Adresa : str. Lainici, nr. 44‐46, etaj 2, ap 5,  Telefon: 0740223382  office@bocasoft.ro 

Bucuresti, Romania.  Fax: 0212243915 www.bocasoft.ro
 

Chestionar de autoevaluare GDPR

Nr
Intrebare Îndrumar Raspunsul dumneavoastra
crt.
A. Structura organizatorică
1 Transferați datele personale în De exemplu, prelucrarea datelor cu caracter personal
străinătate sau într-un grup de ale angajaților legate de plățile salariale de către o
companii care alcătuiesc structura companie străină, partajarea bazelor de date ale
organizatorică? Dacă da, ce date și în clienților cu alte companii care formează structura
ce țări? holdingului.
2 Aveți o persoană responsabilă cu
politica de confidențialitate în cadrul
companiei? Unde este această
persoană în cadrul structurii De exemplu, o persoană autorizată în departamentul HR
organizaționale și care sunt sau un manager de securitate
calificările acesteia pentru a îndeplini
această funcție? Care este misiunea
acestei persoane?
3 Ați creat un set de linii directoare
interne pentru a vă proteja De exemplu, un cod etic intern, care face parte dintr-un
confidențialitatea? Unde sunt set intern de reglementări.
depozitate? Cum sunt puse la
dispoziția angajaților și terților?
4 Cât de des vă ocupați de prelucrarea
datelor cu caracter personal în
compania dvs.? În ce formă sunt
manipulate, cine le implementează și
pentru ce scopuri sunt destinate?
5 Ați implementat procesul de De exemplu, un proces independent de gestionare a
identificare și gestionare a incidentelor de securitate implementat în cadrul unui
incidentelor de securitate a sistem de management al securității informațiilor care

informațiilor? Acest proces acoperă
cazuri de încălcare a datelor cu
caracter personal sau aceste cazuri
sunt soluționate separat? Ce
documentație există pentru situaţia
descrisă mai sus?
B. Date personale și procesare
1 Ce date personale colectați și
procesați pentru angajații dvs.?
2 Ce alte date personale colectați și
procesați? Specificați exact natura
clienților sau a altor entități ale căror
date le colectați și le procesați. Care
este scopul (motivul legal) pentru
prelucrarea acestor date personale?
3 Cine realizează o analiză a riscurilor
de date cu caracter personal?
Adresa : str. Lainici, nr. 44‐46, etaj 2, ap 5,  Telefon: 0740223382  office@bocasoft.ro 
Bucuresti, Romania.  Fax: 0212243915 www.bocasoft.ro
include cazuri de încălcare a confidențialității
formalizate în documentația ISMS.
De exemplu:
Informații generale: numele, vârsta și data nașterii,
sexul, starea civilă, cetățenia, adresa IP, fotografie sau
alte materiale vizuale, date financiare (numere de card
de credit, conturi bancare etc.).
Informații organizatorice: locul de muncă și adresa
de e-mail personale, sau telefon mobil cu caracter
personal, adresele personale, pașaport și carte
de identitate, numărul de securitate socială sau de altă
autentificare și identificare.
Date sensibile: credință, rasă sau origine etnică,
religioase, politice sau filozofice, apartenența sindicală,
orientarea sexuală, starea de sănătate, infracțiuni sau
condamnări definitive, date genetice (analize de sange,
profilul ADN, raze X, rapoarte medicale confidențiale
, etc.) date biometrice (semnătură, amprente digitale,
imagini faciale, sau alte părți ale corpului, înregistrări
vocale, etc.).
De exemplu, colectați date în scopuri de marketing,
trimiteți mesaje comerciale etc. Natura datelor este
similară cu cea anterioară (date generale,
organizaționale și sensibile).
Analiza este cea care vă va permite luarea de măsuri
împotriva riscului de utilizare abuzivă a datelor cu
caracter personal.

4 Cine colectează și procesează datele
personale în companie?
5 Cât timp procesați datele
personale? Cât de des vă actualizați
informațiile personale?
6 Efectuați o prelucrare automată sau
manuală a datelor cu caracter
personal sau ambele?
7 Aveți nevoie de permisiunea
persoanei vizate de a furniza datele
sale personale pentru fiecare
prelucrare? Restricționați prelucrarea
datelor cu caracter personal numai în
scopuri pentru care ați primit
consimțământul persoanei vizate ?
8 Aveți un sistem de cameră video
instalat în compania dvs.? Cât timp
țineți înregistrări ale acestor
sisteme?
9 Procesați datele personale ale
copilului dvs.?
10 Distribuiți comunicări de marketing
sau alte comunicări de
afaceri? Efectuați această activitate
pe cont propriu sau prin terțe
părți? Folosiţi serviciile de call
center? Aveţi un e-magazin?
11 Aveți o imagine de ansamblu asupra
locului în care sunt stocate datele
personale, inclusiv stocarea externă?
12 Aveți o imagine de ansamblu asupra
cui acordaţi și în ce măsură accesul la
datele cu caracter personal, inclusiv
la partenerii externi?
Adresa : str. Lainici, nr. 44‐46, etaj 2, ap 5,  Telefon: 0740223382  office@bocasoft.ro 
Bucuresti, Romania.  Fax: 0212243915 www.bocasoft.ro
Ce unități organizaționale? Câți angajaţi? Transferați
date personale în străinătate sau într-un grup de
companii care formează o structură
organizațională? Dacă da, în ce țări?
Pentru fiecare dată personală prelucrată, specificați
timpul exact în care este procesată.
Care sunt modalitățile cele mai frecvente / principale de
transmitere a datelor care conțin date personale de la
sau către clienți (sau alte terțe părți)?
Informați subiectul despre motivele colectării
și prelucrării ulterioare a datelor, inclusiv furnizarea de
date cu caracter personal către terți?
Utilizați un GPS sau alt instrument în plus față de un
sistem de cameră pentru a monitoriza angajații sau
activele dvs.?
Prelucrarea datelor cu caracter personal ale copiilor
sub vârsta de 13 ani necesită consimțământul
reprezentantului legal .
În multe cazuri, trebuie să obțineți un consimțământ
prealabil pentru comunicările de marketing la care se
abonează voluntar (așa-numitul opt-in). Aveți
aprobările respective în mod corespunzător
înregistrate? Aveți un call center sau folosiți acest
serviciu de la o terță parte?
Specificați toate stocările cunoscute ale informațiilor
dvs. personale, cum ar fi documente, e-mailuri, diverse
baze de date nestructurate,date despre salarizare, etc.
De exemplu, consultanți fiscali, auditori, avocați,
consultanți etc. Aveți o listă cu toți partenerii externi
cărora le sunt furnizate datele cu caracter

13 Ați instituit o procedură internă care
să cuprindă paşii de urmat în cazul
retragerii acordului persoanei vizate
cu prelucrarea datelor sale cu
caracter personal?
14 Sunteți în măsură să
asigurați ștergerea datelor cu caracter
personal pe motiv că nu mai este
necesară păstrarea lor sau pe baza
retragerii consimțământului unei
persoane fizice? Informați operatorii
că trebuie să șteargă datele personale
prelucrate?
C. Securitatea informațiilor
1 Cine este responsabil pentru
gestionarea informațiilor de siguranță
ale organizaţiei Dvs.?
2 Când a fost efectuată ultima analiză a
riscurilor? Aveți stabilit un sistem de
management al securității
informațiilor? Dacă da, prin ce
standarde?
3 Ce politici sau linii directoare de
securitate se aplică organizației dvs.?
Adresa : str. Lainici, nr. 44‐46, etaj 2, ap 5,  Telefon: 0740223382  office@bocasoft.ro 
Bucuresti, Romania.  Fax: 0212243915 www.bocasoft.ro
personal? Aveți semnat contracte de prelucrare a
datelor cu caracter personal?
Vă înregistrați consimțământul? În ce
sistem? Actualizați această bază de date? Cum asigurați
retragerea consimțământului?
Ştergeți și nu mai procesați informațiile personale de
care nu mai aveți nevoie, întrucît, de exemplu, scopul
de procesare a acestora a trecut? De exemplu, ștergerea
înregistrării de protocol securizat pentru seturile de
date care au depășit timpii de reținere stabiliți în scopul
procesării. Are loc o astfel de ștergere la nivel central,
adică datele sunt șterse în toate bazele de date, inclusiv
backup (se aplică atât bazelor electronice, cât și bazelor
de date din hârtie)?
Care este mandatul acestuia, ce responsabilități și
răspunderi are? Sunt proprietarii, sau garanții activelor
primare ale unei organizații implicaţi în gestionarea
securității informațiilor? Cum mai exact? Există o hartă
de proces legată de organizațiile IT sau
proprietari? Există un rol determinat în arhitectura IT și
o descriere a arhitecturii IT în cadrul organizației?
Analiza de risc a inclus toate activele primare ale
organizației? A inclus, de asemenea, activele de
sprijin? Există rezultate din alte proiecte interne care ar
facilita faza analitică (de exemplu, calitatea datelor,
implementarea SAP, arhitectura IT, ISO 27000)?
Pentru cine sunt acestea instituite? Aveți un set de linii
directoare interne pentru a vă proteja datele personale,
e.g. unde sunt stocate, cum sunt puse la dispoziția
angajaților și terților?

4 Cum este controlată securitatea
informațiilor în raport cu furnizorii?
5 Cum asiguraţi cunoașterea de către
personalul dvs. a cerințelor de
protecție a informațiilor?
6 Există rapoarte privind incidentele de
securitate?
7 Are utilizatorul un singur cont de
utilizator în întreaga organizație?
8 Cum obţineţi autentificarea cît mai
sigură a utilizatorilor?
9 Există un audit de securitate regulat
în organizația dvs.?
10 Clasificați datele? Cum sunt incluse
datele personale într-un rating?
11 Cum sunt protejate informațiile
personale ale companiei dvs.
împotriva utilizării incorecte,
pierderii, distrugerii, dezvăluirii sau
accesului neautorizat?
12 Aveți realizat un plan de secutitate la
nivelulul organizației dumneavoastră
Adresa : str. Lainici, nr. 44‐46, etaj 2, ap 5,  Telefon: 0740223382  office@bocasoft.ro 
Bucuresti, Romania.  Fax: 0212243915 www.bocasoft.ro
Sunt partajate contractele pentru confidențialitatea
informațiilor? Angajamentul de a asigura securitatea
informațiilor este o parte comună a relațiilor
contractuale cu furnizorii?
Formarea în domeniul siguranței informaţiilor este o
parte obligatorie a procedurii în curs? Există o
pregătire regulată pentru angajați?
Au fost detectate și investigate eventuale incidente de
securitate în trecut? Acces neautorizat, pierderi de date,
etc? Cum creați un mecanism de evitare a încălcării
datelor interne? Există regulamente interne în acest
scop?
Cum gestionați numele de utilizator duplicat? Cum
gestionați modificările aduse numelor de utilizatori, de
exemplu după schimbarea numelor de familie?
Aplicați calitatea parolei prin mijloace
tehnice? Folosiți, de exemplu, autentificarea multi-
factor sau card de angajat?
Dacă da, cît de des? Audit intern sau extern? Este
domeniul protecției datelor cu caracter personal inclus
într-un audit intern sau extern?
Desemnați în mod sistematic documentele ca fiind
sensibile sau confidențiale? De exemplu, includerea
datelor personale în Clasificarea Sensibilă, cu
determinarea metodelor de manipulare a informațiilor
din acel grad de clasificare.
Folosiți pseudonimizare sau alte tehnici de criptare?
Cuprinde acesta următoarele categorii de activități de
asigurare a securității :
a) managementul accesului la infrastructura IT&C;
b) instruirea personalului care are acces la
infrastructura IT&C;
c) auditarea infrastructurii IT&C;
  
Adresa : str. Lainici, nr. 44‐46, etaj 2, ap 5,  Telefon: 0740223382  office@bocasoft.ro 
Bucuresti, Romania.  Fax: 0212243915 www.bocasoft.ro
 
d) certificarea, acreditatea și evaluarea securității
cibernetice;
e) managementul arhitecturii infrastructurii IT&C;
f) gestionarea situațiilor de urgență apărute în
funcționarea infrastructurii IT&C ;
g) identificare și autentificarea utilizatorilor
infrastructurii IT&C;
f) răspunsul la incidente de securitate IT&C;
g) mentenanța infrastructurii IT&C;
h) protecția la nivel software și hardware a
infrastructurii IT&C;
g) protecția fizică a infrastructurii IT&C ;
i) planificarea activităților de verificare a respectării
politicilor de securitate IT&C;
j) securitatea personalului care utilizează și
administrează infrastructura IT&C;
k) evaluarea riscurilor de securitate IT&C;
l) achiziția de sisteme și servicii de securitate IT&C;
m) protecția sistemelor și comunicațiilor din
infrastructura IT&C;
n) integritatea infrastructurilor IT&C.