KIT GDPR Premium LegalUp

Ediția 2

EVALUAREA IMPACTULUI
asupra protecției datelor (DPIA)

Click aici pentru a introduce numele organizației.

Autor

Data: (a se introduce data)

Aprobată de:

Semnătura:

Frecvența revizuirii anuală

Următoarea (a se introduce data)

revizuire:

1
Copyright LegalUp Innovators at Law SRL
 KIT GDPR Premium LegalUp
Ediția 2

1 CONTEXT

1.1 Prezentarea Generală a Activității de prelucrare

Descrierea activității de prelucrare

Descrierea activității de
prelucrare
Scopurile prelucrării
Tipul prelucrării
Operator
Persoană/persoane
împuternicită/împuternicite

1.2 Datele cu caracter personal și alte elemente

Categoriile de date, destinatarii și durata de stocare

Categoriile Destinatarii Durata de stocare
de date

Descrierea activității/activităților de prelucrare

[optional, include o diagram a circuitului datelor]

Activități de Descrierea detaliată a activităților de Mediile de stocare

prelucrare prelucrare

2 Principii fundamentale
2
Copyright LegalUp Innovators at Law SRL
 KIT GDPR Premium LegalUp
Ediția 2

2.1 Proporționalitatea și necesitatea prelucrării

Descrierea și justificarea principiul limitării scopurilor

Scopuri Legitimitate

Descrierea și justificarea principiului legalității și echității

Temei legal Aplicabilitate Justificare

Persoana vizată și-a dat consimțământul pentru prelucrarea

datelor sale cu caracter personal pentru unul sau mai multe
scopuri specific
Prelucrarea este necesară pentru executarea unui contract
la care persoana vizată este parte sau pentru a face
demersuri la cererea persoanei vizate înainte de încheierea
unui contract
Prelucrarea este necesară în vederea îndeplinirii unei
obligații legale care îi revine operatorului
Prelucrarea este necesară pentru a proteja interesele vitale
ale persoanei vizate sau ale altei persoane fizice
Prelucrarea este necesară pentru îndeplinirea unei
sarcini care servește unui interes public sau care
rezultă din exercitarea autorității publice cu care este
învestit operatorul
Prelucrarea este necesară în scopul intereselor legitime
urmărite de operator sau de o parte terță, cu excepția
cazului în care prevalează interesele sau drepturile și
libertățile fundamentale ale persoanei vizate, care necesită
protejarea datelor cu caracter personal, în special atunci
când persoana vizată este un copil.

Descrierea și justificarea principiul minimizării datelor

3
Categoriile de Justificarea necesității
Măsuri adecvate pentru
date cu caracter prelucrării datelor
minimizare

Copyright LegalUp Innovators at Law SRL

 KIT GDPR Premium LegalUp
Ediția 2

personal
prelucrate

Descrierea și justificarea principiului exactității

Măsuri adecvate Justificare
pentru a asigura
exactitatea

Descrierea și justificarea principiului limitării stocării

Justificarea duratei Mecanismul de
Categorii de date Durata de stocare
de stocare ștergere/distrugere la
împlinirea duratei
Date comune
Date arhivate
(alte date)
(alte date)

Măsuri tehnice și organizatorice

Măsuri pentru
Principii Măsuri îmbunătățirea lor
Scopuri: specifice, explicite, legitime
Temei legal

Minimizarea datelor

Exactitatea datelor

4
Limitarea stocării

Copyright LegalUp Innovators at Law SRL

 KIT GDPR Premium LegalUp
Ediția 2

2.2 Măsuri tehnice și organizatorice destinate a proteja drepturile persoanei vizate

Descrierea măsurilor pentru a pune în aplicare dreptul la informare

Dacă există o excepție de la informare așa cum este prevăzut în Art. 12, 13 & 14 din GDPR.

Excepții de la informare Justificare

Altfel:

Dacă este necesară

Măsuri pentru dreptul la informare Implementare
implementarea sau nu
Prezentarea unei note de informare

Posibilitatea de a accesa nota de informare

Nota de informare este scrisă în limbaj simplu și

ușor de înțeles

Nota de informare cuprinde toate elementele

obligatorii de la art. 12,13,14 din GDPR

Măsuri tehnice și organizatorice pentru obținerea consimțământului

Este necesară implementarea
Metode pentru obținerea Implementare
sau nu?
consimțământului

Consimțământ expres în timpul înregistrării

Consimțământ segmentat pe categoriile
de date personale sau activitățile de
prelucrare
Consimțământ expres înainte de a transmite
datele către terți
Consimțământul este prezentat într-o formă
inteligibilă și ușor accesibilă, folosind un limbaj

5
simplu și clar adaptat persoanei vizate, mai ales
atunci când persoana vizată este un copil

Copyright LegalUp Innovators at Law SRL

 KIT GDPR Premium LegalUp
Ediția 2

Obținerea consimțământului părinților pentru

copiii sub 16 ani
După o perioadă lungă de inactivitate,
utilizatorul trebuie întrebat dacă își confirmă
consimțământul

Măsuri tehnice și organizatorice pentru dreptul la acces și dreptul la portabiliate

Atunci când există o excepție de la dreptul de acces prevăzută de art. 15 din GDPR:

Excepții de la dreptul de Cum se va răspunde

Justificare
acces persoanelor vizate

Altfel:

Date interne Date externe

Măsuri pentru dreptul de acces

Posibilitatea de a accesa toate datele cu caracter

personal ale persoanei vizate
Posibilitatea de a accesa în mod securizat datele

Posibilitatea de a descărca o arhivă a tuturor

datelor cu caracter personal implicate

Atunci când dreptul la portabilitate este aplicabil:

Date interne Date externe

Măsuri pentru dreptul la portabilitate

Posibilitatea de a prelua, într-un format structurat,

utilizat în mod intern și care poate fi citit automat
și ale le transmite persoanei vizate spre a fi
transmise unui alt operator sau de a transmite
direct către un alt operator atunci când este fezabil
din punct de vedere tehnic

6
Măsuri tehnice tehnice și organizatorice pentru dreptul la rectificare și dreptul

Copyright LegalUp Innovators at Law SRL

 KIT GDPR Premium LegalUp
Ediția 2

la ștergere
Atunci când există o excepție de la dreptul la rectificare sau de la dreptul la ștergere așa cum sunt
prevăzute aceste excepții de art. 17 din GDPR:

Excepții de la dreptul de Cum se va răspunde

Justificare
ștergere și dreptul la persoanelor vizate
rectificare

Altfel:

Date interne Date externe

Măsuri pentru dreptul la rectificare și dreptul la
ștergere
Posibilitatea de a rectifica datele
Posibilitatea de a șterge datele
Implementarea dreptul la ștergerea datelor
pentru minori

Posibilitatea de a șterge datele dacă un dispozitiv

este pierdut sau furat

Măsuri tehnice tehnice și organizatorice pentru dreptul la restricționare și dreptul

de a se opune
Atunci când există o excepție de la dreptul la restricționare sau de la dreptul de a se opune așa cum sunt
prevăzute de GDPR:

Excepții de la dreptul de Cum se va răspunde

Justificare
restricționare și de la persoanelor vizate
dreptul de a se opune

Altfel:

Date interne Date externe

Măsuri pentru dreptul la restricționare sau dreptul de
a se opune
Existența unor setări de confidențialitate

7
Invitația de schimba setările implicite
Setările de confidențialitate sunt accesibile în timpul

Copyright LegalUp Innovators at Law SRL

 KIT GDPR Premium LegalUp
Ediția 2

înregistrării
Setările de confidențialitate sunt accesibile după
înregistrare
Existența unui sistem de control parental pentru
minorii sub 16 ani
Conformitatea pentru activitățile de
urmările (cookies, publicitate
comportamentală etc)
Excluderea copiilor sub 16 ani de la profilare automată

Descrierea măsurilor aplicabile persoanelor împuternicite

Denumirea
persoanei Conformitatea cu art. 18 GDPR
împuternicite

Descrierea măsurilor în situația transferurile de date în afara SEE

Temeiul legal al transferului

Categoriile de Țara către care sunt
date transmise

Evaluarea măsurilor
Măsuri pentru a proteja drepturile Acceptabile/pot fi
Măsuri propuse
persoanelor vizate îmbunătățite?

8
Copyright LegalUp Innovators at Law SRL
 KIT GDPR Premium LegalUp
Ediția 2

Informarea persoanei vizate într-o formă

simplă și accesibilă
Obținerea consimțământului
Posibilitatea de a exercita dreptul de acces
și dreptul la portabilitate
Posibilitatea de a exercita dreptul la
rectificare și dreptul la ștergere
Posibilitatea de a exercita dreptul de
restricționare și dreptul de a se opune
Persoanele împuternicite sunt identificate,
iar relația este guvernată de un contract
Transferurile internaționale sunt legitime

3 Studiul riscurilor la adresa securității datelor

3.1 Evaluarea măsurilor de securitate

Descrierea și evaluarea măsurilor implementate pentru a preveni riscurile la adresa

securității datelor cu caracter personal
Acceptabile/pot
Măsuri Dacă este necesară Măsuri
fi îmbunătăție?
implementarea sau corective
nu
[Descrieți aici mijloacele puse în
aplicare pentru asigurarea
confidențialității datelor stocate
(în baza de date, în fișiere plane,
copii de rezervă etc.), precum și
procedura de gestionare a
cheilor de criptare (creare,
stocare, schimbare în caz de
Criptare
cazuri suspecte de compromis
de date etc.).
Descrieți mijloacele de criptare
utilizate pentru fluxurile de date
(VPN, TLS etc.) implementate în
procesare.)

9 [Indicați aici ce mecanisme

de anonimizare au fost

Copyright LegalUp Innovators at Law SRL


Anonimizare
Partiționarea datelor
Control de acces logistic
10
Copyright LegalUp Innovators at Law SRL
KIT GDPR Premium LegalUp
Ediția 2
implementate și pentru ce
scopuri – a se consulta
Politica privind
anonimizarea datelor]
[Indicați aici dacă
partiționarea urmează a fi
implementată și cum se va
realiza]
[Indicați aici dacă profilurile
utilizatorilor sunt definite și
atribuite.
Specificați mijloacele de
autentificare implementate.
Dacă este cazul, specificați
regulile aplicabile parolelor
(lungime minimă, caractere
necesare, durata de validitate,
numărul de încercări eșuate
înainte ca accesul la cont să fie
blocat etc.).]
 KIT GDPR Premium LegalUp
Ediția 2

Acceptabile/pot
Măsuri Necesitate Măsuri
fi îmbunătățite?
corective

[Indicați aici dacă evenimentele

sunt înregistrate și pentru cât
Trasabilitate timp se păstrează aceste urme.]
(înregistrare/logging)
[Indicați aici dacă sunt
implementate mecanisme
pentru monitorizarea
integrității datelor stocate, care
dintre ele și în ce scop.
Monitorizarea integrității datelor Specificați ce mecanisme de
control al integrității sunt
implementate pe fluxurile de
date.]

[Descrieți aici procesele de

gestionare a arhivelor (livrare,
stocare, consultare etc.) sub
responsabilitatea
dumneavoastră. Specificați
Arhivare rolurile de arhivare (birouri de
origine, agenții de transfer etc.)
și politica de arhivare. Indicați
dacă datele pot intra în sfera
arhivelor publice.]

[În cazul în care documentele pe

hârtie care conțin date sunt
Securitatea documentelor fizice utilizate în timpul procesării,
indicați aici cum sunt tipărite,
stocate, distruse și schimbate.]

Descrierea și analiza măsurilor generale de securitate

Măsuri generale de securitate Acceptabile/pot
Necesitate Măsuri
fi îmbunătățite?
corective

11
[Descrieți aici cum se realizează
actualizările software (sisteme

Copyright LegalUp Innovators at Law SRL

 KIT GDPR Premium LegalUp
Ediția 2

Securitatea sistemului de operare de operare, aplicații etc.) și

aplicarea controalelor corective
de securitate.]

[Descrieți aici dacă un antivirus

Antivirus este instalat și actualizat la
intervale regulate pe stațiile de
lucru.]

[Descrieți aici măsurile

Managementul stațiilor de lucru implementate pe stațiile de
lucru (blocare automată,
firewall etc.)]

[Indicați aici cum este realizată

Securitatea website-ului securitatea pe website-uri]

[Indicați aici cum se

Back-up realizează back-up-urilor.
Clarificați dacă acestea
sunt stocate într-un loc
sigur]

[Descrieți aici cum este

gestionată întreținerea fizică a
hardware-ului și precizați dacă
acest lucru este contractat.
Indicați dacă întreținerea la
distanță a aplicațiilor este
Mentenanță autorizată și în conformitate cu
ce modalități.
Specificați dacă echipamentul
defect este gestionat într-un
mod specific. ]

12
Copyright LegalUp Innovators at Law SRL

Măsuri generale de securitate
Monitorizare
Controlul accesului fizic
Securitatea hardware-ului
Prevenirea riscurilor
13
Copyright LegalUp Innovators at Law SRL
KIT GDPR Premium LegalUp
Ediția 2
Acceptabile/pot
Necesitate Măsuri
fi îmbunătățite?
corective
[Indicați aici dacă este
implementată monitorizarea în
timp real a rețelei locale și cu ce
mijloace. Indicați dacă se
realizează monitorizarea
configurațiilor hardware și
software și prin ce mijloace.]
[Indicați aici cum se realizează
controlul accesului fizic cu
privire la spațiile care găzduiesc
procesarea (zonarea, escortarea
vizitatorilor, purtarea de
treceri, ușile încuiate și așa mai
departe). Indicați dacă există
proceduri de avertizare în caz
de întrerupere.]
[Indicați aici controalele care se
bazează pe securitatea fizică a
serverelor și stațiilor de lucru
aparținând clienților (stocare
securizată, cabluri de securitate,
filtre de confidențialitate,
ștergere securizată înainte de
casare etc.).]
[Indicați aici dacă zona de
implantare este supusă
dezastrelor de mediu (zona de
inundații, apropierea de
industriile chimice, cutremurul
sau zona vulcanică etc.).
Precizați dacă produsele
periculoase sunt depozitate în
aceeași zonă

Măsuri generale de securitate
Protecția împotriva surselor de
risc non-umane
Descrierea și analiza măsurilor organizatorice
Măsuri organizatorice
Organizare
Politici și proceduri
14
Copyright LegalUp Innovators at Law SRL
KIT GDPR Premium LegalUp
Ediția 2
Acceptabile/pot
Necesitate Măsuri
fi îmbunătățite?
suplimentare
[Descrieți aici mijloacele de
prevenire, detectare și
combatere a incendiilor.
Dacă este cazul, indicați
mijloacele de prevenire a
dezastrelor provocate de ape.
Descrieți aici alte mijloace de
prevenire a altor riscuri non-
umane.]
Acceptabile/pot
Necesitate Măsuri
fi îmbunătățite?
suplimentare
[Indicați dacă sunt definite
rolurile și responsabilitățile
pentru protecția datelor.
Precizați dacă a fost numit un
responsabil cu protecția datelor
(DPO). Precizați dacă există un
comitet de monitorizare (sau
echivalent) responsabil pentru
îndrumarea și urmărirea
acțiunilor privind protecția vieții
private.]
[Indicati aici cum politicile și
procedurile sunt
implementate în practică]

Managementul riscurilor
Managementul incidentelor de
securitate
Managementul personalului
Relația cu părțile terțe
Supervizare
15
Copyright LegalUp Innovators at Law SRL
KIT GDPR Premium LegalUp
Ediția 2
[Indicați aici cum sunt
evaluate riscurile actuale și
potențiale la adresa vieții
private a persoanelor vizate.]
[Indicați aici dacă
incidentele de Securitate
sunt documentate în mod
responsabil]
[Indicați aici dacă tot
personalul implicat în
prelucrarea datelor a fost
instruit în mod corespunzător
cu privire la protecția datelor
personal și dacă este instruit
în mod continuu. Indicați în
mod concret modalitatea prin
care se realizează în mod
continuu instruirea
personalului.
[Indicați aici, dacă toate
persoanele împuternicite au
fost verificate.]
[Indicați aici dacă este
monitorizată eficacitatea și
adecvarea măsurilor tehnice și
organizatorice implementate.]
 KIT GDPR Premium LegalUp
Ediția 2

3.2 Analiza riscului

Analiza riscurilor
Sursele Impactul Măsurile
Amenințăril
Riscuri principale de principal principale Severitate
e principale
risc pentru a reduce
riscurile
Acces ilegal la
date
Schimbări
nedorite
efectuate
asupra datelor
Dispariția
datelor
 KIT GDPR Premium LegalUp
Ediția 2

4 Validarea Analizei Evaluarii Impactului

4.1 Materialul necesar pentru validare

Simbol :
Se va
Semnificatie: Nu este aplicabil Nesatisfacator Acceptabil
imbunatati

Măsuri selectate pentru a asigura conformitatea cu principiile fundamentale GDPR Rezultat

Măsuri care garantează necesitatea și proporționalitatea prelucrării
Scop: specific, explicit și legitim
Temei legal pentru fiecare activitate de prelucrare
Minimizarea datelor: adecvate, limitate și relevante
Exactitate: datele sunt exacte și actualizate
Perioada de stocare: limitată
Măsuri care să protejeze drepturile persoanelor vizate
Informarea persoanelor vizate într-o formă concisă, transparentă și inteligibilă
Obținerea consimțământului
Facilitatea exercitării dreptului de acces și a dreptului la portabilitate
Facilitatea exercitării dreptului la rectificare și ștergere
Facilitarea exercitării dreptului la restricționare și a dreptului de a se opune
Persoane împuternicite: identificate și relația este guvernată de un contract
Transferurile internaționale sunt legale

Măsuri pentru a reduce riscurile cu privire la securitatea datelor Rezultat

Măsuri aplicate direct datelor cu caracter personal
Criptare
Anonimizare
Partitionarea datelor
Controlul accesului
Logging
Monitorizarea integrității datelor
Arhivare
Securitatea documentelor fizice
Măsuri aplicate sistemelor
Securitatea sistemului de operare
Antivirus
 KIT GDPR Premium LegalUp
Ediția 2

Monitorizarea stațiilor de lucru

Securitatea website-ului
Backup
Maintenanta
Securitatea retelelor
Monitorizare
Controlul accesului fizic
Securitatea hardware-ului
Evitarea surselor de risc
Protecția împotriva surselor de risc non-umane
Măsuri organizatorice
Organizare
Politici și proceduri
Managementul riscului
Project management
Managementul incidentelor de securitate
Instruirea personalului
Relația cu terțele părți
Supervizare
 KIT GDPR Premium LegalUp
Ediția 2

Maparea riscului securității datelor

Severitate

Acces nelegal la
4. Maxim
date

3. Significant Acces nelegal la

date

Schimbări
2. Limitat nadorite asupra
Dispariția datelor
datelor

Dispariția
datelor

1. Neglijabil
Schimbari
asupra datelor

Maparea riscului
 KIT GDPR Premium LegalUp
Ediția 2

Elaborarea planului de acțiune

Măsuri suplimentare Frecventa Dificultate Cost Progres

Avizul responsabilului cu protecția datelor

La data de (*), the Responsabilul cu protecția datelor al companiei (*) a dat următorul aviz cu privire
la prezenta evaluare a impactului asupra protecției datelor:

[Semnătura]

Opinia persoanelor vizate sau a reprezentului acestora 8

Persoanele vizate [au fost/nu au fost] consultate [și au exprimat următoarea opinie cu privire la
activitățile de prelucrare în lumina studiului efectuat anterior]: