Importanța Respectării Datelor Private - GDPR - 14.04.2024

SUN CERT
Organism International de Certificare
suncert.ro
SUN CERT – Organism International de Certificare
Auditor intern în conformitatecu cerinţele

SR ISO/IEC 27001:2013 si SR EN ISO 19011:2011
Cerințele Regulamentului UE 679/2016

(GDPR)
Trainer: RAREȘ MACAROV

A ?!?
GDPR
25 mai 2018
APOCALIPS
Prezent
Cadrul normativ
4
GDPR
Capitolul I: Dispozitii generale
Articolul 1: Obiect si obiective

GDPR:
- stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal, precum și normele referitoare la libera circulațiea datelor cu
caracter personal.
- asigură protecțiadrepturilor și libertăților fundamentale ale persoanelor fizice și în special a
dreptului acestora la protecția datelor cu caracter personal.
Articolul 2: Domeniul de aplicare material

GDPR:
- se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace
automatizate, precum și prelucrării prin alte mijloace decât cele automatizatea datelor cu
caracter personal care fac parte dintr-unsistem de evidență a datelor sau care sunt destinate
să facă parte dintr-unsistem de evidență a datelor.
- nu se aplică de către autoritățile competente în scopul prevenirii, investigării, depistării sau
urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării
împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.
GDPR
Articolul 3: Domeniul de aplicare teritorial
GDPR:
- se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator
sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea
are loc sau nu pe teritoriul Uniunii.
- se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune
de către un operatorsau o persoană împuternicită de operator care nu este stabilit(ă) în
Uniune, atunci când activitățile de prelucrare sunt legate de:
(a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă
se solicită sau nu efectuarea unei plăți de către persoana vizată; sau
(b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
GDPR
Articolul 4: Definiții
„date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă
(„persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată , direct sau
indirect, în special prin referire la un element de identificare, cum arfi un nume, un număr de identificare, date
de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității salefizice,
fiziologice, genetice, psihice, economice, culturale sau sociale;
„ prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal
sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum arfi
colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea,
consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod,
alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
„creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care
constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o
persoană fizică , în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă ,
situația economică , sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se
află persoana fizică respectivă sau deplasările acesteia;
GDPR
„ pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea
să nu mai poată fi atribuite unei anume persoane vizatefără a se utiliza informații suplimentare, cu condiția ca
aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și
organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice
identificate sau identificabile;
„operator” înseamnă persoana fizică sau juridică , autoritatea publică , agenția sau alt organism care, singur
sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;
„ persoană împuternicită de operator” înseamnă persoana fizică sau juridică , autoritatea publică , agenția
sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
„consimțământ” al persoanei vizate înseamnă orice manifestare devoință liberă , specifică , informată și
lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă , printr-o declarație sau printr-o acțiune
fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
„încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod
accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter
personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
GDPR
„date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moștenite sau
dobândite ale unei persoanefizice, care oferă informații unice privind fiziologia sau sănătatea persoanei
respective și care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la
persoana în cauză;
„date biometrice” înseamnă o date cu caracter personal care rezultă în urma unor tehnici de prelucrare
specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care
permit sau confirmă identificarea unică a respectivei persoane, cum arfi imaginile faciale sau datele
dactiloscopice;
„date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei
persoanefizice, inclusiv prestarea de servicii de asistență medicală , care dezvăluie informații despre starea
de sănătate a acesteia;
Scop
Armonizare – osingură lege
- În prezent există 28 de seturi diferitede legipeteritoriul UE referitoare la protectia datelor
personale.
- Fiindun Regulament, este aplicabilefectiv direct în toatestatele membre, nefiind necesare alte
normative legislative nationale.
- Armonizarea este binevenită pentru organizațiile multinationale caretrebuiausa respectecerinte
specificedin diverse state
- Organizatiiledin afara UE care procesează date cu caracter personal alecetătenilor europeni
trebuie să aderela acelasinivel de protectiea acestor date
- Organizatiiledin afara UE trebuie să desmeneze un reprezentant peteritoriul UE, indiferent dacă
procesează ocazionalsaupescară largă date personale
- “one-stop shop”: organizatiile multinationalevor trebuisă colaboreze cuo singură autoritate de
supraveghere, nu cu 28 (unde își are sediul central sau undese află locatia principală)
10
Scop

- În prezent, Directiva 95/46/CE acceptă ca statele UE să introducă înlegislațianațională derogări și
abordăridiferite specifice
- Actual, legislația membrilor UE este departede afi consistentă șiomogenă. Exemple:
Directiva 95/46/CEafost implementată de toatestatele membre, dar cu reglementări șiderogări
multiple: în Austria, Austrian Data Protection Actse bazează pe Directiva 46, dar include multiple
detalii șicerințecaredepășesc cu mult cerințele Directivei. În Irlanda, Data Protection Acts 1998-
2003 aufostsuplimentate decătre Office of the Data Potection Commisionercucerințe
suplimentare,darfără normedeaplicaresaughiduriexplicative. În Croația, pelângă Act on
Protection of Personal Data, cerințede protecție maise regăsesc inclusiv în Constituția Rep. Croația,
în Acton Data Confidentiality, The Employement Act și în Codul Penal.
- Înmulte țări membre există legislație specifică anumitor sectoare reglementate care conțin cerințe
referitoare la protecția datelor personale (sector financiar, desănătate, telecomunicații etc.)
11
Scop
- Statele membre si-austabilit propriile criterii și mecanisme de penalizare în cazul încălcării cerințelor
actuale.
- Există omare discrepanță lanivelulsancțiunilordejaaplicate
- 1.460.000 Euro – LIDL - Germania în 2008
- 1.000.000 Euro – Google – Italia în 2013
- 1.200.000 Euro – Facebook – Spania în 2017
- Înunele state membre, autoritățile pentru protecția datelornuauputereadeastabili

sancțiuni directe, cinumaiprin intermediul sistemului de justiție (Belgia, Danemarca,
Irlanda, Estonia)
- Au fostaplicatesancțiunipentru:
- Imagini video CCTV (Austria)
- Divulgarea informațiilordespre pacienți (Belgia)
- Securitate insuficientă adatelor (Cehia)
- Utilizare neadecvată a datelor pentru marketing direct (Danemarca)
- Stocarea de cookies (Franta)
- Informatiiilegaledespretraficul de date (Portugalia)
Scop
- Există abordăridiferite în ceeace privește compensațiile/despăgubirile pentru persoaneleafectate de incidentele

de securitate saudenerespecatrealegislației curente
- 2 state – nustabilescnicio formă de a puteafi compensată persoanaafectată
- 7 state – stabilesc formede compensare doar pentrudaune materiale
- 19 state – stabilesc formede compensare atât pentrudaune materiale, cât șidaune moralesau dealtă natură
- Există sistemede compensare/despăgubire specificefiecărei țări

- În marea majoritatea cazurilor, compensațiileaufostpână în 10.000 Euro
- În Italia însă, nivelul compensațiilora fost cuprins înintervalul 25.000 – 90.000 Euro
Scop
Obligatii pentru procesatori

- GDPR prevede obligații pentru procesatori, cei care furnizează serviciide procesare a datelor pentru
diverse organizatii, dar care nu eistabilesc scopul saumijloacelede procesare (exemplu: call centre)
- Înastfel de situații, procesatorul trebuie să furnizeze suficiente garanții de implementarea
măsurilor tehnice siorganizatorice pentruasigurarea conformității cu GDPR si protejăriidatelor
- Acest lucrurestrânge libertatea procesatorilordea alegeun alt procesator subcontractatfără
autorizarea prealabilă explicită din partea operatorului
- Înțelegerile contractualevor trebui actualizate,iarobligațiile și responsabilitățiledintre operator și
procesator vor fi imperative în viitoareleacorduri
14
Scop
Noi conceptede bază

- Multi termeni utilizati sidefinitiileasociaterămânneschimbate față de normativele UE existente
- Sunt introduse conceptenoicumarfi “high risk to individuals” (risc ridicat pentruindivizi), “large
scale processing” (procesare pescară largă), “ pseudonymised data” (date pseudonimizate)
- Date pseudonimizate = datedin care nu poate fi identificată opersoană fără utilizarea altor
informații adiționale/suplimentare
15
Ce este șide cee important?
Ce? De ce?
Orice date referitoare la persoane Pentruprotejarea persoanelor fizice ale
identificabile – angajati, furnizori, căror date sunt
colaboratori,clienți, pacienti etc. - Obtinute
- Nume, CNP - Gestionate
- Adrese,e-mailsau ID online - Prelucrate
- Numere de telefon - Stocate
- Informatii desprestarea de - Transmise/transportate
sănătatesauservicii medicale - Eliminate/distruse
- Date genetice, biometrice
(imagini, datedactiloscopice
etc.)
- Date fiziologice, psihice,
economice, culturale, sociale Regulament, nu Directivă! - aplicare obligatorie!
Aplicare
Se aplică prelucrăriidatelor cu caracter personal în cadrul activităților
unui operatorsau alunei persoane împuternicite de operator pe
teritoriul UE, indiferent dacă prelucrareaare loc saunu peteritoriul
Uniunii!
Se aplică șientităților cumaipuțin de 250 angajațidacă prelucrarea

datelorestesusceptibilă să genereze un risc pentrudrepturile
persoanelor vizatesau include categorii specialede date
Cei 5W
Consimțământ
Orice manifestare devoință liberă, specifică,

informată șilipsită de ambiguitate a persoanei
vizateprin care aceasta acceptă, printr-o
declaratiesau actiune fără echivocca datele cu
caracter personal care oprivescsă fie prelucrate.
Consimțământ
- declaratie/acordscris
- bifarea uneioptiunipeun site
- pentru prelucrarea înscopuri multiple trebuie să existe
consimțământpentru toate activitătile de prelucrare a
datelor
Consimțământ
Operatorul trebuie să demonstreze existențaconsimțământului
Solicitarea acordului să fie în formă inteligibilă și ușor accesibilă,

limbaj clar și simplu
Consimțământul poate fi retras înorice moment șivaafectadoar

prelucrările ulterioare
Retragerea consimțământuluitrebuie să fie la fel desimplă

și ușoară
Nu esteadmisconsimțământulcondiționat
Consimțământ
Prelucrarea datelor unuicopil sub 16 ani necesită acordul

titularului ră spunderii pă rinteș ti asupra copilului
Operatorul trebuie să depună toate eforturile rezonabile

pentru a verifica consimțământul părintelui
Statele membre potscădeavârsta până la 13 ani!

Consimțământ
Dreptul la ștergere Dreptul la restricționarea Dreptul la
(dreptul de a fi uitat) prelucrării portabilitatea datelor
Dateletrebuie șterse Dacă prelucrarea a fost Transferul datelor
dacă persoana vizată restricționată, datele pot fi către alt operatorse
își retrage prelucrate numai cu realizează în baza
consimțământul pe consimțământul persoanei consimțământului
baza căruia are loc vizate persoanei vizate
prelucrarea
Decizii automatizate / Transferul către o țară terță

profiluri sau organizatie internatională
Deciziile de prelucrare Transferul datelor către alt
automată, crearea de operatorse realizează în baza
profiluri sunt permise consimțământului persoanei
doar cu vizate
consimțământul
explicit sau contract
SUN CERT – Organism International de Certificare Informare
Persoana vizată trebuie să fie informată referitor la:
Identitatea și datelede contact ale operatorului
Datelede contact ale DPO (Data Protection Officer – responsabil cu protectia datelor)
Scopurile încare sunt prelucratedatele șitemeiul juridical prelucrării
Destinatarii și/sau categoriile de destinatari aidatelor
Perioada pentrucare vor fistocatesau criteriile utilizate pentruastabiliaceastă perioadă
Faptul că persoana vizată aredreptul de accesla date șidea le porta,dreptul de

rectificare, dreptul de ștergere, de restricționare,de a se opune prelucrării,de a-și retrage
consimțământul, după caz
Dreptul de a formula plângere unei autoritătidesupraveghere
Dacă furnizarea de date reprezintă oobligație legală, contractuală sau necesară

încheierii unui contract și care pot fi consecințele nerespectării obligației
SUN CERT – Organism International de Certificare Informare
Însituația încareconsimțământuleste obținut și

în numele unorterți, informarea prealabilă trebuie
să includă identitateaterților!
Nu este acceptată doar simpla indicare a unei

categorii!
Drepturi
Drepturile persoanei vizate:
Informare
Dreptul de acces
Dreptulla rectificare
Dreptulla ștergerea datelor (“dreptul deafi uitat”)
Dreptulla restrângerea prelucrării
Dreptulla portabilitatea datelor

区 Dreptullaopoziție
Dreptul dea nufisupusunei decizii automate, inclusiv de
profilare
Portabilitatea datelor
Către persoana vizată

Persoana vizată aredreptul de a solicita decâteoridorește șifără condiționare să
primească datele prelucrate de operator șisă decidă ce anume face cuele, inclusiv să
le păstreze exclusiv pentru uzul privat.
Către alt operator

Persoana vizată aredreptul de a solicitacadatelesă fie transferate direct unui alt
operator, fără obstacoledin partea operatorului căruia i-aufost furnizatedatele
Portabilitatea datelor
Date portabile:
Date despre persoana

vizată
Date furnizate de
persoana vizată
În plus, sunt incluse și date Termen
pseudonimizate, în măsura
încare pot fiasociate în Datele furnizate în mod
mod clar cu persoana vizată direct și activ de persoana Încel mult 30 zile, fără
vizată întârzieri nejustificate
Dateleobtinute de
Excluse: dateleanonime operator prinobservarea Dacă actiunile sunt
persoanei vizateca complexe, termenul poate
utilizatoral serviciului fi prelungit cu maxim 60
zile,cu notificarea
Excluse: datelederivatesau
persoanei întermende 30
dedusede operator pe
zile
baza datelor furnizate de
persoana vizată
DPO (Data Protection Officer)
Numirea unui DPO este obligatorie dacă:
Prelucrarea este efectuată de o autoritate sau un organism public,

cu excepția instanțelor de judecată
- administratia fiscala, evidența populației, transport public, furnizare de utilități, infrastructură,
servicii de radiodifuziune, sănătate, servicii notariale, avocațiale etc.
- Ghidul WP243/13.12.2016 revizuit în 05.04.2017 recomandă ca o bună practică desemnarea
unui DPO în orice organizație publică și/sau în orice organizație privată care procesează
date personale pentru (în numele) unei entități publice
- Articolul 37 (4) stabileștecă statele membre pot impune numirea unui DPO și în alte situații
Activitatea principală constă în monitorizarea periodică și sistematică,
pe scară largă, a persoanelor vizate
- Un spital are ca activitate principală servicii de sănătate și îngrijire. Dar pentru a putea oferi
astfel de servicii, trebuie să prelucrezedate cu caracter personal și date cu caracter special ale
pacienților. Deși prelucrarea nu reprezintă activitatea de bază, în astfel de situații este
obligatorie desemnarea unui DPO (Ghid WP 243)
- O firmă privată de securitate care protejează centre comerciale și spații publice are ca activitate
principală activități de pază și supraveghere. Trebuie să desemneze un DPO pentru că
prelucrează date personale (înregistrari video de la sistemele CCTV) (Ghid WP 243)
- Firme de contabilitate caretin evidentele contabile/salariale ale angajatilor unor organizații au
ca activitate principală “contabilitatea” . Trebuie să desemneze un DPO pentru că prelucrează
date cu caracter personal. (Ghid WP 243)
- Furnizori de servicii de telefonie/Internet au ca activitate principală furnizarea de servicii de
telecomunicații. Trebuie să aibă desemnat un DPO pentru că prelucrează pe scară largă date
cu caracter personal ale clienților lor (Ghid WP 243)
“Scară largă” ?!?
- Procesarea datelor pacienților în cadrul unei unități medicale
- Procesarea datelor despre călătorii/itinerarii de către o entitate din transportul public
- Procesarea întimp real a datelorde geo-locație de entități furnizoare de servicii de transport
- Procesarea constantă a datelorde către instituțiifinanciar-bancaresi de asigurări
- Procesarea datelor despre comportamentul utilizatorilor de către motoarele de căutare (Google,
Bing, Yahoo etc.)
- Procesarea datelor (conținut, locație, trafic, preferințe, comportament etc.) de către furnizorii de
servicii Internet
Exceptii:
- Procesarea datelor pacienților de către un medic defamilie
- Procesarea de către un avocet a datelor referitoare la acțiuni criminale și/sau ofensatoare
Monitorizare periodică și sistematică ?!?
Periodică
- Prelucrari realizate la intervale de timp stabilite pe anumite perioade de timp
- Prelucrari realizate și repetate la intervale fixe detimp
- Prelucrari realizate constant sau periodic pe durată nedeterminată
Sistematică
- Prelucrări realizate în mod organizat și metodic
- Prelucrări realizate ca parte a unei strategii
Exemple:
- rețele și servicii de telecomunicații
- activitățide marketing
- activitățide profilare și/saude scoring (creditare,asigurări, sănătate
etc.)
- programede loialitate
- monitorizarea locațiilor geografice
- reclamă comportamentală
- monitorizareastării de sănătate prin echpamente mobile/portabile
Activitatea principală constă în prelucrarea pe scară largă a unor
categorii speciale de date
- Date genetice: caracteristici genetice moștenitesau dobânditecare oferă informații unice

privindfiziologia sausănătatea persoanei vizate și care rezultă în special în urma unei analize
a unei mostre de material biologic
- Date biometrice: date rezultate în urma unor tehnici de prelucrare specifice referitoare la
caracteristicile fizice, fiziologicesau comportamentaleale unei persoane și care permitsau
confirmă identificarea unică a respectivei persoane (imagini faciale, date dactiloscopice etc.)
- Date privind sănătatea: date legate de sănătateafizică sau mentală a unei persoane, inclusiv
prestarea de servicii de asistență medicală, care dezvăluie informații desprestarea de
sănătate a acesteia
- Date privind originea rasială, etnică, opiniile politice, confesiunea religioasă, convingerile
filozofice, apartenențasindicală, viață și/sau orientareasexuală
Consultanță cu Monitorizarea
privire la obligațiile respectării GDPR
specifice GDPR
Răspunde la
Consultanță în solicitările
cadrul DPIA persoanelor vizate
Cooperează cu
autoritatea de
supraveghere
Poate fi angajat propriu sau un consultant/colaborator extern
Un grup poate desemna un DPO comun

Trebuie să aibă cunoștințe în legislația referitoare la protecția datelor
Să cunoască procesele operaționale aferente prelucrării datelor
Să cunoască tehnologia utilizată
Să cunoască domeniul de activitate
Să aibă abilitatea de a promova o cultură organizatională
Să fie independent
Să aibă acces la cel mai înalt nivel de management
Nu poate fi sanctionat (inclusiv concediat) pentru îndeplinirea sarcinilor
Trebuie să i se aloce resursele necesare pentru îndeplinirea sarcinilor
Să aibă acces la personalul și operațiunile de prelucrare a datelor
Implicarea DPO:
Articolul 38: Organizatia trebuie să se asigure că DPO este implicat
adecvat în toate aspectele referitoare la protectia datelor personale.
- DPO este solicitat să participe la toate întâlnirile managementului în care se abordează aspecte
referitoare la protectia datelor personale
- DPO participă activ la toate deciziile care privesc protectia datelor și avizează sau nu aceste
decizii
- Toate informațiile relevante cu referire la protectia datelor trebuie să fie analizate de către DPO
- Propunerile DPO în materie de protectia datelor trebuie implementate de către organizație
- Însituațiaunor divergențede opinie, trebuie analizată situația împreunpcu DPO pentru a
ajunge la un consens și a alege soluțiile adecvate
- DPO trebuie consultat de îndată cese identifică breșede securitatesau producerea unor
incidentede securitate. Înastfel de situații, DPO stabileștemodulde rezolvarea situației
produsă
Articolul 38 (2): Organizatia trebuie să asigure DPO resursele necesare.
- DPO trebuie să fie susținutclar de către managementul organizației

- DPO trebuie să aibă la dispozitie suficient timp alocat pentru îndeplinirea atribuțiilor. Se
recomandă stabilirea unui procent din timpul de lucru total pentru aceste atributii (în cazul în
care DPO este angajat al organizatitisi are si alte responsabilități/functii).
- Alocarea DPO a resurseloradecvate (echipament, infrastructură, acces, documentatie,
instruire etc.)
- Alocarea DPO a unorangajati care să-l sprijine, dacă este cazul
- Acces neîngrădit la resursesi informatii, cumarfi: resurseumane, IT, juridic etc. În vederea
sprijinirii DPO
- Instruire și perfecționare continuă a DPO,alocareade resurse necesarecreșterii competențelor
acestuia
- Însituația organizațiilor mari, multinationale, multisite, poate fi necesară desemnarea unei
echipe DPO (un DPO si echipa sa)
Articolul 38 (3): Organizatiatrebuie să asigure independența DPO
- DPO nu trebuie să primească ordine/indicații în ceea ce privește realizarea atribuțiilor sale
- DPO trebuie să aibă o poziție caresă-i asigure independența
- DPO trebuie să aibă o poziție caresă-i confere suficientă autoritate pentrua lua decizii și a
impune soluții în aspecte referitoare la protectia datelor personale
- DPO trebuie să aibă acces direct la cel mai înalt nivel de management
Articolul 38 (6): Conflicte de interese

- DPO nu trebuie să aibă o pozitie caresă-l pună însituația de a decide actiuni contrare (din
punct de vedere operational sau de management si din punct de vedere al protectiei datelor)
- Functii de evitat: senior management (chief executive, chief operating, chief financial, head of
marketing department, head of human resources, head of IT department).
Implicarea DPO în DPIA
Operatorul trebuie să solicite consiliereadin partea DPO în următoarele situații:
- Evaluarea necesitătii de a efectua sau nu DPIA
- Stabilirea metodologiei pentru DPIA
- Evaluarea necesitătii de a efectua DPIA in-house sau externalizat
- Stabilirea măsurilor tehnice si organizatorice de tratare a riscurilor
- Evaluarea completitudinii si corectitudinii DPIA
- Evaluarea rezultatelor DPIA
Abordarea bazată pe risc

- DPO își prioritizează acțiunile, deciziile înfuncțiede nivelurile de risc identificate
- DPO consiliază operatorul în alegerea soluțiilor înfuncțiede nivelurile de risc
Documentele gestionate de
- DPO
Politica de protectia a datelor cu caracter personal
- Domeniul de aplicare și scop
- Obiective
- Politica de instruire a personalului/colaboratorilor
- Procedura de acces la date la solicitarea persoanei
- Procedura de păstrare a înregistrărilor
- Procedura de evaluare a impactului (DPIA)
- Procedura de notificare a breșelor/vulnerabilitatilor de securitate
- Procedura de notificare a incidentelor de securitate
- Procedura de transfer de date către terți
- Procedura pentru portabilitatea datelor
- Procedura privind acordarea consimțământul
- Procedura privind retragerea consimțământului
- Procedura de subcontractare a prelucrării datelor
- Procedura privind tratarea reclamatiilor
- Registrul de acces la date a persoanelor solicitante
- Analiza și motivarea desemnării unui DPO
- Fișa de post a DPO
- Procedura privind DPIA
- Raport de evaluare DPIA
- Plan de tratare a riscurilor
- Registrul breșelorde securitate / Formular referitor la breșelede securitate
- Registrul incidentelor de securitate / Formular referitor la incidente de securitate
- Formular privind acordarea/retragerea consimțământului
- Formular privind acordarea/retragerea consimțământului parental
- Chestionar (checklist) pentru auditul de conformitate
D P I A (Data Protection Impact Assessment)
Data Protection Impact Assessment

Obligatorie atunci când un tip de prelucrare este susceptibil să
genereze un risc ridicat pentru drepturile și libertățile persoanelor,
cum arfi:
- Prelucrare automată, inclusiv profilare

- Prelucrare pe scară largă a unor categorii de date
- Monitorizări sistematice pe scară largă
D P I A (Data Protection Impact Assessment)
Evaluarea conține:
- Descrierea operațiunilor de prelucrare preconizate
- Descrierea categoriilor de persoane vizate
- Descrierea categoriilor șitipurilorde date prelucrate
- Descrierea scopurilor prelucrării
- Evaluarea necesității și proporționalității operațiunilor de
prelucrare în legătură cu aceste scopuri
- Evaluarea riscurilor pentru drepturile ș i libertăț ile persoanelor
vizate
- Evaluarea impactului în cazul producerii de incidente
- Măsurile de tratare a riscurilor
Securitatea datelor
Obligatia de aasigurasecuritatea
Operatorul implementează măsurile tehnice și organizatorice adecvate în

vederea asigurării unui nivel de securitate corespunzător, proporționale cu
nivelurile de risc și cu impactul potențial.
- Controlul accesului (fizic și logic)

- Criptarea datelor (stocate, transmise)
- Managementul echipamentelor de stocare, procesare, transmitere
- Disaster recovery plan
- Backup cu redundanță geografică
- Evaluarea furnizorilor de soluții de securitate
- Teste de penetrare
- Scanări de vulnerabilități
- Firewall
- Măsuri antimalware
- Politici de securitate
- Instruire, conștientizare
- Certificare ISO 27001 / ISO 27018
Incidentede securitate
Încălcareasecurității careduce în mod

accidental sau deliberat la distrugerea,
pierderea, modificarea sau divulgarea
neautorizate a datelor cu caracter personal
Încazul producerii unui incident de securitate,

operatorul notifică acest lucru autorității de
supravegherefără întârziere, în termen de 72 ore de la
momentul la care a luat la cunoștință despre incident,
cu excepția cazului în care acesta nu estesusceptibil
să genereze un risc pentru drepturile și libertățile
persoanelor vizate
Notificarea către autoritatea de supraveghere conține cel puțin:
- Natura încălcării securității datelor private
- Categoriile și numărul aproximativ al persoanelor vizate în cauză
- Categoriile și numărul aproximativ al înregistrărilor afectate
- Numele și datele de contact ale DPO
- Consecințele probabile ale incidentului
- Măsurile luate sau propuse pentru remedierea situației
- Măsurile pentru atenuarea efectelor negative (impactului)
Operatorul are obligația de a documenta incidentele:
- Situația defapt
- Efectele incidentului
- Măsurile de remediere întreprinse
Operatorul are obligația de a notifica persoanele vizate

dacă incidentul este susceptibil să genereze un risc
ridicat pentru drepturile și libertățile lor
Implicații practice:
- Proceduri de identificare, analiză, răspuns la incidente de

securitate
- Polițe de asigurare “cyber security”
- Drept contractual de regres împotriva “vinovaților”
Operator - împuternicit
- Contract cu instrucțiuni clare documentate

- Se poate adăuga un alt împuternicit doar cu acordul
prealabil al operatorului
- Împuternicitul trebuie să asiguresecuritatea datelor
prelucrate de el
- Personalul trebuie să încheie angajamente de
confidențialitate (NDA)
- Împuternicitul trebuie să informeze operatorul despre
incidentele sale de securitate
Răspunderea pentru prejudicii:
Operatorul
Operatorulesterăspunzătorpentru prejudiciul cauzat de
operațiunile sale de prelucrare care încalcă cerințele GDPR
Împuternicit
Împuternicitulesterăspunzătorpentruprejudiciul cauzat numai
încazul încare:
- nua respectatobligațiilestabilite
- aacționat înafara atribuțiilor specificate de operator
Răspunderea pentru prejudicii:
Operatorul
Trebuie să demonstrezecă a întreprins diligențele rezonabile
(instruiri, monitorizări, controale, evaluări, politicidesecuritate
stabilite și impuse la împuternicit etc.)
Remedii pentru persoana vizată
- Plângere la autoritatea desupraveghere
- Cale deatac judiciară împotriva deciziei AS
- Acțiune directă împotriva operatorului

- Recuperarea prejudiciului material/moral
- Răspunderesolidară dacă sunt implicate entități multiple
Sancțiuni
Autoritatea desupraveghere poate:
- Să emită avertizări
- Să deadispoziții
- Să oblige operatorul să informeze persoana vizată cu
privire la încălcarea protecției datelor
- Să limitezesau să interzică prelucrarea
- Să dispună rectificareasau șetrgerea datelor
Sancțiuni
Amenzi administrative:
Între 10.000.000 EUR - 20.000.000 EUR
sau
2% - 4% din cifra de afaceri
Care este mai mare!!!

Perspective organizaționale
GDPR impactează zone organizaționale multiple:
Legalitate șiconformitate
GDPR introduce noi cerințe și provocări pentru legalitate și funcționalitate. Se estimează că

este necesară formarea a peste 2.800.000 de DPO numai în Europa. Nivelul amenzilor este
cel mai ridicat în istoria UE. Se pune un accent deosebit pe responsabilitatea
organizațională care necesită un management proactiv și robust al confidențialității datelor.
Obligă organizațiile să analizeze serios modul în care elaborează politici de protecție a datelor
private.
Tehnologie
GDPR presupune modificări ale modului în care sunt proiectate și gestionate tehnologiile
de prelucrare a datelor. Se solicită evaluări de riscuri privind confidențialitatea pentru a
proiecta și sisteme șitehnologii. Este avută în vedere mai accentuat mascarea datelor, pseudo-
implementa
anonimizarea și criptarea.
O revoluție înconstrângeri șisancțiuni
Sancțiuni și amenzi cu sume nemaiîntânite până acum. Respectarea GDPR se va extinde și
la țări din afara UE, cel puțin pentru organizațiile non-UE care prelucrează date ale
cetățenilor europeni.
Funcții noi
Organizațiile care prelucrează pe scară largă date personale sau au peste 250 angajațitrebuie
să aibă desemnat un DPO cu experiența, cunoștințe și abilități adecvate. DPO trebuie să
aibă o poziție specifică în organizație pentru a impune măsurile de securitate.
Responsabilitate
Cerința actuală de a furniza anual autoritătilor informații despre activitatea de prelucrare a

datelor este înlocuită cu cerințe noi referitoare la audit și evaluare și trasabilitatea datelor.
Accentul se pune pe o atitudine proactivă a organizațiilor și capabilă de a demonstra
conformitatea cu cerințele GDPR. O responsabilitate mărită a organizațiilor în ceea ce
privește protejarea datelor private, managementul riscurilor și acțiuni de răspuns la incidente de
Măsuri criptografice
GDPR recunoaște în mod oficial beneficiile criptării datelor. Organizațiile trebuie să identifica măsuri și
controale criptografice adecvate, fiind răspunzătoare în cazul producerii de incidente datorate utilizării unor
mecanisme slabe sau vulnerabile de criptare.
Privacy-by-Design / Privacy-by-Default
Organizațiile trebuie să stabilească un set de reguli bine concepute în sensul protecției datelor private încă
din faza de proiectare a sistemelor de prelucrare a datelor sau în situația dezvoltării și implementării de noi
soluții și tehnologii. Unul din mecanismele utilizate în acest sens trebuie să fie DPIA (Data Protection Impact
Assessment) care este acum cerut în cazul prelucrării datelor cu risc ridicat.
Inventarul
informațiilor
Organizațiile trebuie să demonstreze că știu ce date dețin, unde sunt stocate, cum și cu cine sunt procesate
și transmise prin crearea și întreținerea unui “ inventar” al activităților de prelucrare a datelor.
Trebuie implementat un sistem de gestionare a înregistrărilor referitoare la date personale și activități de
procesare.
Dreptulla
portabilitate
Presupune furnizarea datelor cu caracter personal într-un format lizibil și standardizat pentru
afi accesibile persoanelor vizate. Poatefi o provocare majoră pentru unele organizații.
Date pseudo-anonime
GDPR recunoaște și extinde conceptul de date pseudo-anonime punând un accent mai mare
pe clasificarea datelor, dar rămâne încă neclar dacă și când anumite date precum adresa de IP
pot fi clasificate drept date personale. Reprezintă o provocare pentru organizații cum arfi ISP.
GDPR
Capitolul II: Principii
Articolul 5: Principii legate de prelucrarea datelor cu caracter personal

Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil șitransparent față de persoana vizată („legalitate, echitate și
transparență”);
(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil
cu aceste scopuri („limitări legate de scop”);
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate
(„reducerea la minimum a datelor”);
(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a
se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt
prelucrate, sunt șterse sau rectificatefără întârziere („exactitate”);
(e) păstrate într-oformă care permite identificarea persoanelor vizate pe o perioadă care nu depășește
perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele („limitări legate de stocare”);
(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția
împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării
accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și
confidențialitate”).
(g) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare
(„responsabilitate”).
GDPR
Articolul 6: Legalitatea prelucrării
Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul
sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a
face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane
fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care
rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță , cu
excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei
vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este
un copil.
Statele membre pot menține sau introduce dispoziții mai specifice de adaptare a aplicării normelor prezentului
regulament în ceea ce privește prelucrarea prin definirea unor cerințe specifice mai precise cu privire la
prelucrare și a altor măsuri de asigurare a unei prelucrări legale și echitabile, inclusiv pentru alte situații
concrete de prelucrare.
GDPR
Articolul 7: Condiții privind consimțământul
Operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru
prelucrarea datelor sale cu caracter personal.
Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu
afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia.
Articolul 8: Condiții privind consimțământul copiilor

Prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani.
Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care
consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului.
Statele membre pot prevedea prin lege o vârstă inferioară în aceste scopuri, cu condiția ca acea vârstă
inferioară să nu fie mai mică de 13 ani.
Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii
părintești a acordat sau a autorizat consimțământul,
GDPR
Articolul 9: Prelucrarea de categorii speciale de date cu caracter personal
Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică , opiniile
politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date
genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau
de date privind viața sexuală sau orientarea sexuală ale unei persoanefizice.
Statele membre pot menține sau introduce condiții suplimentare, inclusiv restricții, în ceea ce privește
prelucrarea de date genetice, date biometrice sau date privind sănătatea.
Articolul 10: Prelucrarea de date referitoare la condamnări penale și infracțiuni
Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de
securitate conexe se efectuează numai sub controlul unei autorități de stat sau atunci când prelucrarea este
autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile
persoanelor vizate. Orice registru cuprinzător al condamnărilor penale se ține numai sub controlul unei
autorități de stat.
GDPR
Articolul 11: Prelucrarea care nu necesită identificare
În cazul în carescopurile pentrucare un operator prelucrează date cu caracter personal nu necesită sau nu
mai necesită identificarea unei persoane vizate de către operator, operatorul nu are obligația de a păstra,
obține sau prelucra informații suplimentare pentru a identifica persoana vizată în scopul unic al respectării
prezentului regulament.
GDPR
Capitolul III: Drepturile persoanei vizate
Secțiunea 1: Transparență și modalități

Articolul 12: Transparența informațiilor, a comunicărilor și a modalităților
de exercitare a drepturilor persoanei vizate
Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații și orice comunicări referitoare
la prelucrare, într-oformă concisă , transparentă , inteligibilă și ușor accesibilă , utilizând un limbaj clar și
simplu, în special pentru orice informații adresate în mod specific unui copil. Informațiile sefurnizează în scris
sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate,
informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace.
Operatorul facilitează exercitarea drepturilor persoanei vizate.
Operatorul nu refuză să dea curs cererii persoanei vizate de a-și exercita drepturile, cu excepția cazului în
care operatorul demonstrează că nu este în măsură să identifice persoana vizată .
Operatorulfurnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cererifără întârzieri
nejustificate și în orice caz în cel mult o lună de la primirea cererii.
Pregătirea implementării GDPR
Pregătirea implementării GDPR
Inventarul activitătilor de procesare a datelor
Obligatia menținerii înregistrărilor referitoare la activitățide procesare a datelor:
. Identificarea operatorului / împuternicitului șia DPO
. Scopulprocesăriidatelor
. Descrierea categoriilor de persoane vizate șia tipurilordedate procesate
. Modul decolectare și procesare a datelor
. Modul destocare a datelor
. Modul de transfer/transmitereadatelor
. Durata depăstrare/stocare a datelor
. Măsuri tehnice șiorganizatoricedesecuritate existente
Stabilirea politicii generale
Politicidesecuritate
- Protectia datelor sensibile (speciale)

- Managementul riscurilor
- Stocare si/sau procesare în cloud
- Ecranul și biroul curat
- Utilizarea mesageriei electronice
- Instalare, configurare, testare a software-ului
- Anti-malware
- Back-up
- Răspuns la incidente și notificare
- Disaster recovery, redundanță
P B D (Privacy by Design / Privacy by Default)
Privacy by Design Activitătile de procesare trebuie planificate și proiectate ținând cont

de cerințelede securitatea datelor cu caracter personal
Implicit, doar datele necesare pentru fiecare scop specific vor fi

Privacy by Default culese și procesate.
Implicit, datele personale nuvor fi accesibile terților în mod automat
și/saufără intervenție umană .
P B D (Privacy by Design / Privacy by Default)
Nu vor fi colectate mai multe informații decât strict cele necesare scopului prelucrării 
Nu vor fi stocate mai multe informații sau petermen mai lung decât cel strict necesar
scopului prelucrării 
Nu vor fi procesate mai multe informații decât strict cele necesare scopului prelucrării 
Nu vorfi diseminate terțelor părți informații decât în scopul prelucrării


Nu vor fi vândute date personale


Nu vor fi stocate/transmise date personale decât în formă criptată 

Reguli generale
1 Reguli de stocare a datelor înformat electronic și/sau pe suport de hârtie 
2 Reguli de utilizare a datelor 
3 Reguli de păstrare a acurateței/exactității datelor 
4 Reguli pentru securitatea IT: echipamente mobile, bluetooth, wi-fi, e-mail 
5
Reguli de păstrare/arhivare, control și eliminare a documentelor (hârtie)

6
Reguli de stocare/procesare a datelor pe PC, laptop, tablete, drive extern, medii de stocare
amovibile 
7 Reguli de stocare/procesare a datelor în cloud 
8
Reguli de eliminare sigură a datelor de pe diverse echipamente

9 Reguli de utilizare a metodelor de criptare a datelor

10 Reguli de utilizare a echipamentelor personale 
11
Reguli de management al parolelor și de autentificare în sisteme 
12 Reguli de recunoaștere, analiză și răspuns la incidente

Etapele implementării
1 Stabilirea si inventarierea categoriilor de date personale 
2 Stabilirea și inventarierea proceselor de prelucrare (stocare, procesare, transmitere) a datelor
personale 
3 Stabilireasi inventarierea echipamentelor și platformelor, aplicațiilor implicate (asset inventory) 
4 Identificarea și evaluareavulnerabilitătilor și amenințărilor asociate (vulnerabilitie s scan, pen
test) 
5
Identificarea, analiza, evaluarea riscurilor și impactului 
6
Stabilirea opțiunilordetratare a riscurilor 
7 Implementarea măsurilor de tratare a riscurilor 
8 Elaborarea și implementarea politicilor și procedurilor 
9 Instruirea, conștientizarea personalului și colaboratorilor 
10 Elaborarea șitestarea planurilorde continuitate, de recuperare și revenire după incidente
majore 
11
Monitorizarea, analiza și auditarea performanțelor 
12 Certificarea (ISO 27001, ISO 27018) 
Noutăți
ISO/IEC 29134:2017
Guidelines for privacy impact assessment
SUN CERT – Organism International de Certificare Certificare
Statele membre UE, AS, Comisia încurajează instituirea

de mecanisme de certificare în domeniul protecției
datelor care să demonstreze conformitatea cu GDPR.
Operatorii de date cu caracter personal pot opta

pentru
certificarea cu Organisme de Certificare acreditate.

Importanța Respectării Datelor Private - GDPR - 14.04.2024

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Importanța Respectării Datelor Private - GDPR - 14.04.2024

Încărcat de

Drepturi de autor:

Formate disponibile

SUN CERT

Organism International de Certificare

Auditor intern în conformitatecu cerinţele

Cerințele Regulamentului UE 679/2016

Trainer: RAREȘ MACAROV

Articolul 1: Obiect si obiective

Articolul 2: Domeniul de aplicare material

Armonizare – osingură lege

- Înunele state membre, autoritățile pentru protecția datelornuauputereadeastabili

- Există abordăridiferite în ceeace privește compensațiile/despăgubirile pentru persoaneleafectate de incidentele

- Există sistemede compensare/despăgubire specificefiecărei țări

Obligatii pentru procesatori

Noi conceptede bază

Se aplică șientităților cumaipuțin de 250 angajațidacă prelucrarea

Orice manifestare devoință liberă, specifică,

Solicitarea acordului să fie în formă inteligibilă și ușor accesibilă,

Consimțământul poate fi retras înorice moment șivaafectadoar

Retragerea consimțământuluitrebuie să fie la fel desimplă

Prelucrarea datelor unuicopil sub 16 ani necesită acordul

Operatorul trebuie să depună toate eforturile rezonabile

Statele membre potscădeavârsta până la 13 ani!

Decizii automatizate / Transferul către o țară terță

Scopurile încare sunt prelucratedatele șitemeiul juridical prelucrării

Destinatarii și/sau categoriile de destinatari aidatelor

Perioada pentrucare vor fistocatesau criteriile utilizate pentruastabiliaceastă perioadă

Faptul că persoana vizată aredreptul de accesla date șidea le porta,dreptul de

Dreptul de a formula plângere unei autoritătidesupraveghere

Dacă furnizarea de date reprezintă oobligație legală, contractuală sau necesară

Însituația încareconsimțământuleste obținut și

Nu este acceptată doar simpla indicare a unei

Drepturile persoanei vizate:

Dreptulla portabilitatea datelor

Către persoana vizată

Către alt operator

Date despre persoana

Prelucrarea este efectuată de o autoritate sau un organism public,

- Date genetice: caracteristici genetice moștenitesau dobânditecare oferă informații unice

Un grup poate desemna un DPO comun

- DPO trebuie să fie susținutclar de către managementul organizației

Articolul 38 (6): Conflicte de interese

Abordarea bazată pe risc

Data Protection Impact Assessment

- Prelucrare automată, inclusiv profilare

Operatorul implementează măsurile tehnice și organizatorice adecvate în

- Controlul accesului (fizic și logic)

Încălcareasecurității careduce în mod

Încazul producerii unui incident de securitate,

Operatorul are obligația de a notifica persoanele vizate

- Proceduri de identificare, analiză, răspuns la incidente de

- Contract cu instrucțiuni clare documentate

Răspunderea pentru prejudicii:

- Plângere la autoritatea desupraveghere

- Cale deatac judiciară împotriva deciziei AS

- Acțiune directă împotriva operatorului

Între 10.000.000 EUR - 20.000.000 EUR

2% - 4% din cifra de afaceri

Care este mai mare!!!

GDPR introduce noi cerințe și provocări pentru legalitate și funcționalitate. Se estimează că

Cerința actuală de a furniza anual autoritătilor informații despre activitatea de prelucrare a

Articolul 5: Principii legate de prelucrarea datelor cu caracter personal

Articolul 8: Condiții privind consimțământul copiilor

Articolul 10: Prelucrarea de date referitoare la condamnări penale și infracțiuni

Secțiunea 1: Transparență și modalități

Operatorul facilitează exercitarea drepturilor persoanei vizate.