Absolute Pro Services – servicii de consultanta GDPR www.igdpr.

ro

CHESTIONAR DE EVALUARE INITIALA PRIVIND PRELUCRAREA DATELOR CU

CARACTER PERSONAL

Denumirea companiei: ASOCIATIA S.O.S. MIELOM

Data: 26.10.2020

Va rugam sa enumerate activitati desfasurate -

de compania dvs. care presupun utilizarea
datelor cu caracter personal -

Exista o politica de protectie a datelor la nivel

de organizatie?

Exista proceduri privind protectia datelor la

nivel de organizatie? Aceste proceduri ar
trebui sa prevada, printre altele, cum se
acorda urmatoarele drepturi persoanelor
vizate:
Acces la date, Rectificare, Stergere,
Restrictionare, Opozitie, Portabilitate, Opozitie
privind profilarea, daca este cazul

Exista o procedura de raspuns privind cererile

persoanlor vizate? In acest sens, exista o
persoana desemnata care sa gestioneze
aceste cereri?

In ce situatii compania utilizeaza interesul

legitim ca temei al prelucrarii?

Exemple posibile:
Absolute Pro Services – servicii de consultanta GDPR www.igdpr.ro

Supraveghere video

Vehicule cu GPS

Monitorizarea activitatii angajatilor pe

computere

Acces in incinta pe baza de cartela

Altele

Pentru cazurile in care utilizam interesul

legitim ca temei al prelucrarii, exista o analiza
a interesului legitim?

S-a efectuat o analiza de impact pentru

situatiile care ar presupune risc ridicat?

Exista o procedura privind instruirea periodica

a salariatilor care prelucreaza date personale?

Exista o tematica a instruirii periodice a

salariatilor care prelucreaza date?

Se transfera date in afara UE? Daca da, in ce

tara?

Exista clienti/parteneri de afaceri din afara

UE?

Datele sunt transferate in cadrul grupului de

companii, dacă acesta exista? Daca da, catre
ce tara?

Se trimit sms/mail-uri in scop de marketing (pt.

promovarea activitatii)?

Se transmit date catre terti pentru marketing

direct? (agentii de publicitate, servicii de
transmitere automata a mesajelor, etc.)

Nr. de salariati?

Nr. de colaboratori? (ex. PFA)

Nr.de puncte de lucru?

Exista clienti PF?

Exista subcontractanti PJ? (de ex.: firma de

contabilitate, salarizare, HR, SSM, hosting,
Absolute Pro Services – servicii de consultanta GDPR www.igdpr.ro

altele). Exista clauze contractuale privind

protectia datelor personale in cadrul
prelucrarilor efectuate de catre
subcontractanti?

Cum se colecteaza/preiau datele persoanelor

fizice (client/colaboratori/vizitatori/voluntari)?

Este stabilita perioada de stocare a datelor

personale? Exista o procedura de stergere la
finalul acestei perioade?

Modul si locul de stocare a datelor in format

tiparit?

Cate dispozitive fixe se utilizeaza in activitate

(calculator, server)?

Se utilizeaza dispozitive mobile in activitate?

(telefon de serviciu, tableta, laptop). Exista
masuri de protectie a datelor pe aceste
dispositive (de ex. criptare)?

Se utilizeaza telefoanele personale ale

angajatilor/colaboratorilor in scopul serviciului?

Se monitorizeaza electronic activitatea

salariatilor pe computer (exista soft-uri de
monitorizare care urmaresc activitatea
salariatilor?)

Exista un sistem de evaluare a performatei

angajatilor?

Se solicita salariatilor cazier judiciar la

angajare?
Daca da, pt.ce functii?

Se acorda salariatilor tichete (masa, cadou,

vacanta, cresa, etc)? Daca da, sub ce forma
(tiparite sau in forma electronica)?

Ce tip de aplicatie software se foloseste in

activitate? Aplicatia apartine unui tert? (este o
platforma on-line?)

Salariatii o pot accesa si din afara

organizatiei?
Absolute Pro Services – servicii de consultanta GDPR www.igdpr.ro

Cine mai poate avea acces la aplicatie?

Exista un sistem de back-up al datelor?

Exista o procedura functionala de recovery in

caz de nevoie?

Exista un soft pt. evidenta

clientilor/contractelor?

Exista un site al companiei (adresa web)?

Firma de hosting are serverele in RO?

Se utilizeaza in activitate adrese de e-mail

free? (yahoo, gmail, hotmail, etc)

Se utilizeaza in activitate adresele de e-mail

personale ale salariatilor?

Se colecteaza in activitatea companiei date

ale copiilor sub 16 ani?

Ce date se colecteaza de la persoanele fizice

cu ajutorul site-ului? (vizitatori/clienti care fac
login, etc)

Exista pagina de Facebook a companiei? Alte

retele sociale?

Exista un plan de actiune privind incidentele

de securitate (in privinta datelor personale)

Cine va face monitorizarea aplicarii GDPR

ulterior? (e posibil printr-un serviciu
externalizat sau intern, numind un responsabil
full-time sau part-time, dupa caz)

Se colecteaza date cum ar fi: copia cartii de

identitate/pasaport, numarul cardului bancar,
CNP?

Alte situatii particulare de prelucrare a datelor

personale in organizatie

Alte observatii

  Aspecte de natura tehnica

Absolute Pro Services – servicii de consultanta GDPR www.igdpr.ro

Parolarea calculatoarelor ?

Utilizarea UPS pentru echipamentele care stocheaza date personale ?

Pe dispozitivele care prelucreaza date personale (calculator, laptop, etc):

 Ce sistem de operare se utilizeaza?

 Accesul se face cu user/parola pentru fiecare persoana?

 Exista un sistem de “blocare” a ecranului in cazul neutilizarii temporare? (de exemplu,

cand utilizatorul paraseste temporar dispozitivul/biroul)

Aveti implementat standardul ISO 27001 ?

Accesarea a datelor cu caracter personal este inregistrata in jurnale (log-uri)?

Putem sti ce persoana a accesat datele personale si cand anume s-a intamplat acest lucru?

Unde se pastreaza documentele stocate in format fizic ce contin date personale? Cine poate
avea acces la ele?