CHESTIONAR EVALUARE GDPR

Să trecem la treabă !!!

Organizația dvs. se afla într-una din situațiile specifice prevăzute de Art. 37(1) din
GDPR, descris astfel:
a) atunci când prelucrarea este efectuată de o autoritate publică sau un organism public
b) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator
constau în operațiuni de prelucrarea care necesită o monitorizare periodică și sistematică a
persoanelor vizate pe scară largă; sau
c) atunci când activitățile principale ale operatorului sau ale persoanei împuternicite de operator
constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de
date cu caracter personal privind condamnări penale și infracțiuni.
o DA => desemnarea unui DPO este obligatorie
o NU => desemnarea unui DPO este voluntara, in baza unei evaluări interne si a
recomandării rezultate in baza răspunsurilor dvs. la acest chestionar.
Va rugam sa bifați răspunsul adecvat organizației dvs.!

A. Structura organizatorică
1. Sunteți de acord să completați acest chestionar anonim ce are ca scop
determinarea gradului de eficiență și implementarea măsurilor în ceea ce privește protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ?
☐ a. Da
☐ b. Nu
2. Exista în organizația dvs. un cod etic intern (un set de reglementări sau de bune
practici interne pentru protejarea confidențialității?
☐ a. Da
☐ b. Nu
☐ c. Nu știu

1
CHESTIONAR EVALUARE GDPR
Startup Checklist

3. Efectuați prelucrarea datelor cu caracter personal în organizația dvs.? (Date cu

caracter personal, în sensul GDPR înseamnă orice informație referitoare la o persoană
fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este
una care poate fi identificată, direct sau indirect, în special prin referire la un identificator
cum ar fi nume, număr de identificare (CNP), date despre reședința, identificator(i) online
(e-mail tel.) sau identificatori specifici de natura fizica, fiziologica, genetică, mentală,
economică, culturală sau socială a persoanei in cauza.)
☐ a. Da
☐ b. Nu
☐ c. Nu știu
4. Aveți implementat un proces de identificare și gestionare a incidentelor de
securitate a informațiilor? (de exemplu, un proces independent de gestionare a incidentelor
de securitate, implementat în cadrul unui sistem de management al securității informațiilor,
care include cazuri de încălcare a confidențialități).
☐ a. Da
☐ b. Nu
☐ c. Nu știu

B. Date personale și procesare

5. Colectați și procesați date personale pentru angajații sau clienții dvs. din categoria
celor de mai jos ?
☐ Informații generale: numele, vârsta și data nașterii, sexul, starea civilă, cetățenia,
adresa IP, fotografie sau alte materiale vizuale;
☐ Date financiare (numere de card de credit, conturi bancare etc.);
☐ Informații organizatorice: locul de muncă și adresa de e-mail personale, sau telefon
mobil cu caracter personal, adresele personale, pașaport și carte de identitate, numărul
de securitate socială sau de altă autentificare și identificare.
6. Colectați si prelucrați date personale din categoria celor de mai sus în scopuri de
marketing si/sau pentru a trimite mesaje comerciale (newsletter, campanii de promovare
prin e-mail /mailchimp etc.) ?
☐ a. Da
☐ b. Nu
☐ c. Nu știu

2
CHESTIONAR EVALUARE GDPR
Startup Checklist

7. Se face o analiză a riscurilor de date cu caracter personal in organizație, care sa

va permită luarea de măsuri împotriva utilizării abuzive a datelor cu caracter personal ?
☐ a. Da
☐ b. Nu
☐ c. Nu știu
8. Transmiteți date cu caracter personal de la / către clienți (sau alte terțe părți)?
☐ a. Da
☐ b. Nu
☐ c. Nu știu
9. Daca faceți campanii de marketing sau alte comunicări de business pe cont
propriu, sau prin terțe părți, daca folosiți servicii de call center sau daca aveți un magazin
virtual, GDPR prevede obținerea consimțământului prealabil pentru prelucrarea datelor
personale de la persoana vizata care se abonează voluntar la newsletterul dvs. (așa-
numitul opt-in). Respectați cu strictețe aceasta prevedere ?
☐ a. Da
☐ b. Nu
☐ c. Nu știu
10. Acordați acces la datele cu caracter personal (stocate pe e-mail sau baze de date
fizice sau cloud ale organizației) partenerilor externi (administratorii de site sau hosting
magazin virtual, consultanți fiscali, auditori, avocați, consultanți IT etc)? Țineți o evidenta
cu toți partenerii externi, cărora le sunt furnizate datele cu caracter personal? Exista
semnate contracte de prelucrare a datelor cu caracter personal cu aceștia?
☐ a. Da
☐ b. Nu
☐ c. Nu știu
11. Exista o procedură internă de urmat în cazul retragerii acordului persoanei vizate
pentru prelucrarea datelor sale cu caracter personal? Înregistrați consimțământul si
retragerea acestuia si actualizați corespunzător baza de date?
☐ a. Da
☐ b. Nu
☐ c. Nu știu

3
CHESTIONAR EVALUARE GDPR
Startup Checklist

12. Ștergeți datele cu caracter personal, atunci când nu mai este necesară păstrarea
lor, sau când are loc retragerea consimțământului persoanei vizate? (Ștergeți sau nu mai
procesați datele personale întrucât, scopul procesării acestora, pentru care s-a luat acordul
persoanei vizate nu mai este de actualitate sau a expirat perioada stabilita în scopul
procesării? Se face ștergerea din toate bazele de date (electronice, inclusiv backup, cat si
pe suport de fizic)?
☐ a. Da
☐ b. Nu
☐ c. Nu știu
C. Securitatea informațiilor
13. Aveți un responsabil pentru gestionarea informațiilor de siguranță ale organizației
dvs.?
☐ a. Da
☐ b. Nu
☐ c. Nu știu
14. Aveți implementat un sistem de management al securității informațiilor in
organizația dvs.?
☐ a. Da
☐ b. Nu
☐ c. Nu știu
15. Exista politici sau linii directoare de securitate care se aplică in organizația dvs.?
☐ a. Da
☐ b. Nu
☐ c. Nu știu
16. Este asigurata securitatea informațiilor în raport cu furnizorii? Sunt partajate
contractele pentru confidențialitatea informațiilor? Este angajamentul de asigurare a
securității informațiilor stipulat in contractele cu furnizorii?
☐ a. Da
☐ b. Nu
☐ c. Nu știu

4
CHESTIONAR EVALUARE GDPR
Startup Checklist

17. Asigurați cunoașterea de către personalul organizației dvs. a normelor de protecție

a informațiilor? Se face o instruire periodica a angajaților in acest sens?
☐ a. Da
☐ b. Nu
☐ c. Nu știu
18. Țineți o evidenta a incidentelor de Securitate (acces neautorizat, pierderi de date,
etc)? Aveți un mecanism de evitare a încălcării securității datelor interne? Există
regulamente interne în acest scop?
☐ a. Da
☐ b. Nu
☐ c. Nu știu
19. Efectuați un audit (intern/extern) de securitate regulat în organizația dvs.? Este
domeniul protecției datelor cu caracter personal inclus in acest audit?
☐ a. Da
☐ b. Nu
☐ c. Nu știu
20. Sunt protejate informațiile personale ale companiei dvs. împotriva utilizării
incorecte, pierderii, distrugerii, dezvăluirii sau accesului neautorizat? Folosiți
pseudonimizare sau alte tehnici de criptare?
☐ a. Da
☐ b. Nu
☐ c. Nu știu
21. Aveți realizat un plan de securitate la nivelul organizației dumneavoastră?
Cuprinde acesta cel puțin următoarele categorii de activități pentru asigurarea securității
?:
- administrarea accesului si instruirea personalului care are acces la infrastructura IT&C;
- certificarea, acreditarea și evaluarea securității cibernetice;
- managementul arhitecturii infrastructurii IT&C;
- managementul situațiilor de criza apărute în funcționarea infrastructurii IT&C ;
- identificarea și autentificarea utilizatorilor infrastructurii IT&C;
- răspunsul la incidente de securitate IT&C;
- mentenanța si auditul infrastructurii IT&C;

5
CHESTIONAR EVALUARE GDPR
Startup Checklist

- protecția la nivel software și hardware a infrastructurii IT&C;

- planificarea activităților de verificare a respectării politicilor de securitate;
- evaluarea riscurilor de securitate;
☐ a. Da
☐ b. Nu
☐ c. Nu știu

6
CHESTIONAR EVALUARE GDPR
Startup Checklist

EVALUARE: adună punctele acordate fiecărui răspuns de mai sus și verifică unde se
încadrează organizația în grila de mai jos și procedează în consecință pentru a aplica și
respecta prevederile GDPR !
170-175 de puncte => Organizația dvs. respecta intru-totul cerințele GDPR. Felicitări !
150-170 de puncte => Organizația dvs. respecta in buna măsura cerințele GDPR, pregătirea
unui DPO nefiind necesara, ci doar numirea voluntara pe aceasta poziție a celui care are meritul
de a fi adus organizația pe acest palier , in scopul supravegherii respectării permanente a GDPR,
prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor
impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor).Un DPO acționează
si ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere,
persoanele vizate și unitățile de afaceri din cadrul unei organizații).
100-150 de puncte => Organizația dvs. respecta parțial cerințele GDPR, astfel încât pregătirea
unui DPO este necesara, iar numirea acestuia, chiar daca este voluntara este recomandata in
vederea implementării acelor masuri neconforme cu prevederile GDPR și, în plus, poate
reprezenta un avantaj competitiv pentru compania dvs., mai ales in perspectiva dezvoltării
acesteia.
50-100 de puncte => Organizația dvs. nu respecta decât câteva din cerințele GDPR, astfel încât
pregătirea unui DPO este absolut necesara, iar numirea acestuia in mod voluntar este cu
fermitate recomandata in vederea implementării masurilor necesare alinierii la prevederile
GDPR.
0-50 de puncte => Organizația dvs. nu respecta cerințele GDPR, astfel încât pregătirea unui
DPO este obligatorie, iar numirea acestuia in mod voluntar se impune ca o necesitate in scopul
implementării prevederilor GDPR

7
CHESTIONAR EVALUARE GDPR
Startup Checklist

Grilă răspunsuri:
2. DA - 5 puncte
NU / Nu știu - 0 puncte
3. DA - 0 puncte
NU - 10 puncte
4. DA - 10 puncte
NU / Nu știu - 0 puncte
5. DA - 0 puncte
NU - 5 puncte
6. DA - 0 puncte
NU - 10 puncte
7. DA - 5 puncte
NU / Nu știu - 0 puncte
8. DA - 0 puncte
NU - 5 puncte
9. DA - 10 puncte
NU / Nu știu - 0 puncte
10. DA - 10 puncte
NU / Nu știu - 0 puncte
11. DA - 0 puncte
NU - 5 puncte
12. DA - 10 puncte
NU / Nu știu - 0 puncte
13. DA - 10 puncte
NU / Nu știu - 0 puncte
14. DA - 10 puncte
NU / Nu știu - 0 puncte
15. DA - 10 puncte
NU / Nu știu - 0 puncte
16. DA - 5 puncte
NU / Nu știu - 0 puncte
17. DA - 10 puncte
NU / Nu știu - 0 puncte
18. DA - 10 puncte
NU / Nu știu - 0 puncte
19. DA - 10 puncte
NU / Nu știu - 0 puncte
20. DA - 10 puncte
NU / Nu știu - 0 puncte
21. DA - 10 puncte
NU / Nu știu - 0 puncte
22. DA - 10 puncte
NU / Nu știu - 0 puncte