GDPR – REGULAMENT DE PROTECȚIE A DATELOR

GDPR – Global Data Protection Regulation – este un regulament adoptat la nivel de

UE a cărui obiectiv general este de a crește nivelul de protecție al datelor cu caracter personal.
Orice agent economic care colectează și procesează date cu caracter personal este
operator de date, deci trebuie să se conformeze GDPR până la 25 mai 2018.
Acest regulament va înlocui de la această dată Legea 677/2001 privind protecția datelor
cu caracter personal.
"Date cu caracter personal" înseamnă orice informaţii privind o persoană fizică
identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este o
persoană care poate fi identificată, direct sau indirect, în special prin referire la un
element de identificare, cum ar fi un nume, un număr de identificare, date de localizare,
un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii
sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Ce trebuie făcut:

Desemnați un ofițer de protecția datelor – DPO – până la 25 mai

1 Obligatoriu
2018.

Raportați scurgerile de date către autorități în maxim 72 de ore de

2 Obligatoriu
la identificare.

3 Inventariați în scris echipamentele din cadrul Instituției. Recomandare fermă

4 Definiți temeiul legal de colectare a datelor. Recomandare fermă

5 Evaluați riscurile de scurgere de date. Recomandare fermă

Formulați în scris un set de proceduri tehnice și de conduită pentru

6 Recomandare fermă
prelucrarea datelor.

7 Criptați și anonimizați datele. Recomandare fermă

8 Țineți evidența prelucrărilor de date. Recomandare fermă

9 Implementați soluții de backup. Recomandare fermă

Asigurați-vă că aveți un contract scris cu furnizorii dumneavoastră

10 de servicii IT prin care definiți Recomandare fermă
clauze de protecția datelor la care le dați acces.
 1. Desemnarea unui DPO:
A) Responsabilul cu protecţia datelor are cel puţin următoarele sarcini:
a)informarea şi consilierea operatorului, sau a persoanei împuternicite de operator, precum
şi a angajaţilor care se ocupă de prelucrare cu privire la obligaţiile care le revin în temeiul
prezentului regulament şi al altor dispoziţii de drept al Uniunii sau drept intern referitoare la
protecţia datelor;
b)monitorizarea respectării prezentului regulament, a altor dispoziţii de drept al Uniunii
sau de drept intern referitoare la protecţia datelor şi a politicilor operatorului sau ale persoanei
împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv
alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în
operaţiunile de prelucrare, precum şi auditurile aferente;
c)furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra
protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35;
d) cooperarea cu autoritatea de supraveghere;
e) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele
legate de prelucrare, inclusiv consultarea prealabilă menţionată la articolul 36, precum şi, dacă
este cazul, consultarea cu privire la orice altă chestiune.
B) În îndeplinirea sarcinilor sale, responsabilul cu protecţia datelor ţine seama în mod
corespunzător de riscul asociat operaţiunilor de prelucrare, luând în considerare natura,
domeniul de aplicare, contextul şi scopurile prelucrării.

2. Raportați scurgerile de date către autorități în maxim 72 de ore de la identificare

Ce înseamnă o scurgere de date? Înseamnă că datele personale ale cetățenilor

dumneavoastră ajung unde nu ar avea voie să fie și/sau pe mâinile unor persoane neavizate: de
exemplu, furtul unei baze de date sau ale unor dosare din arhivă; un angajat care își copiază pe
stickul USB personal documente care conțin date cu caracter personal și le pune la dispoziția
unor terți.
Cum îmi dau seama că a avut loc o scurgere de date? Ei bine, aici intervine rolul
următoarelor recomandări cu privire la proceduri și măsuri tehnice de adoptat. Chiar dacă ele
nu sunt specificate ca fiind obligatorii, în lipsa lor riscul unei scurgeri de date pe care să nu o
puteți identifica (și deci raporta) crește exponențial.
Scurgerea de date se raportează la Autoritatea Natională de Supraveghere a Prelucrării
Datelor cu Caracter Personal.

3. Inventariați în scris echipamentele din cadrul Instituției.

Inventariați în scris datele cu caracter personal pe care le procesați, fluxurile acestor

date și echipamentele din cadrul Instituției.
Este recomadat să realizați un inventar atât al tuturor datelor cu caracter personal pe
care instituția dumneavoastră le colectează cât și al tuturor fluxurilor de date și al proceselor
de prelucrare. În acest sens sunt importante caracteristicile acestor date: ale cui sunt datele, care
est scopul și temeiul legal pentru această procesare, unde sunt stocate, măsurile și procedurile
de securitate, cine le operează și cine are acces la ele, etc.
Un aspect la fel de important este și inventarierea echipamentelor din cadrul instituției:
calculatoarele, serverele și laptopurile pe care se lucrează, dar și telefoane mobile, routere, hard
diskuri externe, stickuri USB, etc.
4. Definiți temeiului legal de colectare a datelor

Temeiul legal se încadrează în special la una din cele șase variante de temei menționate de
regulament și anume:
a) Executarea unei sarcini care serveşte unui interes public. Mai concret, Instituția
dumneavoastră nu ar colecta impozite și taxe dacă nu ar avea acces la datele lor cu caracter
personal;
b) Executarea unui contract;
c) Consimțământul;
d) Executarea unei obligaţii legale ce îi revine operatorului;
e) Prelucrarea este necesară pentru protejarea unor interese vitale ale persoanei vizate sau ale
altei persoane fizice;
f) Prelucrarea este necesară în scopul intereselor legitime urmărite de operator.

5. Evaluați riscurile de scurgere de date

Evaluarea aceasta presupune o analiză de bun simț în care vă gândiți ce fel de date
personale se pot scurge cel mai ușor și pe unde anume?
Câteva posibile exemple de zone de risc într-o primărie: Dosare care sunt stivuite la
vedere și la care poate avea acces oricare din angajați, inclusiv personalul de curațenie. Pe
rețeaua de calculatoare nu este instalat un antivirus la zi ceea ce o face foarte expusă la atacuri
prin care se pot fura datele de pe calculatoarele din rețea; Orice angajat poate veni cu un
memory stick de acasă și copia pe el orice fel de date de pe calculatoarele instituției. Sau să
aducă (fie și neintenționat) un virus pe care să-l introducă în rețeaua IT a Primăriei. Exemplele
de acest gen reprezintă niște riscuri brutale de scurgere sau periclitare a datelor cu caracter
personal pe care trebuie să le identificați prin această analiză. Asta pentru că în cazul unui
control să puteți demonstra că ați luat măcar un set minim de măsuri pentru a le preveni.

Evaluarea impactului asupra protecţiei datelor se realizează anterior colectării datelor

cu caracter personal și efectuării prelucrării.
Se va pune accent pe estimarea riscurilor asupra protecţiei datelor din punctul de vedere
al persoanelor vizate, luând în considerare natura datelor, domeniul de aplicare, contextul și
scopurile prelucrării și utilizarea noilor tehnologii.

Evaluarea impactului asupra protecţiei datelor presupune:

a) o descriere a prelucrării de date efectuate și a scopurilor acesteia;
b) o evaluare a necesităţii și a proporţionalităţii prelucrării de date efectuate;
c) o estimare a riscurilor asupra drepturilor și libertăţilor persoanelor vizate;
d) măsurile prevăzute pentru a trata riscurile și a asigura conformitatea cu dispoziţiile
RGPD.

Evaluarea impactului asupra protecţiei datelor permite:

a) realizarea unei prelucrări de date cu caracter personal sau a unui produs care respectă
viaţa privată;
b) estimarea impactului asupra vieţii private a persoanelor vizate;
c) demonstarea faptului că principiile fundamentale ale Regulamentul General privind
Protecţia Datelor sunt respectate.
Evaluarea impactului asupra protecţiei datelor se impune, mai ales, în cazul:
a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane
fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă
la baza unor decizii care produc efecte juridice privind persoana fizică sau care o
afectează în mod similar într-o măsură semnificativă;
b) prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul 9
alineatul (1), sau a unor date cu caracter personal privind condamnări penale și
infracţiuni;
c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
Când evaluarea de impact indică riscuri ridicate, în absenţa unor măsuri luate de operator pentru
atenuarea acestora, se consultă Autoritatea naţională de supraveghere.

6. Formulați în scris un set de proceduri tehnice și de conduită pentru prelucrarea datelor

Acest set de proceduri are ca rol oferirea unei priviri de ansamblu transparente, în scris,
a felului în care sunt colectate și procesate datele și de către cine anume;
Să dea un set de soluții clare la riscurile identificate la evaluarea de la punctul 5. De
exemplu o măsură de bun simț în cazul stivelor de dosare la care are nepermis de multă lume
acces ar fi ca ele să fie ținute într-un dulap încuiat iar cheia să fie doar la doua sau trei persoane
pe care le desemnați. E vreun anumit format pe care trebuie să îl respect aici? Regulamentul
nu impune neapărat o structură vizuală, mai degrabă una de substanță a conținutului. Și anume
în documentul respectiv trebuie să apară: Ce fel de date sunt colectate? (ex: nume, prenume,
adresă, serie și nr CI, CNP). De ce anume? Pentru ce se folosesc (temeiul legal). Cine le
prelucrează? Cum sunt ele securizate?
După identificarea prelucrărilor de date cu caracter personal efectuate în cadrul entităţii,
se stabilesc, pentru fiecare dintre acestea, acţiunile care trebuie întreprinse în vederea
respectării obligaţiilor impuse de Regulamentul General privind Protecţia Datelor.
Indiferent de prelucrările efectuate, se vor avea în vedere, în principal, următoarele
aspecte:
a) colectarea și prelucrarea doar a datelor strict necesare pentru realizarea scopurilor;
b) identificarea temeiului legal în baza căruia se efectuează prelucrarea raportat la art.
6 din Regulamentul General privind Protecţia Datelor (ex. consimţământul
persoanelor vizate, contract, obligaţie legală);
c) revizuirea/completarea informaţiilor furnizate persoanelor vizate, astfel încât să
respecte cerinţele impuse de Regulamentul General privind Protecţia Datelor
(articolele 12, 13 și 14);
d) asigurarea că persoanele împuternicite își cunosc noile obligaţii și responsabilităţi;
e) verificarea existenţei clauzelor contractuale și actualizarea obligaţiilor persoanelor
împuternicite privind securitatea, confidenţialitatea și protecţia datelor cu caracter
personal prelucrate;
f) stabilirea modalităţilor de exercitare a drepturilor persoanelor vizate (ex. dreptul de
acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimţământului);
g) verificarea măsurilor de securitate implementate.
7. Criptați și anonimizați datele

Bazele de date în care se regăsesc datele personale ale cetățenilor trebuie să fie
securizate.
Acestea pe de-o parte trebuie construite astfel încât să asigure anonimizarea datelor. Mai
concret, să nu existe într-un sigur loc (aceeași tabelă) TOATE datele unei persoane, ci în mai
multe tabele. Acestea din urmă ar urma să fie unificate de către aplicația care le folosește pe
baza unor id-uri.
În al doilea rând, bazele de date trebuie criptate astfel încât informația din interiorul lor
să nu fie accesibilă fără accesul la un cod de criptare (encryption key). În acest sens se pot
folosi aplicații de criptare.
În acest sens este recomandat să contactați furnizorii de aplicații și să verificați dacă
implementează măsuri în direcția aspectelor de mai sus.

8. Țineți evidența prelucrărilor de date

Pentru a putea identifica o scurgere de date, e foarte important să poți afla că aceasta s-
a produs dar și pe unde anume a avut loc. Aici intervine utilitatea unei soluții de evidență a
prelucrării datelor.
Această evidență devine cu atât mai importantă cu cât volumul datelor prelucrate este
mai mare deși este mai greu de ținut în lipsa unei soluții performante în acest sens.

Evidenţa păstrată de operator va cuprinde:

(a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat,
ale reprezentantului operatorului și ale responsabilului cu protecţia datelor;
(b) scopurile prelucrării;
(c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter
personal;
d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter
personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
(e) dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o
organizaţie
internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective și, în
cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf din Regulamentul
General privind Protecţia Datelor, documentaţia care dovedește existenţa unor garanţii
adecvate;
(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor
categorii de date;
(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice
de securitate menţionate la articolul 32 alineatul (1) din RGPD.
 CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL

Ca atare, pentru fiecare prelucrare de date cu caracter personal, este necesar a se avea
în vedere urmatoarele:
CINE? Se înscriu în evidenţa numele și coordonatele operatorului (și ale reprezentantului sau
legal) și, dupa caz, ale responsabilului cu protecţia datelor; Se întocmește lista persoanelor
împuternicite, după caz.
CE? Se identifică categoriile de date cu caracter personal prelucrate; Se identifică datele
susceptibile de a prezenta riscuri datorită naturii lor sensibile deosebite (datele privind
sănătatea sau infracţiunile)
DE CE? Se precizează scopul sau scopurile în care sunt colectate sau prelucrate datele cu
caracter personal (ex.gestionarea relaţiei comerciale, managementul resurselor umane,
geolocalizare, videosupraveghere etc.)
UNDE? Se stabilește locaţia sistemului de evidenţă și, dacă e cazul, destinatarii datelor. Se
stabilesc statele către care sunt, eventual, transferate datele.
PÂNĂ CÂND? Se precizează, pentru fiecare categorie de date, perioada de stocare.
CUM? Se precizează masurile de securitate implementate pentru a reduce la minimum riscurile
de acces neautorizat la date și, în consecinţa, impactul asupra vieţii private a persoanelor vizate.

9. Implementați soluții de backup a datelor

Acestea vă vor ajuta să aveți o versiune a datelor la zi, în cazul pierderii sau coruperii
datelor pe care le dețineți.
Sunt multiple soluții în acest sens, de la aplicații gratuite gen Dropbox sau Google Drive
până la variante personalizate care vă pot fi oferite de furnizorii dumneavoastră de servicii IT.

10. Asigurați-vă că aveți un contract scris cu furnizorii dumneavoastră de servicii IT prin

care definiți clauzele de protecția datelor la care le dați acces

GDPR vă obligă să aveți un contract scris cu aceștia (atât furnizorii de servicii IT, cât și cu
furnizorii aplicațiilor pe care le folosiți – cei care au în definitiv acces la datele Instituției) prin
care se stabilește clar responsabilitatea lor în protejarea datelor la care le dați acces. În raporturi
care prevăd schimb / transfer de date, riscurile sunt reduse spre zero dacă partea contractantă
are certificatele ISO 27001 și ISO 27018.
Conform regulamentului, deși aceștia nu sunt operatori de date, ei sunt denumiți
ca împuterniciți și, având acces la datele dumneavoastră, poartă și ei o răspundere importantă,
care trebuie clarificată prin contractul scris (fie printat, fie doar în format electronic) pe care îl
semnați cu aceștia.
 ORGANIZAREA PROCEDURILOR INTERNE

Pentru a asigura permanent un nivel ridicat de protecţie a datelor cu caracter personal,

operatorul trebuie să elaboreze proceduri interne care să garanteze respectarea protecţiei datelor
în orice moment, luând în considerare toate evenimentele care pot apărea pe parcursul
efectuării prelucrărilor de date, precum:
a) breșe de securitate;
b) solicitări privind exercitarea drepturilor persoanelor vizate;
c) modificarea datelor cu caracter personal colectate;
d) schimbarea prestatorului.
Organizarea procedurilor interne implică, în special:
a) luarea în considerare a protecţiei datelor cu caracter personal încă de la momentul
conceperii (privacy by design) unei aplicaţii sau a unei prelucrări: minimizarea
colectării datelor în funcţie de scop, cookie-uri, perioada de stocare, informaţiile
furnizate persoanelor vizate, obţinerea consimţământului persoanelor vizate,
securitatea și confidenţialitatea datelor cu caracter personal, garantarea rolului și
responsabilităţii părţilor implicate în efectuarea prelucrării datelor;
b) aplicarea de măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod
implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru
fiecare scop specific al prelucrării (privacy by default), având în vedere: volumul de
date colectate, gradul de prelucrare a acestora, perioada de stocare și accesibilitatea lor,
astfel încât datele cu caracter personal să nu fie accesate, fără intervenţia persoanei, de
un număr nelimitat de persoane;
c) sensibilizarea și organizarea diseminării informaţiei, în special prin stabilirea unui plan
de pregătire și de comunicare cu persoanele care prelucrează date cu caracter personal;
d) soluţionarea plângerilor și cererilor adresate de persoanele vizate în exercitarea
drepturilor lor, stabilind părţile implicate și modalităţile de exercitare a acestora;
exercitarea drepturilor trebuie să se poată realiza inclusiv pe cale electronică, în cazul
în care datele au fost colectate prin astfel de mijloace;
e) anticiparea unei posibile încălcări a securităţii datelor specificând, pentru anumite
cazuri, obligativitatea notificării autorităţii pentru protecţia datelor în termen de 72 de
ore și a persoanelor vizate în cel mai scurt timp;
f) asigurarea confidenţialităţii și securităţii prelucrării prin adoptarea de măsuri tehnice și
organizatorice adecvate, incluzând printre altele, după caz:
1. pseudonimizarea și criptarea datelor cu caracter personal;
2. capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea și
rezistenţa continue ale sistemelor și serviciilor de prelucrare;
3. capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul
la acestea în timp util în cazul în care are loc un incident de natură fizică sau
tehnică;
4. un proces pentru testarea, evaluarea și aprecierea periodice ale eficacităţii
măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.