RAPORT SPECIAL

TOP
10
întrebări 
și răspunsuri re
feritoare la 
implementarea 
GDPR
www.portalprotectiadatelor.ro
 Acesta este un Raport Special GRATUIT!
Dvs. beneficiați GRATUIT de acest raport
deoarece faceți parte din comunitatea RENTROP & STRATON.

Top 10 întrebări și răspunsuri referitoare la implementarea GDPR

© RENTROP & STRATON

Senior Editor: George Straton

Director General: Octavian Breban

Manager produs: Cristina Lovin

Manager Departament Editorial: Georgiana Istudor

Puteţi consulta şi celelalte lucrări editate de RENTROP & STRATON la: www.rs.ro

Toate drepturile rezervate. Nicio parte din acest material nu poate fi reprodusă, arhivată sau transmisă sub nicio formă şi
prin niciun fel de mijloace, mecanice sau electronice, fotocopiere, înregistrare audio sau video, fără permisiunea în scris din partea editorului.
Autorii sau editorii nu sunt responsabili pentru nicio pierdere provocată vreunei persoane fizice sau juridice care acţionează
sau se abţine de la acţiuni ca urmare a citirii materialelor publicate în această lucrare.

Informaţii specializate

Bdul Națiunile Unite nr. 4, bloc 107A, etajul 1,

sector 5, București
Telefon Serviciul Clienți: 021.209.45.45
Întrebare nr. 1: Cine răspunde de instruirea persoanelor care prelucrează date personale și, în afară de
câteva măsuri elementare pe care ni le putem imagina cu toții (ex. manipulare, stocare, păstrare, etc.), de
unde ne mai putem inspira?

Răspuns: Instruirea angajaților ar trebui să vizeze în esență: ce ar trebui să facă angajații, ce nu ar trebui să facă,
precum și înțelegerea sarcinilor șșii responsabilităților în asigurarea protecției datelor cu caracter personal. De
asemenea, angajații trebuie să fie instruiți cu privire la riscurile legate de gestionarea eronată a datelor cu caracter
personal la care aceștia au acces.

Cum ar trebui să se facă educarea și formarea angajaților? În primul rând, aceasta ar trebui să pornească de la
pozițiile de vârf prin oferirea de cursuri/ prezentări privind GDPR, în paralel cu un sistem de comunicații
constant care să scoată în evidență importanța respectării datelor personale. O formă de instruire a angajaților
poate fi reprezentată și de includerea principiilor și regulilor privind protecția datelor în documentația internă a
entității, precum și menținerea unor dialoguri constante cu angajații despre importanța respectării datelor
personale.

În mod evident, elementul central al formării angajaților este dat de sesiunile de training (cursuri și prezentări)
efective. În acest sens, expunem o serie de recomandări: formarea cu privire la protec ția datelor cu caracter
personal ar trebui să înceapă de la elementele de bază - ce este GDPR, principiile esențiale, riscurile nerespectării
etc., elemente care să fie concentrate ulterior în sesiuni de training cu privire la specificul activită ții entității, cât
și în cadrul departamentelor.

O altă recomandare este ca aceste sesiuni să fie bazate pe comunicări directe și posibilitatea angajaților de a pune
întrebări în timpul formării, întrucât vă pot ajuta să observa ți aspecte la care nu v -ați gândit. Obiectivul principal
al acestor sesiuni ar trebui să fie posibilitatea angajaților de a identifica riscurile și eventualele breșe de securitate.

Este important ca sesiunile de training să fie simple și de inteles. Luați în considerare și aspectul că pregătirea
trebuie să fie una continuă (la intervale de timp regulate), întrucât, în timp, pot apărea probleme pe care nimeni
nu le-ar fi putut prezice. Legislația din domeniul protecției datelor cu caracter personal nu impută obligativitatea
efectuării sesiunilor de instruire în sarcina unei anumite persoane, însă este necesar ca persoana care se ocupă de
instruire să aibă cunoștințe temeinice în domeniul protecției datelor cu caracter personal.

1
Având în vedere natura juridică a entității, această instruire ar putea să f ie efectuată de Responsabilul cu protecția
datelor în exercitarea sarcinii sale prevăzute de art. 39 alin. 1 lit. b) din Regulamentul (UE) 679/2016. Rețineți,
de asemenea, faptul că în ceea ce privește îndeplinirea sarcinilor, DPO -ul nu primește niciun fel de instrucțiuni,
neputând fi demis sau sancționat pentru îndeplinirea acestora [art. 38 alin. (3) GDPR].

Întrebare nr. 2: Ce înseamnă, generic vorbind, luarea de decizii automatizate și dacă puteți da câteva
exemple în acest sens?

Răspuns: Articolul 22 alineatul (1) din Regulamentul (UE) 679/2016 se referă la decizii „bazate exclusiv pe
prelucrarea automată”. Aceasta înseamnă că nu există implicare umană în procesul decizional. Un proces
automatizat produce ceea ce reprezintă în realitate o recomandare privind o persoană vizată. Dacă o ființă umană
analizează și ia în considerare și alți factori în luarea deciziei finale, această decizie nu ar fi „bazată exclusiv pe
prelucrarea automatizată”. Operatorul de date cu caracter personal nu poate evita dispozițiile articolului 22 prin
implicarea umană.

De exemplu, dacă cineva aplică în mod obișnuit profiluri generate automat persoanelor fizice fără o influență
reală asupra rezultatului, aceasta ar fi totuși o decizie bazată exclusiv pe procesarea automatizată. Pentru a se
califica drept implicare umană, operatorul de date cu caracter personal trebuie să se asigure că orice interven ție
în luarea deciziei este semnificativă, și nu reprezintă doar un gest simbolic.
Ar trebui să fie efectuată de către cineva care are autoritatea și competența de a schimba decizia. Ca parte a
analizei, ar trebui să se ia în considerare toate datele relevante. Operatorul de date cu caracter personal cu ocazia
efectuării evaluării de impact asupra protecției datelor cu caracter personal (DPIA) ar trebui să identifice și să
înregistreze gradul oricărei implicări umane în procesul de luare a deciziilor și în ce etapă are loc acest lucru.

O condiție necesară a fi îndeplinită pentru a fi în prezența unei „decizii bazată exclusiv pe prelucr area automată”
este producerea de consecințe juridice pentru persoana vizată, spre exemplu: anularea unui contract; dreptul sau
refuzul acordării unei prestații sociale speciale acordate prin lege, cum ar fi beneficiile pentru copii sau pentru
locuință; refuzul acordării cetățeniei etc.

De asemenea, este necesar ca decizia bazată exclusiv pe prelucrarea automată să afecteze în mod semnificativ
persoana vizată. Adică decizia trebuie să fie susceptibilă să: afecteze în mod semnificativ circumstanțele,
comportamentul sau alegerile persoanelor în cauză; aibă un impact prelungit sau permanent asupra persoanei
vizate; în cea mai mare măsură, să conducă la excluderea sau discriminarea persoanelor vizate. Următoarele

2
decizii ar putea intra în această categorie: deciziile care afectează situația financiară a cuiva, cum ar fi
eligibilitatea acestora la obținerea unui credit; deciziile care afectează accesul cuiva la serviciile de sănătate.

Deciziile bazate exclusiv pe prelucrarea automată pot implica sau nu profilarea, dar acestea pot fi și activități
separate. De exemplu: impunerea amenzilor de viteză doar pe baza dovezilor din aparatele radar este un proces
decizional automat care nu implică neapărat profilarea. Cu toate acestea, aceasta ar deveni o decizie bazată pe
profilare, dacă obiceiurile de conducere ale persoanei au fost monitorizate în timp și, de exemplu, cuantumul
amenzii impuse este rezultatul unei evaluări care implică alți factori, cum ar fi dacă depășirea vitezei este o faptă
repetată sau dacă șoferul a avut alte încălcări recente de trafic.

Deciziile care nu au la bază exclusiv prelucrarea automată pot, de asemenea, conține profilări. De exemplu:
înainte de instituirea unei ipoteci, o bancă poate lua în considerare bonitatea împrumutatului, cu o intervenție
umană suplimentară semnificativă înainte de a lua o decizie în acest sens. Exemplu (decizii bazate pe profilare):
o persoană decide dacă să aprobe acordarea împrumutului pe baza unei proiectări produse prin mijloace pur
automatizate. Exemplu (decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care
produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă):
un algoritm decide dacă împrumutul este aprobat și deciz ia este transmisă în mod automat persoanei vizate, fără
efectuarea unei evaluări umane prealabile și semnificative.

Întrebare nr. 3: În situația serviciilor prestate de o instituție publică în temeiul legii, pentru care pot fi
efectuate plăți online ce implică mai mulți operatori de date cu caracter personal, respectiv instituția
publică care prestează serviciul, banca și procesatorul de plăți, cum pot fi considerați cei trei operatori în
sensul art. 26-28 din Regulamentul 679/2016 și care sunt măsurile care trebuie luate în vederea respectării
drepturilor persoanelor vizate?

Răspuns: Conform Regulamentului (UE) 2016/679 operatorii pot fi considerați a fi asociați în situația în care
stabilesc în comun scopurile și mijloacele de prelucrare. Apreciem că o asemenea situație ar putea apărea dacă
mai mulți operatori se reunesc pentru a implementa un proiect comun, iar pentru atingerea rezultatelor acestuia
este necesară prelucrarea de date personale. Acești operatori trebuie să stabilească printr-un acord
responsabilitățile fiecăruia în ceea ce privește prelucrarea/prelucrările de date.
Prin urmare, trebuie să analizați dacă aceasta este situația aplicabilă dumneavoastră. Astfel, trebuie să
determinați cine stabilește scopul și mijloacele prelucrării?

3
Le-ați stabilit de comun acord cu ceilalți operatori sau fiecare dintre operatori realizează prelucrarea de date
personale în conformitate cu reglementările legale specifice domeniului în care își desfășoară activitatea?
În situația în care fiecare operator prelu crează date personale în conformitate cu reglementările aplicabile
domeniului sau de activitate, apreciem că acești operatori sunt independenți și nu asociați deoarece aceștia nu
stabilesc în comun scopurile și mijloacele de prelucrare, ci acestea sunt deja stabilite prin legislație.

De asemenea, apreciem că nu sunteți nici în situația unei relații operator – persoană împuternicită de operator,
pentru că nu instituția publică este cea care stabilește pentru bancă/bănci obiectul, durata, natura, scopul
prelucrării. De altfel, instituția publică nici nu are competențe în acest sens. Prelucrarea de date în cazul plăților
on-line este reglementată prin legislația specifică domeniului bancar. În aceste condiții, apreciem că fiecare
dintre operatori trebuie să ia măsurile necesare de protecție a datelor cu caracter personal ale clienților persoane
fizice, în funcție de domeniul specific de activitate.

Întrebare nr. 4: Care ar fi pașii de urmat pentru o firmă mică de contabilitate, în cazul în care (chiar dacă
nu este nevoie) dorește să se conformeze regulilor GDPR?

Răspuns: Începem prin a arăta ca o societate de contabilitate:

1. are atât calitatea de Operator (art.4 pct 7 GDPR) în relația privind angajații proprii și managementul afacerii
(site, contabilitate, sisteme de monitorizare, programe soft, baze de date proprii, marketing, publicitate, etc). În
acest sens, societatea dvs. trebuie să îndeplinească toate prevederile Articolului 26 și urm. GDPR;
2. cât și calitatea de Persoană împuternicită (art.4 pct 8 GDPR) privind serviciile prestate clienților, care implică
prelucrarea datelor cu caracter personal furnizate de către clienți conform dispozițiilor Articolului 28 GDPR. În
calitate de Persoană împuternicită, prelucrarea datelor primite de la clienți aveți dreptul să o faceți doar strict în
limitele și conform instrucțiunilor primite de la clienți, în baza:
a. Contractelor de prestări servicii contabile semnate cu acestea;
b. și a Acordurilor GDPR care se pot semna și sub formă de acte adiționale la contractele existente, cunoscute în
limbajul de specialitate ca DPA (Data Protection Addendum). În consecință, conformarea unei societăți de
contabilitate trebuie realizată atât din calitatea de Operator, cât și din cea de Persoană împuternicită.

IMPORTANT! (!)
Asigurați -vă că ați semnat cu toți clientii dvs. Acorduri GDPR/DPA (acte adiționale) prin care ați stabilit în clar:
a. instrucțiunile primite de la clienți. Dacă s-ar dovedi că ați acționat în lipsa intrucțiunilor sau peste limitele
acestor instrucțiuni, se va angaja răspunderea dvs;

4
b. categoriile de date cu caracter personal pe care aveți dreptul să le primiți de la client și pe care aveți obligația
să le procesați. Acestea trebuie stabilite expres. Dacă primiți alte date decât cele agreate, trebuie imediat să
trimiteți expeditorului un disclaimer și să ștergeți emailul/comunicarea (Exemplu: dacă conform acordului
GDPR, clientul v-a permis să prelucrați doar date precum nume, CNP, serie CI, nume copii, dată naștere copii.
Și va trimite un cazier judicar – aceasta conține date speciale foarte sensibile conform art. 10 GDPR și dvs.
trebuie să îi răspundeți că în baza actului adițional cu acesta, nu aveți voie să primiți aceste date și că veți șterge
imediat email-ul/comunicarea. În caz contrar, vă poate fi angajată răspunderea pentru prelucrarea neautorizată a
datelor. Păstrarea unui e-mail cu astfel de date este considerată prelucrare);
c. răspunderea dvs. și limitele răspunderii dvs.;
d. agreați tarifele/onorariile pentru asistența cu cererile de acces la informații, SAR – Subject Acces Request
(art.15 si urm GDPR) sau altfel de asistență privind datele. Le puteți întocmi dumn eavoastră, la cererea
clientului. Conform GDPR, clientul (operatorul) este obligat să răspundă în 30 de zile de la primire, la orice
solicitări formulate de persoanele vizate, inclusiv cele pe care le primi ți dvs. cu privire la datele clientului, fără a
avea dreptul să solicite plata vreunui onorariu pentru răspunsul formulat.

ATENȚIE (!)
În schimb, dumneavoastră, în calitate de contabil al clientului, nu aveți obligația să asistați clientul (ca să
formuleze răspunsul) gratis, ci aveți dreptul pentru munca în plus, respectiv serviciul suplimentar prestat către
client, la un comision aferent acestui serviciu. Acest comision trebuie negociat și stabilit, acum, cu ocazia
semnării contractului, printr-o anexă. Recomandarea noastră este să insistați asupra caracterului remunerabil al
acestor servicii, întrucât GDPR prevede că răspunsurile se vor furniza gratuit de către client către persoana vizată
(salariații lui, ceilalți solicitanți), nu ca și Persoană împuternicită (dvs., ca și contabil) față de client.
Același lucru se întâmplă și cu celelalte servicii precum adeverințele de salariu, de exemplu: Clientul este obligat
să le emită gratuit salariatului care le cere. Dar, dacă acesta vă cere dvs. să le întocmiți, serviciul este
remunerabil și dvs. îi puteți cere un comision clientului, fiind prestată o activitate de către dvs. pentru client.
Negociați!
e. Subcontractanții pe care aveți voie să îi folosiți;
f. Transferurile, și în special transferurile în afara EEA.

Pentru a indentifica în concret ce măsuri se impun a fi implementate în societatea dumneavoastră, primul

pas este:
 Identificarea activităților care implică prelucrarea datelor cu caracter personal;

5
  Identificarea personalului implicat în prelucrarea datelor;
 Identificarea riscurilor (pentru persoanele vizate, cele cărora le aparțin datele); fluxul acestor date în
societate. Foarte important este să stabili ți și să identificați fluxul datelor care vin de la clienți/către
clienți. Potrivit dispozițiilor GDPR, comunicarea de la clienți și trimiterea către clienți a datelor cu
caracter personal prin e-mail, folosind adrese nesecurizate este considerată o practică cu risc ridicat. Se
recomandă dezvoltarea unui portal cu bază de date pe serverele societății dvs., în care clienții să încarce
și de pe care să descarce acte. Datele conținând date cu caracter personal trimise prin e-mail (ex: state de
plată, fluturași, etc.), se recomandă criptarea.

Pașii pe care trebuie să îi ia societatea dvs. sunt:

a) Să desemneze echipa responsabilă cu definirea strategiei de implimentare a GDPR la nivelul companiei. Un
rol esențial în implementarea și organizarea sistemului de protecție la nivelul companiei îl are departamentul IT.
b) Compania trebuie să stabilească un sistem foarte clar și strict de reguli de urmat și să asigure formulare scrise
pentru situațiile unde este necesară obținerea consimțământului scris, care va trebui să fie utilizat de către
angajații dumneavoastră de fiecare dată când se colectează date, potrivit legii, a unui interes legitim sau în baza
contractului (departamentul HR, secretariat, toți cei care în orice mod colectează date cu caracter personal, etc.).

Fiecare angajat trebuie să se responsabilizeze cu toată seriozitatea cu privire la GDPR. Angajații trebuie să fie
informați corect de către compania angajatoare, să nu solicite de la clienți și să nu primească sau să folosească
decât date cu caracter personal strict necesare pentru realizarea scopului de activitate, colectându-le și utilizându-
le sau procesându-le în mod licit. Acolo unde relația nu este una contractuală (și nici nu aveți baza legală să
prelucrați datele), angajații trebuie să fie instruiți să nu solicite și să nu prelucreze astfel de dat e decât pe baza
unui Acord prealabil explicit, dat expres de către persoana vizată și semnată de către aceasta.

Acordul se va colecta de către angajat doar după ce, în prealabil, s-a asigurat că persoana vizată a fost informată
în mod corespunzător asupra scopului colectării datelor sale și asupra modului în care acestea vor fi folosite.

c) Pregătirea angajaților: Toți trebuie să fie implicați în respectarea GDPR – Toți trebuie să fie responsabilizați
cu privire la GDPR. Tuturor angajaților, atât celor e xistenți, cât și celor noi sosiți în companie, trebuie să li se
asigure de către companie pregătirea profesională cu privire la GDPR. Compania este obligată să asigure în mod
activ și efectiv tot suportul și ghidarea în vederea asigurării corectei aplicări a GDPR. Trainingul trebuie reluat
periodic (6 luni/12 luni). Asigurați -vă că toți angajații dvs. înțeleg procedurile de prelucrare a datelor clienților
din perspectiva măsurilor speciale GDPR.

6
d) Societatea trebuie să se asigure că a amendat și completat în mod corespunzător. Fișele postului la toți
angajații implicați în procesul de colectare, procesare, stocare sau utilizare în orice mod a datelor cu caracter
personal. De asemenea, societatea va instrui expres toți angajații cu privire la implicațiile GDPR. Compania
trebuie să asigure pregătirea tuturor angajaților săi și să se asigure că toți angajații au înțeles modul de aplicare al
GDPR și regulele interne.

Toți angajații implicați trebuie să semneze câte o declarație prin care să arate că ei au pa rticipat la cursul de
pregătire, că au înțeles întocmai întreaga procedură și că se angajează să aplice toate măsurile și să respecte toate
regulele GDPR, precum și procedura internă a companiei privind măsurile de protecție a datelor cu caracter
personal.

De asemenea, fiecare salariat implicat trebuie să își asume prin declarație că se angajează în mod personal să nu
divulge și să nu utilizeze în niciun fel și în nicio circumstanță datele cu caracter personal de care a luat
cunoștință, decât strict în scopul exercitării atribuțiilor de serviciu și doar în scop licit, cu respectarea strictă a
limitelor indicate persoanei vizate asupra cărora aceasta și -a dat acordul.

e) Întocmirea Procedurilor interne GDPR.

f) Să analizați dacă se impune desemnarea Responsibilul pentru Protecția Datelor (Data Protection Officer -
DPO). Din punctul nostru de vedere, societățile prestatoare a serviciilor de contabilitate sunt invitate să
desemneze un DPO, date fiind datele cu caracter special pe care le prelucrează (Articolul 9, articolul 10 GDPR).
Operatorul de date trebuie să își desemneze un responsabil pentru protecția datelor în cazul în care activitatea
principală a operatorului de date constă în operațiuni de prelucrare care necesită o monitorizare regulată și
sistematică a persoanelor vizate pe scară largă sau în cazul în care activitatea principală a operatorului de date
(sau a împuternicitului acestuia) constă în prelucrarea pe scară largă de categorii speciale de date cu caracter
personal și de date privind condamnările penale și infracțiunile.

Este recomandată numirea unui responsabil pentru protecția datelor la nivelul operatorului de date și în afara
cazurilor de mai sus, întrucât în acest fel poate fi asigurată respectarea prevederilor Regulamentului. Iar
activitatea de prestare a serviciilor contabile, este una regulată și sistematică, risurile sunt mari, datele pot fi
sensibile - vă invităm să desemnați DPO (Responsabil cu Protecția Datelor)

g) SISTEME DE SECURITATE.
Societatea trebuie să se asigure de implimentarea unor sisteme de securitate adecvate, în special programe de
prelucrare, stocare, portal de date pentru clienți, în care acestea să se autentifice cu parole și ID, de asemenea,

7
contabilii angajați cu acces la portal în vederea prelucrării, trebuie să aibă acces limitat și să se identifice cu ID și
parole, limitarea drepturilor de stocare, exportare a datelor. Măsuri de protecție și securitate acces fizic: alarme,
seifuri, programe de securitate IT, sisteme de protecție tehnică, etc. Pe piață sunt lansate astfel de sisteme de
securitate de către furnizori de servicii de securitate IT.
h) Desemnați o persoană responsabilă cu soluționarea cererilor de acces. Pregătiți -vă să actionați în cazul unei
“cereri de acces la date” – persoanele au dreptul să solicite și să primească accesul la toate datele lor personale și
să fie informate cu privire la ce date în concret dețineți cu privire la ele, cum le folosiți și dacă le transferați sau
nu și altor terți. Ei au dreptul să le fie furnizate aceste informații pe un suport material “dur”. Această măsură
este cunoscută sub denumirea de “dreptul la cererea de acces”.
i) Întocmiți și păstrați Registrul de evidență a activităților de prelucrare a datelor Articolului 30 (5) GDPR.
Trebuie să rețineți că având în vedere caracterul datelor și riscurile pe care le implică, aveți obligația să păstrați
Registrul activităților de prelucrare a datelor (art 30.5 GDPR).
j) ÎNCĂLCAREA SECURITĂȚII DATELOR/DATA BREACHES. Obligația de a notifica autoritatea de
supraveghere în termen de maximum 72 de ore după ce a luat la cunoștință de existența situației de încălcare a
datelor (se iau în calcul zilele libere, vacanțele, sărbătorile legale, inclusiv sâmbăta și duminica), de asemenea,
trebuie notificată și persoana vizată.
k) Monitorizarea activității salariaților – necesită o atenție specială și deosebită din partea dumneavoastră.
Fiind service auto, este posibil să folosiți sisteme de monitorizate video sau/și GPS auto (tracking auto). Atenție,
au fost introduse noi obligații GDPR prin dispozițiile art.5 din Legea 190/2018.

Lista scurtă a celor 10 acțiuni de luat în calcul în implementarea GDPR

1.Desemnați persoana și echipa responsabilă cu urmărirea aplicării GDPR;
2.Identificați toate sistemele în care se colectează sau/și stochează;
3.Stabiliți dacă sunteți colector sau/și procesor de date. Identificați care sunt procesorii dvs. de date. Retineți că
Operatorul trebuie să se asigure că la momentul colectării prezintă Polița de Confidențialitate și obține de la
persoană vizată Acordul Scris.
4.Păstrați evidența și stocați corect toate operațiunile de colectare a datelor în fiecare sistem de colectare.
Înțelegeți corect mecanismul fiecărui sistem de colectare a datelor și faceți proc eduri angajaților, pregătiți -i prin
organizarea trainingului obligatoriu la nivelul unității și verificați-le cunoștințele.
5.Implementați mecanismul și procedurile care să asigure ștergerea datelor, stabiliț i termene precise de ștergere
periodică și reviz uire a datelor ;
6.Asigurați-vă că aveți capacitatea tehnică și operațională de a asigura portarea datelor;

8
7.Consimțământul scris. Acolo unde este necesar cosimțământul scris, verificați -vă dacă: Puteți prezenta dovezi
că ați cerut persoanelor vizate acordul corespunzător la colectarea datelor? Puteți dovedi că în cadrul
campaniilor de marketing fiecare participant a optat și și-a dat acordul expres cu privire la participarea sa și la
folosirea datelor sale? Puteți realmente asigur a în mod eficient și imediat ștergerea și portarea datelor dacă azi o
persoană vă cere acest lucru? Cum dovediți?
8.Implementați politici și termene clare de actualizare și revizuire a tuturor sistemelor de securitate (IT,
programe de securizarea IT firewall, seifuri, parole de acces limitat al persoanelor autorizate, etc.). Identificați și
determinați unde aveți scăpări sau punctele dvs. slabe. Luați măsuri.
9. Actualizați și revizuiți planul de acțiune în caz de încălcare a datelor. Trebuie să vă asigurați că aveți pârghii
serioase și suficiente să depistați și să notificați o încălcare/scurgere/acces neautorizată în maxim um 72 de ore.
Creați sisteme și proceduri clare și asigurați -vă că cei implicați le cunosc și le aplică. Simulați și verificați
angajații și persoanele împuternicite;
10. Revizuiți și actualizați contractele cu furnizorii actuali de servicii (persoane împuternicite, operatori asociați),
asigurați -vă că ei au implementat proceduri adecvate și au luat măsurile necesare conform GDPR .

Acestea sunt informațiile de bază. Măsurile concrete care sunt necesare la nivelul unei societăți de contabilitate
se pot identifica doar după efectuarea evaluării efective. Evaluarea cu obiectivele indicate la începutul
răspunsului o puteți face intern prin responsabili desemnați cu pregătire în domeniu, fie serviciul de evaluare
poate fi contractat unor specialiști GDPR externi.

Întrebare nr. 5: Vă rugăm să ne spuneți cum am putea rezolva situația pontajului pe bază de amprentă?
Sistemul utilizat de noi permite și alocarea unui c od unic (PIN) de 4 cifre, unic salariat care ar putea fi
introdus în sistem la venirea și plecarea de la program. Trebuie să cer acordul salariaților pentru
utilizarea amprentei (la introducerea în sistem se amprentează salariatul apoi este generat codul PIN)?
Autoritatea de supraveghere va putea ridica obiecții dacă am acordul prealabil al salariaților pentru
utilizarea amprentei? Și pentru faptul că fiecare salariat are posibilitatea să-și introducă codul PIN alocat
sau amprenta pentru a se înregistra la venirea/plecarea la și/ de la muncă?

Răspuns: Sistemul pentru pontaj în funcție de amprenta digitală reprezintă o monitorizare de date biometrice
(sub rezerva că sistemul biometric să extragă caracteristicile specifice utilizatorului, iar datele stocate să conducă
la identificarea persoanei vizate). Există limitari în ceea ce privește maniera în care consimțământul poate fi
invocat în contextul relației de muncă pentru a justifica prelucrarea datelor cu caracter personal. Pentru a fi

9
valabil, în sensul legislației privind protecția datelor, consimțământul trebuie să fie „acord at în mod liber”, ceea
ce este mai dificil de probat în mediul de muncă.

Odată dat, consimțământul poate fi retras. În orice caz, puteți justifica monitorizarea pe baza unei evaluări a
impactului, situație în care apreciem că nu veți avea în general nevoie de consimțământul angajaților.
Suplimentar, temeiul legal al prelucrării poate fi reprezentat de dispozițiile art. 119 din Codul Muncii, iar
fundamentul legalității prelucrării datelor cu caracter personal îl constituie dispozițiile art. 6 alin. 1 li t. b)
(prelucrare necesară pentru executarea contractului), art. 9 alin. 2 lit. b) (prelucrarea este necesară în scopul
îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în
domeniul ocupării forțe i de muncă și al securității sociale și protecției sociale, în măsura în care acest lucru este
autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului
intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate) și art. 22 alin.
2 lit. a) din Regulamentul (UE) 679/2019, sub rezerva instituirii de măsuri corespunzătoare pentru protejarea
drepturilor, libertăților și intereselor legitime ale persoanei vizate.

În cazul în care există un contract sau un acord colectiv, se poate detalia în cuprinsul său modul în care se
prelucrează datele personale ale angajaților prin monitorizare, asigurându -se, concomitent, protecția drepturilor
și libertăților fundamentale, în timp ce prin regulamentul intern se precizează (concretizează) aspectele
referitoare la monitorizarea propriu-zisă (reguli concrete pe ateliere, secții, birouri, servicii, departamente, locuri
de muncă).

Dacă nu există contract colectiv de muncă, toate problemele referitoare la monitorizare ar trebui cuprinse în
regulamentul intern (interes/scop, modalități, durată, excepții, consecințe, stocarea și prelucrarea datelor cu
caracter personal). Suplimentar, recomandăm documentarea unor temeiuri suplimentare care să vină în sprijinul
prelucrării datelor cu caracter personal prin monitorizare, și anume, reglementarea în regulamentul intern a unor
reguli de disciplină a muncii pentru verificarea respectării cărora ar fi necesară monitorizarea biometrică a
amprentei. Recomandăm, de asemenea, să consulta ți și dispozițiile art. 5 din Legea nr. 190/2018 privind măsuri
de punere în aplicare a Regulamentului (UE) 2016/679.

Întrebare nr. 6: În situația în care un angajat al unui operator de date cu caracter personal, c u contract
individual de muncă de 4 ore zilnic (part-time) - contabil inspector resurse umane, desfășoară activitatea
la domiciliul său, utilizând calculatorul personal, poate fi considerat ca împuternicit al operatorului? În
caz afirmativ, operatorul (angajatorul) poate încheia cu respectivul un act adițional la contractul

10
individual de muncă cu prevederi din GDPR privind relația operator -împuternicit? Sau se va încheia un
contract distinct de cel de muncă în domeniul prelucrării datelor?

Răspuns: În cazul prezentat de dumneavoastră, contabilul/inspectorul de resurse umane nu este împuternicit al

operatorului de date cu caracter personal, întrucât el își exercită activitatea în calitatea sa de salariat (probabil în
regim de telemuncă) și realizează prelucrarea de date ca atribuție de serviciu stabilită de angajator sau prin fișa
postului. Prin urmare, acesta este un membru al personalului propriu, autorizat de angajator – prin contractul de
muncă și prin fișa postului - să efectueze operațiuni de pre lucrare a anumitor categorii de date cu caracter
personal.

În situația în care respectiva persoană ar fi, spre exemplu, un expert contabil autorizat cu care societatea
dumneavoastră ar fi avut încheiat un contract de prestări servicii de contabilitate și resurse umane, atunci ar fi
fost împuternicit al operatorului, iar contractul de prestări servicii ar fi trebuit să conțină clauze referitoare la
elementele precizate la art. 28 din Regulament.

Referitor la contractul individual de muncă al respectivului salariat, acesta ar trebui să conțină clauze privind
păstrarea confidențialității datelor prelucrate. În fișa postului ar trebui foarte precis detaliate atribuțiile de
prelucrare a datelor, aceste aspecte putând fi stabilite prin încheierea unui act adițional la contractul de muncă.
De asemenea, în procedurile interne aplicabile la nivelul angajatorului în domeniul contabilității și resurselor
umane trebuie precizat clar întregul proces de prelucrare a datelor, astfel încât salariatul să știe ce are voie să f acă
și ce nu are voie să facă.

De asemenea, societatea dumneavoastră, în calitate de angajator și de operator de date cu caracter personal,

trebuie să ia toate măsurile tehnice și organizatorice necesare pentru asigurarea prelucrării datelor de către
salariații proprii în condiții de siguranță și de confidențialitate, mai ales în situația prezentată care, în opinia
noastră, reprezintă un risc suplimentar generat de faptul că salariatul în cauză își desfășoară activitatea la
domiciliul propriu.

Întrebare nr. 7: Potrivit art. 159 din Legea 31/1990: 1) Societatea pe acțiuni va avea 3 cenzori și un
supleant, dacă prin actul constitutiv nu se prevede un număr mai mare. În toate cazurile, numărul
cenzorilor trebuie să fie impar. (2) Cenzorii sunt aleși de adunarea generală a acționarilor. Durata
mandatului lor este de 3 ani și pot fi realeși. (3) Cenzorii trebuie să -și exercite personal mandatul. Se
dorește prelungirea mandatului cenzorilor - în acest sens se convoacă adunarea generală ordinară a
societății. Convocarea se publică în Monitorul Oficial al României, Partea a IV-a, și în unul dintre ziarele

11
larg răspândite din localitatea în care se află sediul societă ții sau din cea mai apropiată localitate. Ca și în
practică, în convocator se menționează și datele de identificare ale cenzorilor (CNP, carte de identitate,
etc.). Cum ar trebui întocmit convocatorul din perspectiva Regulamentului (GDPR)?

Răspuns: Potrivit art. 8 din Legea nr. 202/1998 privind organizarea Monitorului Oficial al României, în Partea a
IV-a se publică, în temeiul unor dispoziții legale, acte juridice referitoare la operatori economici și la alte
categorii de persoane juridice, precum și alte acte stabilite prin dispoziții legale. Putem observa că actele se
publică doar în temeiul unei obligaț ii legale și urmează să vedem în ce măsură legea reglementează conținutul
convocatorului.

Deși la prelungirea mandatului cenzorilor nu se modifică acul constitutiv, caz în care convocarea va trebui să
cuprindă textul integral al propunerilor, cenzorii sunt aleși de adunarea generală care este precedată de un
convocator. În cazul administratorilor și membrilor consiliului de supraveghere, avem prevedere expresă cu
privire la ce trebuie să conțină convocatorul și anume, în convocare se va menționa că lista c uprinzând informații
cu privire la numele, localitatea de domiciliu și calificarea profesională ale persoanelor propuse pentru funcția de
administrator se află la dispoziția acționarilor, putând fi consultată și completată de aceștia.

În schimb, în cazul cenzorilor nu regăsim o astfel de obligație legală, astfel că ne vom rezuma la prevederea
conform căreia convocarea va cuprinde locul și data ținerii adunării, precum și ordinea de zi, cu menționarea
explicită a tuturor problemelor care vor face obiectul dezbaterilor adunării.

Rezultă că textul convocării trebuie să cuprindă:

Ce cuprinde textul convocării, conform legii?

• felul adunării (ordinară sau extraordinară), data, ora, locul ședinței;

• ordinea de zi pe puncte (separându-se ordinea de zi a ședinței ordinare de cea a ședinței extraordinare);

• data de referință, ziua și ora pentru cea de -a doua adunare, când cea dintâi nu s-ar putea ține.
Putem conchide că nu este necesar ca datele cu caracter personal ale cenzorilor să fie menționate în convocator,
dar dacă ar fi menționate, poate fi obținut consimțământul de la aceștia, în care prelucrarea se va face în temeiul
consimțământului.

12
Întrebare nr. 8: Cum trebuie soluționată, de către DPO -ul unei instituții publice, sesizarea unui angajat,
funcționar public, cu privire la apariția într -un ziar local a fișei de pontaj a acestuia?

Răspuns: Din întrebarea dumneavoastră reținem următoarele:

1. a avut loc un incident: în ziarul local a fost publicată fișa de pontaj a unui angajat;
2. angajatul/funcționarul public în cauză (persoana vizată) a formulat o solicitare de informații cu privire la
incident.
3. întrebarea dumneavoastră privește doar „cum ar trebui soluționată de către DPO”.
Pentru început, se impune să arătăm că fișa de pontaj conține date cu caracter personal (nume prenume,
câteodată și CNP, prezența la serviciu, absențe, dacă se află în concediu medical, etc.). Publicarea unui astfel de
înscris într-un ziar, fără consimțământul persoanei vizate, reprezintă un incident de securitate a datelor.

DPO-ul dvs. trebuie să analizeze următoarele:

1. INSTRUMENTAREA INCIDENTULUI: să stabilească dacă fișa de pontaj a ajuns la redacția ziarului ca
urmare a unui incident de scurgere de informații din instituția dvs. (un angajat în mod neautorizat a trimis acest
înscris către ziar, instituția a trimis acest act către ziar, bazele de date ale instituției au fost compromise de către
un hacker)? Sau dacă acest act a ajuns la ziar din alte surse independente de instituția dvs. și pentru care instituția
dvs. nu poartă nicio răspundere (angajatul a trimis fișa de pontaj către ziar sau angajatul a încredințat-o cuiva
care la rândul său a trimis fișa de pontaj către ziar).

În măsura în care s-ar dovedi că sursa de scurgere este din instituția dvs., indiferent dacă a fost divulgată voit (a
trimis-o instituția, caz Darius Vâlcov, Consilierul primului ministru, mediatizat) sau fără voia instituției (fie că
un salariat a sustras aceste informații si le-a împărtășit ziarului fără consultarea instituției, fie că un hacker a
compromis bazele de date ale instituției și a făcut informațiile publice) – în oricare din aceste situații se consideră
că la nivelul instituției dvs. a avut loc un incident de securitate care trebuie notificat ANSPDCP în maximum 72
de ore de la momentul la care ați luat la cunoștință.

Omisiunea în sine reprezintă încă o încălcare distinctă a Regulamentului și duce la agravarea răspunderii
principale. Cu alte cuvinte, pe langă o amendă sau avertisment pentru incidentul propriu-zis, pentru omisiunea de
a notifica incidentul riscati o amendă distinctă și cercetarea disciplinară a serviciului de contabilitate/resurse
umane și a DPO -ului care nu a consiliat instituția să parcurgă procedura de investigare a incidentului și a
notificării ANSPDCP.

13
De asemenea, trebuie să îndepliniți procedurile speciale și să luați măsurile cu privire la
managementul incidentului. Rezultatele acestor proceduri trebuie comunicate odată cu notificarea. La cerere vă
putem consilia și asista punctual, fiindu -ne necesare informații și date concrete.
2. Răspunsul la sesizarea/solicitarea de informații formulată de către angajat/funcționarul public (persoana
vizată).
Cererile de informații sau acces la date (Subject Access Request) necesită a fi soluționate într -un termen de
maximum 30 de zile.
Prin răspunsul formulat aveți obligația să:
- Informați corect persoana vizată asupra investigațiilor efectuate și a situației reale, rezultate ca urmare a
investigațiilor efectuate;
- Să îi aduceți la cunoștință ce măsuri ați luat pentru reducerea prejudiciilor pe care ar putea să le sufere;

Precizăm faptul că răspunsul la această cerere nu se formulează de către DPO, ci de către persoana special
desemnată în cadrul instituțiilor cu soluționarea cererilor SAR (Articolul 12- 15 GDPR).

Obligațiile DPO față de situația indicată:

 Investigarea incidentului;
 Defășurarea procedurii de management a incidentului, consilierea și pregătirea notificării ASPDCP (în
funcție de împrejurările concrete și volumul datelor scurse);
 În funcție de situația concretă, DPO va analiza natura datelor și va stabili dacă datele compromise sunt
date speciale sau nu, va evalua riscurile;
 DPO este cel care va consilia instituția și va indica instituției măsurile pe care trebuie să le ia, va ajuta la
redactarea răspunsului și va informa corespunzător instituția cu privire la drepturile persoanei vizate și ce
trebuie să conțină răspunsul, dar DPO nu semnează răspunsul la această cerere.
 DPO va evalua incidentul, va identifica cauza scurgerii, va verifica dacă personalul responsabil avea sau
nu efectuat trainigul GDPR și va recomanda măsurile ce trebuie luate pentru sancționarea personalului
implicat, va identifica și va recomanda măsurile operaționale și tehnice ce trebuie implementate pentru a
bloca exportul neautorizat al actelor din departamentul RU, conținând date cu car acter personal. DPO va
întocmi un raport în care va detalia toate aceste operațiuni, concluzii și recomandări.

În caz de incident, DPO va lua în considerare inclusiv formularea unor solicitări de clarificări de la redacția
ziarului. Va putea recomanda inclusiv eliminarea publicației (dacă este online).

14
Precizăm faptul că datele furnizate de către dvs. sunt generale și, în consecință, răspunsul sintetizează măsurile
de bază. Cercetarea informațiilor detaliate și analizarea situației concrete poate determina necesitatea aplicării și
altor măsuri concrete, raportate la împrejurări.

Întrebare nr. 9: În situația următoare ce este considerat prelucrare de date personale? La un vizitator la
societate am nevoie pentru evidența numele, prenumele și adresa de domiciliu. 1. Identific pe baza pozei
din Cartea de Identitate dacă este posesorul real – nu scanez, nu rețin, doar vizual – este considerat
prelucrare de date biometrice? 2. Trec în registrul de vizitatori numele, prenumele, adresa de domiciliu –
este corect că aceasta înseamnă prelucrare de date personale în interes legitim? 3. Pe CI mai figurează și
alte date personale, dintre care și sensibile (CNP, Nr. act, data și locul nașterii), pe care nu folosesc în
niciun fel, dar pot să văd – este considerat prelucrare de date personale pentru aceste date? Menționez că
nu rețin CI, nu scanez sau nu fac copie de nici un fel. Doar verific, extrag datele conform pct.2, acestea în
fața persoanei vizate, după care înapoiez CI.

Răspuns: 1. Conform DEX, „biometric” (despre sisteme de securitate computerizate) se referă la acel sistem
care este capabil să recunoască amprentele digitale, timbrul vocii, matricele vaselor de sânge de pe retină, chiar
ritmul de lucru la tastele unui calculator sau la clapele unei mașini de scris, pentru identificare și permiterea
accesului în interiorul unei clădiri ori instalații , la un birou, la o mașină de scris sau computer). Pe de altă parte,
toate sistemele biometrice operează pe baza unor identificări/autentificări/verificări automate a unei persoane,
ceea ce nu este cazul în situația expusă. Elementul care face distincție între diferite sisteme este natura datelor
biometrice și tipul de stocare a acestora. Operarea pe baza sistemelor biometrice presupune patru pași : colectarea
datelor, extracția, comparația și decizia. Definiția datelor biometrice o regăsiți și în cuprinsul art. 4 pct. 14 din
Regulamentul (UE) 2016/679.
2. Pentru a-și îndeplini atribuțiile de serviciu, personalul de pază este obligat să folosească anumite registre,
conform Normelor Metodologice din 11 aprilie 2012 de aplicare a Legii nr. 333/2003 privind paza obiectivelor,
bunurilor, valorilor și protecția persoanelor aprobate prin H.G. nr. 301/2012. Printre acestea, se numără inclusiv
registrul de evidență a accesului persoanelor.

Modelul oficial al registrului respectiv este anexat la actul normativ indicat, iar în acesta trebuie trecute
următoarele date personale: prenumele, numele, seria și numărul actului de identitate. În plus, mai este nevoie de
destinație, ora sosirii, ora plecării și eventuale observații. Este, așadar, vorba despre o prelucrare realizată ca
urmare a unei obligații legale, prin urmare, acesta este temeiul prelucrării. Însă, personalul de pază poate cere, în

15
esență, numai datele personale prevăzute de legislație. Prelucrarea altor date personale în afară de acelea se poate
face numai în baza unui alt temei.
3. În România, prelucrarea unui număr de identificare național este reglementat în art. 4 din Legea nr. 190/2018.
În aparență, pentru a fi considerat că se prelucrează CNP ar trebui, conform lit. c) (ce impune stabilirea unor
termene de stocare) ca acesta să fie stocat, împrejurare care nu se confirmă în situația expusă. Într-o interpretare
riguroasă și extensivă a textului art. 4 din Legea nr. 190/2018, datele cu caracter personal pe care le colectați
(nume, prenume, adresă exactă) reprezintă date ce asigură în mod direct identificarea unei persoane vizate,
situație ce impune asigurarea garanțiilor prevăzute de lege (măsuri tehnice și organizatorice, numirea unui DPO,
stabilire termene de stocare, instruire periodică).

Mai exact, nu este în mod neapărat necesar să stocați CNP pentru a fi obligatorie asigurarea garanțiilor prevăzute
de lege, fiind suficient să stocați date cu caracter personal care asigură identificarea. Această categorie de date cu
caracter personal nu reprezintă date cu caracter special a șa cum sunt definite de GDPR, ci au o reglementare
specifică, tocmai prin forța lor de identificare a unei persoane vizate, nefiind necesar ca numele, prenumele și
adresa exactă, împreună, să fie corelate/combinate cu alte elemente de date cu caracter personal pentru a
identifica o persoana vizată.

Retineți și faptul că prin „consultare” înțelegem examinarea, vizualizarea, interogarea ori cercetarea datelor cu
caracter personal, fără a fi limitate la acestea, în scopul efectuării unei operațiuni sau set de operațiuni de
prelucrare ulterioară, iar prin extragere - scoaterea unei părți din categoria specifică de date cu caracter personal,
în scopul utilizării acesteia, separat și distinct de prelucrarea ini țială, putând aprecia că simpla consultare a
documentului de identitate poate constitui o prelucrare de date cu caracter personal, prin „dezvăluirea
documentului ce conține număr de identificare național” (conform art.4 din Legea nr. 190/2018), făcută tocm ai în
scopul efectuării unei prelucrări ulterioare, respectiv, extragerea datelor personale înregistrate/stocate, prelucrare
efectuată în mod distinct de prelucrarea inițială.

Întrebare nr. 10: Ce măsuri trebuie să întreprindă o companie privată de producție în vederea
conformării cu GDPR ?

Răspuns: Pentru a identifica în concret ce măsuri se impun a fi implementate în societatea dumneavoastră,

primul pas este:
• identificarea activităților care implică prelucrarea datelor cu caracter personal
• identificarea personalului implicat în prelucrarea datelor

16
• fluxul acestor date în societate
• identificarea riscurilor (pentru persoanele vizate, cele cărora le aparțin datele).

Chiar dacă sunteți societate de producție, putem imagina cel puțin activ ități de prelucrare a datelor, precum:
• Datele salariaților proprii – departamentul de HR și contabilitate;
• Prelucrări ale datelor de către departamentul de achiziții sau/și desfacere;
• Departamentul de marketing;
• Registratura – secretariat;
Această enumerare este una exemplificativă, dvs. trebuie să faceți o analiză și să le identificați în mod concret.

Pașii pe care trebuie să îi urmeze societatea dvs. sunt:

a) Să desemneze echipa responsabilă cu definirea strategiei de implimentare a GDPR la nivelul companiei. Un
rol esențial în implimentarea și organizarea sistemului de protecție la nivelul companiei îl are departamentul IT.
b) Compania trebuie să stabilească un sistem foarte clar și strict de reguli de urmat și să asigure formulare scrise
pentru situațiile unde este necesară obținerea consimțământului scris, care va trebui să fie utilizat de către
angajații dumneavoastră de fiecare dată când se colectează date, astfel decât în baza legii, a unui interes legitim
sau în baza contractului (departamentul HR, secretariat, toți cei care în orice mod colectează date cu caracter
personal, etc.). Fiecare angajat trebuie să se responsabilizeze cu toată seriozitatea cu privire la GDPR.

Angajații trebuie să fie informați corect de către compania anga jatoare să nu solicite și să nu primească sau să
folosească pentru companie date cu caracter personal ale persoanelor, decât strict pentru realizarea scopului de
activitate, colectându-le și utilizându-le sau procesându-le în mod licit și doar pe baza unui Acord prealabil
explicit, dat expres de către persoana vizată și semnată de către aceasta. Acordul se va colecta de către angajat
doar după ce, în prealabil, s-a asigurat că persoana vizată a fost informată în mod corespunzător asupra scopului
colectării datelor sale și asupra modului în care acestea vor fi folosite.

c) Pregătirea angajaților: toți trebuie să fie implicați în respectarea GDPR – toți trebuie responsabilizaţi cu privire
la GDPR - Everyone should care about GDPR. Tuturor angajaților, atât ce lor existenți, cât și celor noi sosiți în
companie, trebuie să li se asigure de către companie pregătirea profesională cu privire la GDPR. Compania este
obligată să asigure în mod activ și efectiv tot suportul și ghidarea în vederea asigurării corectei apl icări a GDPR.
d) Societatea trebuie să se asigure că a amendat și completat în mod corespunzător Fișele postului la toți angajații
implicați în procesul de colectare, procesare, stocare sau utilizare în orice mod a datelor cu caracter personal. De
asemenea, societatea va instrui expres toți angajații cu privire la implicațiile GDPR. Compania trebuie să asigure

17
pregătirea tuturor angajaților săi și să se asigure că toți angajații au înțeles modul de aplicare al GDPR și regulile
interne. Toți angajații impli
implicați
cați trebuie să semneze câte o declarație prin care să arate că ei au participat la cursul
de pregătire, că au înțeles întocmai întreaga procedură și se angajează să aplice toate măsurile și să respecte toate
regulile GDPR precum și procedura internă a com paniei privind măsurile de protecție a datele cu caracter
personal.

De asemenea, fiecare salariat implicat trebuie să își asume prin declarație că se angajează în mod personal să nu
divulge și să nu utilizeze în niciun fel și în nicio circumstanță datele cu caracter personal de care a luat cunoștință.
Doar strict în scopul exercitării atribuțiilor de serviciu și doar în scop licit, cu respectarea strictă a limitelor
indicate persoanei vizate asupra cărora aceasta și -a dat acordul.

e) Întocmirea Procedurilor interne GDPR în funcție de specificul activității;

f) Să analizați dacă se impune desemnarea Responsibilul pentru Protecția Datelor (Data Protection Officer -
DPO). Din descrierea dumneavoastră ar părea că nu, dar este necesară o analiză concretă, în funcție de tipul de
date colectate, numărul datelor, scara la care colectați, natura datelor, etc.

Operatorul de date trebuie să își desemneze un responsabil pentru protecția datelor în cazul în care activitatea
principală a operatorului de date constă în operațiuni de prelucrare care necesită o monitorizare regulată și
sistematică a persoanelor vizate pe scară largă sau în cazul în care activitatea principală a operatorului de date
(sau a împuternicitului acestuia) constă în prelucrarea pe scară largă de categorii speciale de date cu caracter
personal și de date privind condamnările penale și infracțiunile.

Este recomandată numirea unui responsabil pentru protecția datelor la nivelul operatorului de date și în afara
cazurilor de mai sus, întrucât în acest fel poate fi asigurată respectarea prevederilor Regulamentului.

g) SISTEME DE SECURITATE. Societatea trebuie să se asigure de implementarea unor sisteme de securitate

adecvate: alarme, seifuri, programe de securitate IT, sisteme de protecție tehnică, et c. Pe piață sunt lansate astfel
de sisteme de securitate de către furnizori de servicii de securitate IT.
h) Desemnați o persoană responsabilă cu soluționarea cererilor de acces. Pregătiți-vă să acționați în cazul unei
“cereri de acces la date” – persoanele au dreptul să solicite și să primească accesul la toate datele lor personale și
să fie informate cu privire la ce date în concret deți neți cu privire la ele, cum le folosiți și dacă le transferați sau
nu și altor terți. Ei au dreptul să le fie furnizate aceste informații pe un suport material “dur”. Această măsură este
cunoscută sub denumirea de “dreptul la cererea de acces” – ‘subject access request’ sau “SAR”.

18
Compania dvs. trebuie să fie capabilă să asigure funcționarea acestui proces SAR, să găsească toate informațiile
și să răspundă într-un termen maxim de o lună de la primirea cererii. GDPR a redus termenul de răspuns la 30 de
zile și a eliminat taxa de 10 euro.
i) Întocmiți și păstrați Registrul de evidență a activităților de prelucrare a datelor dacă intrați sub incidența
Articolului 30(5) GDPR;
j) ÎNCĂLCAREA SECURITĂȚII DATELOR/DATA BREACHES. Obligația de a notifica autoritatea de
supraveghere în termen maxim de 72 ore după ce a luat la cunoștință de existenta situației de încălcare a da telor
(se iau în calcul zilele libere, vacanțele, sărbătorile legale, inclusiv sâmbăta și duminica), de asemenea trebuie
notificată și persoana vizată.

Pentru a vă asigura că societatea este într-o formă bună și pregătită să gestioneze o situație de scurgere a datelor,
societatea trebuie să ia următoarele măsuri:
• să elaboreze și implementeze proceduri clare şi simple de gestionare a situațiilor de scurgere a datelor. • se va
elebora un plan de acțiune în caz de încălcare/scurgere a datelor (Data Breach Response Plan);
• să va asigura training-ul angajaților și persoanelor implicate în vederea aplicării și aducerii la îndeplinire a
planului de acțiune;
• este necesară întocmirea unei liste scurte a persoanelor care trebuie contactate în cazul în care intervin situaţii
de încălcare/scurgere a datelor (managerii responsabili, avocatul, etc.). Societatea trebuie să asigure o atribuire
clară a responsabilităților în temeiul planului de acțiune.

Documentarea și arhivarea dovezilor

Trebuie să vă asigurați că aveți salvate și puteți oricând pune la dispoziția Autorității de supraveghere evidente
foarte bine organizate și complete privind modul de colectare și procesare a datelor, acordurile persoanelor vizate,
precum și procedurile pr ivind tipul de date colectate, modul de depozitare, colectare transfer. Trebuie să fi ți
pregătiți cu argumente legale prin care să vă puteți justifica acțiunile de colectare și procesare a datelor.

Lista scurtă a celor 10 acțiuni de luat

1. Desemnați pers oana și echipa responsabilă cu urmărirea aplicării GDPR;
2. Identifică toate sistemele în care se colectează sau/și stochează (make a laundry list);
3. Stabiliți dacă sunteți colector sau/și processor de date. Identificați care sunt procesorii dvs. de da te. Rețineți că
Operatorul trebuie să se asigure că la momentul colectării prezintă Polița de Confidențialitate și obține de la
persoana vizată Acordul Scris.

19
4. Păstrați evidența și stocați corect toate operațiunile de colectare a datelor în fiecare sist em de colectare.
Înțelegeți corect mecanismul fiecărui sistem de colectare a datelor și faceți proceduri angajaților, pregătiți -i prin
organizarea trainingului obligator la nivelul unității şi verificați -le cunoștințele;
5. Implementați mecanismul și proc edurile care să asigure ștergerea datelor/stabilete termene precise de ștergere
periodică și revizuire a datelor (right to be forgotten);
6. Asigurați-vă că aveți capacitatea tehnică și operațională de a asigura portarea datelor (data portability);
7. Consimțământul scris. Acolo unde este necesar cosimțământul scris. Verificați-vă dacă puteți prezenta dovezi
că ați cerut persoanelor vizat acordul corespunzător la colectarea datelor? Puteți dovedi că în cadrul campaniilor
de marketing fiecare participant a optat și și-a dat acordul expres cu privire la participarea la folosirea datelor
sale? Puteți, realmente, asigura în mod eficent și imediat ștergerea și portarea datelor dacă azi o persoana vă cere
acest lucru? Cum dovediți?
8. Implementați politici și termene clare de actualizare și revizuire a tuturor sistemelor de securitate (IT,
programe de securizare IT firewall, seifuri, parole acces limitat al persoanelor autorizate, etc.). Identificați și
determinați unde aveți scăpăr i sau punctele dvs. slabe. Luați măsuri!
9. Actualizați și revizuiți planul de acțiune în caz de încălcare a datelor. Trebuie să vă asigurați că aveți pârghii
serioase și suficiente să depistați și să notificaţi o încălcare/scurgere/acces neautorizată în maximum 72 de ore.
Creați sisteme și proceduri clare și asigurați -vă că cei implicați le cunosc și le aplică. Simulați și verificați
angajații și persoanele împuternicite;
10. Revizuiți și actualizați contractele cu furnizorii actuali de servicii (persoan e împuternicite, operatori asociați),
asigurați -vă că ei au implementat proceduri adecvate și au luat măsurile necesare conform GDPR .
Acestea sunt informațiile de bază. Măsurile concrete care sunt necesare la nivelul unei societății se pot identifica
doar după efectuarea evaluării efective. Evaluarea cu obiectivele indicate la începutul răspunsului o puteți face
intern prin responsabili desemnați cu pregătire în domeniu, fie serviciul de evaluare poate fi contractat unor
specialiști GDPR externi.

Foarte important! Fiind societate de producție este posibil să folosiți sisteme de monitorizate video sau/şi GPS
auto (tracking auto).
Atenție, au fost introduse noi obligații GDPR prin dispozițiile art.5 din Legea 190/2018. Şi anume: Prin art. 5 al
Legii nr. 190/2018 s-au stabilit obligații noi în sarcina angajatorului, privind supravegherea prin mijloace de
monitorizare video (CCTV) sau prin sisteme de monitorizare prin mijloace de comunicații electronice (tracking
auto în trafic, etc.).

20
Şi anume: Art. 5. - Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă în cazul în care sunt
utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere
video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor
legitime urmărite de angajator, este permisă numai dacă:
a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau
drepturilor și libertăților persoanelor vizate;
b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
c) angajatorul a consultat sindicatul său, după caz, reprezentanții angajaților înainte de introducerea sistemelor de
monitorizare;
d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și -au dovedit
anterior eficiența; și
e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30
de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

IMPORTANT (!)
După data de 1 august, 2018 nu mai puteți folosi sisteme de monitorizare video (CCTV) decât după parcurgerea
următoarelor proceduri:
1. Consultarea Reprezentanților salariaților/Sindicatului. Implimentare: solicitați salariaților (e -mail către toți
salariații, înștiințare pe portalul intranet, cu indicarea termenului limită) să vă desemneze 2-3 reprezentanți ai
salariaților și semnați cu acești reprezentanți Procesul Verbal.
2. Informarea completă, prealabilă și detaliată a tuturor salariaților. Implimentare: la cerere, vă putem trimite
următoarele acte: a. Informarea salariaților; b. Procesul verbal și Tabelul nominal (care trebuie completate. Toți
angajații, inclusiv cei din țară (și cei contractați prin agenți de muncă temporară), vor semna acest proces verbal
și tabelul nominal în dreptul numelui); Vă rog publicați această informare inclusiv intranet.
3. În Procesul verbal și în Informare veți menţiona că obiective nu doar spațiile unde deja aveți CCTV, dar și
acele spaţii unde vă trebui să le implimentați în viitor (căci informarea este prealabilă: adică, nu trebuie deja să le
și aveți instalate, le puteți instala în viitor). ATENȚIE că pentru implementarea corespunzătoare a GDPR vor
trebui instalate CCTV în spatiile unde este arhiva, unde sunt serverele cu bazele de date, unde sunt bibliorafturile
dosarelor de personal, etc. RECOMANDĂM să le treceți acum în Informare și PV toate acele spații unde vreți în
viitor să instalați CCTV, pentru că altfel, vă trebuie să reluați procedura de informare & consultarea a
reprezentanților salariaților.

21
4. Toate spațiile unde sunt instalate deja CCTV se vor semnala prin afișaj (cuvinte și imagi ne). Ideal este că și
autoturismele care sunt urmărite în trafic (GPS, tracking auto, tracking la calculatoare) să fie semnalizate prin
aptibild.
5. Notificați în scris furnizorul de servicii de pază (dac ă ei monitorizează CCTV) să ia de îndată următoarele
măsuri:
a. Afișajul obligatoriu (cuvinte și imagine);
b. Să seteze sistemele video să nu stocheze imagini mai vechi de 30 de zile;
c. Să nu instaleze fără informarea dvs. prealabilă cu minim 30 de zile a vreunor alte CCTV.
6. În cazul în care aveți autoturisme pe care le utilizați în leasing, iar compania de leasing are instalate pe aceste
autoturisme sisteme de urmărire în trafic (tracking auto) trebuie să notificați societatea de leasing, solicitând să
nu stocheze înregistrări mai vechi de 30 de zile.
7. Acele sisteme de monitorizare care sunt gestionate de către dvs, efectuați de îndată setarea acestora să nu
stocheze imagini/înregistrări mai vechi de 30 de zile.
8. Dacă în viitor veți instala dvs. sau furnizorul dvs de servicii de paz ă și protecție și în alte spații a unor CCTV,
care nu au fost prevăzute în informarea actuală, va trebui să reluați întreaga procedură (consultarea
reprezentanților legali & informarea salariaților) cu respectarea procedurilor descrise.
9. Amendarea în mod corespunzător a ROI. Versiunea amendată a ROI vă rog să o aduceţi la cunoştinţă tuturor
salariaţilor prin semnătură (tip tabel) și să o publicați intranet, cu acces a tuturor salariaților. Amendarea ROI este
recomandată, întrucât aceasta procedură de informare a avut loc la 1 august 2018. Pentru noii angajați, nu se va
relua de fiecare dată informarea. Noii angajați care vor veni în companie, vor lua la cunoștință despre această
informare prin semnarea de luare la cunoștință a ROI, odată cu semnarea actelor de angajare.

22
 TOP 10 întrebări și răspunsuri referitoare la implementarea GDPR

V-ar putea interesa și:

Monitorizarea 100% legală a angajaților

www.monitorizare-dataprotection.manageronline.ro

TOP 30 de condamnări penale pentru contabili

www.condamnari.manageronline.ro

147 modele de contracte civile și acte comerciale

actualizate

www.contracte-civile.e-juridic.ro

http://portalprotectiadatelor.ro