IMPORTANȚA PROCEDURILOR DOCUMENTATE ÎN ACTIVITATEA

RESPONSABILULUI CU PROTECȚIA DATELOR CU CARACTER PERSONAL

Autor: Daniela Simionovici

Rezumat:
Gestionarea procedurilor documentate este un proces complex care se referă la elaborarea,
verificarea, avizarea, aprobarea, distribuirea, actualizarea și arhivarea procedurilor documentate.

La nivelul oricărui tip de entitate, fie instituție publică, fie organizație privată este necesar ca
procedurile documentate să fie elaborate și implementate corespunzător pentru toate procesele și
activitățile importante desfășurate la nivelul entității și să se poată stabili și asigura o separare
corectă și clară a funcțiilor de elaborare, verificare, avizare și aprobare a procedurilor, care trebuie
să fie actualizate în permanență, ori de câte ori reorganizarea activității entității / a schemei de
personal sau modificarea cadrului legislativ impun acest lucru și să fie aduse la cunoștința
personalului implicat.

Procedurile de lucru reprezintă unul din cele mai importante instrumente cu care o entitate, fie
publică, fie privată, își poate organiza, dar și securiza activitatea în mod eficient. Scopul oricărei
proceduri este de a prezenta în mod clar și logic activitățile unei entități, de a stabili
responsabilități, dar și de a aduce siguranță și predictibilitate, mai ales în domeniul protecției
datelor cu caracter personal, unde operatorii de date personale trebuie să facă dovada clară a
respectării principiului responsabilității.

Cuvinte-cheie: complianță GDPR, proceduri documentate

Abstract
Managing documented procedures is a complex process that involves developing, verifying,
endorsing, approving, distributing, updating, and archiving documented procedures.

At the level of any type of entity, either a public institution or a private organization, it is
necessary that the documented procedures are properly developed and implemented for all
important processes and activities carried out at the entity level and that a correct and clear
separation of functions of elaboration, verification, approval and approval of the procedures can
be established and ensured, and which must be constantly updated, whenever the reorganization
of the activity of the entity / personnel scheme or the modification of the legislative framework
requires this and to be brought to the knowledge of the personnel involved.

1
Working procedures are one of the most important tools with which an entity, whether public or
private, can organize and secure its business effectively. The purpose of any procedure is to
present clearly and logically the activities of an entity, to establish responsibilities, but also to
bring security and predictability, especially in the field of personal data protection, where personal
data controllers must provide clear evidence of the compliance with the principle of
accountability.

Keywords:GDPR compliance, documented procedures

Toată viața noastră și, implicit, tot ce facem, în oricare etapă a acesteia, se desfășoară după
legi, reguli, norme, regulamente, instrucțiuni, proceduri etc. Ne este reglementată nașterea,
sănătatea, creșterea, educația, conviețuirea cu ceilalți, confortul, munca și chiar moartea 1.

În momentul în care ne învață mama să ne legăm la șireturi sau să ne facem patul, ea ne

învață, de fapt, CUM să facem acest lucru, pas cu pas, etapă după etapă, în succesiune
logică, pentru a ne atinge obiectivul cât mai sigur, corect și eficient.

Unele dintre activitățile noastre le procedurează „cei șapte ani de-acasă” 2, bunul simț,
normele morale internalizate la timpul potrivit, comportamentele socialmente dezirabile
învățate corespunzător, altele sunt procedurate „din afară”, de legi și regulamente pe care
trebuie să le respectăm.

Oricât ar părea de improbabil, fiecare pas din viața noastră este procedurat, fie că vedem
lucrurile în acest fel sau nu, iar datele noastre cu caracter personal nu fac excepție, cu atât
mai mult cu cât fiecare etapă a vieții noastre și fiecare activitate desfășurată de noi
reprezintă un șir lung de prelucrări de date cu caracter personal.

Datele noastre cu caracter personal sunt prelucrate în contexte previzibile, cum ar fi cel al
educației, al sănătății sau al muncii, altele, cum este cel al pandemiei de COVID 19 prin care
trecem acum3, presupun adaptări sau modificări ale comportamentelor noastre și, implicit al
prelucrării datelor noastre cu caracter personal care afectează și contextele care, până la
declanșarea pandemiei, păreau previzibile și stabile.

Concepte precum telemedicina, telemunca sau teleeducația nu mai sunt noutăți, marea
provocare fiind ca aceste tipuri de activități să ofere aceeași finalitate, sub aspect utilitarist
și calitativ, ca munca, educația sau efectuarea actului medical în „stil clasic”.

Domeniul care s-a adaptat cel mai ușor și mai rapid la contextul pandemiei este telemunca,
deoarece în România a existat, chiar înaintea declanșării pandemiei, un cadru legislativ care

1
În România este interzisă SAM – sinuciderea asistată medical, ba, mai mult, conform art. 190 din Codul penal este considerată „ucidere”,
chiar dacă este la solicitarea victimei și se pedepsește cu închisoarea de la unu la 5 ani: https://lege5.ro/Gratuit/gezdmnrzgi/art-190-uciderea-
la-cererea-victimei-codul-penal?dp=gqytsojugu4dm
2
Expresie consacrată în cultura românească, conform căreia în familiile românești, baza educației unui copil în ce privește conviețuirea
socială, normele morale, diferența între ”bine” și “rău” etc. se învață în primii șapte ani de viață, adică în perioada preșcolară în care copilul
sta mai mult în familie - “acasă”
3
Prezentul articol a fost scris în luna septembrie 2020

2
a favorizat ca mare parte din activitățile agenților economici să poată fi mutate parțial, sau
chiar total, în mediul online4.

Chiar dacă activitatea de bază a agenților economici este reglementată prin legi și prin
normele de aplicare ale acestora, modul concret în care se desfășoară aceste activități de
bază sau activitățile conexe, adjuvante, în interiorul entităților, fie publice, fie private este
detaliat în procedurile de sistem sau procedurile operaționale elaborate și aplicate de către
toți sau de o parte a salariaților și / sau administratorilor / reprezentanților legali ai
acestora.

De asemenea, un aspect extrem de important asupra căruia atragem atenția în mod

deosebit este acela că prin proceduri se stabilește nu doar succesiunea logică a activităților
reglementate prin respectiva procedură, ci se precizează explicit și responsabilitățile celor
care trebuie să o aplice. Prin urmare, pe lângă alte elemente pe care trebuie să le conțină o
procedură documentată și pe care le vom menționa ulterior, o procedură întocmită corect
precizează explicit CUM să efectuăm anumite acțiuni / operațiuni / activități și CINE
răspunde pentru îndeplinirea corectă a acestora.

Aceste responsabilități pot fi incluse în fișele de post sau în regulamentele de ordine

interioară / regulamentele de organizare și funcționare ale entităților și produc efecte
legale. În sens larg, prin proceduri stabilim cine și ce face, prin regulamentele interne putem
stabili sancțiuni pentru neîndeplinirea corespunzătoare a responsabilităților fiecărui actor
implicat în aplicarea procedurii.

În entitățile private, în multe situații, „procedura face legea”, în sensul în care respectarea
sau nerespectarea prevederilor acestora poate face diferența între stabilirea unei sancțiuni,
sau nu, egal că aceasta este internă (aplicată unui salariat care a produs prejudicii
angajatorului), sau externă (aplicată entității de către instituțiile și organismele statului
abilitate în acest sens).

Domeniul protecției datelor cu caracter personal nu face nici el excepție și, chiar dacă multe
entități private, sau chiar publice nu au implementat deloc, sau doar superficial proceduri de
sistem sau proceduri operaționale GDPR în activitatea lor de bază, așa cum se poate observa
și din amenzile aplicate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu
Caracter Personal, la care ne vom referi ca ANSPDCP, unele sancțiuni au fost însoțite și de
măsura corectivă de revizuire și actualizare a procedurilor de lucru referitoare la protecția
datelor cu caracter personal (vezi amenda aplicată SC CNTAR TAROM SA5, Proleasing Motors
SRL6 sau Telekom Romania Communications SA 7 etc.), prin urmare, și entitățile private vor
trebui să elaboreze și să aplice proceduri de lucru, mai ales în ce privește implementarea
corespunzătoare a Regulamentul (UE) 2016/679 (Regulamentul general privind protecția

4
Telemuncă - forma de organizare a muncii prin care salariatul, în mod regulat și voluntar, își îndeplinește atribuțiile specifice funcției,
ocupației sau meseriei pe care o deține, în alt loc decât locul de muncă organizat de angajator, cel puțin o zi pe lună, folosind tehnologia
informației și comunicațiilor; Art. 2., lit. a) din Legea nr. 81/2018 privind reglementarea activității de telemuncă, disponibil la:
https://lege5.ro/Gratuit/gi3tknrrgm2a/legea-nr-81-2018-privind-reglementarea-activitatii-de-telemunca
5
https://www.dataprotection.ro/?page=Sanctiune%20pentru%20incalcare%20RGPD%2027_07_20&lang=ro
6
https://www.dataprotection.ro/?page=Comunicat_09_07_20&lang=ro
7
https://www.dataprotection.ro/?page=O_noua_sanctiune_pentru_incalcarea_RGPD_iunie_2020&lang=ro

3
datelor), la care ne vom referi ca Regulamentul, sau GDPR (acronimul consacrat în limba
engleză).

În prezenta lucrare vom prezenta câteva din avantajele, dar și din punctele slabe ale
procesului de procedurare a activităților entităților, precum și câteva repere importante în
realizarea corespunzătoare a procedurilor documentate.

Cele două anexe din prezenta lucrare sunt destinate să prezinte în mod concret și detaliat
două din aspectele pe care le considerăm a fi cele mai importante în procesul de realizare a
unei proceduri: Etapele de realizare a unei proceduri de sistem și Responsabilitățile alocate
fiecărui salariat.

GESTIONAREA PROCEDURILOR DOCUMENTATE

În realizarea prezentei lucrări ne propunem să ajutăm inclusiv entitățile private să înțeleagă
utilitatea „dotării” entității lor cu proceduri documentate și să oferim câteva repere pentru
realizarea corectă a acestora, iar, pentru atingerea acestui obiectiv, ne-am folosit în mod
extins de „Ghid pentru realizarea procedurilor de sistem și operaționale”, la care vom face
referire ca Ghidul, disponibil pe site-ul oficial al Secretariatului General al Guvernului,
secțiunea Control intern managerial / Metodologii SCIM 8, din următoarele considerente:
● Structura procedurilor documentate prezentată în ghidul menționat anterior este
una elaborată și detaliată, chiar dacă nu este una atotcuprinzătoare, ci conține
elementele minimale și orientative ale unei proceduri 9 și care, dacă este folosită
corespunzător, poate ajuta entitatea să își organizeze mai eficient activitățile și să
evidențieze o trasabilitate clară a responsabilităților tuturor celor implicați în
aplicarea acesteia.
● Îndeplinirea tuturor cerințelor din capitolele procedurii cuprinse în structura
procedurilor documentate prezentată în ghidul menționat anterior și în special
granularea corespunzătoare a activităților reglementate prin procedură, poate
ajuta entitatea și Responsabilul cu protecția datelor cu caracter personal (intern
sau extern), la care ne vom referi ca DPO 10 (acronimul consacrat în limba engleză)
să identifice cât mai clar și mai precis scopurile prelucrării datelor cu caracter
personal, să poată face identificarea corectă a temeiurilor legale de prelucrare a
datelor personale sub aspect GDPR, să identifice în lege / să stabilească pe criterii
proprii termene de stocare, acolo unde acestea nu se pot extrage dintr-o lege etc.
● Chiar dacă „Scopul acestui ghid constă în asigurarea unui cadru coerent și unitar
pentru elaborarea, verificarea, avizarea, aprobarea, distribuirea, actualizarea și
arhivarea procedurilor de sistem și a procedurilor operaționale, în cadrul entităților
din administrația publică centrală și locală.”11, recomandăm entităților private să îl
folosească în realizarea procedurilor proprii, deoarece le ajută să își organizeze
activitatea mai eficient și mai coerent.
● Chiar dacă entitățile private nu vor întocmi procedurile proprii de lucru respectând
întocmai structura prezentată ca model în Ghid, machetele de proceduri de sistem

8
https://sgg.gov.ro/new/metodologie-scim/
9
https://sgg.gov.ro/new/wp-content/uploads/2018/07/Ghid-proceduri.pdf, pp. 3
10
Data Protection Officer
11
https://sgg.gov.ro/new/wp-content/uploads/2018/07/Ghid-proceduri.pdf, pp. 3

4
 și operaționale prezentate de acesta 12 vor ajuta în mod definitoriu organizațiile să
înțeleagă cum se realizează o procedură, cât de detaliat trebuie să se realizeze
granularea activităților și a responsabilităților pentru ca procedura să poată fi
aplicată și să ajute entitatea să respecte principiile GDPR și să le implementeze
corespunzător.

Gestionarea procedurilor documentate este un proces complex care se referă la elaborarea,

verificarea, avizarea, aprobarea, distribuirea, actualizarea și arhivarea procedurilor
documentate13.

Necesitatea elaborării Ghidului pentru entitățile publice a devenit evidentă datorită unei
serii de dificultăți întâmpinate în procesul de elaborare a procedurilor de sistem și
operaționale la nivelul entităților publice precum:
● existența unei confuzii privind identificarea domeniului de aplicare a procedurilor
elaborate;
● inexistența unui cadru procedural intern privind elaborarea, avizarea, verificarea și
aprobarea procedurilor, care să cuprindă și modalitatea de codificare a acestora;
● procedurile nu sunt actualizate, când este cazul, ca urmare a modificărilor
organizatorice și legislative intervenite în derularea activității procedurale;
● fișele de post nu cuprind atribuțiile aferente elaborării și actualizării procedurilor
documentate, fapt care conduce la lipsa de conștientizare a personalului privind
transpunerea activităților desfășurate într-un cadru formalizat;
● evidența incompletă și neactualizată a procedurilor documentate la nivelul Comisiei
de Monitorizare;
● lipsa unei codificări unitare a procedurilor (pe cele două tipuri) la nivelul întregii
entități publice.14

La nivelul oricărui tip de entitate, fie instituție publică, fie organizație privată este necesar ca
procedurile documentate să fie elaborate și implementate corespunzător pentru toate
procesele și activitățile importante desfășurate la nivelul entității și să se poată stabili și
asigura o separare corectă și clară a funcțiilor de elaborare, verificare, avizare și aprobare a
procedurilor15, care trebuie să fie actualizate în permanență, ori de câte ori reorganizarea
activității entității / a schemei de personal sau modificarea cadrului legislativ impun acest
lucru și să fie aduse la cunoștința personalului implicat 16. Prin aducerea la cunoștința
personalului a prevederilor procedurilor documentate, în special a acelora care
reglementează activități în cadrul cărora se prelucrează date cu caracter personal, entitatea
respectă, implicit și principiul responsabilității din GDPR 17, în sensul că documentează
corespunzător activitatea de instruire a personalului, ca măsură tehnică și organizatorică de
protecție a datelor personale.

12
https://sgg.gov.ro/new/wp-content/uploads/2018/07/Ghid-proceduri.pdf, pp. 48-62
13
Ibidem, pp. 3
14
Ibidem, pp. 4-5
15
https://sgg.gov.ro/new/wp-content/uploads/2018/07/Ghid-proceduri.pdf
16
https://sgg.gov.ro/new/wp-content/uploads/2018/07/Ghid-proceduri.pdf, pp. 5
17
https://www.dataprotection.ro/servlet/ViewDocument?id=1262, art. 5, alin. 2)

5
O procedură documentată prezintă modul specific de realizare a unei activități sau a unui
proces18, iar procesul reprezintă „un flux de activități sau o succesiune de activități logic
structurate și organizate, în scopul atingerii unor obiective definite.”19

„Procedura de sistem sau procedura generală descrie un proces sau o activitate care se
desfășoară la nivelul entității și este aplicabil / aplicabilă majorității sau tuturor
compartimentelor, din entitate”20.

Exemple de proceduri de sistem:

● Procedura de sistem privind elaborarea procedurilor documentate;
● Procedura de sistem privind circuitul documentelor;
● Procedura de sistem privind recrutarea de personal;
● Procedura de sistem privind accesul în entitate al salariaților și al vizitatorilor /
colaboratorilor / clienților;
● Procedura de sistem privind efectuarea concediilor de odihnă;
● Procedură privind controlul temperaturii angajaților pentru prevenirea răspândirii
coronavirusului SARS-CoV-2 și pentru asigurarea desfășurării activității la locul de muncă
în condiții de securitate și sănătate în muncă21;
● Procedură de sistem privind arhivarea documentelor;
● Procedură de sistem privind protecția datelor cu caracter personal pe suport de hârtie /
în format electronic etc.

„Procedura operațională sau procedura de lucru descrie un proces sau o activitate care se
desfășoară la nivelul unuia sau mai multor compartimente dintr-o entitate, fără
aplicabilitate la nivelul întregii entități”22
Exemple de proceduri operaționale:
● Procedură operațională privind activitatea de contabilitate – se aplică de către contabil,
iar procedura se distribuie doar acestuia;
● Procedură operațională privind întocmirea și gestionarea dosarelor de personal ale
salariaților – se aplică de către managerul de resurse umane - MRU / inspectorul de
resurse umane - IRU, iar procedura se distribuie doar acestuia/acestora;
● Procedură operațională privind întocmirea pontajelor salariaților, a statelor de plată și a
plății drepturilor salariale – se aplică de către superiorul ierarhic direct al salariatului
căruia i se întocmește pontajul, de către MRU / IRU, contabil și managerul general –
deoarece acesta din urmă are responsabilități privind aprobarea finală a documentelor și
a plăților, iar procedura se distribuie doar acestora.

DE CE AVEM NEVOIE DE PROCEDURI DOCUMENTATE?

Procedurile documentate sunt necesare în orice entitate, deoarece:
● Ne ajută să ne desfășurăm activitatea în mod logic, structurat, organizat și eficient;
● Ne ajută să stabilim clar trasabilitatea responsabilităților;

18
https://sgg.gov.ro/new/wp-content/uploads/2018/07/Ghid-proceduri.pdf, pp. 7
19
Ibidem, pp. 8
20
https://sgg.gov.ro/new/wp-content/uploads/2018/07/Ghid-proceduri.pdf, pp. 8
21
https://dpo-net.ro/wp-content/uploads/2020/05/PROCEDURA-23.05-final-1.doc
22
https://sgg.gov.ro/new/wp-content/uploads/2018/07/Ghid-proceduri.pdf, pp. 7

6
● Oferă predictibilitate și consolidează sentimentul de stabilitate și siguranță în
desfășurarea activităților la locul de muncă.
Deoarece nicio activitate nu are doar părți bune și utile, am identificat și cel puțin două
puncte slabe ale acestora:
● Excesul de procedurare poate crea confuzii și poate duce la blocarea inițiativei
„sănătoase” a salariaților (nu putem procedura tot și chiar orice);
● Excesul de procedurare poate duce chiar la neîndeplinirea de către salariați a unor
atribuții de serviciu pe motiv că nu au fost procedurate în detaliu (poate fi vorba despre
o temere reală a salariatului, sau poate fi folosită ca scuză).

Exemplu:
În multe proceduri se stabilește în sarcina unui salariat să arhiveze corespunzător un
document conținând date cu caracter personal, fără a se detalia ce înseamnă
„corespunzător”. Un salariat cu inițiativă „sănătoasă” va arhiva corespunzător acel
document ținând cont de recomandările făcute de DPO la sesiunea de instruire GDPR: va
arhiva acel document într-un biblioraft pe cotorul căruia nu va scrie explicit categoria de
documente din interior / conținutul acestuia, ci va folosi un sistem de codificare care să nu
facă posibilă identificarea conținutului biblioraftului dintr-o privire de către o persoană
străină și îl va stoca într-un dulap / fișet metalic încuiat cu cheie.

Un salariat căruia inițiativa i-a fost subminată de excesul de detalii și de proceduri de la

nivelul entității va sfârși prin a solicita, în mod excesiv, îndrumări suplimentare de la
superiori / colegi de birou (în ce biblioraft pun acest document? s-a umplut biblioraftul, cine
face altul, cine scrie cotorul? etc.), sau chiar va refuza să îndeplinească sarcina, total sau
parțial, funcție de cât din acea sarcină a fost procedurată / explicată printr-o procedură (în
procedură scrie că documentul se arhivează în compartimentul nostru, dar nu scrie că
trebuie să fac eu acest lucru / nu vreau să-mi asum eu răspunderea pentru acest document
pentru că în procedură nu scrie că doar eu pun / scot documente din acest biblioraft etc.).

CUM SE REALIZEAZĂ O PROCEDURĂ DOCUMENTATĂ?

„Ghidul pentru realizarea procedurilor de sistem și operaționale”23 propune următoarea
succesiune de etape în elaborarea unei proceduri documentate, pe care o recomandăm și
din care vom folosi doar câteva elemente asupra cărora vom insista, deoarece considerăm
că necesită precizări suplimentare:

„1. Stabilirea activităților procedurale

2. Codificarea procedurilor
3. Definirea formatului procedurii
4. Elaborarea procedurilor
4.1. Pagina de gardă
4.2. Pagina de cuprins
4.3. Scopul procedurii
4.4. Domeniul de aplicare
4.5. Documente de referință
4.6. Definiții și abrevieri
4.7. Descrierea procedurii
23
https://sgg.gov.ro/new/wp-content/uploads/2018/07/Ghid-proceduri.pdf

7
4.8. Responsabilități
4.9. Formular evidență modificări procedură
4.10. Formular analiză procedură
4.11. Formular distribuire procedură
4.12. Anexe
4.12.1. Diagrama de proces privind elaborarea procedurilor
5. Verificarea, avizarea și aprobarea procedurilor
6. Evidența procedurilor
7. Distribuirea procedurilor
8. Actualizarea procedurilor
9. Arhivarea procedurilor”24

Așa cum precizam anterior, ne vom opri asupra câtorva etape din realizarea procedurilor
documentate pentru a evidenția câteva aspecte pe care entitățile ar trebui să le aibă în
vedere în mod special, pentru ca procedura să poată fi implementată corespunzător.

STABILIREA ACTIVITĂȚILOR PROCEDURALE

La nivelul entității se definesc activitățile / categoriile de activități semnificative desfășurate
pentru atingerea obiectivelor stabilite (activitățile semnificative pot fi asimilabile
departamentelor / compartimentelor înființate la nivelul entității), cum ar fi:
● Activitate curentă (producție, transporturi etc.);
● Protecția datelor personale;
● Contabilitate;
● Resurse umane;
● IT;
● Marketing;
● Aprovizionare / Desfacere / Vânzări etc.

Recomandăm, mai ales entităților private, ca, la nivelul fiecărei activități / categorii de
activități semnificative, premergător elaborării procedurilor documentate, să întocmească:
● Inventarul cadrului legislativ reprezentativ și semnificativ, intern și extern, care
reglementează activitatea respectivă;
● Inventarul tuturor activităților specifice desfășurate la nivelul fiecărei activități
semnificative;25
● Inventarul activităților procedurabile (mai multe activități specifice pot face obiectul
unei singure activități procedurabile și nu procedurăm activități care țin de
competențele specifice necesare ocupării postului de lucru, adică nu învățăm MRU / IRU
printr-o procedură să completeze pontajul sau cum să calculeze salariile);
● Inventarul activităților specifice care presupun prelucrări de date cu caracter personal. 26
Pentru a evidenția cât mai clar faptul că nu toate activitățile desfășurate de un
operator sunt procedurabile sau presupun și prelucrări de date cu caracter personal,
prezentăm un extras din inventarul tuturor activităților desfășurate de compartimentul de
contabilitate de la nivelul unei primării:

24
https://sgg.gov.ro/new/wp-content/uploads/2018/07/Ghid-proceduri.pdf, pp. 2
25
Simionovici, D., Dreptul persoanei vizate la informare – între utilitate și obligație, Revista Română pentru Protecția și Securitatea
Datelor cu Caracter Personal, nr. 2, Editura Universul Juridic, București, 2020, pp. 105
26
Ibidem

8
 ● Stabilește și răspunde de aplicarea măsurilor legale ce se impun pentru respectarea
disciplinei financiare și bugetare, în scopul identificării și sancționării evaziunii fiscale
și atragerea de venituri suplimentare la bugetul local;
● Asigură angajarea, lichidarea, ordonanțarea și plata cheltuielilor;
● Realizează calcularea și plata directă, prin casierie sau prin viramente în conturile de
card, a drepturilor salariale cuvenite personalului al cărui angajator este primarul,
precum și a indemnizațiilor lunare cuvenite demnitarilor (primar, viceprimar,
consilieri locali);
● Calculează și reține din salarii și indemnizații obligațiile către bugetul de stat, bugetul
asigurărilor sociale de stat și alte obligații (rate, popriri etc.) și întocmește toate
documentele necesare plății acestora în termenele legale;
● Asigură întocmirea și predarea declarațiilor privind achitarea obligațiilor de plată
aferente salariilor.

ELABORAREA PROCEDURILOR
În orice entitate, fie privată, fie publică, elaborarea procedurilor documentate se realizează
de către un salariat (responsabil) desemnat, la inițiativa conducătorului compartimentului,
indiferent de tipul procedurii, iar atribuțiile acestuia cu privire la elaborarea și actualizarea
procedurilor de sistem și operaționale se menționează în Fișa postului, de către
conducătorul compartimentului, în vederea responsabilizării salariaților. 27

CONȚINUTUL PROPRIU-ZIS AL PROCEDURII

Conținutul propriu-zis al procedurii și, în special, descrierea procedurii și stabilirea
responsabilităților considerăm a fi, de departe, capitolele din elaborarea unei proceduri care
necesită cea mai mare atenție.

DESCRIEREA PROCEDURII
“Această etapă reprezintă esența procedurii fiind în același timp și acea parte a procedurii
care nu este generalizabilă prin model de procedură”.28

Putem ajuta un coleg oferind un model de granulare a activităților din care acesta să
înțeleagă cât de profund și până la ce nivel trebuie identificate activitățile și
responsabilitățile procedurate, dar putem face chiar un deserviciu acestuia dacă îi oferim ca
model o procedură cu titlul de procedură aplicabilă as is (așa cum este) în toate entitățile cu
același profil de activitate, pretinzând ca fiind suficientă doar modificarea / adaptarea
paginii de gardă, a cartușului procedurii și înlocuirea numelui entității de peste tot unde este
precizat în procedură.

Ca recomandări pe care dorim să le face entităților interesate, menționăm următoarele:

● În exprimare se folosește, pe cât posibil, timpul prezent, forma afirmativă: execută,
elaborează, efectuează, verifică, certifică, transmite etc. Se va evita folosirea
timpului viitor, deoarece noi ne dorim ca procedura să fie aplicată acum, în prezent
și nu într-un viitor neprecizat. De asemenea, în descrierea activităților se va evita
folosirea unor cuvinte precum “poate”, în orice construcție verbală și, preferabil, în
orice context, deoarece procedura trebuie implementată în prezentul pe care îl
27
https://sgg.gov.ro/new/wp-content/uploads/2018/07/Ghid-proceduri.pdf, pp. 16
28
Ibidem, pp. 21

9
 determină și nu este un drept de opțiune oferit salariatului (“poate” sau, dacă așa
consideră salariatul, este dreptul lui “să nu poată”);
● Descrierea și detalierea activităților reglementate de procedură trebuie să conțină și
corelări cu alte proceduri existente și să se armonizeze cu circuitul documentelor
aferente procesului sau activității procedurate, care trebuie să se integreze în
circuitul general al documentelor din cadrul entității;
● Granularea activităților în procedură trebuie să se facă cât mai detaliat posibil, cu
indicarea persoanei responsabile pentru îndeplinirea respectivei activități, precum și
cu precizarea termenelor de execuție a acesteia. Termenele trebuie să fie rezonabile
și se stabilesc de fiecare entitate în parte, mai ales în funcție de flexibilitatea acesteia
sub aspect birocratic, iar, la acest capitol, entitățile private au posibilitatea să
elaboreze și să implementeze procedurile de lucru mult mai repede decât instituțiile
publice unde, de multe ori, trec și câte 6 luni, sau chiar mai multe până când o
procedură poate produce efecte. Aceste întârzieri în elaborarea și implementarea
procedurilor în instituțiile publice se datorează și faptului că acestea trebuie să
implementeze și Sistemul de Control Intern Managerial - SCIM, reglementat prin
Ordinul Nr. 600/2018 din 20 aprilie 2018 privind aprobarea Codului controlului intern
managerial al entităţilor publice29, iar unul din cele 16 standarde de implementare a
SCIM este dedicat special procedurilor (Standardul 9 - Proceduri 30), ceea ce
presupune parcurgerea unui traseu mai lung de la elaborarea procedurilor până la
implementarea acestora;
● Dacă activitățile procedurate sunt granulate (detaliate) corespunzător, se pot
extrage foarte ușor responsabilitățile fiecărui salariat, în succesiune logică și cu
garantarea atingerii unui grad crescut de eficiență în desfășurarea activităților din
entitate.

CE PUTEM ȘI CE NU PUTEM PROCEDURA PENTRU IMPLEMENTAREA GDPR

Așa cum precizam anterior, pentru buna desfășurare a activității unui operator nu putem
procedura tot și nici orice, iar acest aspect este valabil și pentru DPO. Având în vedere faptul
că acesta este specialistul în protecția datelor personale la nivelul entității, este firesc ca
DPO-ul să fie și responsabilul desemnat cu elaborarea procedurilor specifice GDPR, dar,
operatorul poate desemna orice salariat să elaboreze proceduri, asumându-și, firesc, decizia
luată, în sensul în care procedurile elaborate de un angajat fără cunoștințe de GDPR să
elaboreze o procedură copy/paste din Regulament care să nu poată fi aplicată
corespunzător.

Dacă ar fi să analizăm Regulamentul 679/2016, putem preciza că nu putem elabora

proceduri de lucru GDPR pentru reglementarea art. 4 GDPR (definiții), sau a art. 5
(principiile) (cum procedurăm principiile prevăzute de art. 5?), dar includem respectarea
acestora în fiecare procedură GDPR în parte, sau în orice procedură care reglementează o
activitate care presupune prelucrări de date cu caracter personal, sau nu elaborăm
proceduri de lucru privind stabilirea temeiurilor de prelucrare conform prevederilor art. 6 și
nici proceduri de lucru privind obligațiile operatorului.

29
http://www.rndvcsh.ro/wp-content/uploads/2018/05/OSG-NR.600-2018-privind-aprobarea-Codului-controlului-intern-managerial-al-
entitatilor-publice.pdf
30
Ibidem, pp. 22

10
Spre exemplu, cum s-ar putea procedura respectarea principiului reducerii la minimum a
datelor, având în vedere formatului unei proceduri documentate pe care l-am recomandat
anterior? Cum detaliem activitățile și responsabilitățile? În esență, respectarea acestui
principiu se impune, în sensul că, spre exemplu, acolo unde categoriile de date cu caracter
personal obligatorii pentru prelucrare nu sunt precizate într-o lege, la nivelul entității se
poate face o analiză, împreună cu DPO-ul prin care să se poată identifica ce date sunt
absolut necesare pentru atingerea scopurilor entității și, o dată identificate aceste date
personale, operatorul decide că pentru prelucrarea respectivă se colecteaza doar acele date
și impune respectarea acestei decizii. Birocratic vorbind, în acest caz, am putea procedura
circuitul unor documente (exemplu: DPO / conducătorii compartimentelor / angajații care
prelucrează direct date personale întocmesc lista “scurtă” a acestor date, o trimit de la unii
la alții respectând anumite termene, fac / nu fac completări / modificări, trimit conducerii
lista spre verificare, avizare, aprobare etc., după care, tot acest circuit se termină cu
emiterea unei decizii, cu implementarea unui anumit tip de formular etc.), dar nu
procedurăm principiul în discuție, per se.

Dar, folosindu-ne și de documentele Grupului de lucru pe Articolul 29 sau ale EDPB, putem
elabora și implementa proceduri de lucru privind efectuarea evaluării de impact, privind
notificarea incidentelor de securitate, privind gestionarea situațiilor de criză declanșate de
producerea unei breșe de securitate, privind protecția datelor cu caracter personal pe
suport de hârtie sau în format electronic, privind arhivarea documentelor, privind
exercitarea drepturilor persoanelor vizate etc.

RECOMANDĂRI DE BUNE PRACTICI PENTRU DPO INTERN SAU EXTERN ȘI PENTRU

CONSULTANT

● Recomandăm folosirea „Ghidului pentru realizarea procedurilor de sistem şi

operaţionale”31 și îndeplinirea a cât mai multe din cerințele acestuia în redactarea
unei proceduri documentate, chiar dacă realizarea primei proceduri pe această
structură va fi puțin mai dificilă - Experientia docet;
● Nu recomandăm relaxare sau superficialitate în încercarea de a ușura încărcătura
birocratică în cazul procedurilor, deoarece aceasta este una dintre puținele situații în
care birocrația are merit și poate fi de folos;
● Recomandăm cunoașterea temeinică și aprofundată a legislației care reglementează
activitatea de bază a clientului / angajatorului, pentru înțelegerea exactă a ceea ce
face acesta, pentru a se putea extrage corect ce are de făcut DPO-ul sub aspect
GDPR, altfel, și procedurile elaborate de DPO, dar și consultanța oferită de acesta vor
fi trunchiate, incomplete și pot afecta negativ și activitatea Responsabilului cu
protecția datelor cu caracter personal, dar și activitatea clientul / angajatorul
acestuia;
● Nu recomandăm transformarea “unui cuvânt într-o poveste” în proceduri, pentru că
nu este locul potrivit pentru exersarea talentului literar al Responsabilului cu
protecția datelor cu caracter personal sau a responsabilului cu elaborarea
procedurilor de sistem și operaționale. Salariații au nevoie de detalii și de explicații

31
https://sgg.gov.ro/new/wp-content/uploads/2018/07/Ghid-proceduri.pdf

11
 despre cum să-și desfășoare activitatea în mod corespunzător și nu de „maculatură”
lingvistică, adică de limbaj de lemn;
● Recomandăm concizie în limbajul folosit în detalierea activităților și a
responsabilităților din proceduri, dar nu recomandăm realizatorilor procedurilor să
fie eliptici în exprimarea scrisă (subiectul și predicatul sunt foarte importante într-o
procedură) și nici să fie criptici în exprimare. Economia de cuvinte în formularea
activităților și a responsabilităților într-o procedură, mai ales a cuvintelor de legătură
(cum ar fi prepoziții, conjuncții etc.) nu este recomandabilă și pentru că oamenii nu
au timp să se întrebe și să încerce să descopere „ce a vrut să spună autorul”;
● Nu recomandăm “refolosirea” procedurilor de la un client la altul și, mai ales, nu la /
de la clienți cu activități de bază diferite. Procedurile de sistem și procedurile
operaționale implementate în organizații produc efecte legale, iar o amendă primită
de operator datorită unei proceduri incorecte poate avea consecințe negative nu
doar sub aspect financiar, ci, mai ales, cum e cazul amenzilor GDPR, sub aspect
reputațional.

CONCLUZII
Așa cum se poate observa și din amenzile aplicate de ANSPDCP, unele sancțiuni au fost
însoțite și de măsura corectivă de revizuire și actualizare a procedurilor de lucru referitoare
la protecția datelor cu caracter personal (vezi amenda aplicată SC CNTAR TAROM SA 32,
Proleasing Motors SRL33 sau Telekom Romania Communications SA34 etc.).

Proceduri de lucru trebuie să implementeze nu doar instituțiile publice și societățile cu

capital de stat, ci și operatorii privați, indiferent de dimensiunea acestora.

Practicienii GDPR trebuie să poată citi și înțelege și alte tipuri de proceduri implementate de
operator, dacă acestea pot afecta negativ procedurile specifice protecției datelor cu caracter
personal. Exemplu: un practician GDPR trebuie să poată înțelege dacă o procedură de sistem
privind circuitul documentelor la nivelul entității pe care o consiliază ca DPO intern, sau la
care este chiar DPO extern nu respectă structura logică a activităților și responsabilităților
celor vizați de procedură și să facă recomandări în sensul revizuirii acesteia și putem
exemplifica cu situația în care nu este reglementată corespunzător procesarea unui e-mail
conținând date personale trimis de expeditor în mod eronat către un salariat care nu are în
atribuții rezolvarea / procesarea sesizării / cererii / situației respective, cum ar fi un CV
pentru recrutare trimis pe adresa de e-mail de secretariat sau de office a entității, în loc să
fie trimis pe cea de recrutare, deși aceasta există și este activă, sau documentul a fost trimis
și pe adresa de secretariat și pe cea de office, ca să fie sigur expeditorul că cineva va vedea
respectivul CV).

Pe parcursul realizării prezentei lucrări am primit următoarea întrebare: “Responsabilul cu

realizarea procedurilor trebuie să fie absolvent de studii juridice?” Răspunsul categoric este
NU, nu trebuie să fie neapărat absolvent de studii juridice, deși, un jurist ar trebui să facă
parte în mod obligatoriu din echipa de sprijin a DPO, alături de un specialist IT, un specialist
în resurse umane etc. Ce am putea afirma, totuși, legat de calitățile pe care considerăm că ar
32
https://www.dataprotection.ro/?page=Sanctiune%20pentru%20incalcare%20RGPD%2027_07_20&lang=ro
33
https://www.dataprotection.ro/?page=Comunicat_09_07_20&lang=ro
34
https://www.dataprotection.ro/?page=O_noua_sanctiune_pentru_incalcarea_RGPD_iunie_2020&lang=ro

12
trebui să le aibă o persoană care elaborează proceduri, fără a acoperi tot spectrul acestor
calități, ar fi că această persoană trebuie să aibă: atenție sporită la detalii, capacități de
analiză și de sinteză ridicate, un “bun simț juridic” dezvoltat, care să permită acestei
persoane să înțeleagă și să interpreteze foarte bine o lege chiar fără studii de specialitate,
rezistență mare la stres, la monotonie și la muncă de rutină și, nu în ultimul rând, o bună
cunoaștere a limbii române.

13