Curs GDPR PDF

SUN CERT
Organism International de Certificare
suncert.ro
SUN CERT – Organism International de Certificare
Auditor intern în conformitate cu cerinţele

SR ISO/IEC 27001:2013 si SR EN ISO 19011:2011
Cerințele Regulamentului UE 679/2016 (GDPR)
Trainer: RAREȘ MACAROV

GDPR
25 mai 2018
A P O C A L I P S A ?!?
Prezent
Cadrul normativ
4
GDPR
Capitolul I: Dispozitii generale
Articolul 1: Obiect si obiective
GDPR:
- stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu
caracter personal.
- asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a
dreptului acestora la protecția datelor cu caracter personal.
Articolul 2: Domeniul de aplicare material

GDPR:
- se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace
automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu
caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să
facă parte dintr-un sistem de evidență a datelor.
- nu se aplică de către autoritățile competente în scopul prevenirii, investigării, depistării sau
urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării
împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.
GDPR
Articolul 3: Domeniul de aplicare teritorial
GDPR:
- se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator
sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea
are loc sau nu pe teritoriul Uniunii.
- se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune
de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune,
atunci când activitățile de prelucrare sunt legate de:
(a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă
se solicită sau nu efectuarea unei plăți de către persoana vizată; sau
(b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
GDPR
Articolul 4: Definiții
„date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă
(„persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau
indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date
de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice,
fiziologice, genetice, psihice, economice, culturale sau sociale;
„prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal
sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi
colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea,
consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod,
alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
„creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care
constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o
persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă,
situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se
află persoana fizică respectivă sau deplasările acesteia;
GDPR
„pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea
să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca
aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și
organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice
identificate sau identificabile;
„operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur
sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;
„persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția
sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
„consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și
lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără
echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
„încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod
accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter
personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
GDPR
„date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moștenite sau
dobândite ale unei persoane fizice, care oferă informații unice privind fiziologia sau sănătatea persoanei
respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la
persoana în cauză;
„date biometrice” înseamnă o date cu caracter personal care rezultă în urma unor tehnici de prelucrare
specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care
permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele
dactiloscopice;
„date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei
persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de
sănătate a acesteia;
Scop
Armonizare – o singură lege
- În prezent există 28 de seturi diferite de legi pe teritoriul UE referitoare la protectia datelor
personale.
- Fiind un Regulament, este aplicabil efectiv direct în toate statele membre, nefiind necesare alte
normative legislative nationale.
- Armonizarea este binevenită pentru organizațiile multinationale care trebuiau sa respecte cerinte
specifice din diverse state
- Organizatiile din afara UE care procesează date cu caracter personal ale cetătenilor europeni
trebuie să adere la acelasi nivel de protectie a acestor date
- Organizatiile din afara UE trebuie să desmeneze un reprezentant pe teritoriul UE, indiferent dacă
procesează ocazional sau pe scară largă date personale
- “one-stop shop”: organizatiile multinationale vor trebui să colaboreze cu o singură autoritate de
supraveghere, nu cu 28 (unde își are sediul central sau unde se află locatia principală)
10
Scop
- În prezent, Directiva 95/46/CE acceptă ca statele UE să introducă în legislația națională derogări și
abordări diferite specifice
- Actual, legislația membrilor UE este departe de a fi consistentă și omogenă. Exemple:
Directiva 95/46/CE a fost implementată de toate statele membre, dar cu reglementări și derogări
multiple: în Austria, Austrian Data Protection Act se bazează pe Directiva 46, dar include multiple
detalii și cerințe care depășesc cu mult cerințele Directivei. În Irlanda, Data Protection Acts 1998-
2003 au fost suplimentate de către Office of the Data Potection Commisioner cu cerințe
suplimentare, dar fără norme de aplicare sau ghiduri explicative. În Croația, pe lângă Act on
Protection of Personal Data, cerințe de protecție mai se regăsesc inclusiv în Constituția Rep. Croația,
în Act on Data Confidentiality, The Employement Act și în Codul Penal.
- În multe țări membre există legislație specifică anumitor sectoare reglementate care conțin cerințe
referitoare la protecția datelor personale (sector financiar, de sănătate, telecomunicații etc.)
11
Scop
- Statele membre si-au stabilit propriile criterii și mecanisme de penalizare în cazul încălcării cerințelor actuale.
- Există o mare discrepanță la nivelul sancțiunilor deja aplicate
- 1.460.000 Euro – LIDL - Germania în 2008
- 1.000.000 Euro – Google – Italia în 2013
- 1.200.000 Euro – Facebook – Spania în 2017
- În unele state membre, autoritățile pentru protecția datelor nu au puterea de a stabili
sancțiuni directe, ci numai prin intermediul sistemului de justiție (Belgia, Danemarca,
Irlanda, Estonia)
- Au fost aplicate sancțiuni pentru:
- Imagini video CCTV (Austria)
- Divulgarea informațiilor despre pacienți (Belgia)
- Securitate insuficientă a datelor (Cehia)
- Utilizare neadecvată a datelor pentru marketing direct (Danemarca)
- Stocarea de cookies (Franta)
- Informatii ilegale despre traficul de date (Portugalia)
Scop
- Există abordări diferite în ceea ce privește compensațiile/despăgubirile pentru persoanele afectate de incidentele
de securitate sau de nerespecatrea legislației curente
- 2 state – nu stabilesc nicio formă de a putea fi compensată persoana afectată
- 7 state – stabilesc forme de compensare doar pentru daune materiale
- 19 state – stabilesc forme de compensare atât pentru daune materiale, cât și daune morale sau de altă natură
- Există sisteme de compensare/despăgubire specifice fiecărei țări

- În marea majoritate a cazurilor, compensațiile au fost până în 10.000 Euro
- În Italia însă, nivelul compensațiilor a fost cuprins în intervalul 25.000 – 90.000 Euro
Scop
Obligatii pentru procesatori
- GDPR prevede obligații pentru procesatori, cei care furnizează servicii de procesare a datelor pentru
diverse organizatii, dar care nu ei stabilesc scopul sau mijloacele de procesare (exemplu: call centre)
- În astfel de situații, procesatorul trebuie să furnizeze suficiente garanții de implementare a
măsurilor tehnice si organizatorice pentru asigurarea conformității cu GDPR si protejării datelor
- Acest lucru restrânge libertatea procesatorilor de a alege un alt procesator subcontractat fără
autorizarea prealabilă explicită din partea operatorului
- Înțelegerile contractuale vor trebui actualizate, iar obligațiile și responsabilitățile dintre operator și
procesator vor fi imperative în viitoarele acorduri
14
Scop
Noi concepte de bază
- Multi termeni utilizati si definitiile asociate rămân neschimbate față de normativele UE existente
- Sunt introduse concepte noi cum ar fi “high risk to individuals” (risc ridicat pentru indivizi), “large
scale processing” (procesare pe scară largă), “pseudonymised data” (date pseudonimizate)
- Date pseudonimizate = date din care nu poate fi identificată o persoană fără utilizarea altor
informații adiționale/suplimentare
15
Ce este și de ce e important?
Ce? De ce?
Orice date referitoare la persoane Pentru protejarea persoanelor fizice ale
identificabile – angajati, furnizori, căror date sunt
colaboratori, clienți, pacienti etc. - Obtinute
- Nume, CNP - Gestionate
- Adrese, e-mail sau ID online - Prelucrate
- Numere de telefon - Stocate
- Informatii despre starea de - Transmise/transportate
sănătate sau servicii medicale - Eliminate/distruse
- Date genetice, biometrice
(imagini, date dactiloscopice
etc.)
- Date fiziologice, psihice,
economice, culturale, sociale Regulament, nu Directivă! - aplicare obligatorie!
Aplicare
Se aplică prelucrării datelor cu caracter personal în cadrul activităților
unui operator sau al unei persoane împuternicite de operator pe
teritoriul UE, indiferent dacă prelucrarea are loc sau nu pe teritoriul
Uniunii!
Se aplică și entităților cu mai puțin de 250 angajați dacă prelucrarea

datelor este susceptibilă să genereze un risc pentru drepturile
persoanelor vizate sau include categorii speciale de date
Cei 5W
Consimțământ
Orice manifestare de voință liberă, specifică,

informată și lipsită de ambiguitate a persoanei
vizate prin care aceasta acceptă, printr-o
declaratie sau actiune fără echivoc ca datele cu
caracter personal care o privesc să fie prelucrate.
Consimțământ
- declaratie/acord scris
- bifarea unei optiuni pe un site
- pentru prelucrarea în scopuri multiple trebuie să existe
consimțământ pentru toate activitătile de prelucrare a
datelor
Consimțământ
Operatorul trebuie să demonstreze existența consimțământului
Solicitarea acordului să fie în formă inteligibilă și ușor accesibilă,

limbaj clar și simplu
Consimțământul poate fi retras în orice moment și va afecta doar

prelucrările ulterioare
Retragerea consimțământului trebuie să fie la fel de simplă și

ușoară
Nu este admis consimțământul condiționat

Consimțământ
Prelucrarea datelor unui copil sub 16 ani necesită acordul

titularului răspunderii părintești asupra copilului
Operatorul trebuie să depună toate eforturile rezonabile pentru a

verifica consimțământul părintelui
Statele membre pot scădea vârsta până la 13 ani!

Consimțământ
Dreptul la ștergere Dreptul la restricționarea Dreptul la
(dreptul de a fi uitat) prelucrării portabilitatea datelor
Datele trebuie șterse Dacă prelucrarea a fost Transferul datelor
dacă persoana vizată restricționată, datele pot fi către alt operator se
își retrage prelucrate numai cu realizează în baza
consimțământul pe consimțământul persoanei consimțământului
baza căruia are loc vizate persoanei vizate
prelucrarea
Decizii automatizate / Transferul către o țară terță
profiluri sau organizatie internatională
Deciziile de prelucrare Transferul datelor către alt
automată, crearea de operator se realizează în baza
profiluri sunt permise consimțământului persoanei
doar cu vizate
consimțământul
explicit sau contract
Informare
Persoana vizată trebuie să fie informată referitor la:
Identitatea și datele de contact ale operatorului
Datele de contact ale DPO (Data Protection Officer – responsabil cu protectia datelor)
Scopurile în care sunt prelucrate datele și temeiul juridic al prelucrării
Destinatarii și/sau categoriile de destinatari ai datelor
Perioada pentru care vor fi stocate sau criteriile utilizate pentru a stabili această perioadă
Faptul că persoana vizată are dreptul de acces la date și de a le porta, dreptul de rectificare,
dreptul de ștergere, de restricționare, de a se opune prelucrării, de a-și retrage
consimțământul, după caz
Dreptul de a formula plângere unei autorităti de supraveghere
Dacă furnizarea de date reprezintă o obligație legală, contractuală sau necesară încheierii unui
contract și care pot fi consecințele nerespectării obligației
Informare
În situația în care consimțământul este obținut și

în numele unor terți, informarea prealabilă trebuie
să includă identitatea terților!
Nu este acceptată doar simpla indicare a unei

categorii!
Drepturi
Drepturile persoanei vizate:
Informare
Dreptul de acces
Dreptul la rectificare
Dreptul la ștergerea datelor (“dreptul de a fi uitat”)
Dreptul la restrângerea prelucrării
Dreptul la portabilitatea datelor
Dreptul la opoziție
Dreptul de a nu fi supus unei decizii automate, inclusiv de profilare
Portabilitatea datelor
Către persoana vizată

Persoana vizată are dreptul de a solicita de câte ori dorește și fără condiționare să
primească datele prelucrate de operator și să decidă ce anume face cu ele, inclusiv să
le păstreze exclusiv pentru uzul privat.
Către alt operator

Persoana vizată are dreptul de a solicita ca datele să fie transferate direct unui alt
operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele
Portabilitatea datelor
Date portabile:
Date despre persoana

vizată
Date furnizate de
persoana vizată
În plus, sunt incluse și date
Termen
pseudonimizate, în măsura
în care pot fi asociate în Datele furnizate în mod
mod clar cu persoana vizată direct și activ de persoana În cel mult 30 zile, fără
vizată întârzieri nejustificate
Datele obtinute de
Excluse: datele anonime operator prin observarea Dacă actiunile sunt
persoanei vizate ca complexe, termenul poate
utilizator al serviciului fi prelungit cu maxim 60
zile, cu notificarea
Excluse: datele derivate sau persoanei în termen de 30
deduse de operator pe zile
baza datelor furnizate de
persoana vizată
DPO (Data Protection Officer)
Numirea unui DPO este obligatorie dacă:
Prelucrarea este efectuată de o autoritate sau un organism public,
cu excepția instanțelor de judecată
- administratia fiscala, evidența populației, transport public, furnizare de utilități, infrastructură,
servicii de radiodifuziune, sănătate, servicii notariale, avocațiale etc.
- Ghidul WP243/13.12.2016 revizuit în 05.04.2017 recomandă ca o bună practică desemnarea
unui DPO în orice organizație publică și/sau în orice organizație privată care procesează date
personale pentru (în numele) unei entități publice
- Articolul 37 (4) stabilește că statele membre pot impune numirea unui DPO și în alte situații
Activitatea principală constă în monitorizarea periodică și sistematică,
pe scară largă, a persoanelor vizate
- Un spital are ca activitate principală servicii de sănătate și îngrijire. Dar pentru a putea oferi
astfel de servicii, trebuie să prelucreze date cu caracter personal și date cu caracter special ale
pacienților. Deși prelucrarea nu reprezintă activitatea de bază, în astfel de situații este
obligatorie desemnarea unui DPO (Ghid WP 243)
- O firmă privată de securitate care protejează centre comerciale și spații publice are ca activitate
principală activități de pază și supraveghere. Trebuie să desemneze un DPO pentru că
prelucrează date personale (înregistrari video de la sistemele CCTV) (Ghid WP 243)
- Firme de contabilitate care tin evidentele contabile/salariale ale angajatilor unor organizații au
ca activitate principală “contabilitatea”. Trebuie să desemneze un DPO pentru că prelucrează
date cu caracter personal. (Ghid WP 243)
- Furnizori de servicii de telefonie/Internet au ca activitate principală furnizarea de servicii de
telecomunicații. Trebuie să aibă desemnat un DPO pentru că prelucrează pe scară largă date
cu caracter personal ale clienților lor (Ghid WP 243)
“Scară largă” ?!?
- Procesarea datelor pacienților în cadrul unei unități medicale
- Procesarea datelor despre călătorii/itinerarii de către o entitate din transportul public
- Procesarea în timp real a datelor de geo-locație de entități furnizoare de servicii de transport
- Procesarea constantă a datelor de către instituții financiar-bancare si de asigurări
- Procesarea datelor despre comportamentul utilizatorilor de către motoarele de căutare (Google,
Bing, Yahoo etc.)
- Procesarea datelor (conținut, locație, trafic, preferințe, comportament etc.) de către furnizorii de
servicii Internet
Exceptii:
- Procesarea datelor pacienților de către un medic de familie
- Procesarea de către un avocet a datelor referitoare la acțiuni criminale și/sau ofensatoare
Monitorizare periodică și sistematică ?!?
Periodică
- Prelucrari realizate la intervale de timp stabilite pe anumite perioade de timp
- Prelucrari realizate și repetate la intervale fixe de timp
- Prelucrari realizate constant sau periodic pe durată nedeterminată
Sistematică
- Prelucrări realizate în mod organizat și metodic
- Prelucrări realizate ca parte a unei strategii
Exemple:
- rețele și servicii de telecomunicații
- activități de marketing
- activități de profilare și/sau de scoring (creditare, asigurări, sănătate etc.)
- programe de loialitate
- monitorizarea locațiilor geografice
- reclamă comportamentală
- monitorizarea stării de sănătate prin echpamente mobile/portabile
(Ghidul WP29)
Activitatea principală constă în prelucrarea pe scară largă a unor
categorii speciale de date
- Date genetice: caracteristici genetice moștenite sau dobândite care oferă informații unice
privind fiziologia sau sănătatea persoanei vizate și care rezultă în special în urma unei analize
a unei mostre de material biologic
- Date biometrice: date rezultate în urma unor tehnici de prelucrare specifice referitoare la
caracteristicile fizice, fiziologice sau comportamentale ale unei persoane și care permit sau
confirmă identificarea unică a respectivei persoane (imagini faciale, date dactiloscopice etc.)
- Date privind sănătatea: date legate de sănătatea fizică sau mentală a unei persoane, inclusiv
prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate
a acesteia
- Date privind originea rasială, etnică, opiniile politice, confesiunea religioasă, convingerile
filozofice, apartenența sindicală, viață și/sau orientarea sexuală
Consultanță cu Monitorizarea
privire la obligațiile respectării GDPR
specifice GDPR
Răspunde la
Consultanță în solicitările
cadrul DPIA persoanelor vizate
Cooperează cu
autoritatea de
supraveghere
Poate fi angajat propriu sau un consultant/colaborator extern
Un grup poate desemna un DPO comun
Trebuie să aibă cunoștințe în legislația referitoare la protecția datelor
Să cunoască procesele operaționale aferente prelucrării datelor
Să cunoască tehnologia utilizată
Să cunoască domeniul de activitate
Să aibă abilitatea de a promova o cultură organizatională
Să fie independent
Să aibă acces la cel mai înalt nivel de management
Nu poate fi sanctionat (inclusiv concediat) pentru îndeplinirea sarcinilor
Trebuie să i se aloce resursele necesare pentru îndeplinirea sarcinilor
Să aibă acces la personalul și operațiunile de prelucrare a datelor
Implicarea DPO:
Articolul 38: Organizatia trebuie să se asigure că DPO este implicat
adecvat în toate aspectele referitoare la protectia datelor personale.
- DPO este solicitat să participe la toate întâlnirile managementului în care se abordează aspecte
referitoare la protectia datelor personale
- DPO participă activ la toate deciziile care privesc protectia datelor și avizează sau nu aceste
decizii
- Toate informațiile relevante cu referire la protectia datelor trebuie să fie analizate de către DPO
- Propunerile DPO în materie de protectia datelor trebuie implementate de către organizație
- În situația unor divergențe de opinie, trebuie analizată situația împreunp cu DPO pentru a
ajunge la un consens și a alege soluțiile adecvate
- DPO trebuie consultat de îndată ce se identifică breșe de securitate sau producerea unor
incidente de securitate. În astfel de situații, DPO stabilește modul de rezolvare a situației
produsă
Articolul 38 (2): Organizatia trebuie să asigure DPO resursele necesare.
- DPO trebuie să fie susținut clar de către managementul organizației

- DPO trebuie să aibă la dispozitie suficient timp alocat pentru îndeplinirea atribuțiilor. Se
recomandă stabilirea unui procent din timpul de lucru total pentru aceste atributii (în cazul în
care DPO este angajat al organizatiti si are si alte responsabilități/functii).
- Alocarea DPO a resurselor adecvate (echipament, infrastructură, acces, documentatie, instruire
etc.)
- Alocarea DPO a unor angajati care să-l sprijine, dacă este cazul
- Acces neîngrădit la resurse si informatii, cum ar fi: resurse umane, IT, juridic etc. În vederea
sprijinirii DPO
- Instruire și perfecționare continuă a DPO, alocarea de resurse necesare creșterii competențelor
acestuia
- În situația organizațiilor mari, multinationale, multisite, poate fi necesară desemnarea unei
echipe DPO (un DPO si echipa sa)
Articolul 38 (3): Organizatia trebuie să asigure independența DPO
- DPO nu trebuie să primească ordine/indicații în ceea ce privește realizarea atribuțiilor sale
- DPO trebuie să aibă o poziție care să-i asigure independența
- DPO trebuie să aibă o poziție care să-i confere suficientă autoritate pentru a lua decizii și a
impune soluții în aspecte referitoare la protectia datelor personale
- DPO trebuie să aibă acces direct la cel mai înalt nivel de management
Articolul 38 (6): Conflicte de interese

- DPO nu trebuie să aibă o pozitie care să-l pună în situația de a decide actiuni contrare (din
punct de vedere operational sau de management si din punct de vedere al protectiei datelor)
- Functii de evitat: senior management (chief executive, chief operating, chief financial, head of
marketing department, head of human resources, head of IT department).
Implicarea DPO în DPIA
Operatorul trebuie să solicite consilierea din partea DPO în următoarele situații:
- Evaluarea necesitătii de a efectua sau nu DPIA
- Stabilirea metodologiei pentru DPIA
- Evaluarea necesitătii de a efectua DPIA in-house sau externalizat
- Stabilirea măsurilor tehnice si organizatorice de tratare a riscurilor
- Evaluarea completitudinii si corectitudinii DPIA
- Evaluarea rezultatelor DPIA
Abordarea bazată pe risc

- DPO își prioritizează acțiunile, deciziile în funcție de nivelurile de risc identificate
- DPO consiliază operatorul în alegerea soluțiilor în funcție de nivelurile de risc
Documentele gestionate de DPO
- Politica de protectia a datelor cu caracter personal
- Domeniul de aplicare și scop
- Obiective
- Politica de instruire a personalului/colaboratorilor
- Procedura de acces la date la solicitarea persoanei
- Procedura de păstrare a înregistrărilor
- Procedura de evaluare a impactului (DPIA)
- Procedura de notificare a breșelor/vulnerabilitatilor de securitate
- Procedura de notificare a incidentelor de securitate
- Procedura de transfer de date către terți
- Procedura pentru portabilitatea datelor
- Procedura privind acordarea consimțământul
- Procedura privind retragerea consimțământului
- Procedura de subcontractare a prelucrării datelor
- Procedura privind tratarea reclamatiilor
- Registrul de acces la date a persoanelor solicitante
- Analiza și motivarea desemnării unui DPO
- Fișa de post a DPO
- Procedura privind DPIA
- Raport de evaluare DPIA
- Plan de tratare a riscurilor
- Registrul breșelor de securitate / Formular referitor la breșele de securitate
- Registrul incidentelor de securitate / Formular referitor la incidente de securitate
- Formular privind acordarea/retragerea consimțământului
- Formular privind acordarea/retragerea consimțământului parental
- Chestionar (checklist) pentru auditul de conformitate
D P I A (Data Protection Impact Assessment)
Data Protection Impact Assessment
Obligatorie atunci când un tip de prelucrare este susceptibil să
genereze un risc ridicat pentru drepturile și libertățile persoanelor,
cum ar fi:
- Prelucrare automată, inclusiv profilare

- Prelucrare pe scară largă a unor categorii de date
- Monitorizări sistematice pe scară largă
D P I A (Data Protection Impact Assessment)
Evaluarea conține:
- Descrierea operațiunilor de prelucrare preconizate
- Descrierea categoriilor de persoane vizate
- Descrierea categoriilor și tipurilor de date prelucrate
- Descrierea scopurilor prelucrării
- Evaluarea necesității și proporționalității operațiunilor de
prelucrare în legătură cu aceste scopuri
- Evaluarea riscurilor pentru drepturile și libertățile persoanelor
vizate
- Evaluarea impactului în cazul producerii de incidente
- Măsurile de tratare a riscurilor
Securitatea datelor
Obligatia de a asigura securitatea
Operatorul implementează măsurile tehnice și organizatorice adecvate în
vederea asigurării unui nivel de securitate corespunzător, proporționale cu
nivelurile de risc și cu impactul potențial.
- Controlul accesului (fizic și logic)

- Criptarea datelor (stocate, transmise)
- Managementul echipamentelor de stocare, procesare, transmitere
- Disaster recovery plan
- Backup cu redundanță geografică
- Evaluarea furnizorilor de soluții de securitate
- Teste de penetrare
- Scanări de vulnerabilități
- Firewall
- Măsuri antimalware
- Politici de securitate
- Instruire, conștientizare
- Certificare ISO 27001 / ISO 27018
Incidente de securitate
Încălcarea securității care duce în mod

accidental sau deliberat la distrugerea,
pierderea, modificarea sau divulgarea
neautorizate a datelor cu caracter personal
În cazul producerii unui incident de securitate,

operatorul notifică acest lucru autorității de
supraveghere fără întârziere, în termen de 72 ore de la
momentul la care a luat la cunoștință despre incident,
cu excepția cazului în care acesta nu este susceptibil
să genereze un risc pentru drepturile și libertățile
persoanelor vizate
Notificarea către autoritatea de supraveghere conține cel puțin:
- Natura încălcării securității datelor private
- Categoriile și numărul aproximativ al persoanelor vizate în cauză
- Categoriile și numărul aproximativ al înregistrărilor afectate
- Numele și datele de contact ale DPO
- Consecințele probabile ale incidentului
- Măsurile luate sau propuse pentru remedierea situației
- Măsurile pentru atenuarea efectelor negative (impactului)
Operatorul are obligația de a documenta incidentele:
- Situația de fapt
- Efectele incidentului
- Măsurile de remediere întreprinse
Operatorul are obligația de a notifica persoanele vizate

dacă incidentul este susceptibil să genereze un risc
ridicat pentru drepturile și libertățile lor
Implicații practice:
- Proceduri de identificare, analiză, răspuns la incidente de
securitate
- Polițe de asigurare “cyber security”
- Drept contractual de regres împotriva “vinovaților”
Operator - împuternicit
- Contract cu instrucțiuni clare documentate

- Se poate adăuga un alt împuternicit doar cu acordul
prealabil al operatorului
- Împuternicitul trebuie să asigure securitatea datelor
prelucrate de el
- Personalul trebuie să încheie angajamente de
confidențialitate (NDA)
- Împuternicitul trebuie să informeze operatorul despre
incidentele sale de securitate
Răspunderea pentru prejudicii:
Operatorul
Operatorul este răspunzător pentru prejudiciul cauzat de
operațiunile sale de prelucrare care încalcă cerințele GDPR
Împuternicit
Împuternicitul este răspunzător pentru prejudiciul cauzat numai
în cazul în care:
- nu a respectat obligațiile stabilite
- a acționat în afara atribuțiilor specificate de operator
Răspunderea pentru prejudicii:
Operatorul
Trebuie să demonstreze că a întreprins diligențele rezonabile
(instruiri, monitorizări, controale, evaluări, politici de securitate
stabilite și impuse la împuternicit etc.)
Remedii pentru persoana vizată
- Plângere la autoritatea de supraveghere
- Cale de atac judiciară împotriva deciziei AS
- Acțiune directă împotriva operatorului

- Recuperarea prejudiciului material/moral
- Răspundere solidară dacă sunt implicate entități multiple
Sancțiuni
Autoritatea de supraveghere poate:
- Să emită avertizări
- Să dea dispoziții
- Să oblige operatorul să informeze persoana vizată cu
privire la încălcarea protecției datelor
- Să limiteze sau să interzică prelucrarea
- Să dispună rectificarea sau șetrgerea datelor
Sancțiuni
Amenzi administrative:
Între 10.000.000 EUR – 20.000.000 EUR
sau
2% - 4% din cifra de afaceri
Care este mai mare!!!

Perspective organizaționale
GDPR impactează zone organizaționale multiple:
Legalitate și conformitate
GDPR introduce noi cerințe și provocări pentru legalitate și funcționalitate. Se estimează că este
necesară formarea a peste 2.800.000 de DPO numai în Europa. Nivelul amenzilor este cel mai
ridicat în istoria UE. Se pune un accent deosebit pe responsabilitatea organizațională care
necesită un management proactiv și robust al confidențialității datelor. Obligă organizațiile să
analizeze serios modul în care elaborează politici de protecție a datelor private.
Tehnologie
GDPR presupune modificări ale modului în care sunt proiectate și gestionate tehnologiile de
prelucrare a datelor. Se solicită evaluări de riscuri privind confidențialitatea pentru a proiecta și
implementa sisteme și tehnologii. Este avută în vedere mai accentuat mascarea datelor, pseudo-
anonimizarea și criptarea.
O revoluție în constrângeri și sancțiuni
Sancțiuni și amenzi cu sume nemaiîntânite până acum. Respectarea GDPR se va extinde și la
țări din afara UE, cel puțin pentru organizațiile non-UE care prelucrează date ale cetățenilor
europeni.
Funcții noi
Organizațiile care prelucrează pe scară largă date personale sau au peste 250 angajați trebuie să
aibă desemnat un DPO cu experiența, cunoștințe și abilități adecvate. DPO trebuie să aibă o
poziție specifică în organizație pentru a impune măsurile de securitate.
Responsabilitate
Cerința actuală de a furniza anual autoritătilor informații despre activitatea de prelucrare a datelor
este înlocuită cu cerințe noi referitoare la audit și evaluare și trasabilitatea datelor. Accentul se
pune pe o atitudine proactivă a organizațiilor și capabilă de a demonstra conformitatea cu
cerințele GDPR. O responsabilitate mărită a organizațiilor în ceea ce privește protejarea datelor
private, managementul riscurilor și acțiuni de răspuns la incidente de securitate.
Măsuri criptografice
GDPR recunoaște în mod oficial beneficiile criptării datelor. Organizațiile trebuie să identifica măsuri și
controale criptografice adecvate, fiind răspunzătoare în cazul producerii de incidente datorate utilizării unor
mecanisme slabe sau vulnerabile de criptare.
Privacy-by-Design / Privacy-by-Default
Organizațiile trebuie să stabilească un set de reguli bine concepute în sensul protecției datelor private încă
din faza de proiectare a sistemelor de prelucrare a datelor sau în situația dezvoltării și implementării de noi
soluții și tehnologii. Unul din mecanismele utilizate în acest sens trebuie să fie DPIA (Data Protection Impact
Assessment) care este acum cerut în cazul prelucrării datelor cu risc ridicat.
Inventarul informațiilor
Organizațiile trebuie să demonstreze că știu ce date dețin, unde sunt stocate, cum și cu cine sunt procesate
și transmise prin crearea și întreținerea unui “inventar” al activităților de prelucrare a datelor. Trebuie
implementat un sistem de gestionare a înregistrărilor referitoare la date personale și activități de procesare.
Dreptul la portabilitate
Presupune furnizarea datelor cu caracter personal într-un format lizibil și standardizat pentru a fi
accesibile persoanelor vizate. Poate fi o provocare majoră pentru unele organizații.
Date pseudo-anonime
GDPR recunoaște și extinde conceptul de date pseudo-anonime punând un accent mai mare pe
clasificarea datelor, dar rămâne încă neclar dacă și când anumite date precum adresa de IP pot
fi clasificate drept date personale. Reprezintă o provocare pentru organizații cum ar fi ISP.
GDPR
Capitolul II: Principii
Articolul 5: Principii legate de prelucrarea datelor cu caracter personal
Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și
transparență”);
(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil
cu aceste scopuri („limitări legate de scop”);
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate
(„reducerea la minimum a datelor”);
(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a
se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt
prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);
(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește
perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele („limitări legate de stocare”);
(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția
împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării
accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și
confidențialitate”).
(g) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare
(„responsabilitate”).
GDPR
Articolul 6: Legalitatea prelucrării
Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul
sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a
face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane
fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care
rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu
excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei
vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este
un copil.
Statele membre pot menține sau introduce dispoziții mai specifice de adaptare a aplicării normelor prezentului
regulament în ceea ce privește prelucrarea prin definirea unor cerințe specifice mai precise cu privire la
prelucrare și a altor măsuri de asigurare a unei prelucrări legale și echitabile, inclusiv pentru alte situații
concrete de prelucrare.
GDPR
Articolul 7: Condiții privind consimțământul
Operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru
prelucrarea datelor sale cu caracter personal.
Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu
afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia.
Articolul 8: Condiții privind consimțământul copiilor

Prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani.
Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care
consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului.
Statele membre pot prevedea prin lege o vârstă inferioară în aceste scopuri, cu condiția ca acea vârstă
inferioară să nu fie mai mică de 13 ani.
Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii
părintești a acordat sau a autorizat consimțământul,
GDPR
Articolul 9: Prelucrarea de categorii speciale de date cu caracter personal
Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile
politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date
genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau
de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
Statele membre pot menține sau introduce condiții suplimentare, inclusiv restricții, în ceea ce privește
prelucrarea de date genetice, date biometrice sau date privind sănătatea.
Articolul 10: Prelucrarea de date referitoare la condamnări penale și infracțiuni
Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de
securitate conexe se efectuează numai sub controlul unei autorități de stat sau atunci când prelucrarea este
autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile
persoanelor vizate. Orice registru cuprinzător al condamnărilor penale se ține numai sub controlul unei
autorități de stat.
GDPR
Articolul 11: Prelucrarea care nu necesită identificare
În cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu necesită sau nu
mai necesită identificarea unei persoane vizate de către operator, operatorul nu are obligația de a păstra,
obține sau prelucra informații suplimentare pentru a identifica persoana vizată în scopul unic al respectării
prezentului regulament.
GDPR
Capitolul III: Drepturile persoanei vizate
Secțiunea 1: Transparență și modalități
Articolul 12: Transparența informațiilor, a comunicărilor și a modalităților
de exercitare a drepturilor persoanei vizate
Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații și orice comunicări referitoare
la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu,
în special pentru orice informații adresate în mod specific unui copil. Informațiile se furnizează în scris sau prin
alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate,
informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace.
Operatorul facilitează exercitarea drepturilor persoanei vizate.
Operatorul nu refuză să dea curs cererii persoanei vizate de a-și exercita drepturile, cu excepția cazului în
care operatorul demonstrează că nu este în măsură să identifice persoana vizată.
Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri fără întârzieri
nejustificate și în orice caz în cel mult o lună de la primirea cererii.
Pregătirea implementării GDPR
Pregătirea implementării GDPR
Inventarul activitătilor de procesare a datelor
Obligatia menținerii înregistrărilor referitoare la activități de procesare a datelor:
 Identificarea operatorului / împuternicitului și a DPO
 Scopul procesării datelor
 Descrierea categoriilor de persoane vizate și a tipurilor de date procesate
 Modul de colectare și procesare a datelor
 Modul de stocare a datelor
 Modul de transfer/transmitere a datelor
 Durata de păstrare/stocare a datelor
 Măsuri tehnice și organizatorice de securitate existente
Stabilirea politicii generale
Politici de securitate
- Protectia datelor sensibile (speciale)

- Managementul riscurilor
- Stocare si/sau procesare în cloud
- Ecranul și biroul curat
- Utilizarea mesageriei electronice
- Instalare, configurare, testare a software-ului
- Anti-malware
- Back-up
- Răspuns la incidente și notificare
- Disaster recovery, redundanță
P B D (Privacy by Design / Privacy by Default)
Activitătile de procesare trebuie planificate și proiectate ținând cont

Privacy by Design de cerințele de securitate a datelor cu caracter personal
Implicit, doar datele necesare pentru fiecare scop specific vor fi

culese și procesate.
Privacy by Default Implicit, datele personale nu vor fi accesibile terților în mod automat
și/sau fără intervenție umană.
P B D (Privacy by Design / Privacy by Default)
Nu vor fi colectate mai multe informații decât strict cele necesare scopului prelucrării 
Nu vor fi stocate mai multe informații sau pe termen mai lung decât cel strict necesar
scopului prelucrării

Nu vor fi procesate mai multe informații decât strict cele necesare scopului prelucrării 
Nu vor fi diseminate terțelor părți informații decât în scopul prelucrării 
Nu vor fi vândute date personale 
Nu vor fi stocate/transmise date personale decât în formă criptată 

Reguli generale
1 Reguli de stocare a datelor în format electronic și/sau pe suport de hârtie 
2 Reguli de utilizare a datelor 
3 Reguli de păstrare a acurateței/exactității datelor 
4 Reguli pentru securitatea IT: echipamente mobile, bluetooth, wi-fi, e-mail 
5
Reguli de păstrare/arhivare, control și eliminare a documentelor (hârtie) 
6 Reguli de stocare/procesare a datelor pe PC, laptop, tablete, drive extern, medii de stocare
amovibile

7 Reguli de stocare/procesare a datelor în cloud 
8
Reguli de eliminare sigură a datelor de pe diverse echipamente 
9 Reguli de utilizare a metodelor de criptare a datelor 
10 Reguli de utilizare a echipamentelor personale 
11
Reguli de management al parolelor și de autentificare în sisteme 
12 Reguli de recunoaștere, analiză și răspuns la incidente 
Etapele implementării
1 Stabilirea si inventarierea categoriilor de date personale 
Stabilirea și inventarierea proceselor de prelucrare (stocare, procesare, transmitere) a datelor
2
personale

3 Stabilirea si inventarierea echipamentelor și platformelor, aplicațiilor implicate (asset inventory) 
4 Identificarea și evaluarea vulnerabilitătilor și amenințărilor asociate (vulnerabilities scan, pen
test) 

5
Identificarea, analiza, evaluarea riscurilor și impactului
6
Stabilirea opțiunilor de tratare a riscurilor 
7 Implementarea măsurilor de tratare a riscurilor 
8
Elaborarea și implementarea politicilor și procedurilor 
9 Instruirea, conștientizarea personalului și colaboratorilor 
10 Elaborarea și testarea planurilor de continuitate, de recuperare și revenire după incidente
majore 
11
Monitorizarea, analiza și auditarea performanțelor 
12 Certificarea (ISO 27001, ISO 27018) 
Noutăți
ISO/IEC 29134:2017
Guidelines for privacy impact assessment
Certificare
Statele membre UE, AS, Comisia încurajează instituirea

de mecanisme de certificare în domeniul protecției
datelor care să demonstreze conformitatea cu GDPR.
Operatorii de date cu caracter personal pot opta pentru

certificarea cu Organisme de Certificare acreditate.

Curs GDPR PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Curs GDPR PDF

Încărcat de

Drepturi de autor:

Formate disponibile

SUN CERT

Organism International de Certificare

Auditor intern în conformitate cu cerinţele

Cerințele Regulamentului UE 679/2016 (GDPR)

Trainer: RAREȘ MACAROV

Articolul 2: Domeniul de aplicare material

- Există sisteme de compensare/despăgubire specifice fiecărei țări

Se aplică și entităților cu mai puțin de 250 angajați dacă prelucrarea

Orice manifestare de voință liberă, specifică,

Solicitarea acordului să fie în formă inteligibilă și ușor accesibilă,

Consimțământul poate fi retras în orice moment și va afecta doar

Retragerea consimțământului trebuie să fie la fel de simplă și

Nu este admis consimțământul condiționat

Prelucrarea datelor unui copil sub 16 ani necesită acordul

Operatorul trebuie să depună toate eforturile rezonabile pentru a

Statele membre pot scădea vârsta până la 13 ani!

Identitatea și datele de contact ale operatorului

Scopurile în care sunt prelucrate datele și temeiul juridic al prelucrării

Destinatarii și/sau categoriile de destinatari ai datelor

Dreptul de a formula plângere unei autorităti de supraveghere

În situația în care consimțământul este obținut și

Nu este acceptată doar simpla indicare a unei

Drepturile persoanei vizate:

Către persoana vizată

Către alt operator

Date despre persoana

- DPO trebuie să fie susținut clar de către managementul organizației

Articolul 38 (6): Conflicte de interese

Abordarea bazată pe risc

- Prelucrare automată, inclusiv profilare

- Controlul accesului (fizic și logic)

Încălcarea securității care duce în mod

În cazul producerii unui incident de securitate,

Operatorul are obligația de a notifica persoanele vizate

- Contract cu instrucțiuni clare documentate

Răspunderea pentru prejudicii:

- Plângere la autoritatea de supraveghere

- Cale de atac judiciară împotriva deciziei AS

- Acțiune directă împotriva operatorului

Între 10.000.000 EUR – 20.000.000 EUR

2% - 4% din cifra de afaceri

Care este mai mare!!!

Articolul 8: Condiții privind consimțământul copiilor

Articolul 10: Prelucrarea de date referitoare la condamnări penale și infracțiuni

Operatorul facilitează exercitarea drepturilor persoanei vizate.

- Protectia datelor sensibile (speciale)

Activitătile de procesare trebuie planificate și proiectate ținând cont

Implicit, doar datele necesare pentru fiecare scop specific vor fi

Nu vor fi diseminate terțelor părți informații decât în scopul prelucrării 

Nu vor fi vândute date personale 

Nu vor fi stocate/transmise date personale decât în formă criptată 

Statele membre UE, AS, Comisia încurajează instituirea

Operatorii de date cu caracter personal pot opta pentru

S-ar putea să vă placă și