 Unele companii au obligatia de a avea un

ofifiter de GDPR
 Ofiterul de GDPR opereaza independent si
raporteaza direct conducerii
 Trebuie sa anuntam atat furnizorilor cat si
clientilor / pacientilor cine este DPO-ul
institutiei
 Desemnarea unui DPO poate ajuta
companiile sa faca mari reduceri de costuri
 Necesitatea unui audit pe partea datelor. Trebuie
identificat ce face institutia dvs cu datele sale si ce
riscuri din punct de vedere al GDPR-ului sunt
prezente.

 Crearea unui chestionar in care intrebam toti angajatii

responsabili cu prelucrerea datelor felul in care o fac

 Deadline pt completarea chestionarului.

 Follow up prin sedinte cu responsabilii de date. Nu

facem doar chestionarul si lasam lucrurile in voia
sortii. Trebuie sa vedem intelegem ce face fiecare
responsabil cu datele si sa intelegem perfect felul in
care datele sunt prelucrate.
 Pregatirea Raportului pentru Auditul de date.
Dupa efectuarea auditului, se efectueaza sedintele cu
responsabilii pentru a intelege exact ce se intampla cu
toate datele institutiei, este timpul sa creem un Raport al
Auditului astfel:

 a) Care este circuitul datelor in companie

 b) Cum se trimit datele in interiorul companiei
 c) Cine are acces la date in companie
 d) Cu cine facem schimb de date
 e) Ce date si cum sunt transferate in afara

Identificarea riscurilor ce pot aparea din pricina utilizarii

datelor si felul in care datorita acestor lucruri pot aparea
brese de securitate.
 Securitatea datelor este cea mai importanta parte din cadrul conformitatii GDPR

 Inspectia totala a securitatii datelor electronice din institutie

 Traininguirea angajatilor din punctul de vedere al securitatii datelor

 Asigurati-va de faptul ca partea de securitate cibernetica este foarte bine pusa la punct

 a) Crearea unei insfrastructuri foarte bine definita si schitata a retelei de calculatoare
 b) Computere bine puse la punct, neuzate moral sau fizic si non stop updatete
 c) Existenta unui Server de domeniu care sa includa absolut toate masinile de calcul din cadrul
institutiei / companiei si a caror drepturi de administrare sa fie oferite doar Persoanei Competente sa
faca acest lucru
 d) Existenta unui domeniu ( cu un Actyve Directory = o implementare a serviciilor de directoare LDAP,
folosită de Microsoft în cadrul sistemelor de operare Windows. Astfel "Active Directory" pune la
dispoziția administratorilor un mediu flexibil cu efect global pentru: asignarea permisiunilor, instalarea
programelor, înnoirea securității) in care sa aibe acces de instalare si configurare doar Administratorii
de Retea
 e) Existenta unui Antivirus licentiat pe toate masinile de calcul
 f) Existenta cel putin unei persoane / firme externalizate ( de cele mai mullte ori este mult mai
profitabil sa angajam o firma externa cu experienta pentru mentenanta sistemelor de calcul, a serverelo
si a retelei) dedicate pe post de Administrator de retea
 g) Mentinerea actualizata a tuturor softurilor si nepermiterea instalarii a nici unui soft din exterior ce sa
poata aduce prejudicii sistemului.
 h) Folosirea unui sistem Wireless securizat, si impartirea retelelor personalului inststitutional fata de
reteaua vizitatorilor.
 i) Implementarea unui sistem Proactiv de monitorizare si service
 j) Folosirea unor adrese de Email Institutionale sigure si personale ( Platite) nu Yahoo, Gmail...etc

 Puneti la punct un plan de a raspunde la o eventuala bresa de securitate

 Datele trebuie sa fie folosite transparent, toti clientii nostri
trebuie sa stie cum se folosesc datele lor. In momentul cand
le colectam datele TREBUIE sa la spunem clientilor ce facem
cu ele.

 Se considera ca si o bresa de securitate daca nu le spunem

clientilor in ce fel le folosim datele, ce facem cu ele de fapt (
pentru ce le colecrat, felul cum le colectam, unde le pastram
si cat timp le pastram ) si cu cine le impartim.
a) Adaptarea proceselor si procedurilor dupa
standardele GDPR

b) Crearea unei proceduri in cazul unei brese de

securitate, HR si protectia datelor, Marketing si
Protectia datelor

c) Asigurati-va ca politicile companiei / institutiei

dvs sunt:
 - foarte usor de gasit
 - usor de inteles
 - scurte
 - consistente
 - executate ( sunt puse in aplicare )
 - Furnizarea unor training-uri specializate tuturor angajatilor
care sa contina si partea de politici si proceduri ale GDPR

 - Furnizarea de traininguri speciale mult mai avansate acolo

unde este nevoie

 - Faceti ca aceste traininguri sa fie captivante

 - Inregistrati in istoricul companiei / institutiei dvs toate

trainingurile pe care le efectuati
 Exista foarte multe unitati de masura in lume cum ar fi: seunde,
biti, kilograme, pounds, miligrame, grade celsius, ani luminam
....si asa mai departe
In lumea confidentialitatii datelor masuram impactul. mai exact
masuram Impactul asupra vietii private in urma prelucrarii datelor
este o parte fundamentala a GDPR si este o incalcare a principiilor
GDPR a nu le folosi ca un Risc Major al protectiei datelor.
Respectarea acestui pas ar trebui sa acopere riscul , recomandarile
si sa aduca solutii in compania sau institutia dvs. Este important sa
acordam o atentie deosebita Impactului asupra Intimitatii
persoanelor ale caror date le prelucram deoarece nerespectarea
intimitatii acestora ne poate costa foarte scump.

Rolul Masurarii riscului impactului asupra vietii private este de a:

 Detalia potentialul risc al unui proiect

 Lista modurilor in care aceste riscuri pot fi reduse
 Alege persoana potrivita din cadrul companiei care poate
diminua riscurile
 Asigura faptul ca situatia este monitorizata astfel
recomandarile si procedurile stabilite vor fi respectate
 Din pacate daca sunteti raspunzator de partea de date personale
veti avea parte si e brese de securitate in cadrul datelor personale.
Probabil intr-o dimineata veti fi sunta si vi se va spune pe un ton
isteric sau disperat ca avem o bresa de securitate pe partea datelor
personale.. Ce e de facut in acest caz?

 Articolul 33 din GDPR ne spune faptul ca in cazul unei brese de

securitate suntem obligati sa raportam in maximum 72 de ore
aceasta bresa regulatorului. Totodata este de obligatia noastra sa
raportam aceasta bresa si clientilor si sa gasim solutii impreuna cu
acestia pentru a diminua cat se poate de mult expunerea acestora
prin bresa noastra de securitate. Astfel in ambele sin aceste 2
cazuri este recomandat sa avem 2 template-uri de scrisori, atat
pentru Regulator cat si pentru clientii nostri.

 Este important ca sa avem in procesele si procedurile companiei

noastre acest scenariu bine definit, ce se intampla in cazul unei
brese se securitate in cadrul datelor personale insotita de
sabloanele de mai sus amintite, cele 2 scrisori cat si un Plan pentru
Bresele de securitate a dateor personale ( in functie de problema sa
avem o rezolvare rapida a situatiei )
 Crearea unui registru cu Inregistrari corecte pentru
conformitatea procesarii datelor dupa standardele
GDPR

 Registrele intocmite corect ne pot ajuta in cazul unor

probleme cu alte entitati ce ne invinovatesc pentru
nerespectarea conformitatii standardelor GDPR

 Pastrati in arhiva registrele pentru schimbarile

survenite in cadrul institutiei dvs prvivind alinierea
pentru respectarea protecției datelor in toate
departamentele

 Pastrati datele pasilor pentru toate modificarile

survenite in cadrul companiei in timpul standardizarii
pentru GDPR
Dr. Ec. Inf. Ionut Mihail DRAGOI
ionut@dmi-it.ro
+4 0735169210