Curs GDPR v1.2

PROTECȚIA DATELOR CU
CARACTER PERSONAL
Ghid introductiv pentru angajați
Adrian Munteanu - CIPM, CISA, CRISC
Adrian Munteanu – Ghid introductiv Protecția datelor personale
Adrian Munteanu este profesor universitar doctor în cadrul Facultății

de Economie și Administrarea Afacerilor – Univ. Alexandru Ioan Cuza
din Iași, unde predă cursuri despre securitatea informațiilor, auditul
sistemelor informaționale, guvernare și managementul serviciilor IT.
Din februarie 2017 este co-președintele filialei din România a IAPP
(International Association of Privacy Professionals
(https://iapp.org/about/chairs/knowledgenet) și instructor pentru
cursuri certificate IAPP.
Este expert ENISA (European Union Agency for Network and
Information Security, 2014) în domeniul managementului riscurilor.De
asemenea, este Certified Information Privacy Manager (CIPM, 2017),
Computer Information System Auditor (CISA, 2006), Certified in Risk
and Information Systems Control (CRISC, 2010), COBIT Foundation
Certificate (2009) , ITIL Foundation Certificate (2007).
Are o experiență de peste 10 ani în:
• proiecte de audit (internet banking, securitate IT, proiecte IT,
proiecte finanțate prin fonduri UE);
• consultanță (continuitatea afacerii, analiză de impact, analiza
decalajelor, evaluarea maturității proceselor, evaluarea riscurilor,
soluții tehnice de securitate – DLP, SIEM, endpoint etc);
• implementarea de standarde și bune practici de securitate
(ISO 27001, COBIT, ISO 20000/ITIL) instruire ITC (CISA, CIPM).
© Adrian Munteanu, 2017-2018

Reproducerea acestui material fără acordul autorului constituie o
încălcare a legii. Acest ghid grupează într-o formă structurată
articolele publicate în intervalul 2016-2018 la adresa
http://adimunteanu.com sau www.linkedin.com
2
CUPRINS
Capitolul 1 - REGULAMENTUL (UE) 2016/679 ..................................................................................6
1.1 GDPR - pricipalele noutăți ................................................................................................7
1.2 Amenzi pentru nerespectarea cerințelor.........................................................................8
1.3 Relevanța GDPR pentru organizație.................................................................................8
1.4 Domeniul de aplicare și acoperire .................................................................................11
1.5 Drepturile persoanei vizate ............................................................................................12
Capitolul 2 - Bune practici – managementul programului ...................................................................15
2.1 Ciclul de viață al programului.........................................................................................15
2.2 Pregătirea programului ..................................................................................................16
2.2.1 Implicarea managementului și educarea părților implicate ....................................16
2.2.3 Ciclul de viață al datelor ........................................................................................18
2.3 Operarea programului ....................................................................................................19
2.3.1 Principiile GDPR ....................................................................................................19
2.3.2 Modificarea comportamentului la nivel operațional ...............................................20
2.3.3 Cererile persoanei vizate.......................................................................................20
2.3.4 Încălcarea securității .............................................................................................20
2.4 Întreținerea programului................................................................................................21
2.4.1 Responsabilitatea ....................................................................................................21
2.4.2 Raportarea ...............................................................................................................21
2.4.3 Înțelegerea schimbărilor organizaționale și a impactului asupra datelor personale

..........................................................................................................................................21
2.4.4 Prelucrarea datelor de către terți ............................................................................22
Capitolul 3 - Implementarea programului..............................................................................................23
3.1 Definirea programului de management a securității datelor personale .....................23
3
3.1.1 Comportamente adecvate protecției datelor personale ..........................................24
3.1.2 Manageri care trebuie implicați ............................................................................24
3.2 Înțelegerea rolurilor definite în GDPR ...........................................................................24
3.2.1 Înțelegerea rolului personal..................................................................................27
3.2.2 Ce date personale controlezi .................................................................................28
3.2.3 Cartografierea/inventarierea datelor și activităților de prelucrare ..................29
3.2.4 Cererile angajaților și clienților ............................................................................30
3.2.5 Educarea angajaților ................................................................................................31
3.2.6 Transferul datelor personale ...................................................................................32
3.3 Managementul incidentelor ..............................................................................................32
3.3.1 Protecția datelor din momentul conceperii .........................................................32
3.3.2 Consmimțămînt și transparență ..............................................................................34
Capitolul 4 - Pregătirea organizației .............................................................................................36
4.1 Pregătirea conformității cu GDPR ..................................................................................36
4.2 Evaluarea inițială (Gap Analysis) ...................................................................................37
4.2.1 Identificarea punctelor de colectare a datelor personale ........................................37
4.2.2 Nu uitați terții ..........................................................................................................37
4.2.3 Activitățile curente de prelucrare a datelor .............................................................38
4.2.4 Evaluarea riscului asociat activităților de prelucrare .........................................40
4.2.5 Actualizarea politicilor, procedurilor și informărilor .........................................41
4.2.6 Rolul tehnologiei și a măsurilor tehnice...............................................................42
Capitolul 5 - Operarea .................................................................................................................43
5.1 Elemente generale ...........................................................................................................43
5.1.1 Evidențele activităților de prelucrare ..................................................................43
5.1.2 Asigurarea legalității prelucrării..............................................................................47
5.1.3 Obligații privind transparența și obținerea consimțământului ...............................48
5.1.4 Administrarea cererilor persoanelor vizate ........................................................49
5.1.5 Managementul incidentelor ..................................................................................49

4
5.1.4 Transferul internațional și portabilitatea datelor personale..............................51
Capitolul 6 - întreținere ..............................................................................................................54
6.1 Dovezi cu privire la măsurile tehnice și administrative ....................................................54
IAPP .........................................................................................................................................63
5
CAPITOLUL 1 - REGULAMENTUL (UE) 2016/679

REGULAMENTUL 1 (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL
CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea
ce privește prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul
general privind protecția datelor) este o îmbunătățire a Directivei 95/46/CE
a Parlamentului European și a Consiliului (4) vizează armonizarea nivelului
de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice
în ceea ce privește activitățile de prelucrare și asigurarea liberei circulații a
datelor cu caracter personal între statele membre.
La nivel național, Legea 677/2001 (cu actualizări) transpune cerințele
Directivei 95/46 în legislația noastră.
GDPR asigură persoanelor vizate (cetățeni ai UE ale căror date sînt
prelucrate) respectarea anumitor drepturi și impune protejarea datelor
personale.
După cum vom detalia în acces ghid, datele personale pot include, fără însă a
se limita:
 Nume și prenume
 Numărul contului bancar
 Adresa de domiciliu
 Datele despre sănătate
 Numărul pașaportului
 Adresa de email
 Fotografia
 Numele de utilizator
Exemple:
Date personale: Gigel Popescu are ochii verzi.
Date anonime: Oamenii au ochi albaștri.
Pseudonim: X are ochii verzi.
1
http://eur-lex.europa.eu/legal-content/RO/TXT/HTML/?uri=CELEX:32016R0679&from=EN#ntr4-L_2016119RO.01000101-E0004
6
1.1 GDPR - PRINCIPALELE NOUTĂȚI

Dintre modificările aduse de Regulament, amintim:
 Extinderea scopului teritorial (nu contează dacă sediul operatorului
este în UE)
 Cartografierea (inventarierea) datelor personale
 Amenzi mai mari (pînă la 2% din cifra de faceri sau 10 milioane euro;
pînă la 4% din cifra de afaceri globală sau 20 milioane euro)
 În anumite condiții obligativitatea angajării unui responsabil cu
protecția datelor (RPD)
 Obligații extinse pentru operatori (organizațiile care colectează și
administrează datele personale ale cetățenilor europeni)
 Obligații directe pentru personale împuternicite de operatori (orice
organizație care prelucrează date personale în numele operatorului)
 Obligativitatea raportării încălcării măsurilor de securitate în
termen de 72 de ore din momentul identificării (în cazul riscurilor
ridicate)
 Mai multe drepturi pentru persoanele vizate (de exemplu dreptul la
portabilitatea datelor)
7
1.2 AMENZI PENTRU NERESPECTAREA CERINȚELOR

După data de 25 mai 2018, companiile care nu vor respecta cerințele
Regulamentului pot fi supuse unor sancțiuni administrative sau amenzi.
Cuantumul amenzii administrative se stabilește ținând cont de natura,
gravitatea și durata încălcării, caracterul intenționat sau neglijent al încălcării,
gradul de responsabilitate al persoanei fizice sau juridice și încălcările
anterioare ale acesteia, măsurile și procedurile tehnice și organizatorice
implementate în conformitate cu Articolul 23 și gradul de cooperare cu
autoritatea de supraveghere pentru remedierea încălcării.
Amenzile pot ajunge pînă la 2% din cifra de afaceri sau

10 milioane de euro.
1.3 RELEVANȚA GDPR PENTRU ORGANIZAȚIE

Pot fi identificați mai mulți factori care vor influența relevanța GDPR pentru
fiecare organizație în parte. În general, dacă organizația dumneavoastră
colectează și prelucrează date ale cetățenilor europeni, atunci intră sub
incidența regulamentului.
Regulamentul are în vedere „datele cu caracter personal„:
orice informații privind o persoană fizică identificată sau
identificabilă („persoana vizată”); o persoană fizică
identificabilă este o persoană care poate fi identificată, direct sau
indirect, în special prin referire la un element de identificare, cum
ar fi un nume, un număr de identificare, date de localizare, un
identificator online, sau la unul sau mai multe elemente specifice,
proprii identității sale fizice, fiziologice, genetice, psihice,
economice, culturale sau sociale;
8
Cu cât organizația colectează și prelucrează mai multe date, cu atât este mai
probabil ca acestea, puse împreună, să conducă la identificarea unei persoane.
Acest lucru înseamnă și un risc mai mare asociat cu protecția sau utilizarea
datelor în condiții sigure.
Conform Preambul 26, datele anonime sînt datele care:
 nu sunt legate de o persoană fizică identificată sau
identificabilă
 sunt anonimizate astfel încât persoana vizată nu este
sau nu mai este identificabilă
Pseudonimizare înseamnă prelucrarea datelor cu caracter

personal într-un asemenea mod încât acestea să nu mai poată
fi atribuite unei anume persoane vizate fără a se utiliza
informații suplimentare, cu condiția ca aceste informații
suplimentare să fie stocate separat și să facă obiectul unor
măsuri de natură tehnică și organizatorică care să asigure
neatribuirea respectivelor date cu caracter personal unei
persoane fizice identificate sau identificabile.
9
Cu anumite excepții, Regulamentul interzice prelucrarea categoriilor speciale de

date:
 originea rasială sau etnică
 opiniile politice
 confesiunea religioasă sau convingerile filozofice
 apartenența la sindicate
 prelucrarea de date genetice, de date biometrice pentru
identificarea unică a unei persoane fizice
 date privind sănătatea sau de date privind viața sexuală
sau orientarea sexuală ale unei persoane fizice.
✓ vocea înregistrată pe un robot telefonic ce oferă instrucțiuni
clienților ar trebui considerată dată cu caracter personal;
✓ Imaginile înregistrate de un sistem de supraveghere video ar
trebui considerate date cu caracter personal în măsura în
care persoanele pot fi identificate;
✓ Valoarea unei proprietăți este o informație despre un obiect
care aparține unei persoane identificabilă. În anumite
circumstanțe o astfel de informație poate fi considerată dată
cu caracter personal;
✓ Înregistrările cu reparațiile unei mașini, într-un service sunt
informații despre un obiect care aparține unei persoane
identificabilă. În anumite circumstanțe aceste informații ar
trebui considerate date cu caracter personal.
10
1.4 DOMENIUL DE APLICARE ȘI ACOPERIRE

Spre deosebire de Legea 677/2001 care avea aplicabilitatea „teritorială„,
GDPR are aplicabilitate „extrateritorială„:
 se aplică prelucrării datelor cu caracter personal,
efectuată total sau parțial prin mijloace automatizate,
precum și prelucrării prin alte mijloace decât cele
automatizate a datelor cu caracter personal care fac parte
dintr-un sistem de evidență a datelor sau care sunt destinate să
facă parte dintr-un sistem de evidență a datelor.
 se aplică prelucrării datelor cu caracter personal în
cadrul activităților unui sediu al unui operator sau al unei
persoane împuternicite de operator pe teritoriul Uniunii,
indiferent dacă prelucrarea are loc sau nu pe teritoriul
Uniunii.
Intenția a fost de a face aplicabil Regulamentul atît în interiorul UE cît și în

afara sa, dacă se aplică cetățenilor europeni.
Dacă operatorul sau persoana împuternicită din afara UE prelucrează date cu
caracter personal ale cetățenilor europeni cu scopul de a furniza
bunuri sau servicii către aceștia sau pentru a le monitoriza
comportamentul, atunci acea organizație intră sub incidența GDPR.
Folosirea cookies înregistrarea adreselor IP poate fi interpretată în anumite
circumstanțe ca fiind „monitorizare„2.
2
Pentru orientări care tratează/detaliază aspecte specifice ale GDPR trebuie studiate/citite
ghidurile publicate de WP29.
11
1.5 DREPTURILE PERSOANEI VIZATE
Articolele 13 și 14 din Regulament precizează care sînt informațiile care

trebuie aduse la cunoștința persoanei vizate:
Informații furnizate Datele cu caracter Datele cu caracter
personal sunt personal nu au
colectate de la fost obținute de la
persoana vizată (Art. persoana vizată
13) (Art. 14)
Identitatea și datele de contact ale DA DA

operatorului și, după caz, ale
reprezentantului acestuia;
Datele de contact ale responsabilului DA DA
cu protecția datelor, după caz
Scopurile în care sunt prelucrate DA DA
datele cu caracter personal, precum și
temeiul juridic al prelucrării;
Categoriile de date cu caracter DA
personal vizate;
Destinatarii sau categoriile de DA DA
destinatari ai datelor cu caracter
12
personal, după caz; intenția

operatorului de a transfera date cu
caracter personal către un destinatar
dintr-o țară terță sau o organizație
internațională
Perioada pentru care vor fi stocate DA DA
datele cu caracter personal sau, dacă
acest lucru nu este posibil, criteriile
utilizate pentru a stabili această
perioadă;
Interesele legitime urmărite de DA DA
operator sau de o parte terță;
Accesul la acestea, rectificarea sau DA DA
ștergerea acestora sau restricționarea
prelucrării și a dreptului de a se opune
prelucrării, precum și a dreptului la
portabilitatea datelor;
Retragerea consimțământului în orice DA DA
moment, fără a afecta legalitatea
prelucrării efectuate pe baza
consimțământului înainte de
retragerea acestuia;
Dreptul de a depune o plângere în fața DA DA
unei autorități de supraveghere;
Sursa din care provin datele cu DA
caracter personal și, dacă este cazul,
dacă acestea provin din surse
disponibile public;
Dacă furnizarea de date cu caracter DA
personal reprezintă o obligație legală
sau contractuală sau o obligație
necesară pentru încheierea unui
contract, precum și dacă persoana
vizată este obligată să furnizeze aceste
date cu caracter personal și care sunt
eventualele consecințe ale
nerespectării acestei obligații;
Existența unui proces decizional DA DA
automatizat incluzând crearea de
profiluri, informații pertinente privind
logica utilizată și privind importanța și
consecințele preconizate ale unei
astfel de prelucrări pentru persoana
vizată.
Dacă se intră sub incidența Art. 13, toate datele trebuie furnizate în momentul
obținerii acestor date cu caracter personal.
Dacă se intră sub incidența Art. 14:
13
 într-un termen rezonabil după obținerea datelor cu caracter

personal, dar nu mai mare de o lună, ținându-se seama de
circumstanțele specifice în care sunt prelucrate datele cu caracter
personal;
 dacă datele cu caracter personal urmează să fie utilizate pentru
comunicarea cu persoana vizată, cel târziu în momentul primei
comunicări către persoana vizată respectivă; sau
 dacă se intenționează divulgarea datelor cu caracter personal către
un alt destinatar, cel mai târziu la data la care acestea sunt divulgate
pentru prima oară.
14
CAPITOLUL 2 - BUNE PRACTICI – MANAGEMENTUL

PROGRAMULUI
Protecția datelor este un proces care implică persoane, procese și tehnologie.
2.1 CICLUL DE VIAȚĂ AL PROGRAMULUI

În acest ghid vom considera că ciclul de viață al programului poate fi împărțit
în trei faze (alte bune practici prezintă mai detaliat subiectul, dar ideile sunt
aceleași). În prima fază, părțile interesate ar trebui să fie implicate pentru a
asigura pregătirea organizațională. Apoi, echipele operaționale vor
implementa proceduri compatibile cu GDPR. În ultima etapă, criteriile de
asigurare sunt revizuite și actualizate, apoi întregul ciclu de viață se repetă.
Conformarea cu GDPR nu este o activitate care se poate desfășura o singură
dată și gata, ai terminat. Chiar dacă nu este menționat explicit în Regulament,
din modul în care sînt scrise cerințele rezultă că abordarea conformării
trebuie să fie sub forma de „program pentru protecția datelor„.
 program – structură organizatorică flexibilă creată
pentru a coordona, conduce și superviza un set de proiecte
și activități conexe pentru a oferi rezultate și beneficii
legate de obiectivele organizației.
 portofoliu – setul de programe și proiecte
independente desfășurate în cadrul organizației.
 proiect – obținerea unor rezultate în timpul, costurile și
calitatea agreate.
15
2.2 PREGĂTIREA PROGRAMULUI

Prima fază implică mai multe seturi de activități distincte pentru a se realiza
procesul de conformitate cu GDPR. Odată cu asigurarea implicării părților
interesate, ar trebui alcatuita o echipă de lucru.
Funcțiile relevante ale organizației și activitățile de prelucrare a datelor
trebuie să fie identificate și trebuie creat un registru cu date personale.
Politicile de confidențialitate și anunțurile ar trebui actualizate, iar personalul
intern ar trebui să fie pregatit cu privire la cerințele regulamentului.
2.2.1 Implicarea managementului și educarea părților implicate

La fel ca în cazul oricărui proiect organizațional major, implicarea conduceri
și asigurarea resurselor financiare sunt esențiale pentru punerea în aplicare
a unui program GDPR.
Toate părțile implicate ar trebui să fie educate cu privire la contextul
reglementării și la impactul financiar specific asociat neconformității.
În plus, ar trebui să existe reprezentare din toate domeniile de activitate din
cadrul organizației, cum ar fi:
 Resurse umane
 Achiziții
 Vânzări și marketing
 Tehnologia de informație
 Securitatea informațiilor
 Echipe de dezvoltare
 Juridic, risc și conformitate
 Serviciile pentru clienți
16
În funcție de domeniul de activitate al companiei dvs., este posibil să aveți o

prezență locală sau regional (sau chiar globală). În companiile mai mici, s-ar
recomanda să fie implicați direct managerii de top și colegii relevanți pentru
a discuta impactul potențial al GDPR asupra organizației dvs. Dacă compania
dvs. este mai mare sau globală, atunci sesiunile de formare online pot fi o
modalitate mai practică de a iniția conștientizarea și disponibilitatea în
întreaga organizație.
După ce a fost inițiat procesul de implicare inițială, ar trebui organizată o
echipă de pregătire pentru GDPR. Dacă sunteți un manager de unități
funcționale, probabil veți fi un reprezentant în echipa de pregătire. Echipa ar
trebui să fie formată din sponsori la nivel de consiliu de administrație,
responsabilul cu protecția datelor (DPO), reprezentanți din domeniul juridic,
de risc și de conformitate și un manager de proiect care va gestiona întregul
program de conformitate cu GDPR.
Odată ce echipa este instalată, este vorba de planificarea obiectivelor,
etapelor și resurselor și asigurarea unei finanțări adecvate pentru program.
Există costuri asociate cu inițierea programului, dar vor

exista, de asemenea, costuri permanente asociate cu
operațiunile de respectare și întreținere a GDPR.
2.2.2 Identificarea datelor personale

Trebuie să existe un registru cu date personale prin care se gestionează
legătura dintre datele personale asociate cu procesele economice, atât pe
plan intern, cât și cu terțe părți. Ca parte a acestui lucru, organizația dvs.
va trebui să înceapă să verifice relevanța și raționamentul din spatele
stocării și prelucrării datelor personale.
Iată câteva dintre informațiile pe care organizația dvs. va trebui să le
cunoască cu privire la seturile de date cu caracter personal:
 Ce date sunt colectate?
 De unde provin datele?
 De ce se colectează datele?
 Cum se procesează?
 Cine are acces?
 Cît timp sînt păstrate datele?
 Cînd și către cine se transferă datele?
17
Colectarea acestor într-un sistem de management comun va oferi organizației

dvs. un registru central de date personale, care conține un set comun de
documente referitoare la seturile de date cu date personale, de unde provin
acestea, modul în care sunt procesate și de ce etc.
GDPR prevede că toate organizațiile trebuie să implementeze politici
adecvate de protecție a datelor care să descrie măsurile tehnice și
organizatorice necesare pentru a se asigura că prelucrarea datelor cu caracter
personal este efectuată în conformitate cu regulamentul.
În plus, trebuie să furnizați notificări privind confidențialitatea ca mijloc de a
fi transparenți cu clienții dvs., asigurându-vă că știu cum vor fi utilizate
informațiile lor.
2.2.3 Ciclul de viață al datelor

Regulamentul definește „prelucrarea„ ca fiind:
orice operațiune sau set de operațiuni efectuate asupra
datelor cu caracter personal sau asupra seturilor de date cu
caracter personal, cu sau fără utilizarea de mijloace
automatizate, cum ar fi colectarea, înregistrarea,
organizarea, structurarea, stocarea, adaptarea sau
modificarea, extragerea, consultarea, utilizarea, divulgarea
prin transmitere, diseminarea sau punerea la dispoziție în
orice alt mod, alinierea sau combinarea, restricționarea,
ștergerea sau distrugerea
Operațiunile care se execută asupra datelor, din momentul apariției lor,

pentru a genera informații semnificative și relevante, sunt referite la un loc
prin noțiunea de „ciclul de viață al datelor/informațiilor„ sau „guvernarea
datelor/informațiilor„
18
Este foarte important să identificați și să înțelegeți procesele

economice cu impact asupra datelor personale și ciclul de viață
al acestora (vezi imaginea de mai sus). După ce au fost înțelese,
procesele economice trebuie să fie evaluate în funcție de risc și
un set de acțiuni de remediere definite în cazul în care se
descoperă că nu există conformitate. De exemplu nu a fost
identificată baza legală pentru o anumită operațiune de
prelucrare a datelor cu caracter personal.
2.3 OPERAREA PROGRAMULUI
Atunci când se instituie un program de conformare, principiile directoare pot

ajuta să arate strategia și direcția eforturilor unei organizații.
2.3.1 Principiile GDPR

Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal:
Deoarece operatorul este responsabil de respectarea principiilor și poate

demonstra această respectare, aderarea la aceste principii încă din faza de
19
proiectare a programului va contribui la demonstrarea respectării cerințelor
GDPR.
2.3.2 Modificarea comportamentului la nivel operațional

Explicarea și integrarea la nivelul organizației a comportamentelor conforme
oferă asigurări că angajații de la toate nivelurile operează în conformitate cu
politicile și procedurile companiei, în funcție de rolurile lor respective din
cadrul organizației.
De exemplu, departamentul de marketing poate procesa seturi

de date cu caracter personal diferite față departamentul de
resurse umane și într-un context diferit. Ca atare, ar trebui să
existe proceduri operaționale pentru fiecare dintre acestea și în
funcție de context.
.
2.3.3 Cererile persoanei vizate

Regulamentul impune existența unor instrucțiuni clare prin care sînt
gestionate cererile persoanelor. Așa cum am prezentat în Capitolul 1,
persoanele vizate au drepturi și prin urmare este foarte important ca atît
angajați cît și terții care acționează în numele organizației să poată identifica
circumstanțele care implică exercitarea drepturilor de către persoana vizată.
2.3.4 Încălcarea securității

Încălcarea securității datelor cu caracter personal înseamnă
o încălcare a securității care duce, în mod accidental sau
ilegal, la distrugerea, pierderea, modificarea, sau
divulgarea neautorizată a datelor cu caracter personal
transmise, stocate sau prelucrate într-un alt mod, sau la
accesul neautorizat la acestea
În cazul identificării unei încălcări, GDPR dictează că trebuie furnizată
documentația "cuprinzând faptele referitoare la încălcarea datelor, efectele
acesteia și acțiunile de remediere.
În multe organizații există un Plan de continuitate a afacerii care la rîndul său
include un Plan de refacere în caz de incidente/dezastru. Aceste planuri
trebuie modificate astfel încât să includă proceduri specifice pentru situațiile
în care sunt încălcate măsurile de securitate a datelor personale: notificarea
autorității și/sau a persoanelor vizate.
20
2.4 ÎNTREȚINEREA PROGRAMULUI

Aceasta faza a managementului programului se desfașoară simultan cu
precedenta și implică analiza periodică a tuturor practicilor operaționale cu
privire la prelucrarea datelor personale.
2.4.1 Responsabilitatea
În înțelesul GDPR, responsabilitatea implică demonstrarea modului în
care sunt îndeplinite obligațiile în legătură cu:
 Prelucrarea datelor cu caracter personal în mod legal și
precis, într-o manieră transparentă
 Existența unui motiv precis și legitim de a prelucra datele
personale
 Păstrarea datelor cu caracter personal nu mai mult decât
este necesar
 Asigurarea datelor personale împotriva utilizării
neautorizate sau a pierderii accidentale
2.4.2 Raportarea
GDPR cere să fie evaluată eficiența practicilor operaționale legate de protecția
datelor personale. Realizarea evaluărilor periodice ale eforturilor de
respectare a legii și raportarea acestora permite dovedirea responsabilității
față de organizație, conducere, părțile interesate, persoane vizate.
un proces pentru testarea, evaluarea și aprecierea periodice ale
eficacității măsurilor tehnice și organizatorice pentru a garanta
securitatea prelucrării. – Art. 32 (1) d)
Eficacitatea programului de conformare continuă necesită urmărirea unor
indicatori reali și adaptarea proceselor în mod corespunzător atunci când
sunt identificate abateri.
2.4.3 Înțelegerea schimbărilor organizaționale și a impactului

asupra datelor personale
Majoritatea organizațiilor se află într-o stare aproape constantă de
schimbare. Ca atare, schimbările organizaționale trebuie să fie luate în
considerare în ceea ce privește modul în care ele influențează activitățile
de conformitate cu GDPR.
Toate proiectele și inițiativele majore din cadrul unei organizații trebuie să fie
analizate și din perspectiva impactului asupra datelor personale și să fie
21
implicat un responsabil cu securitatea datelor (RSD/DPO) acolo unde este

cazul.
Printre exemplele de schimbări cheie ale organizației se
numără implementarea unei noi aplicații, inițiativa de
reproiectare a a proceselor economice, achiziționarea unei noi
companii sau chiar o cesionare. Sau poate compania dvs. se va
muta într-o piață cu totul nouă. Acestea sunt tipurile de
schimbări, printre multe altele, care pot necesita o revizuire
suplimentară a politicilor și proceselor de conformitate.
GDPR obligă organizațiile să dispună de proceduri care să
definească când trebuie inițiate evaluări ale impactului
protecției datelor (DPIA). Procesul DPIA trebuie să ia în
considerare impactul operațiunilor de prelucrare noi sau
modificate asupra protecției datelor cu caracter personal.
2.4.4 Prelucrarea datelor de către terți

Pe lângă instruirea și educarea terților atunci când sunt implicați inițial în
ceea ce privește modul de gestionare a datelor cu caracter personal, ar trebui
să existe și revizuiri periodice pentru a asigura prelucrarea în conformitate cu
modificările de reglementare sau modificările procedurilor de prelucrare.
Condițiile care respectă obligațiile GDPR ar trebui să fie menționate încă de la
început în contract și apoi revizuite periodic pe baza unui program convenit.
O persoană împuternicită să prelucreze date personale în numele
operatorului ar trebui să fie auditată periodic pentru a măsura eficacitatea și
respectarea cerințelor de prelucrare a datelor personale.
22
CAPITOLUL 3 - IMPLEMENTAREA PROGRAMULUI

De ce GDPR ca program? În primul rînd pentru că nu se poate obține
conformarea (beneficiile) doar cu implicarea unui singur (două)
departament/compartiment/unitate funcțională. Asigurarea conformării
este:
 transversală – sînt implicate toate unitățile funcționale
unde are loc prelucrarea datelor personale (nu doar
juridicul și IT-ul)
 multidisciplinară – nu implică doar cunoștințe juridice sau
tehnice ci și management riscuri, analiză procese
economice, comunicare, managementul schimbării etc.
 influențată de o gamă largă de părți interesate cu grade
diferite de angajament și înțelegere
 are impact asupra unei game largi de părți interesate, este
necesară alocarea de resurse ( timp, oameni, bani) pentru
implementarea programului
 durează atît timp cît va fi în vigoare regulamentul
3.1 DEFINIREA PROGRAMULUI DE MANAGEMENT A

SECURITĂȚII DATELOR PERSONALE
Un astfel de program promovează transparența și responsabilitatea și ar
trebui să implice o planificare și o atenție deosebită asupra clienților, a
angajaților și a părților interesate. Toți angajații vor juca un rol în
implementarea planului.
Având un astfel de program putem demonstra angajamentul ferm față de
practicile de guvernare corporativă, promovăm o cultură care respectă viața
privată.
Clienții, autoritățile de reglementare sau și/de supraveghere precum și
partenerii de afaceri vor lua notă și vor interacționa în consecință. În plus,
programul promovează o atitudine de prevenire și nu de detectare a
problemelor. Dacă o încălcare a securității sau o manipulare greșită a datelor
personale poate fi prevenită, aceasta poate salva organizația dumneavoastră
de la afectarea reputației sau primirea unei amenzi.
Nu există un model general valabil pentru managementul

programelor. Fiecare companie are specificul său și prin urmare
trebuie să dezvolte și să adapteze un program propriu.
23
3.1.1 Comportamente adecvate protecției datelor personale

Unul dintre aspectele fundamentale ale unui program implică numirea unui
manager. Un manager de program supervizează dezvoltarea, planificarea,
implementarea și întreținerea continuă a programului. În mod ideal, existența
unui manager nu va fi benefică numai în scopurile GDPR, ci va servi ca un
mecanism care să permită adoptarea viitoarelor cerințe de respectare a vieții
private.
Implementarea unui program începe cu procesul de încorporare a unei noi
mentalități în organizații. Angajații trebuie instruiți de la bun început cu
privire la modul de recunoaștere și prelucrare a datelor personale conform
politicilor și procedurilor definite de organizație.
Persoanele din cadrul organizației dvs. care sunt identificate ca determinând
modul în care sunt gestionate datele personale sau care sunt autorizate să
gestioneze și să proceseze date cu caracter personal vor necesita o pregătire
specială și vor servi ca roluri cheie în cadrul programului.
Deoarece tehnologia este cea care intermediază colectarea și asigură
prelucrarea datelor personale, este crucial ca managerul programului să aibă
o linie de comunicare directă către IT pentru a căuta oportunități de
automatizare a programului acolo unde este posibil.
3.1.2 Manageri care trebuie implicați

În calitate de manager de unitate funcțională/proces va trebui să evaluați
datele personale pentru care sunteți responsabil, datele personale procesate
de echipa dvs. și datele personale pe care echipa dvs. le transmite altor
entități.
Prin urmare, trebuie să vă gândiți la modul în care echipa dvs. interacționează
cu clienții sau angajații dvs. și cum ar putea să se schimbe acest lucru în viitor
ca rezultat al condițiilor impuse de GDPR.
Serviciile de relații cu clienții și departamentele de marketing
sunt în mod obișnuit în prima linie de interacțiune cu datele
personale și prelucrarea acestora.
3.2 ÎNȚELEGEREA ROLURILOR DEFINITE ÎN GDPR

Dacă organizația dvs. determină scopul și maniera de prelucrare a datelor
personale, atunci va avea calitatea de „operator„.
24
Datorită colectării și prelucrării datelor personale despre clienți și angajați,

rolul de operator este determinant în asigurarea conformității.
Responsabilitățile operatorului includ:

 Asigurarea transparenței în raport cu cererile persoanelor
vizate
 Asigurarea faptului că cererile persoanelor vizate sunt tratate în
termenele stabilite de GDPR
 Efectuarea evaluărilor și numirea RPD (en. DPO).
 Notificarea autorităților de supraveghere cu privire la
încălcarea măsurilor de securitate în decurs de 72 de ore de la
descoperirea încălcării
 Monitorizarea și răspunsul la modificările aduse mandatelor de
conformitate
 Implementarea pseudonimizării (înlocuirea câmpurilor de
identificare cu pseudonime) și criptarea datelor cu caracter
personal
 Menținerea evidenței activităților de prelucrare a datelor cu
caracter personal prin intermediul unui registru
 Managementul relațiilor cu terții care prelucrează date cu
caracter personal
Dacă o persoană sau o organizație acționează în numele operatorului, atunci
va fi considerate „persoană împuternicită„.
Exemple:
 O agenție externă (compania IT care asigură
recuperarea datelor în caz de incidente)
 Furnizor de servicii în cloud care stochează date
personale (furnizorul serviciului de email).
 Orice furnizor de servicii care are acces la date cu
caracter personal
Persoanele împuternicite de operatori trebuie să respecte instrucțiunile

operatorilor cu excepția cazului în care aceste instrucțiuni sunt în conflict cu
prevederile GDPR.
Operator - parte responsabilă pentru date
Persoană împuternicită - procesează datele menționate pe baza
unei solicitări a operatorului și în conformitate cu maniera
prescrisă.
25
Deși nu este obligatorie în toate cazurile, majoritatea organizațiilor vor

desemna un responsabil de protecție a datelor (RPD/DPO). RPD ar trebui să
fie un expert în practicile GDPR, sarcinile sale incluzînd (printre altele)
monitorizarea și raportarea conformității cu GDPR. RPD trebuie să aibă o
poziție independentă pentru a recomanda acțiuni corective adecvate atunci
când este necesar.
Operatorul trebuie să se asigure că responsabilul cu protecția datelor este

consultat în mod corespunzător și în timp util în toate aspectele legate de
protecția datelor cu caracter personal. (Art. 33)
26
Operatorul trebuie să-i asigure responsabilului cu protecția datelor resursele

necesare pentru executarea sarcinilor, accesul la datele cu caracter personal
și la operațiunile de prelucrare, și să își mențină cunoștințele de specialitate.
(Art. 33)
Responsabilului cu protecția datelor îi sînt încredințate cel puțin următoarele
sarcini:
 informarea și consilierea operatorului și angajaților cu privire
la obligațiile care le revin
 monitorizarea respectării directivei
 furnizarea de consiliere la cerere
 cooperarea cu autoritățile de supraveghere
 asumarea rolului de punct de contact pentru autoritate.
Obligațiile operatorului nu sînt deloc puține:

 să „asigurarea protecției datelor începînd cu momentul conceperii și
în mod implicit„
 să mențină o evidență a tuturor categoriilor de activități de
prelucrare
 să pună în aplicare măsuri de securitate privind controlul accesului
la echipamente, controlul suporturilor de date, controlul stocării,
controlul utilizatorului, controlul accesului la date, controlul
comunicării, controlul introducerii datelor, controlul transportării,
recuperarea, fiabilitatea și integritatea.
 „operator” înseamnă persoana fizică sau juridică,

autoritatea publică, agenția sau alt organism care, singur sau
împreună cu altele, stabilește scopurile și mijloacele de prelucrare
a datelor cu caracter personal; atunci când scopurile și mijloacele
prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern,
operatorul sau criteriile specifice pentru desemnarea acestuia pot
fi prevăzute în dreptul Uniunii sau în dreptul intern;
 persoană împuternicită de operator” înseamnă persoana fizică
sau juridică, autoritatea publică, agenția sau alt organism care
prelucrează datele cu caracter personal în numele operatorului;
3.2.1 Înțelegerea rolului personal

Rolul dvs. într-un program de protecție a datelor diferă în funcție de rolul dvs.
în cadrul companiei. Dacă sunteți, de exemplu, responsabilul cu securitatea
informațiilor sau șeful juridic, veți fi implicat mai mult decît un angajat care
lucrează într-o secție de producție și nu interacționează cu datele personale.
27
În cele mai multe cazuri, responsabilitățile sunt atribuite pe bază

departamentală/funcțională. În mod ideal, fiecare unitate funcțională ar
trebuie să aibă propria politică de confidențialitate a datelor.
Rolul din management care înțelege practicile de colectare și prelucrare a
datelor personale va fi considerat „campion„. Dacă o astfel de persoană nu
există, ar trebui luată în considerare găsirea unei persoane care este cea mai
calificată în acest sens și instruită suplimentar pentru a acoperi toate cerințele
legate de confidențialitatea și integritatea datelor personale.
Un „campion„ va fi membru al unui comitet general al programului și va ajuta
la modelarea și punerea în aplicare a controalelor pentru asigurarea
confidențialității în cadrul fiecărei linii de activitate.
3.2.2 Ce date personale controlezi

Pentru a stabili ce date cu caracter personal se află sub controlul său, fiecare
linie de activitate ar trebui să revizuiască procesul economic și să-l analizeze
pentru a vedea dacă implică orice interacțiune cu datele personale.
Pare o sarcină descurajantă, dar nu poate fi omisă! Se poate începe cu cele mai
importante procese. Este posibil să fie nevoie de mei multe iterații pentru a
identifica toate detaliile.
Ca manieră de lucru se pot folosi formulare tipizate, interviuri sau discuții de
grup. Această inventariere/cartografiere nu se referă doar la datele despre
clienți ci și la cele despre angajați.
28
De exemplu, pentru a efectua supravegherea legală a

angajaților, angajatorii trebuie să demonstreze că o astfel de
monitorizare este necesară, transparentă și legitimă.
Pot exista câteva considerații interesante în ceea ce privește drepturile

angajaților, confidențialitatea și libertățile și modul în care acestea sunt
transpuse în GDPR.
Blocarea accesului angajaților la anumite site-uri web sau

monitorizarea activităților de navigare web ale angajaților nu
sunt neapărat neconforme cu prevederile GDPR. Trebuie
analizat cu atenție contextul.
3.2.3 Cartografierea/inventarierea datelor și activităților

de prelucrare
Atît operatorul cît și persoana împuternicită de acesta trebuie să înțeleagă
activitățile de prelucrare: unde sînt colectate datele, de către cine, cum sînt
transmise, unde sînt stocate, cît timp sînt stocate. Spus altfel, datele personale
trebuie asociate unei persoane sau sistem care realizează prelucrarea. În
anumite situații, „fiecare operator și, după caz, reprezentantul acestuia
păstrează o evidență a activităților de prelucrare desfășurate sub
responsabilitatea lor„.
În organizații întîlnim două tipuri de date:
 structurate – le regăsim în „cîmpuri„ distincte în tabelele bazelor de
date sau fișiere
 nestructurate – le regăsim…oriunde, ex. într-un director, fișier, etc
Unde le găsim? Oriunde: suporți de stocare, telefoane, mailuri, fișier, cloud…..
Cartografierea/inventarierea datelor personale va implica crearea unui
registru cu date personale. Deși este posibil să nu fiți responsabil de crearea
și întreținerea acestui registru cu date personale în compania dvs., este
posibil să vi se solicite să contribuiți la acesta.
Fiecare linie de activitate/unitate funcțională nu numai că va trebui să
cartografieze activitățile de prelucrare a datelor personale și să implementeze
controalele care respectă GDPR, dar de asemenea trebuie să le poată
documenta și să le evidențieze în mod clar.
29
De exemplu, dacă un reprezentant al serviciului pentru clienți

primește o solicitare din partea unei persoane vizate de a șterge
datele, atunci această solicitare va trebui înregistrată și urmărită
până la finalizare.
Un domeniu al prelucrării datelor personale neglijat de multe

ori implică înregistrările CCTV. Deși GDPR acordă excepții în
scopul aplicării legii, dacă aceste date sunt utilizate în alte
scopuri, cum ar fi profilarea, atunci aceste activități pot constituie o încălcare
a GDPR
3.2.4 Cererile angajaților și clienților

Cererile persoanelor vizate trebuie gestionate în conformitate cu termenii și
parametrii definiți în GDPR.
Așa după cum am prezentat în Capitolul 1, clienții și angajații au o gamă largă
de drepturi în cadrul GDPR, cum ar fi dreptul de a solicita ștergerea datelor
lor personale, cunoscută și drept dreptul de a fi uitat. În plus, clienții pot
solicita exportul datelor și informațiilor. De asemenea, clienții își pot retrage
consimțămîntul acordat pentru prelucrarea datelor.
Din punct de vedere organizatoric nu este suficient să se definească
procesul prin care se răspunde acestor cereri ci să se răspundă în
parametrii definiți în GDPR:
 timpii de răspuns
 formatul răspunsurilor
 procedurile de identificare a persoanei vizate
 gestionarea cererilor neîntemeiate sau excesive.
30
Exemplu
În atenția domnului Ion Vasile, responsabil cu protecția datelor

personale,
În baza Art. 15 din REGULAMENTUL (UE) 2016/679 AL

PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie
2016 privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și privind libera
circulație a acestor date și de abrogare a Directivei 95/46/CE
(Regulamentul general privind protecția datelor), vă rog să îmi
furnizați următoarele informații:
 scopul prelucrării datelor personale
 categoriile de date cu caracter personal prelucrate (cel
puțin nume prenume, CNP, adresă
domiciliu/corespondență, serie și număr CI, număr de
telefon, adresă email, număr cont bancar);
 destinatarii sau categoriile de destinatari cărora datele
cu caracter personal le-au fost sau urmează să le fie
divulgate;
 perioada pentru care se preconizează că vor fi stocate
datele cu caracter personal sau, dacă acest lucru nu este
posibil, criteriile utilizate pentru a stabili această
perioadă.
În baza Art. 15 (3) vă solicit o copie a tuturor datelor cu caracter

personal care fac obiectul prelucrării.
Aștept răspunsul dumneavoastră într-o perioadă de timp
rezonabilă, dar nu mai mare de o lună așa după cum se
precizează în Art. 12.
Gigel Popescu,
Piața Romană, nr. 9
3.2.5 Educarea angajaților

Oricare dintre angajații care intră în contact cu date personale trebuie
autorizat explicit să gestioneze și să prelucreze date cu caracter personal.
Pentru a educa acești angajați, trebuie identificați cu exactitate. Acest lucru se
întîmplă în etapa anterioară: cartografierea/inventarierea datelor.
31
Odată identificați angajații implicați în prelucrarea datelor personale trebuie

definite în mod explicit procesele și procedurile pe care angajații le vor
respecta.
3.2.6 Transferul datelor personale

Dacă nu sunt deja aprobate în politicile organizației, deciziile privind
transferurile de date ar trebui să-l implice pe RPD care va oferi îndrumările
necesare.
RPD vă va sfătui cu privire la transferurile de date în funcție de țara terță (dacă
este cazul) și de măsurile de protecție și de control existente și va determina
dacă aceste garanții sunt considerate adecvate conform orientărilor Comisiei
Europene.
GDPR definește o țară terță ca orice țară din afara Spațiului

Economic European (en. EEA).
3.3 MANAGEMENTUL INCIDENTELOR

Managementul încălcării măsurilor de protecție a datelor este un efort de
echipă în cadrul unei organizații. Organizația dvs. ar trebui să aibă o echipă de
răspuns la incidente. Chiar dacă o astfel de echipă există deja, va trebui
probabil să își modifice procesele pentru a se conforma GDPR: se modifică
modul în care sunt colectate și păstrate datele necesare investigațiilor și
notificările.
În cazul în care are loc o încălcare a securității datelor cu caracter
personal, operatorul notifică acest lucru autorității de
supraveghere competente, fără întârzieri nejustificate și, dacă este
posibil, în termen de cel mult 72 de ore de la data la care a luat
cunoștință de aceasta.
Persoana împuternicită trebuie să notifice operatorul fără
întârziere după ce a luat cunoștință de o încălcare a datelor cu
caracter personal.
Trebuie informate și persoanele vizate în cazul unor riscuri ridicate.
3.3.1 Protecția datelor din momentul conceperii

Protecția datelor începînd cu momentul conceperii este impusă ca o cerință
cheie în GDPR. Ca atare, este logic să începeți să vă gândiți la viața privată ca
o parte esențială a tuturor proceselor, proiectelor și contractelor. Trebuie să
vă asigurați în mod activ că viața privată are prioritate în discuțiile inițiale
pentru aceste activități.
32
Atunci când elaborează, proiectează, selectează și utilizează

aplicații, servicii și produse care se bazează pe prelucrarea datelor
cu caracter personal sau care prelucrează date cu caracter
personal pentru a-și îndeplini rolul, producătorii acestor produse
și furnizorii acestor servicii și aplicații ar trebui să fie încurajați să
aibă în vedere dreptul la protecția datelor la momentul elaborării
și proiectării unor astfel de produse, servicii și aplicații. De
asemenea, ținând cont de stadiul actual al dezvoltării, să se asigure
că operatorii și persoanele împuternicite de operatori sunt în
măsură să își îndeplinească obligațiile referitoare la protecția
datelor. Principiul protecției datelor începând cu momentul
conceperii și cel al protecției implicite a datelor ar trebui să fie
luate în considerare și în contextul licitațiilor publice.
Viața privată a celor ale căror date erau prelucrate a fost un aspect pe care
multe dintre organizații l-au neglijat. În lumea digitală din prezent (și mai ales
din viitor) este necesară o schimbare culturală a comportamentului
organizațional. Acest lucru implică faptul că realizarea protecției încă din
momentul conceperii datelor este considerată ca făcând parte din
configurarea fiecărei noi politici, proces economic de afaceri, proiect și
contract în curs.
Impunerea abordării privind protecția datelor personale din momentul
conceperii asigură faptul că noile activități economice se potrivesc automat
scopului din perspectiva GDPR.
33
Pe măsură ce sunt dezvoltate soluții sau capabilități noi,

trebuie identificate și seturile de date cu care vor interacționa
iar procesele economice trebuie remodelate. Atunci când se
modelează aceste procese noi care interacționează cu datele
personale, cerințele GDPR și cele mai bune practici privind
protecția datelor personale trebui să fie încorporate de la
început.
Operatorul pune în aplicare măsuri tehnice și organizatorice
adecvate pentru a asigura că, în mod implicit, sunt prelucrate
numai date cu caracter personal care sunt necesare pentru fiecare
scop specific al prelucrării. Respectiva obligație se aplică
volumului de date colectate, gradului de prelucrare a acestora,
perioadei lor de stocare și accesibilității lor. În special, astfel de
măsuri asigură că, în mod implicit, datele cu caracter personal nu
pot fi accesate, fără intervenția persoanei, de un număr nelimitat
de persoane.
3.3.2 Consimțămînt și transparență

Consimțământul este un mecanism de construire a încrederii între un
utilizator și o organizație.
„consimțământ” al persoanei vizate înseamnă orice manifestare
de voință liberă, specifică, informată și lipsită de ambiguitate a
persoanei vizate prin care aceasta acceptă, printr-o declarație sau
printr-o acțiune fără echivoc, ca datele cu caracter personal care o
privesc să fie prelucrate.
34
De exemplu, dacă un utilizator furnizează consimțământul ca

datele să fie utilizate în scopul descărcării unui document de
pe situl web al companiei și datele sale sunt ulterior utilizate
în scopuri de marketing, atunci aceasta este o încălcare a vieții
private.
Consimțământul nu ar trebui încorporat în documente de tipul

Acord, Termeni și condiții. Pentru a asigura transparența,
formularele de consimțământ trebuie să fie separate, specifice și
explicite.
35
CAPITOLUL 4 - PREGĂTIREA ORGANIZAȚIEI

În acest moment știm ce trebuie să facă organizația noastră pentru a asigura
conformitatea cu cerințele GDPR: avem nevoie de
cartografierea/inventarierea datelor personale.
Din punct de vedere documentar acest lucru durează, dar nu este dificil de
realizat. „Descoperirea„ informațiilor/datelor în sistemul informatic este
activitatea mai dificilă.
4.1 PREGĂTIREA CONFORMITĂȚII CU GDPR

Faza de pregătire implică în mod semnificativ conștientizarea și educarea
angajaților cu privire la conceptele GDPR, precum și o analiză inițială a
pregătirii organizaționale – Analiza decalajelor3
Identificarea și educarea factorilor cheie de la început este crucială pentru
succesul programului:
 relațiile cu clienții
 resursele umane
 marketingul
 achizițiile
 dezvoltarea sistemelor, securitatea informațiilor,
 juridic și conformitate
Angajații acestor departamente nu trebuie să cunoască în amănunt

prevederile GDPR ci doar conceptele cele mai importante:
 consimțămînt și transparență
 drepturile persoanei vizate
 legalitatea prelucrării
 managementul incidentelor
 procedura pentru transferul datelor
Angajatul implicat direct în colectarea sau prelucarea datelor personale nu trebuie

să cunoască în amănunt prevederile GDPR ci doar acele aspect care au legătură cu
sarcinile din fișa postului.
3 Gap analysis – se identifică starea actuală prin raportare la cerințele luate în calcul
36
Dacă un agent de help-desk/call-center trebuie să solicite

date personale ca parte a unei proceduri de resetare a
parolei (sau furnizare a unor informații), atunci ar trebui să
existe proceduri documentate și de
contabilizare/jurnalizare.
4.2 EVALUAREA INIȚIALĂ (GAP ANALYSIS)

Fiecare angajat poate contribui la identificarea stării inițiale de conformare
cu cerințele stabilite în GDPR.
Până când organizația nu are o imagine clară a prezentului nu va putea stabili
calea de realizare a conformității GDPR, întîi la nivel de unitate funcțională și
apoi la nivel de organizație.
4.2.1 Identificarea punctelor de colectare a datelor personale

Conform definiției din GDPR datele cu caracter personal pot include
identificatori online, date genetice, biometrice.
În timpul fazei de pregătire, organizația dvs. trebuie să identifice și să
precizeze unde sînt punctele în care se obțin date personale și modul în care
acestea sunt utilizate. De asemenea, trebuie să aveți un consimțământ adecvat
și o justificare pentru motivul prelucrării datelor.
În acest stadiu este bine să aveți în vedere nu numai modul în

care veți efectua exercițiul inițial de descoperire a datelor
personale, ci și la modul în care veți colecta aceste informații
într-un registru central de date personale, pentru a vă asigura
că sunt corect descoperite și jurnalizate.
4.2.2 Nu uitați terții

Cînd când identificați punctele de colectare și prelucrare a datelor personale,
nu trebuie să uitați situațiile care implică interacțiunea cu terțe părți care
accesează în vreun fel cu datele personale pentru care sunteți responsabil. În
acest context, terții sunt considerați „persoane împuternicite„.
Una dintre schimbările majore pe care GDPR le aduce tuturor persoanelor
împuternicite de operator este un nivel de răspundere directă.
GDPR impune noi cerințe care trebuie să fie incluse de operatori în
toate contractele încheiate cu persoanele împuternicite.
37
4.2.3 Activitățile curente de prelucrare a datelor

Fiecare unitate de funcțională trebuie să evalueze toate procesele economice
relevante pentru a înțelege pe deplin ciclul de viață al datelor (colectarea,
prelucrarea, stocarea și transferul) asociate acelor procese.
Din punct de vedere procedural, aceasta va implica maparea datelor, a
proceselor economice și a fluxurilor de date în cadrul organizației dvs.
Aceasta va implica, de asemenea, analizarea modului în care datele intră și ies
din companie. Pentru a face acest lucru într-un mod eficient și eficace trebuie
să consultați persoanele care îndeplinesc sarcinile operaționale relevante.
Căutați să răspundeți la următoarele întrebări:

 Care sunt datele colectate?
 Care este sursa acestor date?
 De ce se colectează aceste date?
 Cum sunt prelucrate?
 Cine are acces la date?
 Cît timp sunt stocate datele?
38
 Unde se transferă datele?
Orice activitate de prelucrare trebuie să aibă la bază un motiv

legal. Din perspectiva consimțămîntului acest lucru înseamnă:
 Formularul de obținere a consimțămîntului impune o acțiune
explicită din partea persoanei vizate (nu trebuie să existe
căsuțe/rubrici prebifate)
 Înainte de a cere consimțământul , persoana vizată trebuie informată
cu privire la drepturile sale
 Trebuie să existe un proces prin care persoana vizată își poate
retrage consimțămîntul
 Trebuie să existe o trasabilitate a acțiunilor realizate (de la obținere
consimțămînt pînă la retragerea acestuia)
 În cazul copiilor cu vîrstă mai mica de 16 ani este necesar
consimțămîntul părinților
Singurele măsuri tehnice menționate explicit în GDPR sînt

criptarea și pseudonimizarea. Folosirea pseudonimelor nu
oferă garanții că datele personale nu vor putea conduce la
reidentificarea persoanei vizate. Doar anonimizarea oferă
un grad de protecție suficient astfel încît persoana să nu
poată fi reidentificată.
Prelucrarea datelor personale este legală dacă în situațiile din

figura următoare.
39
4.2.4 Evaluarea riscului asociat activităților de prelucrare

La evaluarea nivelului adecvat de securitate, se ține seama în
special de riscurile prezentate de prelucrare, generate în special, în
mod accidental sau ilegal, de distrugerea, pierderea, modificarea,
divulgarea neautorizată sau accesul neautorizat la datele cu
caracter personal transmise, stocate sau prelucrate într-un alt
mod.
Acest lucru înseamnă, în esență, că măsurile de protecție a datelor trebuie să
fie proporționale cu riscul potențial. Cu alte cuvinte, GDPR reprezintă o
abordare bazată pe riscuri privind confidențialitatea și protecția datelor.
40
Toate datele personale, așa cum sunt definite în GDPR, prezintă

diferite niveluri potențiale de risc. De exemplu, CNP-ul ar putea
fi folosit pentru furtul de identitate. Este posibil să existe un
risc ridicat. Un nume și un prenume, chiar dacă sînt date
personale, nu pot reprezenta pe deplin un identificator unic în
sine și, prin urmare, pot avea un risc mai scăzut de securitate.
Dar ambele tipuri de date pot exista împreună într-un
document (de exemplu), atunci in mod clar se identifică cu
certitudine o persoană și atunci riscul crește în mod
corespunzător.
Odată identificat riscul asociat cu activitățile de prelucrare se va putea trece

la identificarea măsurilor de protecție.
4.2.5 Actualizarea politicilor, procedurilor și informărilor

Protecția drepturilor și libertăților persoanelor fizice în ceea ce
privește prelucrarea datelor cu caracter personal necesită
adoptarea de măsuri tehnice și organizatorice corespunzătoare
pentru a se asigura îndeplinirea cerințelor din prezentul
regulament. Pentru a fi în măsură să demonstreze conformitatea cu
prezentul regulament, operatorul ar trebui să adopte politici interne
și să pună în aplicare măsuri care să respecte în special principiul
protecției datelor începând cu momentul conceperii și cel al
protecției implicite a datelor.
Principiul transparenței prevede că orice informații și comunicări
referitoare la prelucrarea respectivelor date cu caracter personal
sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj
simplu și clar. Acest principiu se referă în special la informarea
persoanelor vizate privind identitatea operatorului și scopurile
prelucrării, precum și la oferirea de informații suplimentare, pentru
a asigura o prelucrare echitabilă și transparentă în ceea ce privește
persoanele fizice vizate și dreptul acestora de a li se confirma și
comunica datele cu caracter personal care le privesc care sunt
prelucrate.
41
4.2.6 Rolul tehnologiei și a măsurilor tehnice

Tehnologia este folosită pentru prelucrarea datelor personale dar tot
tehnologia trebuie folosită și pentru asigurarea securității acestor date.
42
CAPITOLUL 5 - OPERAREA
Această fază presupune că politicile, procedurile și măsurile tehnice sînt
implementate și pe deplin funcționale la toate nivelurile organizației dvs.
5.1 ELEMENTE GENERALE

Activitățile ce pot fi incluse în această fază:
 Managementul continuu al datelor cu caracter personal

 Înțelegerea obligațiilor cu privire la transparență și
consimțământ
 Gestiunea cererilor persoanelor vizate
 Identificarea încălcării măsurilor de securitate și notificarea
autorității de supraveghere și a persoanelor vizate
 Gestiunea transferului datelor cu caracter personal
 Politici și proceduri operaționale
 Măsuri tehnice aplicabile pentru reducerea riscurilor
5.1.1 Evidențele activităților de prelucrare

Din perspectiva operatorului, evidența activităților de prelucrare cuprinde
următoarele informații:
✓ numele și datele de contact ale operatorului și, după caz,
ale operatorului asociat, ale reprezentantului operatorului și ale
responsabilului cu protecția datelor;
✓ scopurile prelucrării;
✓ o descriere a categoriilor de persoane vizate și a categoriilor de
date cu caracter personal;
✓ categoriile de destinatari cărora le-au fost sau le vor fi
divulgate datele cu caracter personal, inclusiv destinatarii din
țări terțe sau organizații internaționale;
✓ dacă este cazul, transferurile de date cu caracter personal către
o țară terță sau o organizație internațională, inclusiv
identificarea țării terțe sau a organizației internaționale
respective și, în cazul transferurilor menționate la articolul 49
alineatul (1) al doilea paragraf, documentația care dovedește
existența unor garanții adecvate;
✓ acolo unde este posibil, termenele-limită preconizate pentru
ștergerea diferitelor categorii de date;
43
✓ acolo unde este posibil, o descriere generală a măsurilor

tehnice și organizatorice de securitate menționate la articolul
32 alineatul (1).
GDPR nu impune nici o formă standardizată pentru aceste

evidențe. Prin urmare, pentru o organizație medie un fișier
centralizator în Excel poate fi suficient cu mențiunea că
urmărirea/actualizarea va fi mai dificilă față de situația utilizării
unei aplicații dedicate acestui scop.
După cum am menționat deja, acest „registru„ trebuie să cuprindă
atît datele angajaților cît și pe cele ale clienților.
Exemplu: listă date personale
Date de identificare si caracteristici personale

Nume si prenume
Data nasterii
CNP
Cetatenie
Serie si numar buletin/carte de identitate/pasaport/alt
act de identitate (e.g. permis de sedere, de munca etc.)
Adresa de domiciliu ( inclusiv cele anterioare, daca exista)
Data emiterii
44
Data expirarii
Poza din buletin
Resedinta (daca exista)
Stare Civila
Numar de telefon (personal si/sau de serviciu)
Email (personal si/sau de serviciu)
Pseudonim
Semnatura
Varsta
Religie
Sex
Locul nasterii
Nationalitate
Nume si prenume tata
Nume si prenume mama
Numarul placutei de inmatriculare a autoturismului
(personal si/sau de serviciu)
Numarul permisului de conducere
Numarul de asigurare sociala sau de sanatate
Detalii despre membrii familiei
Nume si prenume sot/sotie
Data nastere sot/sotie
Numele dinainte de casatorie al sotului/sotiei
Numele dupa casatorie sot/sotie
Nume si prenume copii
Data nastere copil
CNP copii
Seria si numarul certificatului de casatorie, divort, deces,
etc
CNP sot/sotie
Nume si prenume pariniti soti
Istoricul starii civile: casatorii anterioare, divorturi, etc
Informatii despre alti membrii ai familei: numarul
copiilor, persoane aflate in intretinere, parinti, etc
Identificare electronica
“cookies”
loguri de acces ale angajatilor
45
adresele IP ale angajatilor

Coordonate GPS
Seria si numarul cardului de acces al unui angajat sau
vizitator
Elemente Financiare
Numar cont bancar al unei persoane fizice (e.g. numar
cont bancar al angajatului).
Numarul unui card bancar al unei PF
Coduri secrete (ex. coduri de access in anumite spatii)
Orice tranzactii financiare in care sunt implicate PF (ex.
persoane fizice beneficiari/platitori in cadrul unei
operatiuni de plata )
Contracte comerciale, alte documente de natura
financiara incheiate de PJ cu PF, sau de catre PF din PJ cu
un tert (PF sau PJ)
Licente, diplome, certificari, activitati profesionale ( tipuri
de activitati, relatii de afaceri) ale PF din cadrul PJ
Alte caracteristici personale
Informatii despre stagiul militar
Informatii despre strain: detalii viza, permis de munca,
conditii speciale
Caracteristici fizice
Inaltime
Greutate
Culoarea parului
Culoarea ochiilor
Semne distinctive
Informatii privind stilul de viata
Consumul de tutun, alcool
Detalii privind calatoriile: vize, permise de munca
Contacte sociale: prieteni, asociati, relatii altele decat
familia
Functii publice detinute
Informatii privind accidentele suferite, persoane
implicate, natura accidentului
Distinctii civile
Hobby-uri si interese
Activitati de tip hobby, sporturi practicate
Afilieri
Membru in diferite organizatii (mai putin politice):
caritabile, voluntari, cluburi, asociatii, etc
Informatii de natura juridica
46
Condamnari
Amenzi administrative
Suspiciuni, punere sub acuzare, investigatii (civile,
penale)
Masuri judiciare: punere sub tutela, sub administrare
provizorie, etc
Sanctiuni administrative: natura pur disciplinara, amezi,
etc
Date privind starea de sanatate
Informatii privind starea de sanatate a persoanei vizate:
rapoarte medicale, fise medicale, tratamente, rezultate ale
analizelor, diagnostice, etc
Grupa de sange
Informatii privind studiile si cursurile
Informatii privind studiile persoanei vizate: institutii de
invatamant absolvite, cursuri urmate, diplome, rezultate
ale examenelor, etc
Calificari profesionale: patente, licente, calificari, etc
Publicatii: reviste, carti, articole, rapoarte, etc
Informatii privind istoricul profesional
Informatii despre angajatorul curent: angajator, functia,
data angajarii, masuri disciplinare, etc
Informatii despre terminarea contractului de munca: data
plecarii, preavize, etc
Cariera: informatii despre angajatorii precedenti
Informatii financiare: salarii, beneficii, bonusuri, pensii,
taxe, etc
Bunuri detinute de angajat: obiecte de inventar, masini,
utilizaje, etc
Informatii privind opiniile politice
Opinii si preferinte politice
Calitatea de membru intr-un partid politic
Activitati de lobby
Informatii privind procesarea de imagini
Fotografii, inregistrari video, etc
Informatii privind procesarea de sunete
Inregistrarea de apeluri telefonice
5.1.2 Asigurarea legalității prelucrării

După cum am prezentat în capitolul anterior, prelucrarea datelor
trebuie să fie legală. Orice prelucrare care nu se încadrează în
criteriile prezentate anterior devine ilegală conform GDPR.
47
5.1.3 Obligații privind transparența și obținerea

consimțământului
Consimțământul trebuie să poată fi verificat deoarece trebuie:
✓ Să fie liber exprimat

• Serviciile să nu condiționeze consimțământul
• Să nu existe un dezechilibru între persoana vizată și
operator
• La fel de ușor de retras
✓ Să fie specific
•Nu un singur consimțământ pentru toate scopurile
✓ Să informeze
• Să se diferențieze de alte aspect (de ex. Termeni și
condiții )
• Inteligibil
• Limbaj simplu și clar
• Compatibil cu scopul original
✓ Să fie specific
✓ Să indice acțiunea/dorința persoanei
• Acțiune clară și afirmativă
• Fără cîmpuri precompletate sau acceptare tacită
48
5.1.4 Administrarea cererilor persoanelor vizate

Persoana vizată își poate exercita în orice moment drepturile
conform GDPR.
Operatorul furnizează persoanei vizate informații privind acțiunile
întreprinse în urma unei cereri în temeiul articolelor 15-22, fără
întârzieri nejustificate și în orice caz în cel mult o lună de la primirea
cererii. Această perioadă poate fi prelungită cu două luni atunci
când este necesar, ținându-se seama de complexitatea și numărul
cererilor. Operatorul informează persoana vizată cu privire la orice
astfel de prelungire, în termen de o lună de la primirea cererii,
prezentând și motivele întârzierii. În cazul în care persoana vizată
introduce o cerere în format electronic, informațiile sunt furnizate în
format electronic acolo unde este posibil, cu excepția cazului în care
persoana vizată solicită un alt format.
Operatorul trebuie să depună toate diligențele pentru a identifica fără dubii
persoana vizată care lansează cererea de acces. În același timp operatorul este
protejat împotriva cererilor excesive și are dreptul de a percepe o taxă.
5.1.5 Managementul incidentelor

Pe lângă afectarea imaginii organizației, încălcarea securității datelor cu
caracter personal este mult mai strict reglementată în GDPR. În cadrul gamei
actuale de regimuri de protecție a datelor din UE, se pot întâmpla multe
încălcări ale datelor, fără ca autoritățile competente să fie notificate, cu atât
mai puțin persoanele care au fost afectate. Regulamentul obligă operatorii să
informeze atât autoritatea de supraveghere, cât și persoanele vizate.
49
Există, desigur, câteva excepții de la regulile de notificare, însă va fi o parte

esențială a celor mai bune practici pentru a vă asigura că aveți procese în
vigoare pentru a face aceste notificări în cazul unei încălcări a securității
datelor. Cel puțin, procedura dvs. de a răspunde unei astfel de încălcări
trebuie să includă consultarea cu RPD pentru a confirma dacă este necesară
notificarea.
Rapoartele de încălcare a datelor trebuie făcute în termen de 72 de ore de la
data constatării. Dacă această cerință nu este îndeplinită, raportul final
trebuie însoțit de o explicație a întârzierii. Notificarea trebuie să respecte un
anumit format:
✓ descrie caracterul încălcării securității datelor cu caracter
personal, inclusiv, acolo unde este posibil, categoriile și
numărul aproximativ al persoanelor vizate în cauză, precum și
categoriile și numărul aproximativ al înregistrărilor de date cu
caracter personal în cauză;
✓ comunică numele și datele de contact ale responsabilului cu
protecția datelor sau un alt punct de contact de unde se pot
obține mai multe informații;
✓ descrie consecințele probabile ale încălcării securității datelor
cu caracter personal;
✓ descrie măsurile luate sau propuse spre a fi luate de operator
pentru a remedia problema încălcării securității datelor cu
caracter personal, inclusiv, după caz, măsurile pentru
atenuarea eventualelor sale efecte negative.
În cazul în care încălcarea poate duce la un risc ridicat pentru drepturile și

libertățile persoanelor vizate, acestea trebuie contactate "fără întârzieri
nejustificate". Acest contact nu va fi necesar dacă există măsuri de protecție
50
adecvate - în esență criptare - pentru a reduce pericolul asociat cu pierderea

datelor.
Planul de răspuns la incidente pe care organizația trebuie să îl dezvolte va
descrie modul de identificare a incidentelor, cine va fi implicat (Echipă de
răspuns la incidente), cum va fi rezolvat incidental (identificarea și eliminarea
amenințării).
Echipa de răspuns la incidente ar trebui să fie alcătuită din:
✓ un rol executive cu autoritate decizională
✓ șefi unități funcționale
✓ personal IT/Securitate
✓ purtător de cuvînt/relații mass-media
✓ jurist
5.1.4 Transferul internațional și portabilitatea datelor

personale
GDPR permite transferul liber al datelor personale atît în interiorul
UE cît și în afara acesteia:
51
Persoana vizată are dreptul de a primi datele cu caracter personal

care o privesc și pe care le-a furnizat operatorului într-un format
structurat, utilizat în mod curent și care poate fi citit automat și are
dreptul de a transmite aceste date altui operator, fără obstacole din
partea operatorului căruia i-au fost furnizate datele cu caracter
personal.
Persoana vizată are dreptul ca datele cu caracter personal să fie
transmise direct de la un operator la altul acolo unde acest lucru
este fezabil din punct de vedere tehnic.
Transferul de date cu caracter personal către o țară terță sau o
organizație internațională se poate realiza atunci când Comisia a
decis că țara terță, un teritoriu ori unul sau mai multe sectoare
specificate din acea țară terță sau organizația internațională în
cauză asigură un nivel de protecție adecvat.
„reguli corporatiste obligatorii” înseamnă politicile în materie de
protecție a datelor cu caracter personal care trebuie respectate de
un operator sau de o persoană împuternicită de operator stabilită
pe teritoriul unui stat membru, în ceea ce privește transferurile sau
seturile de transferuri de date cu caracter personal către un
operator sau o persoană împuternicită de operator în una sau mai
multe țări terțe în cadrul unui grup de întreprinderi sau al unui
grup de întreprinderi implicate într-o activitate economică
comună;
GDPR reglementează situațiile în care un operator sau o persoană
împuternicită intenționează să transfere date cu caracter personal în afara UE.
Astfel de transferuri internaționale sunt legale doar dacă îndeplinesc
condițiile stabilite în capitolul V din GDPR, care sunt menite să garanteze că
protecția acordată rezidenților UE nu este subminată de transfer. Aceste
condiții necesită existența unor garanții specifice și condiția ca drepturile
persoanelor vizate și căile de atac efective să fie disponibile.
Fostul Cadru Safe-Harbor SUA-UE a fost desființat în 2015. În
acest cadru, organizațiile din SUA puteau atesta că au respectat
șapte principii și 15 întrebări frecvente pentru a îndeplini
cerințele de securitate și puteau accesa piața europeană ca
operator de date.
Odată cu GDPR va intra în vigoare noul cadru numit Privacy
Shield UE-SUA, datele personale schimbate sub auspiciile
acestui acord vor fi guvernate de GDPR.
Transferurile internaționale se pot face în baza unor garanții adecvate
care includ:
52
✓ un instrument obligatoriu din punct de vedere juridic și executoriu

între autoritățile sau organismele publice;
✓ reguli corporatiste obligatorii în conformitate cu articolul 47
✓ clauze standard de protecție a datelor adoptate de Comisie în
conformitate cu procedura de examinare menționată la articolul 93
alineatul (2);
✓ clauze standard de protecție a datelor adoptate de o autoritate de
supraveghere și aprobate de Comisie în conformitate cu procedura
de examinare menționată la articolul 93 alineatul (2);
✓ un cod de conduită aprobat în conformitate cu articolul 40, însoțit de
un angajament obligatoriu și executoriu din partea operatorului sau
a persoanei împuternicite de operator din țara terță de a aplica
garanții adecvate, inclusiv cu privire la drepturile persoanelor
vizate;
sau
✓ un mecanism de certificare aprobat în conformitate cu articolul 42,
însoțit de un angajament obligatoriu și executoriu din partea
operatorului sau a persoanei împuternicite de operator din țara terță
de a aplica garanții adecvate, inclusiv cu privire la drepturile
persoanelor vizate.
53
CAPITOLUL 6 - ÎNTREȚINERE
În această etapă presupunem că Pregătirea și Operarea sau încheiat cu
success iar organizația se află acum în situația de a revizui schimbările de
mediu și de a-și adapta procedurile operaționale.
GDPR impune existența unui proces pentru
testarea, evaluarea și aprecierea periodică a
eficacității măsurilor tehnice și organizatorice
pentru a garanta securitatea prelucrării.
Ținând seama de natura, domeniul de aplicare,
contextul și scopurile prelucrării, precum și de
riscurile cu grade diferite de probabilitate și
gravitate pentru drepturile și libertățile persoanelor
fizice, operatorul pune în aplicare măsuri tehnice și
organizatorice adecvate pentru a garanta și a fi în
măsură să demonstreze că prelucrarea se efectuează
în conformitate cu prezentul regulament.
Respectivele măsuri se revizuiesc și se actualizează
dacă este necesar.
Operatorul este responsabil de respectarea
principiilor GDPR și poate demonstra această
respectare („responsabilitate”).
6.1 DOVEZI CU PRIVIRE LA MĂSURILE TEHNICE ȘI

ADMINISTRATIVE
Regulamentul necesită destul de multă documentație. În plus față de cerințele
explicite și implicite pentru înregistrări specifice (în special dovada
consimțământului persoanelor vizate), trebuie să vă asigurați că ați
documentat modul în care respectați GDPR, astfel încât să aveți dovezi care să
vă susțină afirmațiile în cazul în care autoritatea de supraveghere are motive
să investigheze.
Dacă suferiți o încălcare a datelor, de exemplu, puteți demonstra că ați aplicat
în mod consecvent cele mai bune practici, că aveți o pistă/traseu de audit care
indică faptul că le-ați notificat autoritatea și toate persoanele vizate afectate
în termenele solicitate și că ați realizat toate acțiunile corespunzătoare pentru
atenuarea impactului încălcării datelor reducîndu-se astfel la minimum șansa
de a fi amendat.
Există cerințe de documentare diferite pentru operatori față de persoanele
împuternicite, însă responsabilitatea pentru documentația corectă va fi, în
general, a operatorului, deoarece este probabil să sufere consecințele,
indiferent de cine este vinovat.
54
Dacă sunteți un operator cu un număr de funcții de prelucrare externalizate,

este recomandabil să obțineți asigurări că aceste funcții sunt documentate
corespunzător.
Următoarea documentație este deosebit de importantă, deși, după cum sa
menționat mai sus, variază între operatori și persoane împuternicite:
✓ cartografierea datelor și scopul prelucrării
✓ evidența consimțământului persoanelor vizate sau a
titularului de răspundere părintească
✓ evidențe ale activităților de prelucrare aflate sub
responsabilitatea dvs.
✓ procese documentate pentru protejarea datelor personale
– politici, proceduri, măsuri tehnice
55
ANEXE
1. Corespondența Articol-Recital(Considerent)
56
2. Articole relevante pentru stabilirea legalității
3. Principiile protecției datelor în mod implicit
4. Situațiile în care se aplică amenzi
Art Motiv pentru care se ia Obligația Obligația Tip

amendă operatorului persoanei amendă
împuternicită (Alineat
4 sau 5
Art. 85)
5 Nerespectarea oricăruia dintre DA NU 5
cele șase principii referitoare
la prelucrarea datelor cu
caracter personal.
6 Nerespectarea legalității DA NU 5
prelucrării pe baza uneia
dintre condițiile descrise la
Articolul 6 (persoana vizată a
consimțit la prelucrarea sau
prelucrarea este necesară
pentru executarea unui
contract, pentru a-și îndeplini
obligațiile legale
Obligația de a proteja
interesele vitale, din motive de
interes public sau pentru
interesele legitime ale
operatorului sau ale terților).
7 Nu se poate demonstra că DA NU 5
persoana vizată și-a dat
consimțământul la prelucrarea
datelor sale cu caracter
57
personal sau nu se poate

demonstra valabilitatea
consimțămîntului.
8 Nu s-a verificat dacă DA NU 4
consimțământul este dat sau
autorizat de reprezentatul
legal al unui copil care are cel
puțin 16 ani în ceea ce
privește serviciile societății
informaționale.
9 Prelucrarea categoriilor DA DA 5
speciale de date cu caracter (Art.27(2)(a) )
personal (de exemplu, date
privind sănătatea) atunci când
nu au fost îndeplinite condițiile
prevăzute la articolul 9.
(De exemplu, consimțământul
explicit al persoanei vizate).
11 Păstrarea datelor personale DA NU 4
atunci când nu mai este
necesară identificarea
persoanei vizate.
12 Nu se pot furniza persoanei DA NU 5
vizate orice informații
menționate la articolele 13 și
14 și orice comunicări în
temeiul articolelor 15-22 și 34
referitoare la prelucrare, într-o
formă concisă, transparentă,
inteligibilă și ușor accesibilă,
utilizând un limbaj clar și
simplu, în special pentru orice
informații adresate în mod
specific unui copil.
13 Nu se pot furniza informațiile DA NU 5
necesare conform articolului
13 (de exemplu, identitatea
operatorului, scopurile
procesării precum și temeiul
juridic sau destinatarii datelor
cu caracter personal) atunci
cînd datele sînt colectate de la
persoana vizată.
14 Nu pot fi prezentate DA NU 5
informațiile cerute de articolul
14 (de exemplu, identitatea
operatorului, scopurile
procesării precum și temeiul
juridic, sau destinatarii datelor
cu caracter personal) în cazul
58
în care datele nu au fost

colectate de la persoana vizată.
15 Nerespectarea dreptului de DA NU 5
acces al persoanei vizate
pentru datele care o privesc.
16 Nerespectarea dreptului la DA NU 5
rectificare în legătură cu datele
inexacte cu privire la persoana
vizată.
17 Nerespectarea dreptului de DA NU 5
ștergere, fără întârzieri
nejustificate, în cazul în care se
aplică una dintre condițiile
prevăzute la articolul 17
(De exemplu, în cazul în care
persoana vizată își retrage
consimțământul pe care se
bazează prelucrarea).
18 Pre lucrarea nu este DA NU 5
restricționată atunci este
îndeplinită una dintre
condițiile prevăzute la
articolul 18 (de exemplu, în
cazul în care corectitudinea
datelor personale este
contestată de persoana vizată).
19 Lipsa notificării destinatarilor DA NU 5
cu privire la rectificarea sau
ștergerea datelor cu caracter
personal sau restricționarea
prelucrării în conformitate art.
16, 17 sau 18.
20 Nerespectarea dreptului la DA NU 5
portabilitatea datelor în raport
cu datele pe care le-a furnizat
unui operator.
21 Nerespectarea dreptului de a DA NU 5
formula obiecții în situațiile în
care un operator nu este în
măsură să demonstreze
legitimitatea
prelucrărilor care prevalează
asupra intereselor, drepturilor
și libertăților persoanei vizate
sau pentru stabilirea,
exercitarea sau apărarea
intereseului public.
22 Cînd procesul decizional DA NU 5
individual automatizat,
59
inclusiv crearea de profiluri nu

respectă cerințele Art. 22
25 Neaplicarea măsurilor tehnice DA NU 4
și organizatorice adecvate,
cum ar fi pseudonimizarea
într-un mod eficient, pentru a
proteja drepturile persoanelor
vizate.
26 În cazul operatorilor asociați DA NU 4
care nu își asumă
responsabilitățile pentru
respectarea obligațiilor GDPR,
în special în ceea ce privește
exercitarea drepturilor
persoanei vizate.
27 Nu a fost desemnat în scris un DA DA 4
reprezentant în Uniune.
28 Persoana împuternicită de DA DA 4
operator nu oferă garanții
suficiente pentru punerea în
aplicare a măsurilor tehnice și
administrative adecvate care
să asigure protecția
drepturilor persoanei vizate.
Neactualizarea obligațiilor
părților (de exemplu
contractul în scris, restricții
privind subcontractarea).
29 Prelucrarea datelor în alte NU DA 4
situații decît la cererea
operatorului sau a personei
împuternicită
30 Lipsa evidenței activităților de DA DA 4
prelucrare
31 Lipsa cooperării cu Autoritatea DA DA 4
de supraveghere
32 Neaplicarea măsurilor tehnice DA DA 4
și adminsitrative în (Art.28(3)(c)))
conformitate cu riscul
estimat/evaluat
33 Autoritatea de supraveghere DA DA 4
nu este notficată în termen de
72 ore (pentru întîrzierea
notificării nu este oferit un
motiv plauzibil)
34 Persoana vizată nu a fost DA NU 4
notificată fără întîrziere cu
privire la încălcarea măsurilor
de securitate
35 Pentru riscurile ridicate nu a DA NU 4
fost realizată evaluarea
60
impactului asupra protecției

datelor
36 Lipsa consultării cu DA NU 4
Autoritatea înainte de a
prelucra date personale pentru
care a rezultat un risc ridicat în
lipsa măsurilor de protecție
37- Lipsa responsabilului cu DA DA 4
39 protecția datelor
41 Respectarea Codului de DA DA 4
conduită nu este monitorizat
42 Operatorul sau persoana DA DA 4
împuternicită de operator care
supune activitățile sale de
prelucrare mecanismului de
certificare nu oferă
organismului de certificare
menționat la articolul 43 sau,
după caz, autorității de
supraveghere competente,
toate informațiile necesare
pentru desfășurarea
procedurii de certificare,
precum și accesul la activitățile
de prelucrare respective
44 Nerespectarea condițiilor DA DA 5
privind transferul datelor
personale
45 Transferul datelor personale DA DA 5
într-o țara în cazul căreia UE a
decis că nu există un nivel de
protecție adecvat
46 Lipsa mecanismelor legale DA DA 5
privind transferul datelor în
țări în afara UE
47 Nerespectarea regulilor DA DA 5
corporatiste obligatorii
48 Transferurile sau divulgările DA DA 5
de informații neautorizate de
dreptul Uniunii, în baza unei
hotărîri judecătorești în lipsa
unui accord international
61
Ghiduri/opinii WP29 – valabile ianuarie 2018
✓ Opinion 4/2007 on the concept of personal data (WP 136)

✓ Opinion 06/2014 on the notion of legitimate interests of the data
controller
✓ Guidelines on Consent under Regulation 2016/679, wp259
✓ Guidelines on Transparency under Regulation 2016/679, wp260
✓ Guidelines on Personal data breach notification under Regulation
2016/679, wp250
✓ Guidelines on Automated individual decision-making and Profiling for the
purposes of Regulation 2016/679, wp251
✓ Guidelines on the right to "data portability", wp242rev.01
✓ Guidelines on Data Protection Officers ('DPOs'), wp243rev.01
✓ Guidelines on The Lead Supervisory Authority, wp244rev.01
✓ Guidelines on Data Protection Impact Assessment (DPIA) and determining
whether processing is "likely to result in a high risk" for the purposes of
Regulation 2016/679, wp248rev.01
✓ WP 169, Opinion 1/2010 on the concepts of ‘controller’ and ‘processor’.
✓ Opinion 01/2014 on the application of necessity and proportionality
✓ concepts and data protection within the law enforcement sector
✓ Opinion 15/2011 on the definition of consent
✓ Opinion 2/2010 on online behavioural advertising
✓ Opinion 5/2004 on unsolicited communications for marketing purposes
✓ Opinion 13/2011 on Geolocation services on smart mobile devices
✓ Opinion 05/2012 on Cloud Computing
✓ Opinion 5/2009 on online social networking WP 163)
✓ Opinion 02/2013 on apps on smart devices
62
IAPP
IAPP este o resursă pentru profesioniștii care doresc să își dezvolte și să

avanseze în carieră, ajutând organizațiile să gestioneze cu succes riscurile și
să își protejeze datele.
IAPP este cea mai mare și cea mai cuprinzătoare comunitate la nivel mondial
dedicată confidențialității datelor personale.
Beneficii pentru membri:
✓ Acces nelimitat la întîlnirile și activitățile KnowledgeNet Chapter
✓ Reduceri la programe și produse, inclusiv conferințe web gratuite
✓ Acces la resursele website:
• Directorul membrilor
• Publicații
• Instrumente de lucru
Mai multe informații: iapp.org/join
Programul de certificări IAPP:

Curs GDPR v1.2

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Curs GDPR v1.2

Încărcat de

Drepturi de autor:

Formate disponibile

PROTECȚIA DATELOR CU

Adrian Munteanu este profesor universitar doctor în cadrul Facultății

© Adrian Munteanu, 2017-2018

1.1 GDPR - pricipalele noutăți ................................................................................................7

1.2 Amenzi pentru nerespectarea cerințelor.........................................................................8

1.3 Relevanța GDPR pentru organizație.................................................................................8

1.4 Domeniul de aplicare și acoperire .................................................................................11

1.5 Drepturile persoanei vizate ............................................................................................12

Capitolul 2 - Bune practici – managementul programului ...................................................................15

2.1 Ciclul de viață al programului.........................................................................................15

2.2 Pregătirea programului ..................................................................................................16

2.2.1 Implicarea managementului și educarea părților implicate ....................................16

2.2.3 Ciclul de viață al datelor ........................................................................................18

2.3 Operarea programului ....................................................................................................19

2.3.1 Principiile GDPR ....................................................................................................19

2.3.2 Modificarea comportamentului la nivel operațional ...............................................20

2.3.3 Cererile persoanei vizate.......................................................................................20

2.3.4 Încălcarea securității .............................................................................................20

2.4 Întreținerea programului................................................................................................21

2.4.1 Responsabilitatea ....................................................................................................21

2.4.2 Raportarea ...............................................................................................................21

2.4.3 Înțelegerea schimbărilor organizaționale și a impactului asupra datelor personale

2.4.4 Prelucrarea datelor de către terți ............................................................................22

Capitolul 3 - Implementarea programului..............................................................................................23

3.1 Definirea programului de management a securității datelor personale .....................23

3.1.2 Manageri care trebuie implicați ............................................................................24

3.2 Înțelegerea rolurilor definite în GDPR ...........................................................................24

3.2.1 Înțelegerea rolului personal..................................................................................27

3.2.2 Ce date personale controlezi .................................................................................28

3.2.3 Cartografierea/inventarierea datelor și activităților de prelucrare ..................29

3.2.4 Cererile angajaților și clienților ............................................................................30

3.2.5 Educarea angajaților ................................................................................................31

3.2.6 Transferul datelor personale ...................................................................................32

3.3 Managementul incidentelor ..............................................................................................32

3.3.1 Protecția datelor din momentul conceperii .........................................................32

3.3.2 Consmimțămînt și transparență ..............................................................................34

Capitolul 4 - Pregătirea organizației .............................................................................................36

4.1 Pregătirea conformității cu GDPR ..................................................................................36

4.2 Evaluarea inițială (Gap Analysis) ...................................................................................37

4.2.1 Identificarea punctelor de colectare a datelor personale ........................................37

4.2.2 Nu uitați terții ..........................................................................................................37

4.2.3 Activitățile curente de prelucrare a datelor .............................................................38

4.2.4 Evaluarea riscului asociat activităților de prelucrare .........................................40

4.2.5 Actualizarea politicilor, procedurilor și informărilor .........................................41

4.2.6 Rolul tehnologiei și a măsurilor tehnice...............................................................42

Capitolul 5 - Operarea .................................................................................................................43

5.1 Elemente generale ...........................................................................................................43

5.1.1 Evidențele activităților de prelucrare ..................................................................43

5.1.2 Asigurarea legalității prelucrării..............................................................................47

5.1.3 Obligații privind transparența și obținerea consimțământului ...............................48

5.1.4 Administrarea cererilor persoanelor vizate ........................................................49

5.1.5 Managementul incidentelor ..................................................................................49

5.1.4 Transferul internațional și portabilitatea datelor personale..............................51

Capitolul 6 - întreținere ..............................................................................................................54

6.1 Dovezi cu privire la măsurile tehnice și administrative ....................................................54

CAPITOLUL 1 - REGULAMENTUL (UE) 2016/679

1.1 GDPR - PRINCIPALELE NOUTĂȚI

1.2 AMENZI PENTRU NERESPECTAREA CERINȚELOR

Amenzile pot ajunge pînă la 2% din cifra de afaceri sau

1.3 RELEVANȚA GDPR PENTRU ORGANIZAȚIE

Pseudonimizare înseamnă prelucrarea datelor cu caracter

Cu anumite excepții, Regulamentul interzice prelucrarea categoriilor speciale de

1.4 DOMENIUL DE APLICARE ȘI ACOPERIRE

Intenția a fost de a face aplicabil Regulamentul atît în interiorul UE cît și în