Chestionar de auto-evaluare a conformitatii organizatiei cu GDPR

Preambul:
Conform Art. 37(1) din GDPR desemnarea unui DPO este obligatorie în trei situații specifice 1:

a) atunci când prelucarea este efectuată de o autoritate publică sau un organism public 2

b) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de
prelucrarea care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau

c) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe
scară largă a unor categorii speciale de date 3 sau a unor categorii de date cu caracter personal privind condamnări penale și
infracțiuni.

Cu excepția cazului în care este evident faptul că o organizație nu este obligată să desemneze un DPO, GDPR
recomandă ca operatorii și persoanele împuternicite de operator să documenteze evaluările interne efectuate pentru
a determina dacă va fi numit un DPO, pentru a fi în măsură să demonstreze că au fost luați în considerare în mod
corespunzător factorii relevanți. Această analiză, care reprezintă o parte a documentației potrivit principiului responsabilității
poate fi solicitată de autoritatea de supraveghere și ar trebui actualizată atunci când este necesar, de exemplu, în situația în
care operatorii sau persoanele împuternicite de operatori întreprind activități noi sau furnizează servicii noi care se pot încadra
în cazurile enumerate la art. 37(1).
În situația în care o organizație numește un DPO în mod voluntar, condițiile de la art. 37-39 se aplică numirii, poziției
și sarcinilor ca și cum desemnarea ar fi obligatorie.
Nimic nu împiedică o organizație, care nu are obligația legală de a desemna un DPO și nu dorește să desemneze un
DPO în mod voluntar, să angajeze personal sau consultanți externi cu sarcini legate de protecția datelor cu caracter
personal.În acest caz, este important să se asigure că nu există nicio confuzie în ceea ce privește titlul, statutul, poziția și
sarcinile acestora. Prin urmare, trebuie clarificat, în orice comunicare din cadrul companiei, precum și
cu autoritățile pentru protecția datelor, persoanele vizate și publicul larg, că titlul acestei persoane sau consultant nu este cel
de responsabil cu protecția datelor (DPO)4.
DPO, fie numit obligatoriu sau voluntar este desemnat pentru toate operațiunile efectuate de operator sau persoana
împuternicită de operator.

N.B. Scopul acestui chestionar este tocmai acela de a veni in sprijinul dvs. pentru efectuarea
unei evaluarii interne preliminare, necesare deciziei pregatirii si numirii unui DPO.

Organizatia dvs. se afla intr-una din situatiile specifice prevazute de Art. 37(1) din GDPR, descrise mai sus ?

o DA => desemnarea unui DPO este obligatorie

o NU => desemnarea unui DPO este voluntara, in baza unei evaluari interne si a recomandarii
rezultate in baza raspunsurilor dvs. la acest chestionar.

1
Rețineți faptul că potrivit art. 37(4), dreptul Uniunii sau dreptul intern poate impune numirea unui DPO și în alte situații.
2
Cu excepția instanțelor care acționează în exercițiul funcției. A se vedea art. 32 din Directiva (UE) 2016/680.
3
Potrivit art. 9, acestea includ date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice
sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a
unei persoanei fizice, de date privind starea de sănătate sau de date privind viața sexuală sau orientarea sexuală a unei persoane fizice.
4
Acest lucru este de asemenea relevant pentru responsabilii principali cu protecția datelor (CPO – chief privacy officers) sau alți profesioniști în domeniu din
cadrul companiilor care nu respectă întotdeauna cerințele RGPD, spre exemplu, în legătură cu resursele disponibile sau garanțiile de independență și, dacă
nu sunt respectate, nu pot fi considerați sau numiți DPO.
 ORGANIZATIA:

CUI:
PERSOANA CONTACT:

EMAIL:

A. Structura organizatorică

1. Exista in organizatia dvs. un cod etic intern (un set de reglementări sau de bune practici interne pentru protejarea
confidențialitatii?

o DA - 5 puncte
o NU / Nu stiu - 0 puncte

2. Efectuati prelucrarea datelor cu caracter personal în organizatia dvs.? (Date cu caracter personal, în sensul GDPR înseamnă
orice informație referitoare la o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă
este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator cum ar fi nume, număr de identificare
(CNP), date despre resedinta, identificator(i) online (e-mail tel.) sau identificatori specifici de natura fizica, fiziologica, genetică,
mentală, economică, culturală sau socială a persoanei in cauza.)

o DA - 0 puncte
o NU - 10 puncte

3. Aveți implementat un proces de identificare și gestionare a incidentelor de securitate a informațiilor? (de exemplu, un proces
independent de gestionare a incidentelor de securitate, implementat în cadrul unui sistem de management al securității
informațiilor, care include cazuri de încălcare a confidențialități).

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

B. Date personale și procesare

4. Colectați și procesați date personale pentru angajații sau clientii dvs. din categoria celor de mai jos ?
 Informații generale: numele, vârsta și data nașterii, sexul, starea civilă, cetățenia, adresa IP, fotografie sau alte
materiale vizuale;
 Date financiare (numere de card de credit, conturi bancare etc.);
 Informații organizatorice: locul de muncă și adresa de e-mail personale, sau telefon mobil cu caracter personal,
adresele personale, pașaport și carte de identitate, numărul de securitate socială sau de altă autentificare și
identificare.

o DA - 0 puncte
o NU - 5 puncte

5. Colectati si prelucrati date personale din categoria celor de mai sus în scopuri de marketing si/sau pentru a trimite mesaje
comerciale (newsletter, campanii de promovare prin e-mail /mailchimp etc.) ?

o DA - 0 puncte
o NU - 10 puncte

6. Se face o analiză a riscurilor de date cu caracter personal in organizatie, care sa va permita luarea de măsuri împotriva utilizarii
abuzive a datelor cu caracter personal ?

o DA - 5 puncte
o NU / Nu stiu - 0 puncte

7. Transmiteti date cu caracter personal de la / către clienți (sau alte terțe părți)?
 o DA - 0 puncte
o NU - 5 puncte

8. Solicitati acordul persoanei vizate de a va furniza datele sale personale pentru fiecare prelucrare, prezentandu-i motivele colectării
și prelucrării ulterioare a datelor, solicitandu-i inclusiv acordul pentru furnizarea de date cu caracter personal către terți ?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

9. Faceti prelucrarea datelor cu caracter personal exclusiv în scopurile pentru care ați primit consimțământul persoanei vizate ?
o DA - 10 puncte
o NU / Nu stiu - 0 puncte

10. Daca faceti campanii de marketing sau alte comunicări de business pe cont propriu, sau prin terțe părți, daca folosiţi servicii de
call center sau daca aveţi un magazin virtual, GDPR prevede obținerea consimțământului prealabil pentru prelucrarea datelor
personale de la persoana vizata care se abonează voluntar la newsletterul dvs., sau comanda produse online (așa-numitul opt-
in).
Respectati cu strictete aceasta prevedere ?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

11. Acordaţi acces la datele cu caracter personal (stocate pe e-mail sau baze de date fizice sau cloud ale oraganizatiei) partenerilor
externi (administratorii de site sau hosting magazin virtual, consultanți fiscali, auditori, avocați, consultanți IT etc)? Tineti o
evidenta cu toți partenerii externi, cărora le sunt furnizate datele cu caracter personal? Exista semnate contracte de prelucrare a
datelor cu caracter personal cu acestia?

o DA - 0 puncte
o NU - 5 puncte

12. Exista o procedură internă de urmat în cazul retragerii acordului persoanei vizate pentru prelucrarea datelor sale cu caracter
personal? Inregistrați consimțământul si retragerea acestuia si actualizați corespunzator baza de date?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

13. Stergeti datele cu caracter personal, atunci cand nu mai este necesară păstrarea lor, sau cand are loc retragerea consimțământului
persoanei vizate? (Ştergeți sau nu mai procesați datele personale întrucît, scopul procesarii acestora, pentru care s-a luat
acordul persoanei vizate nu mai este de actualitate sau a expirat perioada stabilita în scopul procesării ?Se face ștergerea din
toate bazele de date (electronice, inclusiv backup, cat si pe suport de fizic)?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

C. Securitatea informațiilor

14. Aveti un responsabil pentru gestionarea informațiilor de siguranță ale organizaţiei dvs.?
o DA - 10 puncte
o NU / Nu stiu - 0 puncte

15. Aveți implementat un sistem de management al securității informațiilor in organizatia dvs.?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte
16. Exista politici sau linii directoare de securitate care se aplică in organizația dvs.?
o DA - 5 puncte
o NU / Nu stiu - 0 puncte

17. Este asigurata securitatea informațiilor în raport cu furnizorii? Sunt partajate contractele pentru confidențialitatea informațiilor?
Este angajamentul de asigurare a securitatii informațiilor stipulat in contractele cu furnizorii?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

18. Asiguraţi cunoașterea de către personalul organizatiei dvs. a normelor de protecție a informațiilor? Se face o instruire periodica a
angajaților in acest sens?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

19. Tineti o evidenta a incidentelor de Securitate ( acces neautorizat, pierderi de date, etc) ?Aveti un mecanism de evitare a
încălcării securitatii datelor interne? Există regulamente interne în acest scop?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

20. Efectuati un audit (intern/extern) de securitate regulat în organizația dvs.? Este domeniul protecției datelor cu caracter personal
inclus in acest audit?

o DA - 10 puncte
o NU / Nu stiu - 0 puncte

21. Sunt protejate informațiile personale ale companiei dvs. împotriva utilizării incorecte, pierderii, distrugerii, dezv ăluirii sau
accesului neautorizat?Folosiți pseudonimizare sau alte tehnici de criptare?
o DA - 10 puncte
o NU / Nu stiu - 0 puncte

22. Aveți realizat un plan de securitate la nivelulul organizației dumneavoastră ?

Cuprinde acesta cel putin următoarele categorii de activități pentru asigurarea securității ? :
- administrarea accesului si instruirea personalului care are acces la infrastructura IT&C;
- certificarea, acreditatea și evaluarea securității cibernetice;
- managementul arhitecturii infrastructurii IT&C;
- managementul situațiilor de criza apărute în funcționarea infrastructurii IT&C ;
- identificarea și autentificarea utilizatorilor infrastructurii IT&C;
- raspunsul la incidente de securitate IT&C;
- mentenanța si auditul infrastructurii IT&C;
- protecția la nivel software și hardware a infrastructurii IT&C;
- planificarea activităților de verificare a respectării politicilor de securitate;
- evaluarea riscurilor de securitate;

o DA - 10 puncte
o NU / Nu stiu - 0 puncte
23. Exista sisteme video/audio montate in sedii? Exista GPS, telefoane de serviciu cu posibilitate de urmarire a
angajatilor? Cit timp sunt stocate imaginile/informatiile si unde. Cine se ocupa
24. Exista sisteme de control acces, sisteme de pontaj electronic?
25. Exista sisteme de alarma cu monitorizare si interventie-parole de acces?
26. Exista site/ pagina facebook/ alte media ale companiei?Se folosesc date sau foto ale angajatilor/clientilor
PF?
27. Numar angajati/Numar sedii/ Acoperire zonala/regionala/nationala
 28. Cum sunt tratate mailurile personale/ cercetare in cadrul operatorului
29. Angajatii folosesc dispositive inteligente/computer/linkuri spre firma de acasa?
30. Exista asigurari de orice gen ale angajatilor, unde se transmit date personale ale angajatilor?
31. Numar de clienti/cifra afaceri
EVALUARE: Faceti suma punctelor acordate fiecarui raspuns de mai sus, verificati unde se incadreaza organizatia dvs. in grila de mai jos si
procedati in consecinta pentru a aplica si respecta prevederile GDPR !

 170-175 de puncte => Organizatia dvs. respecta intru-totul cerintele GDPR. Felicitari !
 150-170 de puncte => Organizatia dvs. respecta in buna masura cerintele GDPR, pregatirea unui DPO nefiind necesara, ci doar numirea voluntara
pe aceasta pozitie a celui care are meritul de a fi adus organizatia pe acest palier , in scopul supravegherii respectarii permanente a GDPR, prin
punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau
facilitarea auditurilor).Un DPO acționează si ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele
vizate și unitățile de afaceri din cadrul unei organizații).
 100-150 de puncte => Organizatia dvs. respecta partial cerintele GDPR, astfel incat pregatirea unui DPO este necesara, iar numirea acestuia, chiar
daca este voluntara este recomandata in vederea implementarii acelor masuri neconforme cu prevederile GDPR și, în plus, poate reprezenta un
avantaj competitiv pentru compania dvs., mai ales in perspectiva dezvoltarii acesteia.
 50-100 de puncte => Organizatia dvs. nu respecta decat cateva din cerintele GDPR, astfel incat pregatirea unui DPO este absolut necesara, iar
numirea acestuia in mod voluntar este cu fermitate recomandata in vederea implementarii masurilor necesare alinierii la prevederile GDPR.
 0-50 de puncte => Organizatia dvs. nu respecta cerintele GDPR, astfel incat pregatirea unui DPO este obligatorie, iar numirea acestuia in mod
voluntar se impune ca o necesitate in scopul implementarii prevederilor GDPR.