desfăşurate în corelare cu politicile de securitate;
o organizarea accesului la resurse în funcţie de necesităţi,
o implementarea/activarea şi analiza lunară a instrumentelor software de monitorizare
a accesului la resurse,
o organizarea şi efectuarea copiilor de siguranţă a datelor,
o elaborarea şi implementarea unui plan de asigurare a funcţionării serviciilor IT în
situaţii de urgenţă (dacă specificul activităţilor impune acest lucru sau dacă se
solicită).
 Suport tehnic acordat utilizatorilor (inclusiv telefonic);
 Instruire și suport tehnic acordat utilizatorilor, ori de câte ori este necesar
(implementarea unor aplicaţii noi, încadrare personal, modificarea configuraţiei
sistemelor IT&C, etc.);

Precizări:
Prin "staţii de lucru" se au în vedere toate echipamentele de tehnică de calcul (PC
desktop, laptop, tabletă, telefon mobil) care sunt utilizate pentru accesarea resurselor
software utilizate în activitatea curentă (email, acces la documente, procesoare de
texte, calcul tabelar, baze de date, etc.).
Prin echipamente periferice se au în vedere echipamente conectate la PC prin
porturile acestora sau indirect, prin rețeaua de calculatoare și care sunt utilizate pentru
materializarea fizică, digitalizarea sau transmisia informației prelucrate (scanner-e,
imprimante, aparate fax, multifuncționale).
Instalările aplicațiilor software sau ale sistemelor de operare se fac exclusiv cu kit-
urile de instalare și licențele deținute de solicitant.
Serviciile de bază au în vedere preluarea în mentenanţă a sistemelor IT&C ale
companiei dvs. şi menţinerea lor la parametrii funcţionali optimi, inclusiv din punct de
vedere al modului de exploatare ale acestora de către utilizatori. Serviciile de bază nu
includ optimizarea fluxurilor informaţionale, optimizarea configuraţiei reţelelor locale sau
modificarea ori implementarea unor politici de securitate suplimentare celor
existente. Recomandăm aceste servicii entităţilor cu activităţi strict specializate într-un
domeniu de activitate, cu o dinamică redusă a personalului care are acces la sistemele
de calcul.
Serviciile extinse reprezintă un set complet de servicii IT care ar trebui asigurate
printr-un departament propriu de IT. În funcţie de necesităţi, acestea pot fi modificate şi
adaptate conform solicitărilor. Modificările acestora pot determina regenocierea
tarifelor prezentate mai jos.
Serviciul este oferit pe bază de contract, tarifele reprezentând costul lunar al
acestora.
Serviciul nu este oferit simultan cu servicii prin care se asigură protecţia şi
securitatea datelor prelucrate electronic, datorită incompatibilităţii dintre funcţia de
administrator IT şi funcţia de administrator de securitate a datelor prelucrate electronic.
 6. SERVICII DE CONSULTANȚĂ
Descriere:

 proiectarea, configurarea sau optimizarea configurației sistemelor IT&C;

 oprimizarea costurilor aferente achiziţiei şi exploatării sistemelor IT&C;
 eficientizarea modurilor de utilizare, din perspectiva securității datelor și a
fluxurilor informaționale solicitate de componenta managerială sau specifice
activităților desfășurate;
 soluții de protecție a datelor și menținere a accesului la date și informații în
situații de urgență;
 managementul proiectelor de implementare a sistemelor informatizate de
prelucrare și procesare a datelor;
 identificarea obligațiilor legale ce decurg din specificul datelor prelucrate corelat
cu activitățile desfășurate;
 instruire sau suport tehnic oferit responsabililor IT sau componentei manageriale,
în domeniul optimizării infrastructurii IT&C precum și a mijloacelor și metodelor
de protecție a datelor și informațiilor prelucrate electronic.

Precizări:
Serviciul nu include consultanță asigurată prin serviciile descrise la pct. 1-4.