Anda di halaman 1dari 96

Catalog 2017 / Ediţia a VII-a

Cloud Computing
România

GDPR
Catalog GDPR Ready

Protecția datelor personale va


fi cheia de boltă a anului 2018
„Orice ființă umană are dreptul la viață,
la libertate și la securitatea persoanei sale”,
Articolul 3, Declarația Universală a Drepturilor Omului.

Radu Crahmaliuc,
Analist Independent Cloud &
Digital Transformation

Introducerea Regulamentului european general privind protecția datelor (GDPR)


reprezintă cea mai importantă modificare a legislației privind protecția datelor în UE și
la nivel global în ultimii ani. Va fi un an cu multă agitație, cu implicații majore nu numai
pentru zona de IT, ci şi pentru organizațiile din orice industrie. Căci, până la urmă, toți
suntem procesatori de date și toți ne vom supune acelorași condiții.
Ce au de făcut furnizorii de Cloud? Dar operatorii de centre de date? Dar compa-
niile specializate în eCommerce și procesatorii de plăți online? Dar casele de software și
ofertanții de servicii de call-center, consultanță, instruire și mentenanță? Sunt aspecte
comune pentru toate aceste comunități, dar și aspecte particulare.
De aici am plecat la editarea unui astfel de catalog, care să deservească în primul rând
operatorii din industria IT, dar și să ofere recomandări generale pentru orice industrie.
Catalogul GDPR Ready este structurat în două părți, respectiv Ghidul de orientare
rapidă și secțiunea efectivă de oferte de soluții și servicii destinate facilitării asigurării
conformității GDPR.
În „Ghidul de orientare rapidă” vrem să vă oferim o imagine de ansamblu asupra
principalelor modificări prezentate de regulament, precum și a zonelor critice pe care tre-
buie să le cunoaștem în momentul pregătirii conformității, dar și o serie de recomandări
oferite de câțiva experți internaționali, asociații guvernamentale și profesionale, precum
și firme de cercetare.
Dacă vă gândiți că până la 25 Mai 2018 mai este suficient timp pentru a demara
activitățile de asigurare a conformității GDPR trebuie să țineți cont de faptul că
durata medie a unui proces complet de implementare a condițiilor de conformitate
este de DOUĂ – TREI LUNI, în funcție de mărimea organizației și a volumului
de date personale procesat. Timpul pentru începerea planificării pentru obținerea
conformității GDPR este acum! 
1
Catalog GDPR Ready

GHID DE ORIENTARE RAPIDĂ ÎN GDPR

60 de întrebări
despre conformitate
INTRODUCERE

1 Cât de disturbator este noul Regulament european de protecție a datelor


personale?
Intrarea în vigoare a GDPR pe 25 Mai 2018 se anunță deja ca un eveniment
major al viitorului an. Va fi „Ziua – Z”, cu efecte apocaliptice pentru majoritatea
operatorilor de date personale care nu vor avea resursele și timpul să adopte toate
măsurile de conformitate? Sau va fi o perioadă de tranziție, în care cei implicați
vor avea răgazul să își implementeze, pas cu pas, procedurile, politicile și tehno-
logia necesare?
Noul regulament EU 2016/ 679 vine cu o forță a schimbării fără precedent, care pen-
tru multe organizații va avea un efect disturbator, mult mai mare decât valul digital de
care tot vorbim de o vreme încoace. Geneza nu a fost ușoară. Gândit ca o actualizare
absolut necesară a Directivei 95/46/EC, GDPR s-a consolidat după 4 ani de dezbateri și
3000 de amendamente. Peste 80 de noi cerințe au apărut față de vechea directivă. Multe
companii vor fi nevoite să facă schimbări dramatice în modelele tradiționale de business.
Unii spun că vom fi nevoiți să reconsiderăm radical actualele procese de marke-
ting. Potrivit Digital Clarity Group, „GDPR ar putea fi o amenințare de moarte pentru
existența multor companii, care obligă la adoptarea de decizii fundamentale cu privire
la colectarea, prelucrarea și stocarea datelor în probleme cheie din strategia de afaceri.”
Este clar pentru toată lumea ca acest efect disturbator poate și va fi diminuat prin
abilitatea tuturor organizațiilor implicate de a derula programe coerente de rezolvare a
tuturor componentelor proceselor și mecanismelor care pot oferi garanția conformității
cu noul Regulament.
Dar care sunt aceste procese, proceduri și mecanisme? Timpul trece repede și avem
nevoie de repere de orientare clare. Care sunt elementele critice către care trebuie să ne
îndreptăm rapid atenția? Cum putem obține o garanție de conformitate? De unde trebuie
să începem? Sunt câteva dintre întrebările esențiale la care vom încerca să răspundem
în acest „Ghid de orientare rapidă”.
2
Catalog GDPR Ready

Capitolul 1 IMPORTANȚA GDPR

2 De ce este atât de important Regulamentul 679/2016?


Regulamentul a apărut ca o reacție firească la stabilirea unor noi cadre de reglemen-
tare unitară, nu numai pentru viitorul digital al Europei, ci și pentru a corespunde unor
modele de business online, proliferării serviciilor Cloud și rețelelor sociale. Toată această
cavalcadă de digitalizare, globalizare și migrare în Cloud pune într-o nouă perspectivă
siguranța datelor personale.
Apariția Directivei NIS și noul Regulament 679/ 2016 GDPR oferă perspective mai
bune pentru protecția și confidențialitatea datelor, dar și o foarte mare responsabilitate
pentru toate organizațiile procesatoare de date ale cetățenilor europeni, indiferent dacă
sunt localizate în țările membre ale UE, sau oriunde în altă parte, pe glob.
Principala menire a noului Regulament este armonizarea legislației existente. În prezent,
există 28 de seturi diferite de legi privind protecția datelor în Uniunea Europeană. GDPR
le va înlocui cu un cadru de reglementare paneuropean, care va intra în vigoare la 25 mai
2018. Având statut de Regulament, acesta poate fi aplicat direct, în mod similar, în toate
statele membre, fără a mai fi necesară câte o legislație națională în fiecare stat membru.
Pentru organizațiile care operează în mai multe state membre, această armonizare
este binevenită. O multinațională nu va mai fi obligată să colaboreze cu autoritățile de
supraveghere din fiecare țară unde are o sucursală. Va fi suficientă colaborarea cu o
singură autoritate de supraveghere.

3 Care sunt obiectivele noului regulament?


GDPR reprezintă o schimbare fundamentală în legislația UE în ceea ce privește datele
și intimitatea personală. Regulamentul are două obiective majore:
Actualizarea legislației privind protecția datelor pentru a reflecta noile comporta-
mentele digitale și valorile societății;
Armonizarea regulilor privind protecția datelor la nivelul UE, deoarece vechea
Directivă privind Protecția Datelor a fost abordată și implementată în maniere diferite
de statele membre, adaptată la propriile culturi, nevoi și preferințe. Asta a influențat
o inhibare a comerțului și activităților cross-border, acționând ca o frână în calea unei
viitoare piețe unice digitale.

4 Care sunt activitățile asupra cărora GDPR va avea un impact major?


Sunt vizați în primul rând toți operatorii de date. Mulți procesatori de date existenți
vor trebui să își schimbe radical procedurile și garanțiile de prelucrare a datelor. Prin

3
Catalog GDPR Ready

noua definiție, destul de largă și de interpretabila a datelor personale, multe compa-


nii care credeau că nu au de ce să se alinieze la prevederile GDPR descoperă că prin
parteneriatele lor sunt parte integrată din sistemele de operatori și procesatori de
date. Astfel încât practic orice organizație, indiferent de mărime și domeniu de acti-
vitate, este angrenată într-un fel sau altul într-un mecanism de procesare a datelor
personale.
Iată doar câteva exemple de domenii unde există operatori de date personale, fiecare
dintre aceștia controlând ecosisteme de colaboratori și procesatori de date terți:
financiar bancar: bănci, asiguratori, administratori ai fondurilor de pensii, companii
de servicii financiare, societăți de leasing, etc.;
utilități: energie, gaze, apă, salubritate, transport public;
furnizori de produse și servicii IT: producători de software, furnizori de servicii de
telecomunicații, Internet, cablu TV, rețele și servicii de hosting și Cloud, operatori de data
centers, operatori de plăți online, magazine online, furnizori de soluții de Securitate HW
și SW;
organizații din sănătate: spitale, policlinici, case de asigurări, instituții de studii
clinice, medici de familie, farmacii, etc.;
companii comerciale de retail, distribuție, magazine online;
organizații media, agenții de marketing și PR, agenții de publicitate, cabinete de
consultanță tehnică, economică sau juridică, agenții de jocuri și concursuri, companii de
training și cursuri de perfecționare;
autorități și instituții publice.

5 Cu ce vine nou GDPR?


Un vector esențial al noului regulament este aria de aplicabilitate. Înainte de GDPR
companiile multinaționale care operau în diferite regiuni erau acoperite de o serie de
tratate internaționale care le facilitau libertatea de mișcare de la o piață la alta. Prin
noile prevederi, GDPR devine obligatoriu pentru orice operator de date, indiferent unde
are locația principală, dacă subiecții ale căror date sunt procesate au o locuință stabilă
într-una din țările Uniunii Europene. Alte prevederi majore ale noului regulament cu
posibile efecte disruptive ar mai fi:
Amenzile – Penalizările sunt copleșitor de mari, cu maxime ce se referă la 4% din
cifra de afaceri globală anuală. De notat că aceste prevederi se aplică atât celor care
gestionează datele, cât și celor care le procesează – ceea ce extinde obligativitatea GDPR
și asupra companiilor care oferă, de exemplu, servicii de hosting sau de Cloud.
Consimțământul – companiile nu vor mai putea folosi termeni contractuali ne-
compatibili GDPR sau cu clauze greu de probat. Consimțământul trebuie să fie clar și
liber de orice impunere, iar solicitarea inteligibilă și cu o solidă argumentare a scopului
în care se procesează datele.
4
Catalog GDPR Ready

Notificarea breșelor de securitate – devine obligatorie pentru toate țările membre


ale comunității. Orice incident trebuie comunicat către autoritățile de raportare în
maximum 72 de ore de când breșa a fost constatată. Procesatorii vor trebui să își anunțe
și clienții, imediat după ce s-a dovedit că incidentul de securitate a afectat datele perso-
nale ale acestora.
Dreptul la acces – parte din drepturile extinse ale cetățenilor în noul format al
GDPR se referă la dreptul acestora de a solicita procesatorilor sau controlorilor de date
confirmări legate de modul în care datele personale sunt procesate, unde și în ce scop.
Dreptul de a fi uitat – cunoscut și ca „dreptul de a fi șters”, asigură deplina
confidențialitate prin ștergerea tuturor înregistrărilor cu caracter personal, chiar și în
situațiile de diseminare de date sau folosirea potențială de către terți.
Portabilitatea datelor – se referă la dreptul oricărui cetățean de a primi datele
personale într-un format prestabilit, ușor de citit de către orice dispozitiv, care poate fi
transmis la solicitarea posesorului unui alt procesator de date.
Confidențialitate prin design – „Privacy by design” este un concept care se
folosește de mult, dar care abia acum devine parte din pachetul de cerințe GDPR. În
esență, constă în includerea instrumentelor de protecție a datelor încă de la început, de
la proiectarea unui sistem informatic.
Data Protection Officers (DPO) – Un studiu IAPP estimează un necesar de
peste 28000 de ofițeri DP în toată Europa. Deținătorul acestei poziții va fi mandatarul
conformității GDPR, urmând să cumuleze expertiză legală, operațională și IT.
Parlamentul European a acordat procesatorilor de date personale un răgaz de 2 ani,
suficient pentru a se pune la punct cu noile reglementări. Pentru a sublinia importanța
acestui demers, au fost anunțate penalități usturătoare pentru cei care nu vor putea de-
veni compatibili. Mulți analiști spun că cifrele vehiculate „sunt așa, doar de înfricoșare”,
dar cine își poate permite să riște o amendă de 10 milioane de euro sau minim 2% din
cifra de afaceri pe un an?
Alți analiști văd în GDPR în primul rând o încercare benefică pentru business. Orice
companie care a depus eforturi și a investit în măsuri de asigurare a conformității a
parcurs o bună etapă în transformarea sa digitală.

6 Cine supervizează GDPR în România?


În România, organismul care coordonează problemele legate de securitatea datelor
personale este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Ca-
racter Personal (ANSPDCP). Citând din prezentarea generală a instituției și a obiecti-
vului de activitate publicate pe site-ul Autorității http://www.dataprotection.ro/:
„Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal,
în calitate de autoritate publică centrală autonomă cu competență generală în domeniul
protecției datelor personale, reprezintă garantul respectării drepturilor fundamentale la

5
Catalog GDPR Ready

6
Catalog GDPR Ready

7
Catalog GDPR Ready

viaţă privată și la protecţia datelor personale, statuate cu precădere de art. 7 și 8 din


Carta Drepturilor Fundamentale a Uniunii Europene, de art. 16 din Tratatul privind
Funcționarea Uniunii Europene și de art. 8 din Convenția europeană pentru apărarea
drepturilor omului și libertăților fundamentale.”
Din aceeași sursă reținem faptul că Autoritatea își asumă rolul extrem de important
de catalizator al tuturor eforturilor de aplicare a prevederilor noului Regulament care
implică „o evaluare complexă a instrumentelor specifice asigurării protecției datelor per-
sonale, în scopul adaptării cadrului normativ național și pregătirii instituționale pentru
aplicarea noilor reglementări europene, inclusiv sub aspectul realizării unei cooperării
eficiente cu Comitetul european pentru protecția datelor și cu celelalte autorități în
domeniu din Uniunea Europeană.”
Pe pagina de Web dedicată noului Regulament UE 679/ 2016 este publicat un abstract
legat de noua legislație, cu referire specială la:
Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte
prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de
abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);
Directiva (UE) 2016/680 referitoare la protecția datelor personale în cadrul
activităților specifice desfășurate de autoritățile de aplicare a legii;
precum și linkuri către cele mai importante documente, ghiduri și recomandări.

Capitolul 2 SCURT ISTORIC AL PROTECȚIEI DATELOR PERSONALE

7 Care este diferența între Regulamentul EU 2016–679 și Directiva 95-46?


Pe teritoriul Uniunii Europene există două tipuri principale de legislație:

Directive
Implementare individuală în fiecare stat membru
Implementare prin crearea de legi naționale aprobate de parlamentele fiecărui stat
membru
Directiva europeană 95/46 / CE este o directivă
Legea 677/ 2001 este versiunea românească care reglementează punerea în aplicare
a Directivei europene, fiind aprobată de Parlamentul României.

Regulamente
Odată intrate în vigoare, au aplicabilitate imediată în fiecare stat membru
Nu impun nicio legislație locală de punere în aplicare
UE 2016-679 este un regulament

8
Catalog GDPR Ready

8 Care este istoricul legislației europene de protecție a datelor?


După cel de-al doilea Război Mondial au existat o multitudine de acorduri europene
referitoare la protecția drepturilor omului. În 1950 Convenția UE privind drepturile
omului (CEDO) introduce în legislație noțiunea de confidențialitate. După elaborarea
unui prim ghid în 1980 privind fluxurile de date transfrontaliere, în 1981 se semnează
Tratatul UE 108, în care sunt incluse opt principii pentru protejarea datelor cu caracter
personal. În perioada de largă adopție a tehnicilor de calcul și comunicării Internet au
apărut o serie de convenții cu privire la protecția persoanelor și prelucrarea automată a
datelor cu caracter personal, semnate în cea mai mare parte a statelor membre.
În 1995 a fost votată Directiva UE privind protecția datelor (95/46 / CE), care a
fost transpusă în legislația fiecărei țări, precum DPA 1998 din Marea Britanie sau Legea
677/ 2001 din România.
- Protecția inconsecventă a drepturilor individuale
- Regim de joc organizațional inegal
Legea drepturilor omului din 1998 (HRA 1998) stipulează în Articolul 8 „Dreptul la
confidențialitate”.
În 2016, la mai mult de patru ani după ce a fost supusă procedurilor de îmbunătățire
și aprobare, noul Regulament privitor la protecția datelor personale și libera circulație a
acestora este aprobat de forurile europene. Iată istoricul genezei GDPR:
8 aprilie 2016, Consiliul European adoptă noul Regulament.
14 aprilie 2016, Regulamentul e adoptat de Parlamentul European.
4 mai 2016, textul Regulamentului e publicat în Jurnalul Oficial al UE în toate
limbile oficiale.
24 mai 2016 este o lege validă, oferind țărilor membre un răgaz de 2 ani până la
punerea în aplicare.
25 mai 2018 este data de la care GDPR va intra în vigoare pentru toți operatorii de
date persoanele ai căror subiecți au domiciliul stabil pe teritoriul Uniunii Europene.

Capitolul 3 TERMENI ȘI DEFINIȚII

9 Care este structura GDPR?


Noul Regulament este structurat pe 9 Capitole și 91 de Articole dispuse astfel:
Capitolul I Dispoziții generale: Articolele 1-4;
Capitolul II Principii: Articolele 5-11;
Capitolul III Drepturile subiectului de date: Articolele 12-23;
Capitolul IV Controlor și procesor: Articolele 24-43;

9
Catalog GDPR Ready

Capitolul V Transferul datelor cu caracter personal către țări terțe: Articolele 44-50;
Capitolul VI Autorități independente de supraveghere: Articolele 51-59;
Capitolul VII Cooperarea și coerența: Articolele 60-76;
Capitolul VIII Restituiri Obligații și sancțiuni: Articolele 77-84;
Capitolul IX Dispoziții referitoare la situațiile specifice de prelucrare: Articolele 85-91.

10 Care sunt datele cu caracter personal?


Esența GDPR se bazează pe drepturile fundamentale ale omului. Art.8, Alin.1 din
„Carta drepturilor fundamentale a Uniunii Europene” și Art.16, Alin.1 din „Tratatul
privind funcționarea Uniunii Europene” prevăd dreptul oricărei persoane la protecția
datelor cu caracter personal care o privesc.
Termenul de „Date cu caracter personal” este destul de general în contextul
schimbărilor din Regulamentul european. Conform Articolului 4 – Definiții, Date cu
caracter personal „înseamnă orice informații privind o persoană fizică identificată sau
identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care
poate fi identificată, direct sau indirect, în special prin referire la un element de identi-
ficare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator
online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fizio-
logice, genetice, psihice, economice, culturale sau sociale.”

11 Cine trebuie să fie compatibil GDPR?


Este o întrebare esențială pentru orice companie care vrea să vadă în ce măsură activitățile
de prelucrare a datelor personale pe care le derulează se aliniază sau nu cu prevederile noului
regulament european. Potrivit EU 2016/ 679, noile reguli GDPR se aplică „controlorilor/ ope-
ratorilor” și „procesatorilor” de date. Cum se definesc aceste noțiuni? Potrivit Art.4, Par.7-10,
părțile implicate într-un proces de prelucrare a datelor personale sunt definite astfel:
„Operator sau controlor” - persoana fizică sau juridică, autoritatea publică, agenţia
sau alt organism care - singur sau împreună cu altele - stabileşte scopurile şi mijloa-
cele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele
prelucrării sunt stabilite print-o prevedere a Uniunii Europene sau o prevedere a
legislației naționale, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi
prevăzute în dreptul UE sau în dreptul intern;
„Procesator” - persoana fizică sau juridică, autoritatea publică, agenţia sau alt or-
ganism care prelucrează datele cu caracter personal în numele operatorului, printr-o
împuterncire de partea acestuia;
„Destinatar sau recipient” - persoana fizică sau juridică, autoritatea publică, agenţia
sau alt organism căreia (căruia) îi sunt divulgate date cu caracter personal, indiferent
dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot
10
Catalog GDPR Ready

comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu


dreptul UE sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor
date de către autorităţile publice respective respectă normele aplicabile în materie de
protecţie a datelor, în conformitate cu scopurile prelucrării;
„Parte terţă” - o persoană fizică sau juridică, autoritate publică, agenţie sau orga-
nism, altul decât persoana vizată, operatorul, persoana împuternicită de operator şi
persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de
operator, sunt autorizate să prelucreze date cu caracter personal.

12 Ce se înțelege prin „persoana vizată”?


Pentru acest termen nu am găsit o definiție explicită în Regulament, dar putem presu-
pune în mod implicit că:
„Persoana vizată” este persoana fizică ale căror date personale sunt supuse prelucrării.
Adică este chiar persoana pentru care a fost construit întregul mecanism GDPR. Prin
persoană fizică se înțelege orice individ în viață, care conform Articolului 1 are dreptul la:
Protecția datelor cu caracter personal
Protecția prelucrării datelor cu caracter personal
Libera circulație nerestricționată a datelor cu caracter personal în cadrul UE

13 Care este acoperirea geografică a GDPR?


Una dintre noutățile GDPR este extinderea ariei geografice de aplicabilitate. Noile
reglementări nu se aplică numai prelucrărilor efectuate de organizații care operează în
cadrul UE, ci sunt extinse și asupra oricărei organizații din afara UE care oferă bunuri
sau servicii persoanelor fizice din UE.
Conform Articolului 3 – Domeniul de aplicare teritorial, noul regulament „se aplică
prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui opera-
tor sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă
prelucrarea are loc sau nu pe teritoriul Uniunii.”
Ce fel de activități de prelucrare sunt supuse acestor reguli? GDPR se aplică „prelucrării
datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un
operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune,
atunci când activitățile de prelucrare sunt legate de:
oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent
dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată;
monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
Totodată, regulamentul se aplică prelucrării datelor cu caracter personal de către un
operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în
temeiul dreptului internațional public.
11
Catalog GDPR Ready

O mai bună explicitare despre prevederile Articolul 3 poate fi găsită în consideren-


tele publicate în prima parte a documentului oficial EU 2016/679, unde se spune că:
„Pentru a determina dacă un astfel de operator sau o astfel de persoană împuternicită
de operator oferă bunuri sau servicii unor persoane vizate care se află pe teritoriul
Uniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită
de operator intenționează să furnizeze servicii persoanelor vizate din unul sau mai
multe state membre din Uniune. Întrucât simplul fapt că există acces la un site al
operatorului, al persoanei împuternicite de operator sau al unui intermediar în Uniune,
că este disponibilă o adresă de e-mail şi alte date de contact sau că este utilizată o limbă
folosită în general în țara terță în care operatorul îşi are sediul este insuficient pentru a
confirma o astfel de intenție.”

14 Care sunt valențele legale ale prelucrării datelor cu caracter personal?


Înainte de a putea procesa date personale, trebuie să identificați și să vă raportați la o
bază legală. Aceste considerente sunt denumite generic „legalitatea prelucrării” și sunt
specificate în Articolul 6, care se ocupă de legalitatea condițiilor de prelucrare.
În cadrul proceselor aferente obținerii conformității GDPR este foarte important să
determinați baza legală pentru prelucrarea datelor cu caracter personal și să documentați
acest lucru. De multe ori această bază legală poate avea efect asupra drepturilor per-
soanelor. De exemplu, persoanele de la care primiți un consimțământ clar pentru prelu-
crarea datelor vor avea și drepturi mai puternice, cum ar fi dreptul de a fi uitat – adică
opțiunea de stergere a datelor.
Dar haideți să trecem în revistă prevederile de la Articolul 6 - Legalitatea condițiilor
de prelucrare:
La Aliniatul 1 se specifică foarte clar că „Prelucrarea este legală numai dacă şi în
măsura în care se aplică cel puţin una dintre următoarele condiţii”:
Există un consimțământ - persoana vizată şi-a dat consimţământul pentru prelu-
crarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
Există un contract - prelucrarea este necesară pentru executarea unui contract la
care persoana vizată este parte;
Există o obligație legală - prelucrarea este necesară în vederea îndeplinirii unei
obligaţii legale care îi revine operatorului;
Există interese vitale - prelucrarea este necesară pentru a proteja interesele vitale
ale persoanei vizate sau ale altei persoane fizice;
Există un interes public - prelucrarea este necesară pentru îndeplinirea unei sarcini
care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu
care este învestit operatorul;
Există interese legitime - prelucrarea este necesară în scopul intereselor legitime
urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează in-
12
Catalog GDPR Ready

teresele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită
protejarea datelor cu caracter personal, în special atunci când persoana vizată este
un copil.

15 Ce se întâmplă când schimbăm scopul original al prelucrării?


În cazul în care prelucrarea se face în alt scop decât cel pentru care au fost colectate
datele cu caracter personal și pentru care nu există consimţământul persoanei vizate,
operatorii și procesatorii de date trebuie să ia în considerare prevederile de la Articolul 6,
Aliniatul 4. Pentru a putea stabili dacă prelucrarea în alt scop este compatibilă cu scopul
inițial pentru care au fost colectate datele cu caracter personal, aceștia trebuie să ia în
considerare, printre altele:
orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi
scopurile prelucrării ulterioare preconizate;
contextul în care datele cu caracter personal au fost colectate, mai ales privind
relaţia dintre persoanele vizate şi operator;
natura datelor cu caracter personal, în special în cazul prelucrării unor categorii
speciale dedate, conform Articolului 9, sau pentru date referitoare la condamnări penale
şi infracţiuni, conform Articolului 10;
posibilele consecinţe asupra persoanelor vizate legate de prelucrările ulterioare;
existenţa unor garanţii adecvate, care pot include criptarea sau atribuirea de
pseudonime.

16 Ce este Consimțământul?
În contextul GDPR, prin Consimțământ se înțelege o confirmare clară a faptului că per-
soana vizată a fost informată, știe și este de acord cu prelucrarea datelor sale personale
de către operator, în scopurile stabilite împreună cu acesta. În plus:
această dovadă trebuie să fie clară, liberă, specifică, informată și lipsită de
ambiguitate;
trebuie să reprezinte o formă de acțiune afirmativă clară;
în cazul chestionarelor ce au ca scop obținerea consimțământului sunt excluse
ambiguități legate de necompletarea sau pre-bifarea unui căsuțe de dialog;
consimțământul trebuie să fie separat de alți termeni și condiții;
consimțământul trebuie să fie verificabil;
trebuie să existe modalități simple pentru ca oamenii să-și retragă consimțământul;
autoritățile publice și angajatorii vor trebui să aibă grijă deosebită pentru a se
asigura că acordul este acordat în mod liber.
Evident că la aceste condiții există și o serie de excepții. Astfel, prevederile de la Litera
(f) nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea
13
Catalog GDPR Ready

atribuțiilor lor. Pentru prevederile de la Literele (c) și (e), GDPR e destul de flexibil,
permițând statelor membre UE să introducă dispoziții mai specifice, aliniate legislațiilor
interne.

17 Ce se întâmplă dacă prelucrăm datele în alte scopuri?


În cazul în care prelucrarea se face în alt scop decât cel pentru care au fost colectate
datele cu caracter personal și pentru care nu există consimțământul persoanei vizate,
operatorii și procesatorii de date trebuie să ia în considerare prevederile de la Articolul 6,
Alineatul 4. Pentru a putea stabili dacă prelucrarea în alt scop este compatibilă cu scopul
inițial pentru care au fost colectate datele cu caracter personal, aceștia trebuie să ia în
considerare, printre altele:
orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi
scopurile prelucrării ulterioare preconizate;
contextul în care datele cu caracter personal au fost colectate, mai ales privind
relaţia dintre persoanele vizate şi operator;
natura datelor cu caracter personal, în special în cazul prelucrării unor categorii
speciale de date, conform Articolului 9, sau pentru date referitoare la condamnări penale
şi infracţiuni, conform Articolului 10;
posibilele consecinţe asupra persoanelor vizate legate de prelucrările
ulterioare;
existenţa unor garanţii adecvate, care pot include criptarea sau atribuirea de
pseudonime.

18 Care sunt situațiile speciale legate de solicitarea consimțământului?


Pe lângă condițiile generale, trebuie avute în vedere condițiile specifice pentru cate-
goriile speciale de date. În Articolul 9, Alineatul 1 se stipulează clar că: „Se interzice
prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică,
opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la
sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică
a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau
orientarea sexuală ale unei persoane fizice.”
În Articolul 9, Alineatul 2 se prezintă situațiile de excepție în care nu se aplică pre-
vederile de la Alineatul 1, deci cazuri speciale în care este permisă prelucrarea datelor
cu caracter personal:
persoana vizată şi-a dat consimțământul explicit pentru prelucrarea datelor, cu
excepția cazului în care legislația locală nu recunoaște consimțământul persoanei
vizate;
prelucrarea este necesară pentru îndeplinirea unor obligaţii ale operatorului sau
14
Catalog GDPR Ready

drepturi specifice ale persoanei vizate în domeniile ocupării forţei de muncă, securităţii
sociale şi protecţiei sociale;
prelucrarea vizează protejarea intereselor vitale, atunci când persoana vizată e
incapabilă fizic sau juridic să îşi dea consimţământul;
prelucrarea este garantată de activităţile legitime ale unor fundaţii, asociaţii sau
organisme cu specific politic, filozofic, religios sau sindical, dar numai pentru membri
sau foşti membri;
prelucrarea se referă la date personale care sunt făcute publice în mod manifest de
către persoana vizată;
prelucrarea e necesară la constatarea, exercitarea sau apărarea unui drept în
instanţă;
prelucrarea se face din motive de interes public major, în baza dreptului Uniunii sau
a dreptului intern;
prelucrarea în scopuri legate de medicina preventivă sau a muncii, evaluarea
capacităţii de muncă, stabilirea unui diagnostic medical, asistenţă medicală sau
socială;
prelucrarea din motive de interes public în domeniul sănătăţii publice;
prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică
sau istorică ori în scopuri statistice, conform Articolului 89, Alineatul 1.
În Articolul 9, Alineatul 4 se precizează că fiecare stat poate menţine sau introduce
condiţii suplimentare sau restricţii în cazul prelucrării de date genetice, biometrice sau
privind sănătatea.
O altă situație cu totul specială este prelucrarea datelor personale referitoare la
condamnări penale şi infracţiuni. Articolul 10 precizează că în astfel de situații prelu-
crarea datelor personale precum și deținerea unor registre privind condamnările penale
se face numai sub controlul unei autorităţi de stat.
Dar pot exista o mulțime de situații în care prelucrarea datelor nu are nevoie de identi-
ficare, adică de asociere a unor seturi de date cu o anumită persoană. În această situație
se pot încadra multe dintre analizele de piață și cercetări de marketing care au ca scop
obținerea de informații statistice generale, atribuite unor grupuri de consumatori sau
categorii profesionale. În Articolul 11: „Prelucrarea care nu necesită identificare”,
Alineatul 1 se arată că „în cazul în care scopurile pentru care un operator prelucrează
date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane
vizate de către operator, operatorul nu are obligația de a păstra, obține sau prelucra
informații suplimentare pentru a identifica persoana vizată în scopul unic al respectării
prezentului regulament”.
Conform Articolului 11, Alineatul 2, dacă operatorul poate demonstra că nu este în
măsură să identifice persoana vizată sau în cazul în care e posibil operatorul informează
persoana vizată în mod corespunzător, Articolele 15-20 din capitolul de drepturi ale
persoanei vizate nu se aplică.
15
Catalog GDPR Ready

Capitolul 4 PRINCIPIILE

19 De ce sunt importante Principiile de protecție a datelor personale?


În cadrul GDPR, principiile de protecție a datelor stabilesc principalele responsabilități pentru
organizații. Principiile sunt similare cu cele din Directiva 95/46, cu detalii adăugate la  anumite
puncte și o nouă cerință pentru responsabilitate. În fond, acest principiu al responsabilității
este unul dintre vectorii cheie ai GDPR. Operatorii de date personale sunt obligați nu numai să
respecte aceste principii, ci și să demonstreze modul în care sunt activitățile lor sunt conforme
cu principiile prelucrării datelor personale.  Dar hai sa le vedem pe rând.
Care sunt principiile GDPR? Le găsim în Articolul 5 - Principii legate de prelucrarea
datelor cu caracter personal:
Legalitate, echitate şi transparenţă – un principiu esențial, strâns asociat cu drep-
turile fundamentale ale omului. Datele cu caracter personal trebuie să fie prelucrate „în
mod legal, echitabil şi transparent faţă de persoana vizată.”
Limitări legate de scop – datele personale trebuie să fie colectate în scopuri bine
determinate, explicite şi legitime, iar prelucrările ulterioare nu trebuie să se abată de la
aceste scopuri. E important aici să reținem că prelucrarea publicã prin arhivare, pentru
cercetare ştiinţifică/ istorică sau pentru analize statistice nu se considerã ca deviantă de
la scopurile iniţiale – așa cum se arată în Articolul 89, Alineatul 1.
Reducerea la minimum a  datelor  – prin acest principiu operatorii sunt avizați
de faptul că orice colectare de date personale trebuie foarte bine analizată înainte de
obținerea efectivă a datelor, care trebuie să fie cele mai relevante și strict limitate la ceea
ce este absolut necesar pentru scopurile în care sunt prelucrate.
Exactitatea informațiilor – operatorii trebuie să ia toate măsurile pentru a asigura
validitatea datelor, iar cele dovedite inexacte trebuie actualizate rapid sau șterse.
Limitarea stocării – datele trebuie păstrate fix atât timp cât sunt necesare pentru
prelucrarea asumată. Perioadele mai lungi de stocare sunt excepții asociate cu activități
publice de arhivare, cercetare sau statisticã, conform Articolul 89, Alineatul 1.
Integritate și confidențialitate – iarăși un principiu esențial. Prelucrarea datelor perso-
nale trebuie făcută în cele mai proprii condiții de siguranță, care să includă „protecţia împotriva
prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării acciden-
tale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare”. Din punctul meu de
vedere, acesta este un vortex al GDPR. Cine nu respectă acest principiu este direct expus la breșe
de securitate și confidențialitate, fiind un candidat sigur pentru extrem de severele penalități.

20 Care este noua interpretare a Principiului Responsabilității?


Cea mai importantă adăugare la GDPR este  acoperirea extinsă a principiului
responsabilității.  GDPR vă cere nu numai să respectați principiile – de exemplu, prin

16
Catalog GDPR Ready

documentarea deciziilor luate cu privire la o activitate de procesare, ci și să demonstrați


oricând această responsabilitate.
Articolul 5, Alineatul 2 enunță cu claritate: „Operatorul trebuie să fie respon-
sabil de respectarea Alineatului 1 şi să poată demonstra această respectare (res-
ponsabilitate).”
Concluzionând, iată ce am reținut ca extrem de important din capitolul despre Principii
(GDPR Considerentul 39):
Orice prelucrare de date cu caracter personal trebuie să fie legală şi echitabilă.
Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la pre-
lucrarea respectivelor date cu caracter personal trebuie să fie uşor accesibile şi uşor de
înţeles şi că se utilizează un limbaj simplu şi clar.
Persoanele fizice trebuie informate cu privire la riscurile, normele, garanţiile şi drep-
turile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care
să îşi exercite drepturile în legătură cu prelucrarea.
Scopurile specifice în care datele cu caracter personal sunt prelucrate trebuie să fie
explicite şi legitime şi să fie determinate la momentul colectării datelor respective.
Datele cu caracter personal trebuie să fie adecvate, relevante şi limitate la ceea ce
este necesar pentru scopurile în care sunt prelucrate.
Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate
fi îndeplinit în mod rezonabil prin alte mijloace.
Operatorul trebuie să stabilească termene pentru ștergere sau revizuirea
periodică.
Datele personale trebuie prelucrate într-un mod care să asigure în mod adecvat
securitatea şi confidențialitatea, inclusiv în scopul prevenirii accesului neautorizat la
acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echipamentului
utilizat pentru prelucrare.

Capitolul 5 DREPTURILE

21 Care sunt drepturile persoanelor vizate?


GDPR vine cu unele drepturi noi pentru indivizi și consolidează unele dintre drepturile
care existau deja in Legislația Europeană. GDPR oferă persoanelor fizice vizate de pre-
lucrarea datelor cu caracter personal următoarele drepturi generale:
Dreptul de a fi informat
Dreptul de acces
Dreptul la rectificare
Dreptul de ștergere

17
Catalog GDPR Ready

Dreptul de a restricționa procesarea


Dreptul la portabilitatea datelor
Dreptul la obiecþii
Drepturi legate de luarea de decizii automatizate și de profilare

22 Ce este Dreptul de a fi informat?


Dreptul de a fi informat se referã la obligația de a furniza „informații corecte de pro-
cesare”, de obicei printr-o notificare privind confidențialitatea. Acesta subliniază nevoia
de transparență în ceea ce privește modul în care utilizați datele cu caracter personal.
Ce informații trebuie furnizate subiecților prelucrării? Să presupunem că sunt un
operator de date personale. Prin dreptul de a fi informat, GDPR îmi stabilește informațiile
pe care trebuie să le furnizez și când trebuie subiecții prelucrării datelor personale să fie
informați de către mine ( în mod implicit, firma mea, prin persoana autorizată).
Principalul atribut al datelor ce trebuie furnizate este Transparența. Conform GDPR
Articolul 12 - Transparența informațiilor, a comunicărilor și a modalităților de
exercitare a drepturilor persoanei vizate, informațiile pe care trebuie sa le furnizez
trebuie să fie:
Concise
Transparente
Inteligibile
Accesibile
Scrise într-un limbaj clar și simplu
În special dacă mă adresez unui copil
Oferite gratuit
Informațiile pe care le furnizez sunt dependente de modul în care am obținut datele
personale pe care vreau să le prelucrez:
direct de la persoane fizice care fac obiectul prelucrării datelor personale
indirect, pentru cazurile în care informațiile mi-au venit din altă sursă.
O mare parte din informațiile pe care trebuie să le furnizăm sunt deja în concordanță cu
obligațiile actuale, conform legislației existente. Dar in plus, au apărut și alte informații
pe care trebuie să le furnizam în mod explicit.

23 Ce informații trebuie furnizate când avem datele direct de la client?


Aici apar mici diferențe legate de sursa obținerii informațiilor: direct de la client sau
prin alte metode.
Conform Articolului 13 - Informaţii care se furnizează în cazul în care datele
cu caracter personal sunt colectate de la persoana vizată, Alineatul 1, trebuie să
furnizãm persoanei vizate următoarele informații:

18
Catalog GDPR Ready

identitatea şi datele de contact – ca operator, și după caz și ale mele personale – ca


reprezentant al acestuia;
datele mele de contact ca responsabil cu protecţia datelor, după caz ca ofițer de
protecție a datelor personale (DPO);
scopurile în care vreau să prelucrez datele cu caracter personal, precum şi temeiul
juridic al prelucrării (baza legală);
interesele legitime pe care le urmăresc (ca operator sau ca o terță parte) – cu
excepțiile de la Articolul 6 alineatul (1) litera (f) – Legalitatea prelucrării;
care sunt destinatarii sau categoriile de destinatari ai datelor cu caracter per-
sonal;
intenţia mea de a transfera date cu caracter personal către o ţară terţă și care sunt
garanțiile pe care le ofer că acest transfer este perfect legal și nu lezează interesele
persoanei vizate.
În plus, în momentul în care am obținut deja datele cu caracter personal, con-
form Articolului 13, Alineatul 2, eu ca operator trebuie să furnizez persoanei
vizate o serie de informaţii suplimentare, necesare pentru a asigura transparența
prelucrării:
perioada de reținere a datelor sau criteriile folosite pentru a stabili această perioadă;
dreptul la rectificare, ștergere, restricționare, obiecții;
dreptul la portabilitatea datelor;
dreptul de a retrage consimțământul în orice moment, dacă este cazul;
dreptul de a depune o plângere la o autoritate de supraveghere;
dacă solicitarea face parte dintr-o cerință sau obligație legală sau contractuală și
posibilele consecințe ale nefurnizării;
existența unui proces automat de luare a deciziilor ( incluzând profilarea) și modul
în care sunt luate deciziile, semnificația și consecințele acestora.
Dacă eu, ca operator vreau să prelucrez datele cu caracter personal și/ sau într-un alt
scop decât cel pentru care acestea au fost colectate, atunci, înainte de orice prelucrare
ulterioară, sunt obligat să furnizez persoanelor vizate toate informaţiile relevante
privitoare la scopul sau scopurile secundare.

24 Ce se întâmplă când datele au fost obținute indirect?


Conform Articolului 14, în situația în care datele despre persoana vizată nu ne-au
parvenit direct de la aceasta, sunt obligat ca operator să furnizez persoanei vizate
întregul set de informații descrise mai sus, de la ambele Alineate ale Articolului 13,
plus următoarele informații obligatorii doar pentru acest caz:
care sunt categoriile de date personale pe care le am la dispoziție
care e sursa publică de date cu caracter personal, după caz care provine de la surse
accesibile publicului;

19
Catalog GDPR Ready

Pentru a ne descurca mai bine în acest labirint de informații, legi și paragrafe, am


făcut o sinteză a informațiilor care trebuie funizate în ambele sitații discutate anterior:

Date Date
Ce informații trebuie să dau venite direct provenite din
de la subiect alte surse
Identitatea și datele de contact (operator + reprezentant) DA DA
Datele de contact DPO DA DA
Scopul în care se prelucrează datele DA DA
Interesele legitime urmărite DA DA
Destinatarii sau categoriile de destinatari DA DA
Categoriile de date personale NU DA
Intenţiile de transfer al datelor DA DA
Perioada de reţinere a datelor DA DA
Dreptul la rectificare, ștergere, restricţionare, obiecţii DA DA
Dreptul la portabilitatea datelor DA DA
Dreptul de retragere a consimţământului DA DA
Dreptul la plângere/notificare DA DA
Care e sursa publică de date cu caracter personal NU DA
Existenţa unei obligaţii legale sau contractuale DA NU
Existenţa unui proces automat de luare a deciziilor DA DA

25 Când trebuie furnizate informațiile?


O modificare importantă față de legislația anterioară este scurtarea perioadei în care
sunt obligat să răspund solicitării de informare primită de la persoana vizată. Conform
Articolului 12, Alineatul 3:
Timpul maxim de răspuns s-a scurtat de la 40 de zile la 30 de zile. Deci eu, ca operator
trebuie să furnizez persoanei vizate informaţii privind acţiunile întreprinse în urma unei
cereri fără întârzieri nejustificate şi în orice caz în cel mult o lună de la primirea cererii;
Atunci când e necesar, din motive legate de complexitatea și volumul cererilor
primite simultan, această perioadă poate fi prelungită până la două luni. Chiar și în
aceste condiții de prelungire, trebuie să informez persoana vizată de această prelungire
tot în intervalul de o lună;
Pentru cererile trimise în format electronic, informaţiile trebuie furnizate în format
electronic - acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită
informațiile într-un alt format.
20
Catalog GDPR Ready

26 Ce este Dreptul la acces?


Conform GDPR, orice persoană vizată poate solicita dreptul de acces la datele perso-
nale, în anumite condiții. În mare aceste drepturi se regăsesc și în prevederile legislației
anterioare.
Astfel, potrivit Articolului 15: „Dreptul de acces de către persoana vizată”, pot fi
solicitate următoarele tipuri de informații:
care e scopul prelucrării datelor personale?
ce categorii de date cu caracter personal sunt în cauză;
care sunt destinatarii cărora le-au fost furnizate datele cu caracter personal;
care este perioada pentru care vor fi stocate datele cu caracter personal;
dreptul la rectificare, ștergere, obiecție sau restricție;
dreptul de a depune o plângere la o autoritate de supraveghere;
în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată,
orice informații disponibile cu privire la originea lor.
În noua formulare, GDPR preia în mare parte prevederile existente, în virtutea faptului
că orice persoană vizată trebuie să aibă drept de acces la datele cu caracter personal
colectate care o privesc şi ar trebui să îşi exercite acest drept cu uşurinţă şi la intervale
de timp rezonabile, pentru a fi informată cu privire la prelucrare şi pentru a verifica
legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la
datele privind sănătatea, de exemplu datele din registrele medicale conţinând informaţii
precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanţi şi orice
tratament sau intervenţie efectuată.
Orice persoană vizată trebuie să aibă dreptul de a cunoaşte şi de a i se comunica în
special scopurile în care sunt prelucrate datele, și dacă este posibil, perioada pentru
care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal,
logica de prelucrare automată a datelor şi, cel puţin în cazul în care se bazează pe crearea
de profiluri, consecințele unei astfel de prelucrări.

27 Care sunt condițiile de furnizare a datelor personale?


La procedurile de furnizare a datelor personale către persoanele vizate apar câteva
mici modificări față de legislația anterioară:
Fără taxe - Vechile prevederi ale Legii 677/ 2001 arătau că o persoană putea solicita
accesul la date în mod gratuit doar o datã pe an. Actualul regulament nu specifică per-
ceperea vreunei taxe, dar lasă libertatea fiecărui membru UE să stabilească în ce condiții
pot fi percepute anumite taxe, mai ales când implică un volum considerabil de lucru din
partea operatorului sau atunci când o cerere este vădit nefondată, excesivă sau repetitivă.
Timpul de furnizare - Regulamentul oferă operatorilor o perioadă rezonabilă de
până la o lună pentru a răspunde solicitărilor de acces la datele personale. În anumite

21
Catalog GDPR Ready

22
Catalog GDPR Ready

23
Catalog GDPR Ready

situații, acest termen poate fi prelungit cu încă o lună, dar suntem obligați în acest caz
să anunțăm persoanele vizate de această prelungire, cu justificările de rigoare în termen
de cel mult o lună de la primirea solicitării.
Proceduri de furnizare a informațiilor - În mod normal, trebuie să verificăm mai
întâi identitatea persoanei care depune cererea, folosind „mijloace rezonabile”. În cazul
în care cererea se face electronic, ar trebui să furnizăm informațiile tot într-un format
electronic utilizat în mod obișnuit. Față de prevederile anterioare, GDPR vine cu o idee
inovatoare: acolo unde este posibil, noi ca operatori de date ar trebui să putem furniza
acces de la distanţă la un sistem sigur, care să ofere persoanei vizate acces direct la
datele sale cu caracter personal. Acest drept nu ar trebui să aducă atingere drepturilor
sau libertăţilor altora, inclusiv secretului comercial sau proprietăţii intelectuale şi, în
special, drepturilor de autor care asigură protecţia programelor software (Considerentul
63). Deși acest tip de acces nu este posibil în toate cazurile, există unele sectoare în care
acest lucru ar fi posibil, prin integrarea în sistemele CRM.

28 Ce este dreptul la rectificare?


Conform Articolului 16 - Dreptul la rectificare: „Persoana vizată are dreptul de a
obţine de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter per-
sonal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate
datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal
care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.”
Când pot fi rectificate datele personale? Persoanele vizate au dreptul de a solicita
rectificarea datelor personale, în cazul în care acestea sunt inexacte sau incomplete și
în special când datele personale nu au fost colectate direct de la cei implicați. Perioada
de timp alocată de regulament pentru rectificarea datelor este de maxim o lună, cu posi-
bilitatea extinderii la două luni, în condiții speciale. În cazul în care nu se iau măsuri ca
răspuns la o cerere de rectificare, trebuie ca persoana vizată să fie informată de cauzele
speciale existente și în cazul în care nu se ajunge la o înțelegere, trebuie să știe că are
dreptul de a depune o plângere la autoritatea de supraveghere și la o cale de atac.

29 Ce este dreptul la ștergere?


Dreptul la ștergerea datelor personale face parte din noile prevederi introduse de
GDPR. Cunoscut în special ca „dreptul de a fi uitat“, acesta se bazează pe principiul de
a garanta oricărui individ libertatea de a face ce vrea cu datele sale personale, inclusiv
de a le șterge, dacă nu există un motiv convingător sau special pentru continuarea
procesării și stocării acestora.
Când ni se poate solicita dreptul la ștergere? Conform Articolului 17, Alineatul
1: Dreptul la ștergerea datelor („dreptul de a fi uitat”), persoana vizată are dreptul

24
Catalog GDPR Ready

de a obţine din partea operatorului ştergerea datelor cu caracter personal, fără întârzieri
nejustificate, iar noi ca operatori avem obligaţia de a şterge datele cu caracter personal,
în cazul în care există unul dintre motivele:
datele nu mai sunt necesare pentru scopurile pentru care au fost colectate sau
prelucrate;
persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea;
persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) dreptul
la opoziție
există neclarități legate de legalitatea prelucrării datelor cu caracter personal;
datele trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului;
datele cu caracter personal aparțin unor copii, cu vârsta sub 16 ani.
În Articolul 17, Alineatul 2 se ia în discuție cazul în care operatorul a făcut publice
datele cu caracter personal şi este obligat, în temeiul Alineatului 1, să le şteargă.
Ce trebuie să facem în acest caz? În funcție de tehnologia disponibilă şi de costul
implementării, trebuie să luăm „măsuri rezonabile”, inclusiv măsuri tehnice, pentru a
informa toți procesatorii care prelucrează datele cu caracter personal că persoana vizată
a solicitat ştergerea de către aceşti operatori a oricăror linkuri către datele respective sau
a oricăror copii sau reproduceri ale acestor date cu caracter personal.
Trebuie să mai reținem faptul că dreptul la ștergere nu asigură și o aplicare absolută a
„dreptului de a fi uitat”. Persoanele fizice au dreptul de a dispune cum doresc de datele
cu caracter personal șterse, le pot încredința unui alt operator, le pot actualiza și pregăti
pentru alte tipuri de prelucrări.
Când putem refuza să dăm curs unei cereri de ștergere a datelor? Situațiile în care
prevederile de la Alineatele 1 și 2 nu se aplică sunt explicitate la Alineatul 3, unde se
consideră ca situații de excepție cele în care prelucrarea este necesară pentru:
exercitarea dreptului la liberă exprimare şi la informare;
respectarea unei obligaţii legale;
motive de interes public în domeniul sănătăţii publice (Articolul 9, Alineatul 2,
Literele h şi i și Articolul 9, Alineatul 3);
scopuri de arhivare în interes public, cercetare ştiinţifică sau istorică ori în scopuri
statistice (Articolul 89, Alineatul 1);
constatarea, exercitarea sau apărarea unui drept în instanţă.

30 Ce este dreptul la restricționare?


Conform Articolului 18 - Dreptul la restricţionarea prelucrării: persoana vizată are
dreptul de a obţine din partea operatorului restricţionarea prelucrării într-unul dintre
cazurile:
se contestă exactitatea datelor, pentru o perioadă care ne permite ca operator să
verificăm exactitatea datelor în cauză;

25
Catalog GDPR Ready

prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter
personal, solicitând în schimb restricţionarea utilizării lor;
ca operatori nu mai avem nevoie de datele cu caracter personal în scopul prelucrării,
dar persoana vizată ni le solicită pentru o acțiune în instanţă;
persoana vizată s-a opus prelucrării (Articolul 21, Alineatul 1) pentru intervalul de
timp în care se verifică dacă drepturile noastre legitime ca operatori prevalează asupra
celor ale persoanei vizate.
Dacă prelucrarea a fost restricţionată în temeiul Alineatului 1, astfel de date cu caracter
personal pot, cu excepţia stocării, să fie prelucrate numai cu consimțământul persoanei
vizate. De asemenea, conform Alineatului 3, avem datoria ca o persoană vizată care a
obţinut restricţionarea prelucrării în temeiul Alineatului 1, să fie informată din timp,
înainte de ridicarea restricţiei de prelucrare.

31 Ce este dreptul la portabilitatea datelor?


„Dreptul la portabilitatea datelor” permite persoanelor să obțină și să reutilizeze datele
lor personale în scopuri proprii în cadrul diferitelor servicii. Acest drept permite mutarea,
copierea sau transferul datele personale cu ușurință de la un mediu IT la altul, într-un
mod sigur. Multe organizații europene oferă deja servicii de portabilitate a datelor, care
permit persoanelor interesate să vizualizeze, să acceseze și să utilizeze datele perso-
nale de consum și tranzacții într-un mod portabil și sigur. Mai mult, există operatori
internaționali care permit consumatorilor să profite de aplicații și servicii care pot utiliza
aceste date pentru a le găsi o afacere mai bună sau pentru a le ajuta să-și înțeleagă
obiceiurile de cheltuieli.
Conform Articolului 20, persoana vizată are dreptul să transmită date cu caracter
personal altui operator de date. Operatorul de date trebuie să furnizeze persoanei vizate
o copie a datelor cu caracter personal într-un format structurat, utilizat în mod obișnuit
și care poate fi citit automat. Mai mult, operatorul de date nu trebuie să împiedice trans-
miterea datelor cu caracter personal unui nou operator de date.
Dreptul de portabilitate a datelor se aplică numai în cazul în care:
datele sunt procesate prin mijloace automate;
persoana vizată a dat consimțământul pentru prelucrare;
prelucrarea este necesară pentru a îndeplini condițiile stipulate printr-un contract.
Ce trebuie să facem pentru a asigura conformitatea cu acest drept? La solici-
tarea explicită a persoanei vizate trebuie să furnizăm datele personale într-o formă
structurată, utilizată frecvent și care poate fi citită în mod automatizat. Formatele
deschise includ fișierele CSV. Prin intermediul unei mașini de citire se înțelege că
informațiile sunt structurate astfel încât software-ul să poată extrage elemente speci-
fice ale datelor. Acest lucru permite altor organizații să utilizeze datele. Informațiile
trebuie furnizate gratuit.
26
Catalog GDPR Ready

Este posibil să ni se solicite să transmitem datele direct unei alte organizații, dacă acest
lucru este fezabil din punct de vedere tehnic. Cu toate acestea, nu suntem obligați să
adoptăm sau să menținem sisteme de procesare care sunt compatibile din punct de vedere
tehnic cu alte organizații. Dacă datele personale se referă la mai multe persoane, trebuie să
verificăm dacă furnizarea informațiilor ar aduce atingere drepturilor oricărei alte persoane.
În cât timp trebuie să răspundem solicitărilor de portare? Avem la dispoziție, fără
întârzieri nejustificate, o perioadă de o lună, de la primirea solicitării. În cazul în care
primim o cerere mai complexă, care include și alte tipuri de solicitări, timpul de răspuns
poate ajunge la două luni. În cazul în care, din diferite motive, nu putem să furnizăm
un răspuns la o cerere, trebuie să explicăm solicitantului că are dreptul de a se plânge
autorității de supraveghere și de a deschide o cale de atac, fără întârzieri nejustificate și
cel mult într-o lună.

32 Ce este dreptul la obiecții?


Unul dintre principalele drepturi ale persoanei vizate, stipulate de GDPR este dreptul
la obiecții sau de a se opune anumitor tipuri de prelucrări. Care sunt aceste tipuri de
prelucrări ale persoanelor viate? Conform Articolului 21 persoana vizată are dreptul de
a se opune la:
prelucrarea datelor personale în scopuri de marketing direct;
prelucrarea datelor pentru realizarea de profiluri;
prelucrarea datelor prin mijloace automate;
prelucrarea în scopuri științifice sau istorice.
Situațiile de excepție care anulează dreptul la obiecții al persoanelor vizate apar atunci
când, în calitatea de operator de date personale, putem să demonstrăm că există motive
legitime convingătoare pentru susținerea prelucrării, care depășesc interesele, drepturile
și libertățile persoanei vizate. Alte situații de excepție sunt motivate de stabilirea, exer-
citarea sau apărarea unor revendicări legale sau în situațiile în care prelucrarea este
necesară pentru îndeplinirea unei sarcini de interes public.

33 Ce facem dacă primim obiecții în activitățile de marketing?


Dacă facem procesarea de date personale în scop de marketing direct, trebuie să
încetăm orice operațiune de prelucrare de îndată ce primim o obiecție. În aceste situații
nu există excepții sau motive de refuz pentru luarea în considerare a unei obiecții. Tre-
buie să răspundem obiecțiilor împotriva procesării în scopuri de marketing direct cât mai
rapid și în mod gratuit. Chiar dacă în anumite circumstanțe a existat un consimțământ
inițial pentru prelucrarea datelor, ridicarea unei obiecții explicite pentru interzicerea
prelucrării datelor personale în scopuri de marketing direct trebuie acceptată fără întâr-
ziere și comunicată persoanei vizate „în mod clar și separat de orice altă informație”.

27
Catalog GDPR Ready

Toate aceste condiții trebuie stipulate de la bun început, chiar prin contractul de
confidențialitate.
Pe aceeași linie, dacă procesăm date personale în scopuri legate de cercetare științifică
sau istorică, sau în scopuri statistice, persoanele fizice trebuie să aibă „motive legate de
situația lor particulară” pentru a-și exercita dreptul de a se opune prelucrării în scopuri
de cercetare. Dacă scopul principal al proiectului de cercetare este legat în mod direct de
îndeplinirea unei sarcini de interes public, nu suntem obligați să ne conformăm unei
obiecții față de prelucrarea datelor. Evident că această situație și motivarea clară și
precisă a naturii cercetării trebuie comunicate în cel mai scurt timp persoanei vizate care
s-a opus prelucrării.

34 Ce sunt drepturile legate de luarea automată a deciziilor și profilare?


Iată o categorie specială de drepturi, prezentă în legislația anterioară dar mult mai bine
explicitată prin noul Regulament GDPR, care oferă persoanelor fizice garanții împotriva
riscului ca o decizie potențial dăunătoare să fie luată fără intervenția omului.
Ce avem de făcut pentru asigurarea conformității cu acest drept? Nu trebuie decât
să identificăm dacă oricare dintre operațiunile noastre de procesare include un proces
automat de luare a deciziilor și, bineînțeles, trebuie să ne actualizăm procedurile, pentru
a răspunde cerințelor GDPR.
Când se aplică acest drept? Conform Articolului 22, persoanele fizice au dreptul de
a nu face obiectul unei decizii atunci când aceasta se bazează pe prelucrarea automată
și poate produce un efect juridic sau un efect semnificativ similar asupra individului.
Dreptul se aplică tuturor deciziilor automate? Nu. Dreptul nu se aplică în cazul în
care decizia:
este necesară pentru încheierea sau executarea unui contract între dvs. și persoana
fizică;
este autorizată prin lege (de exemplu, în scopuri de fraudă sau prevenirea evaziunii
fiscale)
pe baza consimțământului explicit. (Articolul 9, Alineatul (2));
atunci când o decizie nu are un efect legal sau similar semnificativ asupra unei
persoane.

35 Ce reprezintă profilarea?
Operatorii de date trebuie să informeze persoanele vizate despre existența și
consecințele oricăror activități de profilare pe care le efectuează (inclusiv urmărirea on-
line și publicitatea comportamentală). Organizațiile care colectează și utilizează date
cu caracter personal vor trebui să introducă anunțuri de confidențialitate mai deta-
liate decât cele recomandate până acum, oferind mai multe informații, într-un mod

28
Catalog GDPR Ready

mai prescris. Aceasta va implica o revizuire la scară largă a tuturor anunțurilor privind
confidențialitatea.
GDPR definește profilarea ca orice formă de procesare automată destinată să evalueze
anumite aspecte personale ale unei persoane, în special pentru a le analiza sau a prezice:
• performanța la locul de muncă • situația economică • starea de sănătate • preferințele
personale • fiabilitatea • comportamentul • locația • deplasările.
La prelucrarea datelor cu caracter personal în scopuri de realizare a unui profil, trebuie
să ne asigurăm că există garanții adecvate și să respectăm o serie de proceduri:
Trebuie mai întâi să ne asigurăm că procesarea este corectă și transparentă prin
furnizarea de informații semnificative despre logica implicată, precum și despre
semnificația și consecințele avute în vedere;
De preferat să folosim procedurile matematice sau statistice adecvate pentru
profilare;
Se recomandă implementarea măsurilor tehnice și organizatorice adecvate care să
ne permită remedierea erorilor și minimizarea riscului de eroare;
Trebuie să asigurăm datele personale într-o manieră proporțională cu riscul pentru
interesele și drepturile individului și să prevenim efectele discriminatorii.

Capitolul 6 PROTECȚIA DATELOR

36 De ce este esențială responsabilitatea pentru protecția datelor?


Prin principiul responsabilității GDPR vă cere nu numai să respectați principiile – de
exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci și
să demonstrați oricând această responsabilitate. În timp ce principiile responsabilității
și transparenței au fost anterior cerințele implicite ale legii privind protecția datelor,
noua viziune a GDPR le extinde mult semnificația. În noul model de responsabilitate
operatorii de date personale nu numai ca trebuie să respecte responsabiltatea pe care
și-o asumă, dar trebuie să și demonstreze faptul că sunt abilitați să își asume această
responsabilitate. Se așteaptă să se instituie măsuri de guvernanță cuprinzătoare, dar
proporționale.
Instrumentele de bună practică pe care organismele europene de reglementare le-au
susținut de mult timp, cum ar fi evaluările impactului asupra vieții private și viața
privată după proiectarea procesarii datelor, sunt acum cerute din punct de vedere legal
în anumite circumstanțe. În cele din urmă, aceste măsuri ar trebui să minimizeze riscul
de încălcare și să susțină protecția datelor cu caracter personal. Practic, acest lucru ar
însemna mai multe politici și proceduri pentru organizații, deși multe organizații vor
avea deja măsuri de bună guvernanță.
29
Catalog GDPR Ready

37 În ce constă principiul responsabilității?


Noul principiu de responsabilitate prevăzut la Articolul 5, Alineatul (2) impune să
demonstrați că respectați principiile și să menționați în mod explicit că aceasta este
responsabilitatea dvs.
Cum pot să îmi demonstrez responsabilitatea? Lucrurile nu trebuie sa fie foarte
complicate, atâta timp cât se respectă o serie de proceduri de implementare a măsurilor
tehnice și organizatorice adecvate care să asigure și să demonstreze că vă conformați.
Acestea pot include politici interne de protecție a datelor, cum ar fi formarea personalu-
lui, audituri interne ale activităților de prelucrare și revizuiri ale politicilor interne în
materie de resurse umane.
Iată o serie de recomandări:
Mențineți o documentația relevantă privind activitățile de procesare a datelor cu
caracter persoanal;
Dacă este cazul, numiți un ofițer de protecție a datelor;
Implementați măsurile care respectă principiile protecției datelor prin proiectare și
protecția datelor în mod implicit (data protection by design and by defaut).

38 Ce se înțelege prin „Data protection by design and by default”?


În cadrul GDPR, aveți o obligație generală de a implementa măsuri tehnice și orga-
nizatorice care să arate că ați luat în considerare și că integrați protecția datelor în
activitățile dvs. de procesare. Confidențialitatea prin design este o abordare care a fost
de mult timp și va fi întotdeauna o cerință implicită a principiilor pe care toți operatorii
de date personale și le asumă în mod constant.
Ce este „confidențialitatea prin design”? Confidențialitatea prin design este o
abordare a proiectelor care promovează respectarea vieții private și protecția date-
lor încă de la început, de la proiectarea bazelor de date și a sistemelor de calcul. Din
nefericire, în practică s-a văzut că aceste aspecte sunt de cele mai multe ori asu-
mate ca o gândire ulterioară sau ignorate cu totul. Deși această abordare nu a fost o
cerință esențială a Legii privind protecția datelor, prin includerea sa distinctă în noul
Regulament, ea va ajuta organizațiile să își respecte obligațiile care le revin în temeiul
legislației.
GDPR încurajează organizațiile să se asigure că protecția vieții private și a datelor
reprezintă un element-cheie în primele etape ale oricărui proiect și apoi pe tot parcursul
ciclului său de viață. Iată câteva exemple:
crearea de noi sisteme IT pentru stocarea sau accesarea datelor cu caracter personal;
elaborarea de reguli, politici sau strategii care au implicații asupra vieții private;
lansarea unei inițiative de partajare a datelor;
folosirea seturilor de date pentru alte scopuri, decât cele avute în vedere inițial.
30
Catalog GDPR Ready

O abordare privind confidențialitatea prin design este în primul rând un instrument


esențial în reducerea riscurilor de confidențialitate și de construire a încrederii. Designul
proiectelor, proceselor, produselor sau sistemelor plecând de la premisa asigurării
confidențialității încă de la început poate aduce beneficii care includ:
Problemele potențiale sunt identificate într-un stadiu incipient, când abordarea
acestora va fi adesea mai simplă și mai puțin costisitoare;
Creșterea gradului de conștientizare a vieții private și a protecției datelor într-o
organizație;
Organizațiile sunt mult mai probabil să-și îndeplinească obligațiile legale și mai
puțin susceptibile de a încălca Legea privind protecția datelor;
Este puțin probabil ca acțiunile să fie invazive și să aibă un impact negativ asupra
persoanelor.
Conform Articolului 25, operatorii trebuie să adopte măsuri tehnice și organizatorice
adecvate pentru a se asigura că, în mod implicit, sunt prelucrate numai datele cu caracter
personal care sunt necesare pentru fiecare scop specific al prelucrării. Această obligație
se aplică:
cantității de date cu caracter personal colectate
amplorii prelucrării acestora;
perioadei de stocare asumate;
accesibilității datelor personale.
Care ar fi aceste măsuri? Aceste măsuri ar trebui să includă:
Minimizarea datelor;
Pseudonimizarea;
Transparență;
Transparență în monitorizarea procesării;
Crearea și îmbunătățirea funcțiilor de securitate în mod continuu;
Evaluări de impact privind protecția datelor;
Respectarea codurilor de conduită aprobate și /sau sistemele de certificare.
Astfel de măsuri trebuie să garanteze în mod special faptul că, în mod prestabilit,
datele cu caracter personal nu sunt accesibile fără intervenția unei persoanei fizice unui
număr nedeterminat de persoane fizice. Cu alte cuvinte, toți operatorii trebuie să adopte
reguli clare, bazate pe politici de acces la datele cu caracter personal.
„Confidențialitatea prin design” folosește o abordare caracterizată prin măsuri pro-
active mai degrabă decât reactive. Ea anticipează și împiedică evenimentele invazive
de confidențialitate înainte ca acestea să se întâmple. Confidențialitatea prin design nu
așteaptă să se materializeze riscurile de confidențialitate și nici nu oferă remedii pentru
soluționarea încălcărilor vieții private după ce au avut loc. Ci are ca scop prevenirea
apariției acestora. Pe scurt, confidențialitatea prin design vine înainte de fapte, nu după.
Seriozitatea, claritatea și mai ales larga capacitate de adopție a programului Privacy by
Design a determinat Comisia Europeană să îl încorporeze ca abordare în Regulamentul
31
Catalog GDPR Ready

general privind protecția datelor. Respectând această abordare, procesatorii de date și


proiectanții de sisteme informatice pot să își elaboreze ofertele prin minimizarea datelor
colectate și alegerea celor mai eficiente setări de protecție a datelor. Prin respectarea
puternicului principiu al limitării scopului. Se garantează faptul că vor fi prelucrate
numai datele necesare pentru furnizarea unui serviciu.

39 Care sunt cele 7 principii fundamentale ale confidențialității prin design?


Obiectivele de confidențialitate prin design - asigurarea protecției vieții private
și obținerea controlului personal asupra informațiilor proprii și, pentru organizații,
obținerea unui avantaj competitiv durabil - pot fi realizate prin respectarea celor 7
Principii Fundamentale:

1 Proactiv nu Reactiv – Adică prevenire, nu remediere. Abordarea privind


confidențialitatea prin design se caracterizează prin măsuri proactive mai degrabă
decât reactive. Ea anticipează și împiedică evenimentele invazive de confidențialitate,
înainte ca acestea să se întâmple. Confidențialitatea prin design nu așteaptă să se
materializeze riscurile de confidențialitate și nici nu oferă remedii pentru soluționarea
încălcărilor vieții private după ce acestea au avut loc. Are ca scop prevenirea apariției
acestora. Pe scurt, confidențialitatea prin design vine înainte de fapte, nu după;

2 Confidențialitatea ca setare implicită – Singurele care ne pot face să putem fi


siguri de un lucru sunt regulile implicite! Confidențialitatea prin design urmărește
să asigure un nivel maxim de confidențialitate, asigurând protecția automată a datelor
cu caracter personal în orice sistem IT sau practică de afaceri. Dacă un individ nu face
nimic, intimitatea lui rămâne în continuare intactă. Nu este necesară nicio acțiune din
partea individului pentru a-și proteja confidențialitatea – aceasta este implicit protejată
de sistem;

3 Confidențialitatea încorporată în design – Astfel confidențialitatea este încorporată


în designul și arhitectura sistemelor informatice și a practicilor de afaceri. Nu este
poziționată ca un add-on. Doar așa confidențialitatea devine o componentă esențială a
funcțiilor de bază furnizate. Confidențialitatea este parte integrantă a sistemului, fără a
diminua funcționalitatea;

4 Funcționalitatea completă – Se urmărește o adaptare a tuturor intereselor și


obiectivelor legitime într-o manieră profitabilă de tip „sumă pozitivă”, nu printr-o
abordare de tip „rezultat cumulat zero”, în cazul în care sunt adoptate compromisuri
inutile. Confidențialitatea prin design evită pretenția unor dihotomii false, cum ar fi
confidențialitatea vs. securitatea - demonstrând că este posibil să obținem ambele.

5 Securitatea end-to-end - protecția completă, pe toată durata ciclului de viață.


Confidențialitatea prin proiect, care a fost încorporată în sistem înainte de primirea
primului element de informație, se extinde în mod sigur pe întreaga durată de viață a
datelor implicate – garantând intimitate, de la început până la sfârșit. Acest lucru ne

32
Catalog GDPR Ready

asigură că toate datele sunt păstrate în siguranță și apoi distruse în siguranță la sfârșitul
procesului, în timp util.

6 Vizibilitate și transparență - Confidențialitatea prin design urmărește să asigure


toate părțile interesate că, indiferent de practica comercială sau tehnologia implicată,
funcționează în conformitate cu promisiunile și obiectivele menționate, supuse verificării in-
dependente. Componentele și operațiunile sale rămân vizibile și transparente, atât pentru uti-
lizatori, cât și pentru furnizori. Cu alte cuvinte „Crede și ține minte, dar nu uita să și verifici…”

7 Respectarea confidențialității utilizatorilor - Mai presus de toate, confidențialitatea


prin proiectare cere arhitecților și operatorilor să protejeze interesele individului,
oferind astfel de măsuri care susțin implicațiile puternice de confidențialitate, recomandă
notificarea corespunzătoare și respectarea opțiunilor cele mai prietenoase pentru utiliza-
tor. Țineți-l pe utilizator de partea voastră.

40 Care sunt direcțiile de acțiune pentru implementarea noului regulament?


în primul rând elaborarea unui plan de asigurare a tuturor măsurilor necesare
pentru îndeplinirea compatibilității;
pregătirea aplicării efective a Regulamentului;
obținerea  resurselor financiare și umane adecvate pentru  realizarea efectivă a
competențelor solicitate;
elaborarea unei Analize de impact – în cazul procesărilor de date care presupun un
risc ridicat pentru viața privată a persoanelor, cum ar fi cele din sănătate;
înființarea funcției Data Protection Officer (DPO), ca persoană care răspunde de/
coordonează siguranța datelor personale la nivelul operatorului de date;
conștientizarea riscurilor asociate cu penalitățile extrem de severe anunțate pentru
neconformare – 10 – 20 milioane de euro sau între 2% şi 4% din cifra de afaceri la nivel
internațional.

41 Ce este evidența activităților de prelucrare?


Evidența activităților de prelucrare este prima procedură care trebuie adoptată, in-
diferent de profilul dvs de activitate sau natura datelor personale și scopul prelucrării
acestora. În oricare dintre situații aveți obligația de a furniza politici de confidențialitate
complete, clare și transparente.
Dacă organizația dvs. are mai mult de 250 de angajați, trebuie să păstrați înregistrări
interne suplimentare ale activităților de procesare. În cazul în care organizația dvs. are
mai puțin de 250 de angajați, sunteți obligat să păstrați doar evidența activităților legate
de prelucrarea datelor cu risc sporit, cum ar fi:
prelucrarea datelor cu caracter personal care ar putea duce la un risc pentru dreptu-
rile și libertățile individului;
33
Catalog GDPR Ready

procesarea unor categorii speciale de date, precum condamnări și infracțiuni penale.


De ce trebuie să înregistrăm tot ceea ce prelucrăm? Pentru că este cea mai elementară
procedură internă. Conform Articolului 30, Alineatul 1 trebuie să înregistrați și să
aveți o evidență clară a următoarele informații:
numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat,
ale reprezentantului operatorului şi ale responsabilului cu protecţia datelor;
scopurile prelucrării;
descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter
personal;
categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter
personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
dacă este cazul, transferurile de date cu caracter personal către o ţară terţă
sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei
internaţionale respective şi, în cazul transferurilor menţionate la articolul 49 ali-
neatul (1) al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii
adecvate;
acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor
categorii de date;
acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de
securitate menţionate la articolul 32 alineatul (1).
După intrarea în vigoare a noului Regulament este posibil să vi se solicite ca aceste
înregistrări să fie puse la dispoziția autorității de supraveghere competente în cazul unei
investigații. În vederea demonstrării conformităţii cu prezentul regulament, operatorul
sau persoana împuternicită de operator ar trebui să păstreze evidenţe ale activităţilor de
prelucrare aflate în responsabilitatea sa. Fiecare operator şi fiecare persoană împuternicită
de operator ar trebui să aibă obligaţia de a coopera cu autoritatea de supraveghere şi
de a pune la dispoziţia acesteia, la cerere, aceste evidenţe, pentru a putea fi utilizate
în scopul monitorizării operaţiunilor de prelucrare respective. Conform Articolului 30,
Alineatul 2, aceste evidențe trebuie să includă:
numele şi datele de contact ale persoanei sau persoanelor împuternicite de operator
şi ale fiecărui operator în numele căruia acţionează această persoană (aceste persoane),
precum şi ale reprezentantului operatorului sau al persoanei împuternicite de operator,
după caz;
categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator;
dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau
o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei
internaţionale respective şi, în cazul transferurilor prevăzute la Aticolul 49, Alineatul
1 - al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate;
acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de
securitate menţionate la Articolul 32, Alineatul 1.
34
Catalog GDPR Ready

Evidenţele menţionate la Alineatele (1) şi (2) se formulează în scris, inclusiv în


format electronic. Operatorul sau persoana împuternicită de acesta, precum şi, după caz,
reprezentantul operatorului sau al persoanei împuternicite de operator pun evidenţele la
dispoziţia autorităţii de supraveghere, la cererea acesteia.

Capitolul 7 EVALUAREA IMPACTULUI

42 Ce este Data Protection Impact Assessment (DPIA) ?


Protecția datelor trebuie acum proiectată în mod implicit în sistemele de procesare, iar
în anumite circumstanțe o evaluare de impact asupra protecției datelor este acum obliga-
torie. O bună practică pentru noile tehnologii și procese este de a evalua dacă prelucrarea
are un „risc ridicat”, dacă aduce atingere drepturilor persoanelor vizate și dacă acest risc
poate fi redus sau evitat, de exemplu prin pseudonimizare. Evaluările de impact sunt
imperios necesare în cazul în care există o prelucrare automată (inclusiv depunerea) și
prelucrarea unor categorii speciale de date pe scară largă.
Evaluarea impactului privind protecția datelor (DPIA) - cunoscută și sub numele de
evaluarea impactului asupra confidențialității sau AIP, reprezintă un instrument care
poate ajuta organizațiile să identifice cea mai eficientă modalitate de a se conforma
obligațiilor lor privind protecția datelor și de a răspunde așteptărilor individuale de
confidențialitate. O DPIA eficientă va permite organizațiilor să identifice și să reme-
dieze problemele într-un stadiu incipient, reducând costurile asociate și deteriorarea
reputației, generată de apariția oricărui incident.

43 Când trebuie să fac o evaluare DPIA?


În accord cu bunele practici, trebuie să efectuați o DPIA atunci când:
utilizarea noilor tehnologii impune asumarea unui anumit grad de risc
prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile
persoanelor.
Procesarea care poate duce la un risc ridicat include (dar nu se limitează la acestea):
activități de prelucrare sistematice și extinse, inclusiv profilarea și în cazul în care deci-
ziile care au efecte juridice - sau efecte similare în mod similar - asupra persoanelor fizice.
prelucrarea pe scară largă a unor categorii speciale de date sau date cu caracter per-
sonal în legătură cu condamnările sau infracțiunile penale. Aceasta include prelucrarea
unei cantități considerabile de date cu caracter personal la nivel regional, național sau
supranațional; care afectează un număr mare de indivizi; și implică un risc ridicat pentru
drepturi și libertăți, de exemplu, pe baza sensibilității activității de prelucrare.
35
Catalog GDPR Ready

monitorizarea sistematică a zonelor publice (CCTV) pe scară largă.


Ce informații ar trebui să conțină DPIA? Orice evaluare de impact trebuie să conțină:
O descriere a operațiunilor de prelucrare și a scopurilor, inclusiv (dacă este cazul) a
intereselor legitime urmărite de operator.
O evaluare a necesității și proporționalității procesării în raport cu scopul.
Evaluarea riscurilor pentru persoane fizice.
Măsurile luate pentru a aborda riscul, inclusiv securitatea și pentru a demonstra că
vă conformați.
O DPIA se poate adresa mai multor proiecte.

Capitolul 8 TRANSFERUL INTERNAȚIONAL DE DATE

44 Care este principiul transferului de date?


În Articolul 44 - Principiul general al transferurilor se specifică faptul că: „Orice
transfer de date cu caracter personal care sunt supuse procesării sau care sunt desti-
nate prelucrării după transferul într-o țară terță sau într-o organizație internațională
are loc numai dacă, sub rezerva celorlalte dispoziții din prezentul regulament, sunt
respectate condițiile stabilite de către operator și de către procesator, inclusiv pentru
transferurile ulterioare de date cu caracter personal din țara terță sau de la o organizație
internațională către o altă țară terță sau la o altă organizație internațională. Toate
dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a
persoanelor fizice garantat prin prezentul regulament nu este subminat.”
Orice transfer de date cu caracter personal de către controlor sau de către procesator
are loc numai dacă sunt îndeplinite anumite condiții:
Transferuri pe baza adecvării;
Transferuri supuse garanțiilor adecvate
Aplicabilitatea unor reguli corporative obligatorii.
Toate prevederile vor fi aplicate pentru a asigura faptul că protecția persoanelor fizice
nu este subminată.

45 Se poate face transferul de date în afara Uniunii Europene?


Regulamentul interzice transferul de date cu caracter personal în afara UE într-o
țară terță care nu dispune de o protecție adecvată a datelor. Comisia Europeană are
competența de a aproba anumite țări pentru a asigura un nivel adecvat de protecție a da-
telor, luând în considerare legislația privind protecția datelor în vigoare în țara respectivă
și angajamentele internaționale ale acesteia.

36
Catalog GDPR Ready

În prezent, pe această listă putem întâlni următoarele 11 state pe care UE le consideră


ca sigure pentru protecția datelor personale:
Europa: Andora, Elveția, Insulele Feroe, Guernsey, Insula Man, Jersey
Orientul Mijlociu: Israel
America de Nord: Canada
America de Sud: Argentina și Uruguay
Asia-Pacific: Noua Zeelandă.
Pentru transferurile de date către orice țară care nu este pe listă, trebuie să existe un
contract legal care să stipuleze că destinatarul din afara UE este de acord cu măsurile
de protecție a datelor solicitate. Regulamentul recunoaște și promovează în mod explicit
utilizarea unor reguli corporative obligatorii ca un mecanism valid de transfer de date în
cadrul grupurilor de companii. Codurile de conduită aprobate pot fi de asemenea utili-
zate pentru transferul de date.

46 Care sunt condițiile unui transfer în siguranță?


Conform Articolului 46 puteți transfera date cu caracter personal în cazul în care
organizația care primește datele personale a furnizat garanții de siguranță adecvate.
Drepturile persoanelor trebuie să fie executorii și ca urmare a transferului trebuie să fie
disponibile căi de atac efective pentru persoanele fizice.
Se pot asigura garanții adecvate prin:
un acord obligatoriu din punct de vedere juridic între autoritățile sau organismele publice;
regulile corporative obligatorii (acordurile care guvernează transferurile efectuate
între organizații din cadrul unui grup corporativ);
clauzele standard de protecție a datelor, sub forma clauzelor de transfer tipice adop-
tate de Comisie;
clauzele standard de protecție a datelor, sub forma clauzelor de transfer tipice adop-
tate de o autoritate de supraveghere și aprobate de Comisie;
respectarea unui Cod de Conduită aprobat de o autoritate de supraveghere;
certificarea conform unui mecanism de certificare aprobat, așa cum este prevăzut în GDPR;
clauze contractuale convenite de autoritatea de supraveghere competentă
dispozițiile introduse în acordurile administrative dintre autoritățile publice sau or-
ganismele autorizate de autoritatea de supraveghere competentă.

47 Ce sunt regulile corporative obligatorii?


Regulile corporative obligatorii prevăzute în tratatele internaționale sunt valabile cu
condiția să fie obligatorii din punct de vedere juridic și să fie aplicate de fiecare membru
în cauză într-un grup de întreprinderi sau un grup de întreprinderi care desfășoară o
activitate economică comună, inclusiv angajați.

37
Catalog GDPR Ready

Conform Articolului 47 - Legi și norme corporative, „Autoritatea de supraveghere


competentă aprobă regulile corporative obligatorii în conformitate cu mecanismul de
coerență prevăzut la Articolul 63”, în următoarele condiții:
sunt obligatorii din punct de vedere juridic și se aplică și sunt aplicate de către
fiecare membru interesat al grupului de companii sau al grupului de companii care
desfășoară o activitate economică comună, inclusiv al angajaților acestora;
conferă în mod expres drepturi executorii persoanelor vizate în ceea ce privește
prelucrarea datelor lor cu caracter personal;
să îndeplinească cerințele prevăzute la Alineatul 2.
Ce găsim în acest Alineat? Normele colective obligatorii menționate la Alineatul 1
specifică cel puțin:
structura și datele de contact ale grupului de întreprinderi sau ale grupului de între-
prinderi care desfășoară o activitate economică comună și ale fiecăruia dintre membrii săi;
transferurile sau seturile de transferuri de date, inclusiv categoriile de date cu ca-
racter personal, tipul de prelucrare și scopurile acesteia, tipul de persoane vizate afectate
și identificarea țării sau țărilor terțe în cauză;
caracterul lor obligatoriu din punct de vedere juridic, atât la nivel intern, cât și extern;
aplicarea principiilor generale de protecție a datelor, în special limitarea scopului,
minimizarea datelor, perioadele de stocare limitate, calitatea datelor, protecția datelor din
proiect și implicit, temeiul juridic pentru prelucrare;
drepturile persoanelor vizate în ceea ce privește prelucrarea și mijloacele de exer-
citare a acestor drepturi, inclusiv dreptul de a nu face obiectul deciziilor bazate exclusiv
pe prelucrarea automatizată;
acceptarea de către operatorul sau prelucrătorul stabilit pe teritoriul unui stat
membru a răspunderii pentru orice încălcare a normelor privind companiile;
modalitățile în care, pe lângă articolele 13 și 14, se furnizează persoanelor vizate
informații privind normele juridice obligatorii, în special cu privire la dispozițiile
menționate la literele (d), (e) și (f) din prezentul alineat;
sarcinile oricărui responsabil de protecție a datelor desemnat în conformitate cu arti-
colul 37 sau orice altă persoană sau entitate responsabilă de monitorizarea conformității;
procedurile de reclamație;
mecanismele pentru a asigura verificarea conformității cu regulile obligatorii ale companiilor;
mecanismele de raportare și de înregistrare a modificărilor aduse regulilor și de
raportare a acestor modificări autorității de supraveghere;

48 Care sunt derogările admise la interdicția de transfer a datelor personale?


GDPR prevede o serie de derogări de la interdicția generală privind transferurile de
date cu caracter personal în afara UE pentru anumite situații specifice. Se poate efectua
un transfer sau un set de transferuri în cazul în care transferul este:

38
Catalog GDPR Ready

făcut cu consimțământul informat al persoanei;


necesar pentru îndeplinirea unui contract între individ și organizație sau pentru
măsurile precontractuale luate la cererea persoanei;
necesar pentru executarea unui contract încheiat în interesul persoanei între
operator și o altă persoană;
necesar din motive importante de interes public;
necesar pentru stabilirea, exercitarea sau apărarea revendicărilor legale;
necesar pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane,
în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și
dea consimțământul.
Există situații de excepție pentru un număr limitat de date personale? Mai există
câteva situații speciale în care GDPR poate permite transferurile de date, chiar dacă nu
există o decizie a Comisiei de autorizare a transferurilor către țara în cauză sau nu este
posibil să se demonstreze că drepturile individului sunt protejate prin garanții adecvate
și niciuna dintre derogări nu se aplică, datele personale pot fi transferate în afara UE.
Astfel de transferuri pot fi acelea în care activitatea de transfer este singulară, iar
numărul persoanelor implicate prin transferarea datelor personale este redus și limitat.
Astfel de transferuri sunt permise numai în cazul în care transferul:
nu este făcută de o autoritate publică în exercitarea puterilor sale publice;
nu este repetat (transferuri similare nu se efectuează în mod regulat);
implică date referitoare la un număr limitat de persoane;
este necesar pentru scopurile intereselor legitime ale organizației (cu condiția ca
aceste interese să nu fie înlăturate de interesele individului); și
este supus unor garanții adecvate instituite de organizație (în lumina unei evaluări
a tuturor circumstanțelor legate de transfer) pentru a proteja datele personale.
În aceste cazuri, organizațiile sunt obligate să informeze autoritatea de supraveghere
competentă cu privire la transfer și să furnizeze informații suplimentare persoanelor.

Capitolul 9 CONFORMITATEA CU GDPR

49 Cum trebuie să ne pregătim pentru conformitatea cu GDPR?


Există în mod clar o serie de puncte critice care trebuie abordate cu prioritate în orice
demers de asigurare a conformității cu GDPR. O mulțime de activități pot fi rezolvate
într-un mod simplu și rapid. Altele, în special în organizații mari sau complexe, vor
solicita investiții semnificative în buget, dotare IT, personal, guvernare și comunicare.
Este momentul ca un plan de achiziții bine argumentat, esențial pentru afacerile
companiei, să poată fi aprobat cu ușurință de decidenți.

39
Catalog GDPR Ready

Un pas important pentru toate organizațiile este clarificarea fluxului de date și analiza
procesului de prelucrare a datelor personale/ Pentru aceasta este nevoie să clarificăm
următoarele aspecte:
Ce date personale sunt folosite și procesate în cadrul organizației;
Ce permisiuni am obținut pentru aceste date;
Ce procese și sisteme există pentru a prelucra datele personale;
Cazuri în care datele personale sunt transferate în afara organizației (inclusiv terțe
părți și transfrontaliere)
Care sunt măsurile de securizare ale datelor personale pe tot parcursul ciclului lor
de viață.
O bună înțelegere a punctelor și aspectelor critice va oferi organizațiilor oportunitatea
de a-și evalua riscurile și de a-și elabora un plan de remediere adecvat.
Care sunt certificările necesare pentru asigurarea conformității? GDPR încurajează
adoptarea sistemelor de certificare ca mijloc de demonstrare a conformității. Respec-
tarea standardului internațional de securitate a informațiilor ISO 27001 - singurul stan-
dard independent, recunoscut la nivel internațional de securitate a datelor - va ajuta
organizațiile să demonstreze că s-au străduit să respecte cerințele de securitate a datelor
din GDPR. Implementarea ISO 27001 presupune crearea unui cadru holistic de procese,
oameni și tehnologii pentru a asigura conformitatea.

50 Când trebuie să numim un Data Protection Officer (DPO)?


Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de
operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află
toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate), precum
și celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele
fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar
și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile
pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul
29 („WP29”) încurajează aceste eforturi voluntare.
În conformitate cu GDPR, trebuie să desemnați un ofițer de protecție a datelor (DPO) dacă:
sunteți o autoritate publică (cu excepția instanțelor care acționează în calitatea lor
judiciară);
efectuați o monitorizare sistematică, la scară largă, a persoanelor (de exemplu,
urmărirea comportamentului online)
faceți o prelucrare la scară largă a unor categorii speciale de date sau date referitoare
la condamnările penale și infracțiunile.
În anumite situații, puteți desemna un singur ofițer de protecție a datelor care să
acționeze pentru un grup de societăți sau pentru un grup de autorități publice, ținând
cont de structura și dimensiunea acestora.
40
Catalog GDPR Ready

Până la urmă, indiferent de organizație, sunteți liberi să numiți DPO, cu condiția să


dispuneți de resurse pentru această poziție, iar persoana desemnată să aibă abilități
suficiente pentru a-și îndeplini obligațiile stipulate de GDPR.

51 Care sunt sarcinile unui DPO?


Condițiile minime pe care trebuie să le asigurați dacă aveți funcția de DPO sunt defi-
nite în Articolul 39:
Să informați și să consiliați organizația și angajații cu privire la obligațiile de a
respecta GDPR și alte legi privind protecția datelor;
Să monitorizați respectarea GDPR și a altor legi privind protecția datelor, inclusiv
gestionarea activităților interne de protecție a datelor;
Să consiliați activitățile organizației ce au legătură cu evaluările de impact privind
protecția datelor;
Să instruiți personalul și să efectuați audituri interne;
Să fiți primul punct de contact pentru autoritățile de supraveghere și pentru per-
soanele fizice ale căror date sunt prelucrate (angajați, clienți etc.).

52 De ce calificare am nevoie pentru a deveni ofițer de protecție a datelor?


Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și
cunoștințele profesionale adecvate recunoscute de legislația privind protecția da-
telor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau
certificare. Cu toate acestea, deținerea unei certificări în conformitate cu GDPR este
o modalitate eficientă de a demonstra cunoștințele experților. Certificarea EU GDPR
acreditată de IBITGQ ISO 17024 (EU GDPR P) poate fi o garanție pentru o astfel de
calificare.
În majoritatea organizațiilor este o practică bună să desemnați oricum un DPO.
Obligațiile GDPR sunt de așa natură încât o consiliere și un sprijin ușor disponibile
din partea unui specialist în protecția datelor va fi un pas esențial pentru gestionarea
riscurilor.
Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că trebuie să
numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate
fi un rol cu jumătate de normă sau combinat cu alte sarcini, însă, în îndeplinirea
rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit
să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul cã,
pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în
domeniul protecției datelor cu „cunoștințe de specialitate privind legislația și practicile
privind protecția datelor”.

41
Catalog GDPR Ready

53 Ce sunt codurile de conduită și mecanismele de certificare?


GDPR aprobă utilizarea Codurilor de Conduită și a mecanismelor de certificare pentru
a demonstra că vă conformați. Trebuie luate în considerare nevoile specifice ale micro-
întreprinderilor, întreprinderilor mici și mijlocii.
Înscrierea pentru adoptarea unui Cod de Conduită sau la o schemă de certificare
nu este obligatorie. Dar, dacă sunteți dispuși să adoptați un cod de conduită aprobat
sau o schemă de certificare care să acopere activitatea dvs. de prelucrare, vă
recomandăm să luați în considerare acest demers ca o modalitate de a demonstra
că vă conformați.
Respectarea codurilor de conduită și a schemelor de certificare aduce mai multe bene-
ficii în plus pentru a demonstra că vă conformați. Prin adoptarea unui cod de conduită și
a unui mecanism de certificare puteți să obţineți următoarele beneficii:
îmbunătățirea transparenței și responsabilității - care poate spori încrederea ca
organizație ce îndeplinește cerințele legii și în care procesarea și păstrarea datelor per-
sonale este de încredere;
asigurarea de circumstanțe în situaþia în care ar putea exista incidente urmate de
măsuri de executare;
îmbunătățirea standardelor de organizație prin stabilirea celor mai bune
practici;
un criteriu de calitate și încredere în procesul de contractare a terților sau a pro-
cesatorilor.
Cine e responsabil cu proiectarea unui cod de conduită? Guvernele și autoritățile
de reglementare pot încuraja elaborarea de coduri de conduită. Codurile de conduită pot
fi create de asociații profesionale sau de organisme reprezentative. Codurile ar trebui
elaborate prin consultare cu părțile interesate relevante, inclusiv cu persoanele vizate
(GDPR - Considerentul 99). Codurile trebuie aprobate de autoritatea de supraveghere
competentă și în cazul în care prelucrarea este transfrontalieră, de Comitetul european
pentru protecția datelor (EDPB). Codurile existente pot fi modificate sau extinse pentru
a se conforma cerințelor din GDPR.

54 Care sunt codurile de conduită recomandate?


Codurile de conduită ar trebui să vă ajute să respectați legea și să acoperiți subiecte
precum:
prelucrarea corectă și transparentă;
interesele legitime ale controlorilor în contexte specifice;
colectarea de date cu caracter personal;
pseudonimizarea datelor cu caracter personal;
informațiile furnizate persoanelor fizice și exercitarea drepturilor persoanelor;

42
Catalog GDPR Ready

informațiile furnizate și protecția copiilor (inclusiv mecanismele de obținere a


consimțământului părinților);
măsuri tehnice și organizatorice, inclusiv protecția datelor prin proiectare și implicit
și măsuri de securitate;
notificarea privind încălcarea legislației;
transferurile de date în afara UE; sau
procedurile de soluționare a litigiilor.
Care sunt implicațiile practice ale adoptării unui cod de conduită? Dacă vă
înscrieți la un cod de conduită, veți fi supus unei monitorizări obligatorii de către un
organism acreditat de autoritatea de supraveghere.
Dacă încălcați cerințele codului de practică, puteți fi suspendat sau exclus și auto-
ritatea de supraveghere va fi informată. De asemenea, riscați să fiți supus unei
amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală. Pe de altă
parte, aderarea la un cod de conduită poate servi drept factor atenuant atunci când
o autoritate de supraveghere are în vedere o acțiune de executare printr-o amendă
administrativă.

55 Care sunt mecanismele de certificare?


Statele membre, autoritățile naționale de supraveghere, forul de supraveghere
european sau Comisia Europeană trebuie să încurajeze instituirea unor mecanisme
de certificare pentru a spori transparența și conformitatea cu regulamentul. Certifi-
carea va fi emisă de autoritățile de supraveghere sau de organismele de certificare
acreditate.
Care este scopul unui mecanism de certificare? Un mecanism de certificare este
o modalitate prin care demonstrați că respectați, și în special că ați pus în aplicare
măsuri tehnice și organizatorice. De asemenea, poate fi instituit un mecanism de
certificare care să demonstreze existența unor garanții adecvate legate de caracterul
adecvat al transferurilor de date. Acestea sunt destinate să permită persoanelor fizice
să evalueze rapid nivelul de protecție a datelor pentru un anumit produs sau serviciu.
Iată câteva dintre implicațiile practice ale aplicării unor mecanisme de certificare:
Certificarea nu vă reduce responsabilitățile legate de protecția datelor;
Trebuie să furnizați organismului de certificare toate informațiile necesare și ac-
cesul la activitățile dvs. de procesare, pentru a putea efectua procedura de certificare;
Orice certificare va fi valabilă pentru maximum trei ani. Aceasta poate fi retrasă
dacă nu mai respectați cerințele certificării, iar autoritatea de supraveghere va fi
notificată;
Dacă nu respectați standardele sistemului de certificare, riscați aplicarea unei
amenzi administrative de până la 10 milioane de euro sau 2% din cifra de afaceri
globală.
43
Catalog GDPR Ready

Capitolul 10 NOTIFICAREA BREȘELOR DE SECURITATE ȘI PENALITĂȚILE APLICATE

56 Cum notificăm apariția unei breșe de securitate?


Creșterea numărului mare de atacuri cibernetice se reflectă în obligațiile sporite pri-
vind securitatea datelor în regulament și în obligațiile paralele, precum cele conținute de
Directiva privind securitatea rețelelor informatice și a datelor (Networks and Information
Security – NIS).
Conform Articolului 33 din GDPR va fi obligatoriu ca o organizație să raporteze
autorității sale de supraveghere orice încălcare a datelor în termen de 72 de ore de la
conștientizarea acesteia. Dacă această cerință nu este îndeplinită, raportul final trebuie
însoțit de o explicație a întârzierii. Notificarea trebuie să includă informații specifice,
inclusiv o descriere a măsurilor luate pentru a soluționa încălcarea și pentru a atenua
posibilele efecte secundare.
În cazul în care încălcarea poate avea ca rezultat un risc ridicat pentru dreptu-
rile și libertățile persoanelor fizice, indivizii înșiși trebuie să fie contactați „fără
întârzieri nejustificate”. Acest contact nu va fi necesar dacă există măsuri de
protecție adecvate - în esență, criptare - pentru a elimina pericolul pentru per-
soanele vizate.
În Articolul 33 - Notificarea unei încălcări a datelor cu caracter personal către
autoritatea de supraveghere, se specifică foarte clar că:
Rapoartarea în situația apariției unor breșe de securitate este obligatorie pentru
orice operator de date personale;
Operatorii trebuie să raporteze către autorităților de supraveghere competente orice
încălcare a condițiilor de siguranță fără întârzieri nejustificate;
Dacă este posibil, nu mai târziu de 72 de ore de la prima conștientizare;
Dacă raportarea nu este făcută în termen de 72 de ore, trebuie furnizată o justificare
a întârzierii;
Nu este necesară notificarea cazurilor în care încălcarea este «puțin probabil să ducă
la un risc pentru drepturile și libertățile» persoanelor vizate;
Dacă breșa de securitate este constatată de către un procesator de date, acesta tre-
buie să notifice operatorul cu care colaborează fără întârzieri nejustificate.

57 Ce informații trebuie să conțină o notificare de încălcare?


Elementele esențiale care trebuie să se regăsească într-o notificare se referă la:
natura încălcării datelor cu caracter personal;
categoriile și numărul aproximativ al persoanelor implicate;
categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în
cauză;

44
Catalog GDPR Ready

numele și datele de contact ale responsabilului cu protecția datelor (în cazul în care
organizația dvs. dispune de unul) sau alt punct de contact în care pot fi obținute mai
multe informații;
descriere a consecințelor probabile ale încălcării datelor cu caracter personal;
descriere a măsurilor luate sau propuse a fi luate pentru a face față încălcării date-
lor cu caracter personal dacă este cazul, o descriere a măsurilor luate pentru a atenua
eventualele efecte adverse.
Nimeni nu își dorește asta, dar o bună pregătire penru situațiile de urgență implică și
stabilirea clară a responsabilităților și procedurilor de urmat. Cum vă puteți pregăti mai
bine pentru raportarea încălcărilor de securitate? În primul rând ar trebui să vă asigurați
că personalul dvs. înțelege ce reprezintă o încălcare a datelor și că aceasta este mai mult
decât o pierdere de date cu caracter personal. Apoi, ar trebui să vă asigurați că aveți
o procedură de raportare internă a încălcărilor. Acest lucru va facilita luarea deciziilor
cu privire la necesitatea notificării autorității de supraveghere sau a publicului. Nu în
ultimul rând, având în vedere perioadele scurte de timp pentru raportarea unei breșe,
este important să existe proceduri robuste de detectare a incidentului, investigații și
proceduri de raportare internă.

58 Când se dau amenzile administrative?


Orice încălcare a noului regulament este supusă unui regim de sancțiuni financiare
cu amenzi de până la 4% din cifra de afaceri globală anuală sau de 20 milioane EUR,
oricare dintre acestea este mai mare. La stabilirea nivelului amenzii, autoritatea
de supraveghere trebuie să ia în considerare o serie de factori, inclusiv gravitatea
încălcării, dacă încălcarea a fost intenționată sau rezultatul neglijenței și orice măsuri
luate pentru a atenua încălcarea. În plus, persoanele pot da în judecată organizațiile
pentru compensare pentru a acoperi atât pagubele materiale, cât și cele nemateriale
(de exemplu, suferință).
Având în vedere magnitudinea eventualelor amenzi, drepturile persoanelor fizice
de a introduce cazuri și cererea de despăgubiri, precum și prevalența și eficacitatea
criminalității cibernetice, riscul unei încălcări a datelor ar trebui să treacă direct
în registrul de risc al consiliului, cu respectarea înaltă a ordinii de zi a conducerii
superioare.
Conform Articolului 83 - Condiții generale de impunere a amenzilor administra-
tive, impunerea amenzilor administrative va fi, în fiecare caz, eficace, proporțională și
disuasivă. Amenzile administrative se acordă în funcție de:
Natura, gravitatea și durata încălcării;
Caracterul intenționat sau neglijent al încălcării;
Orice acțiune întreprinsă de operator sau de procesator pentru a diminua daunele
suferite de persoanele vizate;
45
Catalog GDPR Ready

46
Catalog GDPR Ready

47
Catalog GDPR Ready

Gradul de responsabilitate al operatorului sau al procesatorului, ținând cont de


măsurile tehnice și organizatorice implementate de aceștia;
Orice încălcări anterioare relevante;
Gradul de cooperare;
Categoriile de date cu caracter personal afectate de încălcare;
Modul în care încălcarea a devenit cunoscută;
În cazul în care anterior au fost ordonate competențe corective împotriva operatoru-
lui sau a procesatorului;
Respectarea codurilor de conduită aprobate sau a mecanismelor de certificare
aprobate;
Existența unor alți factori agravanți sau atenuanți.

59 Care sunt situațiile în care amenda e de 2% din cifra de afaceri?


Conform Articolului 83, Alineatul 4, se impune o amendă de 10 000 000 EUR sau,
în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 2% din
exercițiul financiar precedent (oricare dintre acestea este mai mare) în situațiile în care
autoritatea de supravegere constată încălcarea următoarelor Articole:
Obligațiile operatorului și ale procesatorului de date stabilite în Articolele 8, 11, 25
la 39, 42 și 43;
Obligațiile corpului de certificare conforme cu Articolele 42 și 43,
Obligațiile corpului de monitorizare aferente Articolelor: 41 (Alineat 4)

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:


8: Consimțământul copilului
11: Prelucrarea care nu necesită identificare
25: Protecția datelor prin design și implicit
26: Controleri comuni
27: Reprezentanți ai controlerilor care nu sunt stabiliți în UE
26, 29 & 30: Prelucrarea
31: Cooperarea cu autoritatea de supraveghere
32: Securitatea datelor
33: Notificarea încălcărilor autorității de supraveghere
34: Comunicarea încălcărilor la persoanele vizate
35: Evaluarea impactului protecției datelor
36: Consultare prealabilă
37 -39: Protecția datelor
41 (4): Monitorizarea codurilor de conduită aprobate
42: Certificare
43: Organisme de certificare
48
Catalog GDPR Ready

60 Care sunt situațiile în care amenda e de 4% din cifra de afaceri?


Conform Articolului 83, Alineatul 4, se impune o amendă de 20 000 000 EUR sau,
în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 4% în
exercițiul financiar precedent (oricare dintre acestea este mai mare) în următoarele
condiții de încălcare:
Principile de bază ale procesării, incluzînd condițiile pentru consimțământ, aferente
Articolelor 5, 6, 7 și 9;
Drepturile subiecților aferente Articolelor de la 12 la 22;
Transferul datelor personale către un recipient dintr-o țară terță sau o organizație
internațională, aferent Articolelor de la 44 la 49.
Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:
5: Principii privind prelucrarea datelor cu caracter personal;
6: Legalizarea procesării;
7: Condiții pentru consimțământ;
9: Prelucrarea categoriilor speciale de date cu caracter personal (adică date perso-
nale sensibile);
12 -22: Dreptul la informație, accesul, rectificarea, ștergerea, restricționarea
procesării, transferabilitatea datelor, obiectul, profilul;
44 -49: Transferuri către țări terțe;
58 alineatul (1): cerința de a oferi acces la autoritatea de supraveghere;
58 (2): Comenzi / limitări privind prelucrarea sau suspendarea fluxurilor de date. 

O publicație şi
get to know!

Nota copyright Adresa:


Copyright © 2017 Pear Media SRL Bd. Dimitrie Cantemir nr. 12-14, ISSN 2393 – 3968
și Marcom Expert SRL sc. D, et. 2, ap. 10, sector 4, ISSN-L 2393 – 3968
Toate drepturile sunt rezervate. București, 040243
Materialul original tipărit în acest
număr aparține Pear Media SRL Telefon: 0371- 434.301
și Marcom Expert SRL Fax: 021-3309285

http://www.agora.ro http://cloudmania2013.com wordpress.com/

49
Catalog GDPR Ready

Ce ne recomandă experții?
Sunt furnizor de Cloud.
Cum pot obține conformitatea GDPR?
Bart van Buitenen,
managing partner al White Wire, o firmă de consultanță
de tip boutique specializată în servicii de protecție a
datelor pentru organizațiile de îngrijire a sănătății,
IMM-uri și companii de tehnologie din întreaga UE.

Dacă sunteți un furnizor de Cloud, cu sau fără sediu în UE, este foarte probabil că o parte
din datele pe care le prelucrați să fie pe teritoriu european sau privesc persoane care au un
domiciliu stabil în UE, și atunci trebuie să vă aliniați la reglementările GDPR. Termenul spe-
cific care indică un furnizor care procesează date personale în numele unei organizații este
cel de Procesator.
Până acum, o mare atenție se punea pe rolul de «Operator», adică organizația care este
responsabilă cu determinarea mijloacelor și scopurilor procesării, fără să se acorde o prea
mare atenție rolului procesatorului. Și iată că față de legislația anterioară, GDPR schimbă
multe lucruri în legătură cu obligațiile procesatorului, de exemplu în ceea ce privește
răspunderea, responsabilitate și o serie de noi obligații. Iată câteva dintre cele mai importante
aspecte pe care cred că furnizorii de Cloud ar trebui să le aibă în vedere, cu toată seriozitatea,
până pe 25 mai 2018.

1 Acordurile de prelucrare a datelor


Operatorii sunt cei care trebuie să ofere instrucțiuni specifice procesatorilor, iar astfel de
instrucțiuni trebuie să fie documentate în așa-numitele „Acorduri de prelucrare a datelor”.
Astfel de acorduri nu sunt noi: ele au fost, de asemenea, impuse în temeiul legislației euro-
pene anterioare privind protecția datelor (Directiva 95/46 și, prin urmare, au devenit apli-
cabile prin legislația fiecărui stat membru), dar în practică acorduri corecte și concrete sunt
destul de greu de găsit… Cele mai multe organizații nu au fost conștiente de cerința unor
acorduri de procesare a datelor, iar pentru furnizorii de Cloud, acest lucru însemna, de obicei,
mai multă muncă și responsabilități, fără prea multe avantaje în schimb.
Acest lucru s-a schimbat în GDPR: Articolul 28 menționează în mod specific acordurile
de prelucrare a datelor și arată în detaliu ce ar trebui să includă. Spre deosebire de anii
precedenți, furnizorii de Cloud au acum un stimulent clar pentru a încheia acorduri de prelu-
crare. Acordul trebuie să includă instrucțiunile pentru furnizorul de Cloud și, ca atare, devine
un factor foarte important în stabilirea răspunderii. (Articolul 82, Alineatul 2).
50
Catalog GDPR Ready

Sfaturi: Fiți proactivi, nu așteptați ca operatorul să va propună primul acordul de pro-


cesare a datelor! Astfel, veți avea posibilitatea de a vă propune propriul model de contract și,
în același timp, veți arăta clientului că pentru dvs. nu există secrete în GDPR.

2 Subcontractorii
Acordurile de prelucrare a datelor trebuie să fie încheiate cu clienții dvs., dar furnizorii de
Cloud au adesea proprii lor subcontractori. În lumea IT, utilizarea subcontractorilor este ceva
normal, iar mulți subcontractori vor fi într-adevăr procesatori pentru furnizorul de Cloud.
Din perspectiva clienților care folosesc Cloudul (operatorii), acești subcontractori sunt deci
”subprocesatori”. Un furnizor de Cloud trebuie să ceară permisiunea operatorului de a utiliza
subprocesatori, ceea ce ar trebui să se regăsească și în acordul dvs. de procesare (a se vedea
secțiunea 1). Utilizarea de subprocesatori poate fi acoperită printr-o permisiune generică
sau o permisiune specifică pentru fiecare subprocesator. Procesatorul rămâne responsabil,
astfel încât acordurile cu subprocesatorii trebuie să aibă un grad ridicat de încredere pe lista
furnizorilor de Cloud.
Sfaturi: Solicitarea unei permisiuni specifice poate fi un o provocare. Cereți o permisiune
generică și oferiți clienților posibilitatea de a consulta oricând o listă completă de subprocesa-
tori, de ex. prin publicarea acestei liste pe o pagină dedicată de pe site-ul dvs.

3 Înregistrarea activităților de prelucrare


Fiecare operator trebuie să mențină o evidență a activităților de procesare: un instrument
de evidență sau un document care detaliază diferitele activități de prelucrare a datelor cu
caracter personal din cadrul organizației. O versiune mai puțin riguroasă a acestei evidențe
trebuie să fie menținută de procesator, dar care totuși trebuie să includă toate activitățile de
procesare derulate pentru clienții săi.
Sfaturi:
Crearea unei astfel de evidențe a activităților de procesare va oferi o cunoaștere valoroasă
în identificarea datelor pe care le procesați și ar trebui să fie una dintre primele acțiuni într-un
plan de implementare GDPR.
Organizațiile se pierd, uneori, în detalii; rețineți că GDPR nu vă cere să mapați fiecare
câmp de date, este vorba despre evidența activităților care se mapează destul de strâns cu
serviciile oferite clienților.
Nu păstrați un registru pentru fiecare client; doar asigurați-vă că puteți asocia clienții
cu activitățile de procesare prin includerea serviciilor pe care le oferiți pentru fiecare client în
sistemul dvs. CRM sau în baza de date cu clienții.

4 Transferuri în afara UE
Atunci când datele cu caracter personal ale clienților din UE sunt transferate în țări din
afara Uniunii este important ca datele să beneficieze de aceleași sisteme protecție și garanții
ca și în interiorul granițelor UE.

51
Catalog GDPR Ready

Sfaturi: Pentru a facilita astfel de transferuri, GDPR include mai multe mecanisme care fac
acest lucru posibil, dintre care cele mai răspândite sunt:
Decizii de adecvare: atunci când UE a stabilit că o țară din afara UE (sau un acord spe-
cific cu o astfel de țară, de ex. Privacy Shield cu SUA) oferă o protecție adecvată.
Reguli corporative obligatorii (BCR – Binding Corporate Rules): multe companii
multinaționale au subsidiare în țări din afara UE. Documentația BCR asociată unei organizații
trebuie să se asigure că un transfer de date personale în afara UE, dar în cadrul aceleiași
organizații, oferă aceleași garanții de protecție. Autoritățile de protecție a datelor trebuie să
valideze BCR înainte ca prevederile să fie aplicate.
Clauze contractuale standard (SCC – Standard Contratual Clauses): sunt contracte
predefinite, validate de Comisia Europeană, ce conțin toate garanțiile de protecție necesare
pentru transferurile în afara UE.

5 Securitatea informațiilor sau protecția datelor


Securitatea informațiilor și protecția nu sunt aceleași. Securitatea informațiilor se
referă la toate informațiile, care includ datele cu caracter personal. Protecția datelor se
referă la toate aspectele legate de prelucrarea datelor cu caracter personal, care includ
securizarea informațiilor. Deci, în același timp există o suprapunere clară, dar și o diferență
semnificativă.
Acestea fiind spuse, asigurarea informațiilor împotriva accesului neautorizat, pierderii
sau distrugerii este un aspect foarte important în cadrul GDPR. Pe scurt, acest aspect al
GDPR poate fi rezumat prin menținerea confidențialității, integrității și disponibilității
(cunoscută și sub numele de CIA) datelor personale pe care un furnizor de Cloud le
procesează. Rețineți că orice încălcare a acestor principii ale CIA (de exemplu, încălcări ale
datelor) va trebui să ducă la o notificare către operator, care, la rândul său, va trebui să
notifice autoritățile de protecție a datelor și persoanele vizate, dacă riscurile potențiale ale
încălcării sunt destul de ridicate.
Sfaturi:
Alinierea inițiativelor GDPR la guvernarea securității informațiilor. De exemplu,
standardul ISO27001 poate fi combinat cu principiile de protecție a datelor pentru a oferi un
cadru care să abordeze atât securitatea informațiilor, cât și protecția datelor.
Gândiți și documentați o procedură de notificare înainte de a avea practic nevoie de ea.
Examinați necesitatea de numi un ofițer de protecție a datelor (DPO). Chiar și atunci
când clienții individuali nu sunt obligați să numească unul, este posibil ca un furnizor de
Cloud să fie nevoit să numească unul.

6 Obligația de asistare și notificare


Procesatorii sunt obligați să asiste sau să notifice operatorii atunci când au informații
despre faptul că un operator trebuie să îndeplinească cerințele GDPR, cum ar fi executarea
DPIA sau notificările de încălcare a datelor menționate anterior.

52
Catalog GDPR Ready

Sfaturi: Documentați (de exemplu, în contractul de procesare sau în alt contract) cum
trebuie să aibă loc asistența: cum ar trebui să se facă o cerere, în ce termen va răspunde
furnizorul de Cloud și dacă există costuri asociate asistenței.

7 Fiecare procesator este, de asemenea, un operator


Rețineți că este foarte probabil ca furnizorii de Cloud să fie în același timp și procesatori
și operatori de date în nume propriu. Unele departamente precum HR, Furnizori, Clienți pot
efectua prelucrări de date cu caracter personal, caz în care trebuie să se supună acelorași
principii ale GDPR.
Sfaturi: Păstrați înregistrări separate privind activitățile de procesare (vezi secțiunea 3)
pentru activitățile de operator și procesator. 

Există trei domenii-cheie pe care


furnizorii de Cloud trebuie să le
abordeze pentru nevoile GDPR
Ian Moyse,
Sales Director Natterbox, Board Member
Cloud Industry Forum

În primul rând - furnizorii de Cloud trebuie să ia aminte că acum sunt expuși răspunderii
juridice a GDPR ca procesatori de date. Legile anterioare au pus toată responsabilitatea pe
umerii operatorului de date (clientul), dar acest lucru se schimbă în noul Regulament european.
În al doilea rând - furnizorii de Cloud trebuie, de asemenea, să asigure respectarea
propriilor standarde GDPR, deoarece clienții se vor aștepta și vor avea nevoie de lanțuri de
parteneri pentru a se conforma cu GDPR în cele mai bune condiții. Acest lucru va fi necesar
pentru a se asigura că partajează doar datele pe care le dețin cu partenerii compatibili GDPR,
protejându-și astfel propriile procese GDPR și conformitatea cu acestea.
Furnizorii de cloud vor trebui, de asemenea, să devină mai transparenți, deoarece clienții
devin tot mai diligenți în privința suveranității datelor, a securității, a stocării datelor, precum
și a controlului și distrugerii datelor pentru care au responsabilitatea.
În al treilea rând - furnizorii de Cloud vor trebui să se asigure că oferirea de servicii
în sine, atunci când sunt utilizate de un client, permite clientului să rămână conform.
De exemplu, dacă soluția dvs. stochează datele despre clienți chiar în structura acesteia,
oferind posibilitatea de a elimina în totalitate datele pentru respectarea regulilor «Dreptul
de a fi uitat». Nu puteți obține certificatul GDPR pentru produsul sau serviciul dvs., dar vă
puteți asigura că utilizarea acestuia permite unui client să îndeplinească cerințele GDPR și
să nu le împiedice. 
53
Catalog GDPR Ready

RGPD: un angajament pe termen lung


Ing. Lucia Ștefan,
Director/Consultant al companiei
Archiva Ltd (UK)

Din momentul în care Regulamentul General privind Protecția Datelor


(RGPD) a fost publicat, au apărut tot felul de interpretări privind
înțelegerea și aplicarea acestui regulament. Un curent care și astăzi este destul de puternic afirmă
că întregul RGPD nu constă decât în securizarea datelor personale și conformitatea cu ISO 27001.
Alții afirmă că este o chestiune de interpretare legală și doar un jurist poate interpreta corect
prevederile Regulamentului. Cei din zona administrării de date (Data Management) spun că e
suficient să inventariezi datele din sisteme informatice și să iei masuri de remediere acolo unde
trebuie pentru a fi conform cu RGPD. În sfârșit, o altă categorie afirmă că datele personale trebuie
gestionate dinamic în timp, comparabil cu un ciclu de viață care începe prin capturarea acestor date
și se termină prin ștergerea lor definitivă (dispariția lor) din sistem.
În realitate, toate opiniile de mai sus sunt corecte, în sensul că administrarea și controlul datelor
personale într-o organizație este foarte complexă, fiind obiectul muncii unei întregi echipe, în
care avem juriști, specialiști în securizarea informației (InfoSec), specialiști din managementul
informației digitale, al conformității (compliance), al riscului, al gestionării și arhivării informației.
Cu cât arhitectura sistemelor informatice este mai complexă, cu atât este mai multă nevoie, nu de
omul-orchestra, ci de o întreagă echipă, cu competențe multiple!
Organizațiile, care prin natura afacerii lor trebuie să se conformeze RGPD, au nu numai
obligația atingerii acestui obiectiv dar și pe aceea a menținerii conformității pe toată durata
existenței organizației. Cu alte cuvinte, atingerea standardelor RGPD în materie de informații per-
sonale nu este suficientă, conformitatea trebuie menținută și gestionată pe termen lung. Atingerea
conformității nu este un efort care, odată făcut, îți permite să te relaxezi după aceea. RGPD impune
ca organizația să poată demonstra, prin dovezile obținute și păstrate, că este conformă în orice
moment cu prevederile Regulamentului. Administrarea pe termen lung a prevederilor RGPD este
la fel importantă ca obținerea conformității la data de 25 Mai 2018. 

„GDPR este un mare factor de schimbare pentru furnizorii de


Cloud. GDPR vă oferă un standard paneuropean pentru gestio-
narea informațiilor personale, însă atât dvs. (procesatorul de
date), cât și clientul dvs. (operatorul de date) sunteți acum res-
ponsabili pentru asigurarea conformității. Furnizorii de Cloud
trebuie să asigure respectarea mai multor cerințe-cheie, dintre
care majoritatea sunt prevăzute la articolele 28-37.” 
Atle Skjekkeland, vicepreședinte senior, ECM, AIIM Europe

54
Catalog GDPR Ready

Servicii de consultanță și instruire


pentru protecția datelor personale
Dna ing. Lucia Ștefan are o expertiză de 20 de ani în Marea Britanie în
domeniul protecției datelor personale și a guvernării informaţiei. A fost
formată ca specialist în cadrul Arhivelor Naționale Britanice și și-a început
cariera de Consultant în domeniul administrării și arhivării actelor și docu-
mentelor electronice de întreprindere, precum și a implementării softurilor
de profil (Enterprise Content Management Systems, MS SharePoint).
Din 2008 și-a extins activitatea în domeniul protecției datelor perso-
nale. A lucrat ca expert pentru Comisia Europeană, Națiunile Unite și alte Lucia Ştefan
organizații europene. Mai multe detalii pe profilul LinkedIn.
În domeniul protecției datelor personale, dna Stefan a contribuit la consolidarea managementu-
lui datelor confidențiale pentru Electoral Commission of UK și UNDP Afghanistan, a creat regu-
lamentele de administrare și protecție a datelor personale, precum și termenele lor de păstrare
pentru banca imobiliară The Coventry Building Society (Marea Britanie) și a efectuat analize de
impact (DPIA) în domeniul asigurărilor comerciale.
Prin intermediul companiei pe care o conduce, Archiva Ltd., dna Lucia Ștefan oferă următoarele
servicii de consultanță și training:
Inițierea, dezvoltarea și implementarea proiectelor RGDP în organizații publice și întreprinderi private
Crearea de regulamente interioare pentru obținerea conformității RGDP
Crearea de termene de păstrare pentru datele personale conforme cu RGDP și legislația în vigoare
Crearea de registre și alte documente de evidență pentru demonstrarea conformității cu RGDP
Gestionarea datelor personale pe întregul ciclu de viață al informației în organizație
Identificarea si managementul datelor personale (PII) existente in afara bazelor de date (conținut
nestructurat)
Clasificarea si gestionarea datelor personale cu înalt grad de senzitivitate și confidențialitate
Acțiunea de implementare a prevederilor legate de accesul la datele personale (DSAR) si portabilitatea
datelor personale
Audit pentru identificarea ariilor de non-conformitate cu RGDP
Cursuri pentru personal la toate nivelele, pentru înțelegerea sarcinilor și obligațiilor pe care le au in
cadrul RGDP
De asemenea, oferă training și consultanță în domeniile de arhivistică digitală și administrarea
documentelor și actelor în format electronic. 
Ing. Lucia Ștefan, MSc Information Systems, Data Protection
Officer Certified (Maastricht University, 2017) /
Director/Consultant al companiei Archiva Ltd. din Marea Britanie

55
Catalog GDPR Ready

Ghiduri de bune practici


puse la dispoziție de ANSPDCP
Autoritatea națională de supraveghere este o autoritate publică cu personalitate juridică,
autonomă şi independentă faţă de orice alte autoritate a administraţiei publice, ca şi faţă de
orice persoană fizică sau juridică din domeniul privat, care exercită atribuţiile ce îi sunt date în
competenţă prin dispoziţiile legale din domeniul prelucrării datelor cu caracter personal şi al liberei
circulaţii a acestor date.
Atribuția principală a Autorității este aceea de garantare şi protejare a drepturilor şi libertăţilor
fundamentale ale persoanelor fizice, în special a dreptului la viaţă intimă, familială şi privată, cu
privire la prelucrarea datelor cu caracter personal.
Autoritatea monitorizează şi controlează sub aspectul legalităţii prelucrările de date cu
caracter personal care cad sub incidenţa Legii nr. 677/2001.

Pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal,


în cadrul secțiunii speciale dedicată RGPD, poate fi găsit un important volum de informații
dedicate Regulamentului 2016/679, precum pliante, broșuri și ghiduri ale Grupului de Lucru
Art. 29. Informații complete pe site-ul oficial al ANSPDCP: http://www.dataprotection.ro.

Ghid privind Responsabilul cu protecția datelor (‘DPOs’)


Acest ghid are menirea de a oferi tuturor operatorilor informațiile cele mai pertinente
privind necesitatea numirii unui responsabil cu protecția datelor (DPO – Data Protection
Officer), precum și principalele atribuții ale acestora. Ghidul a fost publicat în decembrie
2016 și a fost revizuit și adoptat în aprilie 2017.
Potrivit Regulamentului General de Protecție a Datelor (RGPD), este obligatoriu ca anumiți
operatori și persoane împuternicite de operatori să desemneze un DPO. Aceasta va fi situația
pentru toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate) și pentru
celelalte organizații care au ca activitate principală monitorizarea sistematică și pe scară largă a
persoanelor fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă.
Chiar și în situația în care RGPD nu impune în mod expres numirea unui DPO, organizațiile pot
opta pentru desemnarea unui DPO în mod voluntar.
Cu toate că Directiva 95/46/CE3 nu impune niciunei organizații să numească un DPO, această
practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre.
Anterior adoptării RGPD, grupul de lucru Articolul 29 a susținut că DPO reprezintă un punct
important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate
reprezenta un avantaj competitiv pentru companii.
56
Catalog GDPR Ready

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate


(cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea
auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu
autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).
Este important de știut că DPO nu este personal responsabil în caz de nerespectare a RGPD.
Regulamentul spune clar că resposabil este operatorul sau persoana împuternicită de operator care
trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în confor-
mitate cu disponzițiile sale (Articolul 24, Alineat 1). Respectarea normelor de protecție a datelor
reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul
sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea
eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure
că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

Ghidul orientativ de aplicare a Regulamentului General privind


Protecția Datelor destinat operatorilor
Lansat în septembrie 2017, acest Ghid este destinat să constituie un instrument util în
activitatea tuturor operatorilor, pentru accelerarea eforturilor acestora de a atinge cele
mai optime nivele de conformitate cu prevederile Regulamentului (UE) 2016/679 privind
protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și
privind libera circulație a acestor date.
Structura Ghidului orientativ de aplicare GDPR se axează pe prezentarea principalelor obligații
care le revin operatorilor în contextual noului Regulament. Dintre aceste obligații se detașează:
Desemnarea unui responsabil cu protecția datelor
Rolul responsabilului cu protecţia datelor
Cartografierea prelucrărilor de date cu caracter personal
Ce trebuie să conțină evidenţa păstrată de operator
Prioritizarea acțiunilor de întreprins
Care sunt măsurile speciale de care trebuie să se țină cont
Gestionarea riscurilor
Organizarea procedurilor interne
Ca recomandare generală, Ghidul orientativ sugerează realizarea unei analize aprofundate
a legislației privind protecția datelor și a cerințelor impuse de Regulamentul General privind
Protecţia Datelor, pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în
funcţie de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

În condițiile în care acest act normativ european aduce multiple elemente de noutate în
peisajul juridic românesc și instituie noi obligații în sarcina operatorilor de date și/sau per-
soanelor împuternicite de operatori Autoritatea speră ca și acest ghid, împreună cu toate
celelalte materiale informative postate pe site-ul Autorității Naționale de Supraveghere, să
ajute operatorii în eforturile de conformare cu noile reguli de prelucrare a datelor personale. 
57
Catalog GDPR Ready

GDPR: afectarea securității datelor


cu caracter personal din perspectiva
securității informatice
Conform Regulamentului „încălcarea securităţii datelor cu caracter
personal” înseamnă o încălcare a securităţii care duce, în mod accidental
sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea ne-
autorizată a datelor cu caracter personal transmise, stocate sau pre-
lucrate într-un alt mod, sau la accesul neautorizat la acestea.

Regulamentul prevede la articolele 33 și 34 obligativitatea notificării încălcărilor


securității datelor cu caracter personal către Autoritatea Națională de Supraveghere
precum și direct către persoanele vizate ale căror date au fost compromise în anumite
condiții, astfel:
Notificarea Autorității se face în cel mult 72 de ore conform Art. 33 și este
obligatorie atunci când încălcările prezintă riscul de a pune în pericol drepturile și
libertățile persoanelor putând duce la discriminarea, prejudicierea reputației, pierderi
financiare, compromiterea confidențialității sau orice alt dezavantaj economic sau
social semnificativ.
Notificarea trebuie să cuprindă: o descriere a încălcării, inclusiv categoriile și numărul
aproximativ de persoane vizate acolo unde este posibil, categoriile de înregistrări și
numărul acestora. La aceasta se adaugă descrierea consecințelor probabile ale încălcării
și măsurile luate pentru a remedia situația și a atenua consecințele încălcării.
La acestea se adaugă datele de contact ale responsabilului cu protecția datelor sau
alt punct de contact pentru mai multe informații.
Notificarea persoanei vizate se face conform Art. 34, fiind obligatorie în cazul în
care încălcarea prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate.
Informarea va conține descrierea încălcării într-un limbaj simplu precum și informațiile
și măsurile de la Art. 33.
Termenul de notificare a autorității este de 72 de ore.
Pentru a putea realiza notificarea în termenul specificat este necesar ca operatorul
să inventarieze, să organizeze și să cunoască categoriile de date colectate, sistemele
58
Catalog GDPR Ready

în care acestea sunt stocate și prelucrate, circuitul datelor și persoanele care au acces.
Aceasta presupune atât măsuri de inventariere cât și proiectarea sistemelor, a rețelelor și
a accesului astfel încât informațiile relevante să fie rapid identificate în caz de încălcare,
în vederea alcătuirii notificării și luării de măsuri în consecință.

Principalele tipuri de încălcări ale securității datelor sunt:


publicarea în mod accidental;
erorile de configurare a sistemelor ce poate duce la scurgeri de informații;
pierderea sau furtul sistemelor sau a mediilor de stocare a datelor;
securizarea slabă;
infecții cu programe de tip malware;
atacuri fizice.

În România, conform raportului CERT-RO pe anul 2016 au rezultat următoarele


date relevante cu privire la securitatea spațiului cibernetic național:
s-au primit și procesat peste 110 milioane de alerte;
38% (2,9 milioane) dintre adresele IP publice din România au înregistrat cel puțin
o alertă;
81% (89 milioane) dintre alerte se referă la sisteme sau servicii vulnerabile;
13% (14 milioane) dintre alerte se referă la sisteme infectate cu malware de tip
botnet;
10.639 de domenii web „.RO” au fost utilizate de site-uri web compromise.
59
Catalog GDPR Ready

Cum putem proteja datele cu caracter personal procesate?


Sub aspectul protejării datelor în format digital, deși percepția comună referi-
toare la obligațiile impuse de Regulament este cea a unor cerințe și obligații noi,
în realitate măsurile necesare sunt cele standard din domeniul asigurării securității
informatice.
Astfel, operatorul care are în vedere asigurarea securității rețelelor și sistemelor sale
conform standardelor existente și adaptarea măsurilor proporțional cu amenințările
va îndeplini din start cerințele GDPR cu privire la datele cu caracter personal aflate în
sistemele sale, soluțiile tehnice și politicile de securitate necesare celor două domenii
coincizând în mare parte.
În vederea adoptării măsurilor necesare prevenirii încălcării siguranței datelor, din
perspectiva securității cibernetice, trebuie avute în vedere o serie de recomandări
practice, precum cele prezentate în rândurile următoare.

Măsuri de prevenire a incidentelor de securitate:


Securizarea terminalelor (stații de lucru, telefoane, tablete etc.) prin utilizarea unor
soluții/tehnologii de tip antivirus/antimalware, DLP, sandbox și de criptare a datelor,
inclusiv pentru terminalele care sunt proprietatea utilizatorilor (BYOD);
Securizarea infrastructurii de rețea prin segmentare adecvată (VLAN) și prin uti-
lizarea unor soluții/tehnologii de protecție perimetrală precum cele de tip NGFW (Next
Generation Firewall);
Asigurarea unei vizibilități adecvate în cadrul infrastructurii IT prin utilizarea unor
soluții/tehnologii de monitorizare precum cele de tip SIEM (Security Information and
Event Management);
Implementarea unor măsuri adecvate de securitate fizică, mai cu seamă în spațiile
unde sunt procesate sau depozitate cantități mari de date;
Acordarea accesului diferențiat al utilizatorilor la resurse și la date în baza atribuțiilor
acestora (principiul nevoia de a cunoaște);
Implementarea unei proceduri adecvate de backup (copii de siguranță) care să
includă și verificarea periodică a integrității datelor și a procesului de restaurare;
Implementarea unei politici de securitate care să fie asumată și respectată de toți
utilizatorii;
Utilizarea unor proceduri de răspuns la incidentele de securitate și de gestionare a
vulnerabilităților;
Dispunerea de personal adecvat pentru securizarea infrastructurii IT și pentru a
răspunde la incidentele de securitate;
Instruirea periodică a personalului cu privire la riscurile, amenințările și vulnera-
bilitățile de securitate, precum și cu privire la măsurile de contracarare a acestora;
Realizarea de audituri/evaluări periodice de securitate a infrastructurii IT, a perso-
nalului și a procedurilor. 
60
, Ready
Catalog GDPR

61
Catalog GDPR Ready

GDPR prefigurează un viitor în


care informația devine critică
pentru supraviețuirea noastră
Informaţii despre tine. Colectate, stocate și proce-
sate în mod automat de către algoritmi din ce în
ce mai sofisticaţi. Informaţii pe care nu știai că le
oferi. Informaţii pe care nu le puteai bănui că există.
Informaţii despre tine în feluri în care nu te-ai privit
Răzvan Savu
niciodată.

Strategiile pe termen scurt și mediu ale companiilor impun un ritm de creștere anuală, in-
diferent de industria pe care o observăm. Într-o lume în care nevoile de bază vor fi satisfăcute,
consumul poate crește doar până într-un anumit punct, după care nu-i mai rămâne decât să
devină cvasi-constant. Construcția economică a viitorului nu are alte opțiuni.
Oamenii o să-și dorească în fiecare an noi dispozitive, haine sau mașini, dar nevoi care să
determine piețe uriașe nu se văd la orizont. Creșterea nu o să mai poată interveni decât în
spațiul personal, în cel al nevoilor individuale ale fiecăruia dintre noi. Scopul este crearea unei
experiențe personalizate în care produsul întrupează însăși macheta dorințelor și nevoilor
noastre. Pentru asta, companiile se bazează pe datele pe care le producem și care construiesc
mai mult decât o amprentă digitală individuală. Companiile extrapolează tipuri de compor-
tament și opiniile personale din interacțiunea noastră cu lumea digitală, ajutându-le să se
apropie constant de motivația deciziilor de a cumpăra ceva.
Regulamentul General pentru Protecția Datelor cu Caracter Personal prefigurează un viitor în
care informația devină critică pentru supraviețuirea noastră. Într-o societate marcată de atacuri
cibernetice și teroriste, cu cât entitățile colectează și distribuie mai multe date despre oameni,
cu atât expunerea potențială crește exponențial. Noul motor al economiei globale poartă un
vector de risc colosal, cu efecte în percepție, economie și chiar în siguranța fizică a omenirii.
Fiecare capitol din GDPR a fost disecat în conferințe, studii și articole online. Frica, con-
fuzia și incertitudinea domină în mare parte atât mesajele furnizorilor, cât și acțiunile celor ce
au de implementat dispozițiile regulamentului. Procesul se va clarifica cel mai probabil după
o perioadă de ajustare a pieței, care nu se poate produce înainte de termenul limită fatidic
pomenit în toate comunicările pe acest subiect.
62
Catalog GDPR Ready

Noul Regulament nu va putea fi considerat implementat prin redactarea maculaturii de


către departamentul de QA. Nu există un panaceu care să fie înghițit de către organizații și
acestea să se preschimbe în entități „GDPR-ready”, „GDPR-compliant” sau măcar „GDPR-
aware”. Soluția nu se găsește în tehnologie sau procese.
Noul Regulament vestește o schimbare fundamentală a modului în care ne desfășurăm
afacerile și presupune, contra-intuitiv, o schimbare asumată la nivel individual de fiecare
dintre noi, respectând rolul informației într-un ecosistem global. Noul regulament cere ca
indiferent de mizele financiare, drepturile fundamentale ale omului să fie respectate. Noul
regulament cere ca fiecare dintre cetățenii europeni să ne comportăm responsabil cu privire
la informațiile cu caracter confidențial, fie că suntem consumatori sau furnizori de astfel de
date. Noul regulament cere să acționăm principial, nu hazardat, când luăm decizii pentru
viitorul societății noastre.
Făcând un pas în spate, GDPR face parte dintr-o suită de legi introduse de Uniunea
Europeană și de Comisia Europeană pentru mijlocul anului 2018 care vor să aducă mai
aproape de realitate o Europă unită prin diversitate. Oamenii, mărfurile și – cel mai impor-
tant aspect economic într-o eră digitală – informația vor circula liber între statele membre,
accelerând procesul inovativ, fără a uita însă de siguranța europenilor.
Scopul este catapultarea „bătrânului continent” în vârful jucătorilor globali de tehnologie
pe o piață dominată în prezent de Vest și Est, mizând pe furnizarea unui cadru legal, onest,
transparent (lawfullness, fairness and transparency). Companiile și statele pot folosi această
oportunitate pentru a găsi motive să se ridice împotriva birocrației europene excesive și
impunerilor de legi. Totodată, aceleași companii și state pot recunoaște în GDPR o șansă de
a crea servicii și produse pentru întreaga Europă, având posibilitatea reală de a accesa piețe
de desfacere inaccesibile până atunci. Pot face asta pornind de la principiile unei deschideri
sigure a datelor, diminuând semnificativ riscurile unei expuneri de securitate, care afectează
în final poziția economică a Europei în contextul digital-global.
Puse în acest context mai larg, mișcările UE par să se înscrie într-o strategie pe termen lung
a asigurării relevanței la nivel mondial într-un viitor economic preponderent tehnologic. Pășind
într-o lume digitală, sunt puțini cei care au îndrăzneala bezmetică să declare cu certitudine ce
ne așteaptă, la nivel de cetățeni, angajați sau simpli indivizi. Indiferent de cine vom fi în viitor,
principiile pe baza cărora vom acționa încep să fie scrise astăzi, învățând din greșelile trecutului.
IDC este compania cu cea mai lungă tradiție în analiza piețelor de tehnologie (IT&C), fiind
prezentă inclusiv pe piața din România de 15 ani. Din poziția de observatori și mediatori ai
pieței de tehnologie, experții IDC au acumulat experiența ciclicității dinamicii IT&C, înțelegând
aspectele esențiale care determină succesul proiectelor ce se află întotdeauna la limita dintre
tehnică și omenesc.
IDC ajută dintr-o perspectivă independentă de industrie companiile ce achiziționează IT&C,
decelând aspectele fundamentale pentru direcția strategică într-un univers al informațiilor
într-o continuă expansiune. 
Răzvan Savu, Consultant IDC Romania

63
Catalog GDPR Ready

Cum să alegi inteligent în


noua lume a GDPR-ului
Conformitatea cu reglementãrile impuse de Regulamentul General privind Protecția Datelor (GDPR)
adoptat la nivelul Uniunii Europene in aprilie 2016 şi aplicabil din mai 2018 trebuie să reprezinte mai
mult decât o nouă căsuță de bifat. Implementarea corectă a sistemelor și a proceselor solicitate de GDPR
va ajuta organizațiile să evite penalizări potenţiale semnificative, de până la 4% din cifra de afaceri
globală, dar va fi de asemenea și o oportunitate pentru creşterea eficienţei întregii afaceri.
Cu toate că suntem asaltați de o cantitate imensă de conținut pe această temă lucrurile sunt pe departe
de a fi clare și încă planează o stare de confuzie în ceea ce privește soluțiile care pot ajuta la respectarea
reglementărilor destul de stricte ale GDPR.

Mai jos 10 întrebări pe care să le ai în vedere când îți alegi furnizorul


soluției tale de GDPR

1 Care sunt principalele provocări pentru a construi o politică proprie de gestionare a informației
conformă cu GDPR? Câteva dintre provocările cheie care trebuie luate în considerare sunt:
Afectarea performanției datorată creșterii volumului de informații (număr, mărime, retenție, tipurile
de documente care trebuiesc administrate);
Conținutul nestructurat – care reprezintă mai mult de 70% din volumul total de informații;
Diferite formate și sisteme - informații utile stocate într-o multitudine de sisteme (ERP, CRM,
Document Management, aplicații de business etc.) și în formate diferite;
Dispersia geografică - informații utile și sensibile stocate în diverse locații fizice și logice.

2 Organizația ta și potențialul furnizor înþeleg importanța metadatelor? Adevărul este că nu


există conținut nestructurat ci doar conținut fără metadate. iar fără metadate, conținutul este
o aglomerație de „ceva nediferențiat” care așteaptă să fie administrat. Metadatele sunt cheia, iar
principalele direcții vizează:
Implementarea schemelor de metadate – definirea aspectelor relevante pentru diferite obiective
specifice ale organizației tale;
Transformarea conținutului nestructurat în conținut valoros – prin tehnologii precum OCR
(recunoaşterea optică a caracterelor), ICR (recunoaşterea inteligentă a caracterelor), „speech-to-text”
și alte tehnologii care adresează extragerea de conținut.

64
Catalog GDPR Ready

3 Cum poate asigura soluția răspunsul prompt și eficient la solicitările de acces la date
(DSAR)? Gestionarea corectă a metadatelor permite identificarea datelor și facilitează identificarea
informațiilor corecte și relevante de către ofițerul de conformitate a datelor. Ai nevoie de o soluție care
să ofere căutare avansată bazată pe metadate (șabloane de căutare, subscripții la șabloane de căutare,
conceptul de „search in search”).
Dar metadatele nu sunt suficiente - o căutare completă în text trebuie să fie rulată de mai multe ori atunci
când conținutul sau metadatele sunt ascunse în documentele nestructurate. Pe lângă funcționalitățile de
căutare trebuie avută în vedere și modalitatea în care se face navigarea și afișarea informațiilor căutate
astfel încât utilizatorul să ajungă cât mai ușor la conținutul potrivit.

4 Cum permiți partajarea conținutului securizat între clienți/ parteneri și consultanți externi?
Menținerea unui echilibru între acces (necesitatea de a cunoaște) și protecție / conformitate nu
este ușoară. Trebuie luat în considerare schimbul de informații în afara companiei fără a pierde
controlul sau a modifica locația informațiilor, dar și partajarea în siguranță a informațiilor folosind
autentificarea în 2 pași pentru utilizatorii externi. În contextul GDPR soluția trebuie să respecte
reglementările cu privire la datele cu caracter personal (trimiterea automată a notificărilor, acces
temporizat) și să ofere suplimentar o experiență plăcută de utilizare (fără să fie nevoie de intervenția
personalului IT).

5 În ce măsură ofițerii de conformitate ai companiei tale au vizibilitate asupra volumelor mari


de informații în contextul noului regulament GDPR, astfel încât să poată lua decizii rapide și
eficiente? Un tablou centralizator al indicatorilor GDPR care să ofere vizibilitate asupra cantităților mari
de date va ajuta cu siguranță ofițerul de date să vadă imaginea de ansamblu, dar și să detalieze anumite
subiecte specifice (distribuirea documentelor în funcție de tipul de informație cu caracter personal,
topul politicilor de conformitate necorespunzătoare, active neconforme clasificate in funcție de tipul
acestora și alte activități și notificări legate de GDPR: retragerea acordului, solicitări de acces, solicitări
de ștergere a datelor, consimțământ parental).

6 Care este experiența utilizatorilor si cum va fi afectat departamentul IT după implementarea


unei soluții de GDPR? Multe implementări la nivel enterprise au dat greș nu din cauza lipsei
rigorii tehnice ci mai degrabă din cauza unei experiențe insuficiente la nivelul utilizatorilor.
O soluție cu o interfață puternică, dar simplă, va crește gradul de adoptie a utilizatorilor, fără a
compromite funcționalitățile dedicate utilizatorilor și va reduce în același timp gradul de încărcare al
departamentului IT.

7 Cine poate accesa datele de business, în ce circumstanțe și cu ce drepturi de vizualizare?


Este acest proces auditabil? Recomandarea este să protejați conținutul în funcție de ceea ce este
(metadate asociate) și nu în funcție de unde este acesta stocat astfel înât să plecați de la început cu
avanjul unei soluții construită pe principiul „Privacy by Design”. Și în acestă situație metadatele stau la
baza construirii politicilor dinamice de securitate care pot fi ușor definite și aplicate de către utilizatorii

65
Catalog GDPR Ready

obișnuiți, fără intervenția personalului IT. Întreabă de asemenea dacă este complet auditabilă fiecare
modificare asupra conținutului și metadatelor asociate pentru asigurarea conformității cu GDPR.

8 Cum se poate demonstra că o persoana și-a dat consimțământul asupra prelucrării datelor
sale personale? O posibilă abordare este o soluție care sa permită managementul consimțământului
cu ajutorul semnăturii biometrice (semnătura avansată) într-o manieră lizibilă / inteligibilă. Aceasta
oferă o dovadă sigură, fiind legată în mod unic de semnatar și implicit de datele acestuia, astfel încât
orice schimbare ulterioară a datelor este detectabilă.

9 Cum asigură soluția „dreptul de a fi uitat”? O mare parte din respectarea acestei cerințe se
referă la politicile de păstrare a documentelor care pot fi aplicate conform nomenclatorului arhivistic,
categoriei de conținut (bazat pe metadate) sau politicilor de distrugere a conținutului pe mai multe etape
atunci când perioada de retenție expiră.
Întreabă cum se face auditarea termenelor expirate pentru documentele care conþin date cu caracter
personal și trimiterea notificărilor asociate excepțiilor, dacă soluția are funcționalități pentru criptarea
metadatelor asociate datelor cu caracter personal și setări pentru distrugerea digitală a documentelor
care conțin date cu caracter personal.

10 Unde trebuie instalată soluția GDPR? Un element cheie aici este păstrarea flexibilității la un
nivel maxim pe măsură ce tehnologia se schimbă. Se poate folosi hardware-ul existent? Dacă
alegi, poți să beneficiezi de puterea și scalabilitatea cloud-ului public? Este soluția la fel de ușor de
folosit pe medii hybride, on-premise și cloud? 

SEAL este un sistem integrat pentru administrarea unificată a arhivelor fizice și electronice
care ajută companiile să protejeze, reutilizeze și partajeze în siguranță tot conținutul de
afaceri, respectând normele legale și noile reglementări GDPR. Construit pentru era digitală,
în care cloud-ul și mobilitatea reprezintă concepte cheie, SEAL redefinește experiența de
utilizare printr-o interfață intuitivă și puternică disponibilă inclusiv pe iOS și Android pentru
un nou nivel de productivitate. 
www.seal-online.com

66
Catalog GDPR Ready

Provocarea GDPR: de la oameni,


la procese și tehnologie
Cât de pregătiți sunteți?
Pe lângă provocările de ordin procedural (consimțământ, training-ul angajaților, codurile de conduită,
certificări, notificări în caz de incidente), noul regulament, GDPR, vine și cu provocări de ordin tehnic:
securizarea, clasificarea datelor, definirea utilizatorilor, a accesului. Toate acestea reprezintă subiecte
cărora trebuie să le acordam o atenție sporită, deoarece este vorba de implementări de soluții software,
care necesită bugetări, aprobări speciale pentru achiziție, POC-uri, instalări, într-un cuvânt, TIMP, iar
în acest moment suntem la doar câteva luni până la aplicare sancțiunilor (2% din CA globală sau până
la 20 milioane de euro). Știți unde să vă concentrați atenția? Știți unde se află datele necesare pentru
a evalua dacă îndepliniți cerințele de conformitate cu GDPR?
Toate tehnologiile pe care le implementați pentru a obține conformitatea cu GDPR vă vor ajuta să
îmbunătățiți strategia generală de securitate, astfel încât să puteți avea o afacere mai bună și mai competitivă.

Pașii unui proiect de conformitate cu GDPR:

1 Descoperirea datelor și evaluarea riscurilor - Identificați datele personale și unde se află


acestea în mediile dumneavoastră de tip cloud/local. Acest lucru ar putea dura luni și implică co-
laborarea cu toate departamentele pentru a înțelege ce date sunt utilizate, stocate și tranzacționate.

2 Audit de protecție a datelor - Acum că știți unde se găsesc toate datele dumneavoastră, trebuie
să evaluați dacă există tehnologii și procese potrivite pentru a vă ajuta să controlați accesul la
sistemele dumneavoastră.

3 Evaluarea securității - Evaluați soluțiile de securitate existente pentru a stabili dacă tehnolo-
giile pe care le aveți în utilizare oferă o protecție adecvată, în timp real, construită pentru
amenințările actuale. Ca de exemplu, malware-urile complexe care sunt concepute pentru a ocoli
măsurile tradiționale de securitate bazate pe semnături. Identificați toate vulnerabilitățile și lacunele.
Experții noștri vă vor ajuta să creați un sistem de securitate integrat și actual.

4 Planul de răspuns la incidente - Aplicați tehnologiile și procesele de securitate pentru a opri


un incident, pentru a atenua impactul și a îl raporta. Raportul dumneavoastră către autorități
trebuie să includă consecințele posibile ale încălcării și acțiunea pe care o veți lua pentru a atenua
posibilele efecte negative asupra persoanelor vizate.
Romsym Data, prin intermediul partenerilor și a specialiștilor săi, vă propune un program de
conformitate care vă va ajuta să înțelegeți:
Cât de pregătit sunteți;
La ce riscuri ar putea fi expusă organizația dumneavoastră;
Principalele proiecte și implementări de tehnologii pe care le-ați putea întreprinde în pregătirea
pentru GDPR. 
67
Catalog GDPR Ready

Conformitatea cu GDPR prin


intermediul criptării
Soluția ESET: Endpoint Encryption
GDPR a fost dezvoltat pentru consolidarea și
unificarea drepturilor de confidenţialitate online
și pentru protecţia datelor persoanelor fizice din
UE, concentrând obligaţiile de protejare a datelor
de către companiile care deservesc cetăţenii
UE, într-un regulament unic, faţă de 28 de legi
naţionale diferite.

Aproape orice companie este sub incidența acestor prevederi, trebuind să identifice
rapid modalitățile prin care poate să se alinieze eficient la noile cerințe.
Regulile sunt complexe, iar amenzile pentru nerespectarea legislației sunt
semnificative (penalitățile pot ajunge până la 4% din cifra de afaceri sau 20 de
milioane €, oricare valoare este mai mare).
Criptarea datelor sensibile din sistemele companiilor care colectază astfel de date
poate ajuta la îndeplinirea multor cerințe esențiale din GDPR. Soluția ESET Endpoint
Encryption este simplu de instalat și poate cripta în condiții de siguranță diferite tipuri
de medii sau fișiere.
ESET Endpoint Encryption permite îndeplinirea obligațiilor privind securitatea datelor,
prin implementarea facilă a unei politici de criptare, păstrând în același timp o productivi-
tate ridicată. Cu un consum redus de resurse și cicluri de desfășurare scurte, soluția se
distinge prin flexibilitate și ușurință în utilizare.

Ce oferă Endpoint Encryption


Criptare simplă și puternică (full disk, partiție, folder, fișier, email) pentru
organizațiile de toate dimensiunile, criptând în siguranță fișierele de pe hard disk-uri,
dispozitivele portabile și documentele trimise prin e-mail
Certificare: criptare FIPS 140-2 cu validare 256 bit AES;
Server de management hibrid bazat pe cloud pentru un control complet de la
distanță a cheilor de criptare endpoint și a politicii de securitate;

68
Catalog GDPR Ready

Suport extins pentru Windows 10, 8, 7, Vista, XP SP 3; Microsoft Windows Server


2003-2012; Apple iOS.
La nivel de client este necesară o interacțiune minimă cu utilizatorul, securizarea
datelor companiei fiind posibilă prin instalarea unui singur pachet MSI. La nivel de
server se asigură administrarea avansată, în grupuri, a utilizatorilor și a stațiilor
de lucru și se extinde protecția companiei dincolo de rețeaua proprie.

Ce spune Regulamentul despre protejarea datelor?


În Articolul 32 privind Securitatea proceselor se precizează:
„[...] operatorul și procesatorul trebuie să pună în aplicare măsuri tehnice și organi-
zatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, în care
se includ, printre altele, după caz:
a) anonimizarea sau criptarea datelor cu caracter personal [...]”
Criptarea este cel mai simplu și sigur mod de a asigura securitatea datelor, în
conformitate cu articolul 32 din GDPR. Tehnologia este un mijloc stabilit de prote-
jare a informațiilor vulnerabile în caz de furt sau de pierdere. GDPR face referire de
asemenea la necesitatea existenței unor planuri eficiente de restaurare în caz de
dezastru, la proceduri de recuperare a parolei și de gestionare a cheilor.
Unul dintre principiile cheie al GDPR este asigurarea securității corespunzătoare a
datelor cu caracter personal. Criptarea este considerată o măsură tehnică adecvată pen-
tru a realiza acest lucru. În cazul în care criptarea este utilizată ca o măsură tehnică, ea
trebuie să fie însoțită de posibilitatea restabilirii datelor imediat după un incident, iar
înregistrările trebuie să fie păstrate pentru a dovedi permanent că sistemele sunt sigure
și recuperabile.
69
Catalog GDPR Ready

Care sunt regulile de notificare în cazul unei breșe de date?


Notificarea unei încălcări a securității datelor cu caracter personal colectate către
autoritatea de supraveghere presupune ca autoritatea să fie notificată, dacă este posibil,
nu mai târziu de 72 de ore după ce organizația în cauză devine conștientă de breșa
respectivă. Orice notificare trimisă după intervalul de 72 de ore trebuie să fie însoțită de
o justificare motivată a întârzierii.
Comunicarea unei breșe de date cu caracter personal către persoana vizată presu-
pune ca atunci când încălcarea securității datelor poate duce la un risc ridicat în privința
drepturilor și libertăților persoanelor fizice, operatorul să comunice situația, fără întâr-
zieri nejustificate.
Însă, nu este necesară comunicarea către persoana vizată, dacă sunt îndeplinite
următoarele condiții:
autoritatea de control a pus în aplicare măsuri tehnice de protecție și de
organizare adecvate, iar aceste măsuri au fost aplicate în prealabil datelor afectate
în urma breșei, în special măsuri prin care datele personale scurse să nu poată fi
accesate de persoane neautorizate, cum ar fi criptarea.
Criptarea este considerată fără dubiu o garanție suficientă pentru a exclude aceste
riscuri și consecințele implicite pentru reputația corporativă.

Soluția ESET Enpoint Encryption este disponibilă pentru descărcare în versiune


de evaluare (trial) pe www.eset.ro, alături de multe informații utile care care
analizează în detaliu cerințele GDPR și modul în care acestea sunt acoperite de
soluția de criptare ESET. 

70
Catalog GDPR Ready

Abordarea „D(atelor)” în GDPR


Relational este un integrator de software internaţional, fiind cel mai
important distribuitor al Informatica INC. în România.
Pentru a ajuta la înțelegerea regulamentelor, Informatica identifică următoarele puncte, care
evidențiază provocările GDPR:

1 Descoperirea datelor sensibile și analiza riscurilor - caracterizată ca fiind un caz de detectare și


protecție. Aceste capabilități furnizează informații despre unde sunt datele sensibile din domeniul
de aplicare și unde se proliferează, cu informații analitice.
Soluții tehnologice: Informatica Secure@Source poate descoperi locația datelor, să le clasifice, să
monitorizeze proliferarea datelor și să aloce scorurile de risc. Urmărind în timp aceste informaţii, indică
modul în care modificările influențează pozitiv sau negativ eforturile de conformitate.

2 Interpretarea politicilor - caracterizată ca fiind un caz de Enterprise Data Governance. Aceste


capabilități oferă o vizualizare completă a gestionării organizaționale a datelor, legând viziunea
informațiilor între Business şi IT.
Soluții tehnologice: soluțiile de Enterprise Data Governance permit funcțiilor din Business și IT să
colaboreze în vederea atingerii scopului comun al administrării datelor. Soluțiile, precum Informatica
Axon, sunt concepute pentru a uni vizibilitatea datelor pentru Business și IT, și pentru a crea o legătură
între data asset-urile logice și fizice.

3 Gestionarea datelor personale - caracterizată ca fiind un caz de potrivire si legare a datelor.


Acestea sunt capabilități pentru identificarea în sisteme a înregistrărilor datelor persoanelor vizate
și pentru oferirea unei vizualizari încrucișate a datelor, prin potrivirea și crearea de legături între ele.
Soluții tehnologice: ajuta la descoperirea înregistrărilor persoanelor vizate din toate domeniile de
date, utilizând algoritmi avansați pentru a se potrivi cu toate datele referitoare la același subiect de date,
indiferent de locul în care sunt stocate datele. Informatica Relate 360 utilizează algoritmi avansați
pentru identificarea datelor asociate aceleiasi persoane, iar Master Data Management oferă cadrul
pentru menținerea și gestionarea unei vizualizări comune a datelor privind persoanele vizate.

4 Activarea controlului consimțământului - caracterizat ca fiind un caz de detectare și protecție a


utilizării. Acestea sunt capabilități de bază pentru protejarea și securizarea accesului la date, apli-
carea unor controale centrate pe date, precum mascarea, criptarea și controlul accesului, gestionarea
ciclului de viață al datelor, inclusiv arhivarea, ștergerea datelor și a aplicației.
Soluții tehnologice: pot contribui la gestionarea ciclului de viață al activelor de date și pot aplica con-
troale asupra acestor active. Informatica Permanent/Dynamic Data Masking şi Data Archiving
pot fi utilizate pentru a limita automat numărul de persoane și sistemele care au acces nerestricționat
la datele cu caracter personal. 
RELATIONAL ROMANIA SRL, Address: 4, Splaiul Unirii, Bloc B3, Tronson 2, Bucuresti, Sector 4, Phone: 021/ 3155730,
021/3155731, Fax: 021/3155733, Email: sales@relational.ro; alexandru.stroia@relationalfs.com; www.relationalfs.com.

71
Catalog GDPR Ready

ASBIS, distribuitor al soluțiilor software


de securitate de la BlackBerry în România,
acordă o atenție considerabilă GDPR.
Pregătiți-vă pentru GDPR cu
BlackBerry Secure!
autor: Mihaela Danciu, Business Development Manager Software,
ASBIS Romania

GDPR este un set de reglementări (2016/679) care urmărește să


consolideze protecţia datelor personale ale cetăţenilor ţărilor
membre ale Uniunii Europene, inclusiv limitarea exportului
acestor informaţii către state non-membre. În ziua de astăzi,
ameninţările informatice și atacurile cibernetice apar săptămânal
iar GDPR reglementează modalitaţile în care datele sensibile
și personale sunt expuse în organizaţii și pe Internet.
În eventualitatea unei breșe, companiile trebuie să își pregătească
mecanisme de notificare a clienţilor de la care deţin date care
intră sub incidenţa GDPR.

Cum prevenim breşele de securitate și cum devenim conformi cu GDPR?


Aflați mai multe despre noile reglementări și evaluați impactul acestora asupra
afacerii și a datelor mobile.
Evaluați ce date cu caracter personal procesează organizația dumneavoastră, cine
are acces la acestea și ce date părăsesc compania.
Stabiliți o strategie în ceea ce privește datele, cine are acces la date, la ce tip de date
şi pe ce cale sunt accesate acestea.
Luați în calcul tehnologia-managementul dispozitivelor și criptarea.
Asigurați-vă că angajații cunosc cerințele GDPR și că sunt instruiți conform celor
mai bune politici de protecție a datelor.
Dacă datele pierdute sunt criptate, este situația unei breșe de securitate, nu şi de o
încălcare a securității datelor; raportarea nu e necesară.
72
Catalog GDPR Ready

Ce trebuie să faceți?
Identificați ce date personale sunt deținute și unde sunt stocate acestea.
Identificați cum sunt colectate și unde sunt stocate datele personale.
Gestionați datele, definiți politici, roluri și responsabilități pentru administrarea și
folosirea datelor personale (în proces, în tranzit, stocare, recuperare, arhivare, reținere,
disponibilitate).
Clasificați datele. Organizați și etichetați datele pentru a asigura o manipulare
adecvată în funcție de tipuri, sensibilitate, context, proprietate, custodie, administrator,
utilizatori etc.
Indiferent de locul în care se află datele dvs. personale în organizație, BlackBerry
Workspaces oferă companiei vizibilitate și control asupra datelor și asigură conformi-
tatea cu GDPR.

Soluția
Comisia Europeană definește datele personale drept „orice informație referitoare la o
persoană, indiferent dacă se referă la viața sa privată, profesională sau publică. Poate fi
orice, de la un nume, o fotografie, o adresă de e-mail, detalii bancare, postări pe site-uri
de socializare, informații medicale, adresa IP a unui computer.”

5 moduri în care BlackBerry ajută compania dvs. să respecte GDPR


BlackBerry Workspaces și BlackBerry Email Protector sunt esențiale pentru
respectarea cerințelor GDPR deoarece:

1 BlackBerry oferă securitate pentru date nestructurate. Acestea includ imagini,


documente PDF, Microsoft Office și altele.

2 BlackBerry asigură o colaborare sigură. Datele cu caracter personal sunt adesea


incluse în fișierele care sunt împărtășite în cursul normal al afacerii, în cadrul
aplicațiilor de la locul de muncă, solicitărilor de împrumut bancar, dosarelor medicale și
a altor documente.
BlackBerry Workspaces și E-mail Protector permit organizațiilor să protejeze
documente cu elemente de securitate la nivel de fișier. Funcțiile de control al accesului
și DRM permit utilizatorului să controleze cine poate accesa un anumit fișier și ce poate
face cu el după ce îl ia, chiar și după ce fișierul a fost transferat. Aceste permisiuni pot
fi setate astfel încât să expire la un moment dat sau pot fi revocate manual în orice
moment.

3 Clientul web securizat BlackBerry Workspaces permite fișierelor să fie partajate și


accesate de pe orice dispozitiv, fără ca destinatarul să descarce fișierul. Deși destina-
tarul poate vedea, comenta și marca documentul, acesta nu va putea descarca sau salva
fișierul, astfel asigurându-se respectarea cerințelor GDPR.

4 BlackBerry Workspaces și BlackBerry Email Protector furnizează responsabi-


lului de protecție a datelor (DPO) un instrument fără egal pentru monitorizare și

73
Catalog GDPR Ready

raportare la nivel de fișier. BlackBerry Workspaces înregistrează fiecare acțiune efectuată


pe fiecare fișier din sistem, permițând DPO-ului să determine:
Cine...
Ce a făcut cu fișierul...
Unde se afla din punct de vedere geografic când a vizualizat fișierul...
Ce dispozitiv a folosit pentru vizualizarea fișierului...

5 Dreptul de a fi uitat. În cazul unei breșe de securitate, dacă un cetățean solicită


ștergerea datelor cu caracter personal, Workspaces oferă un mecanism de răspuns
și remediere. Cele mai multe soluții nu au nici o posibilitate de a limita sau de a atenua
riscul și daunele atunci când securitatea este compromisă.

Portofoliul de solutii BlackBerry și cum vă putem ajuta să deveniți conform cu GDPR.


BlackBerry Enterprise Mobility Suite oferă o abordare flexibilă a serviciilor
care asigură securitate și productivitate, contribuind, în același timp, la menținerea
conformității cu GDPR. Enterprise Mobility Suite permite ca, pe masură ce nevoile
unei organizații evoluează, să se adauge noi capabilități, în funcție de ceea ce este
necesar.

Ce conțin suitele BlackBerry EMS?


Unified Endpoint Management (UEM). Consolă de administrare a dispozitivelor
mobile: laptop-uri, tablete sau telefoane mobile. Software-ul BlackBerry oferă criptare și
asigură protecția datelor în retele sau stocate în dispozitive, aflate în diverse fișiere sau
aplicații. În mod special relevant pentru GDPR, BlackBerry oferă criptare în tranzit, în uz
și în repaus, controale bazate pe roluri și instrumente de acces la distanță, astfel încât,
în cazul pierderii sau furtului de dispozitive, datele să poata fi șterse sau recuperate.
BlackBerry Work asigură companiei comunicații sigure, cu protecție avansată a da-
telor din e-mail și din cadrul procesului de colaborare, în ansamblu. Aceasta aplicație de
productivitate de tip all-in-one asigură o experiență deosebită pentru multitasking între
diversele aplicații de lucru, oferind, în același timp, un container securizat care împiedică
pierderea de date.
74
Catalog GDPR Ready

BlackBerry Workspaces oferă un serviciu de sincronizare și partajare de fișiere


securizate, cu suport pentru gestionarea drepturilor digitale (DRM) pe orice dispozitiv.
Workspaces permite organizațiilor să urmărească modul în care sunt distribuite fișierele
– element cheie pentru GDPR - și chiar să indice cine poate accesa aceste fișiere, chiar și
după ce acestea au fost trimise.
BlackBerry Dynamics extinde securitatea pentru a proteja aplicațiile cheie perso-
nalizate și cele ale terților, permițând partajarea în mod sigur a datelor între aplicații și
utilizatori.
BlackBerry Enterprise Identity permite conectarea unică la servicii de pe orice
dispozitiv, oferind securitate cu acces mai rapid la aplicații securizate.
BlackBerry 2FA permite departamentelor IT să furnizeze autentificare cu doi factori,
pentru acces securizat și protejează accesul la infrastructura VPN, protejând astfel datele
cheie. 

BlackBerry este o companie de software și servicii de secu-


Despre ritate mobilă, dedicat securizării persoanelor, dispozitivelor,
proceselor și sistemelor pentru organizații. Cu sediul în
BlackBerry Waterloo, Ontario, compania a fost fondată în 1984 și operează
în America de Nord, Europa, Asia, Orientul Mijlociu, America
Latină și Africa. Compania este cotată la Bursa din Toronto și
la NASDAQ.
Pentru mai multe informații, vizitați www.BlackBerry.com.

ASBIS Romania, filiala locală a grupului ASBIS Enterprises


Despre este, în prezent, unul dintre cei mai importanți distribuitori
din domeniul IT din România, având stabilite parteneriate
ASBIS directe cu producători renumiți, precum BlackBerry, Microsoft,
StorageCraft, Dell EMC, Intel, AMD, Acer, Seagate, Western
Digital, Kingston etc. ASBIS Romania a investit în resursele
proprii și livrează servicii de consultanță pentru soluțiile
software BlackBerry. Pentru mai multe informații, scrieți-ne pe
adresa: software@asbis.ro

75
Catalog GDPR Ready

Continuitatea afacerii și GDPR.


Pregătiți-vă soluția de
Backup & Disaster Recovery
autor: Mihaela Danciu, Business Development Manager Software,
ASBIS Romania

Despre GDPR
Acest nou Regulament, GDPR - Regulation (EU) 2016/679, a fost adoptat la 27 aprilie 2016
și va intra în vigoare la 25 mai 2018. Este o reglementare prin care Parlamentul European, Con-
siliul European și Comisia Europeană intenționează să consolideze și să unifice protecția date-
lor pentru persoanele fizice în cadrul Uniunii Europene. Înlocuiește actuala directiva a Uniunii
Europene privind datele cu caracter personal, cunoscută ca Directive 95/46/EC adoptată in 1995.
Acest regulament va trebui respectat de fiecare organizație din statele Uniunii Europene și orice
entitate care deține date cu caracter personal referitoare la persoanele din UE va fi obligată să își
revizuiască procesele de gestionare a informațiilor.

Ce este de făcut?
Pentru a deveni o companie care se află în parametrii GDPR, este nevoie de un plan și un buget
de resurse, inclusiv pentru partea de IT. De asemenea, trebuie luat în calcul că există un termen
limită pentru implementare. Mai jos regăsiți câteva activități cu care puteți începe:
1. Realizarea unui plan de impact al siguranței datelor personale, împreună cu o hartă a cir-
cuitului de informații în companie.
2. Actualizarea sistemului de gestionare a informațiilor, care să includă documente detaliate
privind preluarea și prelucrarea datelor cu caracter confidențial.
3. Definirea unui sistem de eliminare a informațiilor de care nu mai este nevoie, într-o modali-
tate sigură.
4. Crearea unui sistem de notificare a erorilor de sistem care pot afecta persoanele de la care
s-au acumulat date.
5. Desemnarea unui responsabil pentru protecția datelor.
Înainte de a vă decide asupra unei soluții de recuperare a datelor, este necesar să vă pregătiți
în prealabil. Trebuie să definiți foarte clar nevoile afacerii dvs. Stabiliți obiectivele timpului de
recuperare. RTO (recovery time objective) indică cât de rapid aveți nevoie să recuperați datele în
urma unui dezastru.
76
Catalog GDPR Ready

Trebuie să fiți foarte specific; nu este suficient să spuneți „imediat’’ sau „ASAP’’. Gândiți-vă la
fiecare server și calculator și întrebați-vă „cât de critic este pentru mine?’’ și „cât de repede am
nevoie ca acel backup să fie restaurat?’’
Aveți în minte următoarele: dacă acel endpoint nu este critic, nu vă consumați timpul și resursele
(banii) pentru restaurare.
Stabiliți obiectivele punctelor de recuperare. RPO (recovery point objective) indică maxima
maximă tolerabilă de pierdere a datelor.
Întrebați-vă simplu „cât de multe date sunt dispus să pierd?” și „ce date vor fi cele mai costisi-
toare și dificil de recreat?”. Astfel veți ști ce date trebuie să fie acoperite de backup și cât de des
trebuie făcut acesta. Din nou, nu deveniți tentat să spuneți că totul este vital! Nu toate datele din
organizație sunt la fel de importante!

Cum arată o soluție performantă de recuperare în caz de dezastru?


Copiile de rezervă reprezintă fundația oricărei soluții de recuperare în cazul unui dezastru. În orice
caz, nu toate copiile de rezervă sunt la fel. Iată câteva aspecte pe care vă sugerăm să le aveți în vedere:
A. Tehnologia bazată pe imagini s-a dovedit a fi de cea mai bună clasă iar tehnologia veche, de
scriere pe bandă, s-a dovedit a fi mai puțin demnă de încredere.
B. Posibilitatea de a face copii de rezervă atât de des cât aveți nevoie (indicat a se face la fiecare
15 minute pentru datele critice).
C. Verificarea rapidă și facilă a copiilor de rezervă.
D. Soluția să permită backup pentru întreg mediul IT și pentru întreaga forță de muncă, inclusiv
pentru angajații de pe teren, pentru orice aplicație software „as a service” pe care o utilizați (Office
365, G Suites etc).
E. Copiile de rezervă nu trebuie să fie conectate la rețeaua de pe care se face backup.
F. Soluția pe care o alegeți trebuie să suporte toate platformele (Windows, Linux etc), atât
pentru mașinile fizice cât și pentru cele virtuale.

On/Off premise
După ce v-ați facut copiile de rezervă, aveți nevoie de un spațiu de stocare sigur și de acces
securizat la copiile de rezervă. Cea mai bună practică pe care noi o recomandăm este ca prima dată să
vă stocați copiile de rezervă local, apoi să le replicați într-o locație secundară. Aceasta înseamnă că
veți avea posibilitatea să recuperați datele din locația internă, foarte repede.
În situația în care nu aveți posibilitatea de a accesa locația internă, va rămâne opțiunea de a
restaura copiile din locația externă. De fapt, continuitatea business-ului este asigurată cel mai
bine când aveți un backup în afara locației.
StorageCraft Disaster Recovery Solution oferă versatilitatea de care aveți nevoie în construirea
propriului plan de recuperare în caz de dezastru, indiferent de hardware-ul ales. Aveți flexibilitate
deplină de a seta backup-urile în funcție de programul dvs.
Testați backup-ul! Trebuie să aveți posibilitatea de a testa planul de recuperare în cazul unui dezastru
înainte ca acesta să se producă! Nu permiteți ca dezastrul să fie primul dvs test! Un plan bun o să fie foarte
77
Catalog GDPR Ready

ușor de testat. Aceasta este singura modalitate prin care veți valida obiectivele timpului de recuperare.
StorageCraft Disaster Recovery permite testarea și verificarea datelor foarte ușor, ori de câte ori vă
doriți.

Recuperarea datelor
Poate părea evident dar, din păcate, acesta este pasul unde multe soluții de BDR (backup și
disaster recovery) eșuează. Soluția pe care o alegeti trebuie să permită recuperarea datelor,
oricând și oriunde. În cazul unui dezastru de tip Ransomware, trebuie să aveți încredere 100%
că veți recupera datele și că vă veți putea continua activitatea. StorageCraft Recovery Solution
oferă fiabilitate, flexibilitate și viteză de recuperare a datelor.

Concluzie
Numărătoarea inversă până la GDPR a început! Firmele din Europa vor trebui să se
asigure că respectă cerințele regulamentului până în mai 2018 și implementarea unei soluții
eficiente de recuperare în caz de dezastru este un prim pas important spre conformitate.
Continuitatea afacerii începe aici! Asigurați-vă că ați ales de la început soluția potrivită de
backup și disaster recovery. 

Compania a fost înfiinţată în 2003, sediul central fiind în


Utah, Draper, ulterior deschizând birouri în Europa, Japonia şi
Despre Australia. StorageCraft oferă o linie matură de software pentru
StorageCraft backup şi disaster recovery, livrează clienţilor soluţii pentru
continuitatea afacerii. În ianuarie 2017, StorageCraft Technology
Corporation şi Exablox Corporation şi-au unit forţele pentru a
se concentra pe sprijinirea afacerilor în analizarea, protejarea
și stocarea datelor. Noua entitate este prima companie care
reuneşte o nouă abordare care recunoaște liniile dispărute între
stocarea primară şi secundară, precum şi între disponibilitatea
datelor şi protecția datelor. StorageCraft este câştigătoare în
luna august 2017, în categoria Software Data Protection din
programul de premiere CRN® 2017. Compania a primit cele mai
mari note pentru fiecare din cele trei criterii utilizate pentru a
determina câştigătorul: parteneriat, inovare de produs şi suport.

ASBIS Romania, filiala locală a grupului ASBIS Enterprises


este, în prezent, unul dintre cei mai importanți distribuitori din
Despre domeniul IT din România, având stabilite parteneriate directe
cu producători renumiți, precum BlackBerry, StorageCraft,
ASBIS Microsoft, Dell EMC, Intel, AMD, Acer, Seagate, Western Digital,
Kingston etc. ASBIS Romania a investit în resursele proprii
și livrează servicii de consultanță pentru soluțiile software
BlackBerry. Pentru mai multe informații, scrieți-ne pe adresa:
software@asbis.ro

78
Catalog GDPR Ready

Ce au în comun domeniile
Cloud, Big Data și GDPR?
Atât domeniul Cloud cât și cel al Big Data sunt esenţiale pentru
transformarea pe care segmentul tehnologiei informaţiei îl parcurge
în prezent și sunt adeseori considerate subiecte conexe, însă cum
rămâne cu noile Reglementări ale Uniunii Europene privind protecţia
generală a datelor (GDPR)?

O presiune enormă pe politicile de date


Este adevărat că domeniile Cloud, Big Data și Regulamentul General privind Protecția
Datelor (GDPR), luate împreună, pun o presiune enormă asupra provocărilor ridicate
politicilor aferente datelor. Atât de mult, încât multor organizații le va fi foarte greu
să le facă față în timp ce duc inițiativele legate de Cloud, Big Data și GDPR din faza de
testare în cea de producție.
Să luăm un exemplu simplu pentru fiecare domeniu în parte. Datele din Cloud
trebuie adesea ținute într-o anumită țară; anumite elemente de Big Data trebuie să
fie anonimizate înainte de a fi procesate, iar politica GDPR cere ca utilizatorilor să li
se spună pentru ce le sunt reținute datele (printre alte cerințe de confidențialitate).
Acum imaginați-vă o listă de articole cu sute de astfel de cerințe, determinate fie
de reglementări, fie de reguli de guvernare corporativă și care să cuprindă aspecte
legate de intimitate, securitate, anonimitate, responsabilitate, fiabilitate și supra-
veghere guvernamentală. Acestea ne conferă dimensiunea problemei cu care ne
confruntăm.
Dacă dorim să ne asigurăm că politicile aferente fiecăruia din aceste aspecte se află
sub un control adecvat și pot fi duse la îndeplinire, atunci avem nevoie de o bază solidă
de gestionare a datelor. Aceasta va trebui să includă gestionarea păstrării, expirării,
dispunerii, separării și localizării datelor.
În timp ce organizațiile aliniază practicile de management al datelor cu cerințele
de gestionare a afacerii și demonstrează că respectă politicile, acestea trebuie, de
asemenea, să păstreze integritatea datelor și să controleze costul și complexitatea
sistemelor IT.
79
Catalog GDPR Ready

Automatizarea bazată pe politici


Ceea ce va fi surprinzător pentru mulți profesioniști din domeniul IT și al afacerilor
deopotrivă este modul în care metodologiile de backup și arhivare pot constitui baza
pentru abordarea acestor provocări, în chiar zona în care acestea au rate foarte ridicate
de creștere a datelor - fișierele, e-mailurile, videoclipurile, postările sociale și alt gen
de conținut de date nestructurate.
Folosind soluția Commvault, de automatizare bazată pe politici, ca bază a unei
strategii sănătoase de gestionare a datelor, costurile și complexitatea pot fi contro-
late, în timp ce aspectele legate de politica de date, cum ar fi păstrarea, separarea și
localizarea datelor, pot fi gestionate ca parte a operațiunilor automatizate. Este de la
sine înțeles că, în calitate de lider în domeniul back-up-ului și a recuperării de date
corporative, software-ul Commvault reprezintă o alegere excelentă pentru a asigura
integritatea datelor.
În ceea ce privește modul în care sunt create și gestionate politicile, acestea se pot
baza pe orice criterii relevante, cum ar fi numele fișierului, tipul, etichetele, cuvintele
cheie și conținutul. Clasificarea bazată pe conținut poate fi utilizată pentru a identifica
datele personale care pot constitui subiectul unor reglementări. Datele pot fi căutate
pe baza acelorași criterii, pe baza rolurilor din fișierele directoare, în timp ce seturile
de rezultate pot fi clarificate și selectate în scopul remiterii către terți, cu asigurarea
deplină a acurateței, validității și integrității lor. Înlăturarea duplicatelor ne asigură de
faptul că o singură copie a fiecărui obiect poate fi urmărită și gestionată, ceea ce este
vital atât pentru controlul costurilor, cât și pentru gestionarea eficientă a datelor în
funcție de politici.
80
Catalog GDPR Ready

Securitatea, o componentă cheie în politicile aplicate


Având în vedere caracterul dinamic al IT-ului modern, în special în Cloud, este
esențial să fie surprinse toate schimbările din industrie. Auto-identificarea și moni-
torizarea asigură faptul că modificările - cum ar fi adăugarea unui nou centru virtual
(VM) - sunt detectate și pot fi acționate fie automat, fie evidențiate. O verificare de
audit și o raportare bogată permit verificarea completă a îndeplinirii politicilor.
Securitatea reprezintă o componentă importantă în cadrul politicilor aplicate, iar
soluția Commvault extinde securitatea, de la comunicarea internă dintre componentele
software la datele gestionate în tranzit sau stocate. Securitatea datelor deținute pe
laptop-uri poate fi asigurată prin capacitatea de a determina amplasamentul lor și de a
șterge datele din laptopurile pierdute, în timp ce datele nepotrivite pot fi identificate în
scopul conformării - aceasta va fi semnificativă în gestionarea regulamentelor GDPR,
care se aplică datelor tuturor cetățenilor UE, oriunde ar fi acestea stocate.
În concluzie, Cloud, Big Data și noul regulament european de confidențialitate vor
aduce reglementarea și buna guvernanță în prim-planul gândirii IT. Problemele legate
de confidențialitate, securitate, anonimitate, responsabilitate, fiabilitate și supra-
veghere guvernamentală trebuie soluționate într-un mod eficient din punct de vedere
al costurilor. Această tendință asigură un viitor remarcabil pentru automatizarea
bazată pe politici a soluției Commvault, ca bază pentru gestionarea eficientă a datelor
și a informațiilor, în întreaga organizație. 
Contact: Sergiu Costin, Territory Manager Commvault
scostin@commvault.com

81
Catalog GDPR Ready

Sunteți pregătiți pentru GDPR?


Noi suntem pregătiți să vă ajutăm
Ce este GDPR? Regulamentul European privind Protecția Datelor (GDPR) stabilește principii și măsuri de
protecție a datelor cu caracter personal ale cetăţenilor Uniunii Europene pentru companiile și instituțiile care
procesează astfel de date.
GDPR reprezintă challenge-ul companiilor publice și private din următoarele 12 luni și este prima reglemen-
tare completă cu privire la protecția datelor emisă în ultimii 20 de ani care înlocuiește cadrul legislativ actual
(Directiva 95/46/CE).
Pentru cine se aplică? Orice activitate instituțională desfășurată la nivelul Uniunii Europene ce procesează
date cu caracter personal cu privire la angajați, clienți sau oricare alte entități cu care interacționează trebuie
să se alinieze la cerințele GDPR.
Așadar, orice instituție publică sau privată
de pe teritoriul Uniunii Europene sau din afara
teritoriului Uniunii Europene (dacă manipulează
date cu caracter personal ale unor cetățeni ai
Uniunii Europene) care colectează, prelucrează
și/sau stochează date cu caracter personal trebuie
să răspundă prevederilor GDPR.
Ce reglementări aduce GDPR? Dreptul de a
fi uitat și dreptul la portabilitatea datelor sunt
printre principalele noi drepturi introduse ce vor impune prestatorilor de servicii să știe exact unde se află
datele în sistemele lor și să ia măsuri privind ștergerea acestor date dacă este solicitat.
Nevoia de responsabil pentru protecția datelor GDPR mandatează ca toate organismele din sectorul public
și cele implicate în monitorizarea sistematică și regulată a persoanelor vizate la scară largă sau în prelucrarea
categoriilor speciale de date să angajeze un Responsabil cu Protecția Datelor (DPO).
Operatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui
nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
pseudonimizarea și criptarea datelor;
capacitatea de a asigura confidențialitatea;
integritatea, disponibilitatea și rezistența sistemelor și serviciilor de prelucrare;
capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul unui incident
de natură fizică sau tehnică;
un proces pentru testarea, evaluarea și aprecierea periodica a eficacității măsurilor tehnice și organiza-
torice pentru a garanta securitatea prelucrării.
Efectele neaplicării. Neaplicarea prevederilor GDPR coroborată cu apariția unor incidente de securitate
de natură să afecteze datele cu caracter personal poate atrage pentru instituții amenzi însemnate de până
82
Catalog GDPR Ready

la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală (în funcție de impactul incidentului
produs).
Termen de implementare. Regulamentul intră in vigoare la data de 25 mai 2018, dată până la care toate
entitățile vizate de către GDPR trebuie să pună în aplicare prevederile specifice.
Cum putem sprijini procesul de aliniere la GDPR? Oferim întregul suport necesar înțelegerii în primă
etapă a prevederilor GDPR, a modului în care acestea trebuie tranpuse și, ulterior, prin evaluarea modului în
care se realizează prelucrarea datelor în companie și identificarea punctelor slabe, respectiv, prin asistarea
selectării și implementării măsurilor tehnice și operaționale în cadrul organizației.
Serviciile noastre de consultanță pentru alinierea la GDPR se concentrează în jurul următoarelor module
principale:
Modulul 1 – Cursuri de introducere și instruire, al căror scop este acela de a prezenta organizației și
personalului component cerințele GDPR și modalitatea în care aceste cerințe trebuie puse în aplicare.
Modulul 2 – Analiza gap, al cărei scop este realizarea unei evaluări asupra conformității organizației și a
sistemului de controale implementat în prezent în raport cu cerințele tehnice și operaționale specifice GDPR în
urma căreia se va elabora un plan de acțiuni detaliat pentru corectarea acestor diferențe și, implicit, alinierea
organizației la GDPR.
Modulul 3 – Analiza modelului de date utilizat, în cadrul căreia se analizează în detaliu impactul
GDPR asupra organizației prin identificarea și punerea în evidență a datelor cu caracter personal procesate de
organizație. Ca parte a acestei analize, urmărim identificarea activităților, proceselor și fluxurilor operaționale
care colectează, prelucrează și stochează datele cu caracter personal.
La finalul acestei analize, vom putea contura o imagine asupra datelor cu caracter personal, a tipologiei
acestora și a dispunerii lor în cadrul organizației pentru a asigura o implementare uniformă și eficientă a
măsurilor tehnice și organizaționale ale GDPR.
Modulul 4 – Definirea politicii de prelucrare a datelor cu caracter personal. În cadrul acestei etape,
avem în vedere elaborarea, pe seama informațiilor colectate în etapele anterioare și a prevederilor GDPR, a
politicii de prelucrare a datelor cu caracter personal în cadrul organizației.
Modulul 5 – Implementarea politicilor și procedurilor GDPR. Avem în vedere suportul pentru imple-
mentarea într-o manieră uniformă și eficientă a politicilor și procedurilor privind managementul datelor cu
caracter personal în cadrul organizației pentru o corectă aliniere la cerințele GDPR.
Modulul 6 – Implementarea sistemelor IT de securitate necesare. Putem răspunde necesităților
organizației cu privire la sistemele IT de securitate (de exemplu: sisteme de detecție și prevenție a intru-
ziunilor, sisteme de prevenire a scurgerii datelor etc.) prin furnizarea și implementarea unor soluții IT eficiente
și potrivite pentru dimensiunea și particularitățile organizației.
Modulul 7 – Asigurarea poziției de Responsabil cu Protecția Datelor. Asigurăm experți calificați cu
competențe în domeniul protecției datelor pentru îndeplinirea rolului de Responsabil cu Protecția Datelor și
execuția responsabilităților specifice în cadrul organizației. 

Date de contact:
Cosmin Măcăneață, Managing Partner
cosmin.macaneata@omega-trust.ro / 0722812812

83
Catalog GDPR Ready

Info World – „Ready”


pentru implementarea GDPR
în domeniul medical
Cu peste 17 ani de experienţă exclusivă în domeniul eHealth atât în
plan naţional cât şi internaţional, compania Info World are ca misiune
protecţia şi securitatea datelor medicale. Acest regulament european
şi, implicit, adoptarea lui vin de fapt să confirme ceea ce noi avem deja
implementat în produsele şi serviciile noastre dedicate zonei medicale.

Pe scurt, GDPR îşi propune să ofere cetăţenilor Uniunii Europene controlul asupra datelor
lor personale, iar pentru îndeplinirea acestui scop enunţă anumite principii, unele cu impact
asupra sistemului medical.
În primul rând, pentru datele colectate şi pentru scopul utilizării acestora trebuie să existe
un consimţământ valid explicit din partea cetăţeanului. Există totuşi o serie de excepţii, cum
ar fi furnizarea de îngrijiri medicale sau sociale, tratament în scopul protejării intereselor
vitale ale persoanei vizate.
O noutate care va avea impact major asupra sistemului medical şi chiar asupra cetăţeanului
este reprezentată de oferirea posibilităţii ca persoana vizată să îşi administreze singură do-
sarul medical. Apare astfel dreptul persoanei vizate de a îşi tranfera datele sale personale
dintr-un sistem electronic de procesare în altul, fără a fi impiedicat de operatorul de date să
facă acest lucru. Datele furnizate de operatorul de date trebuie să fie într-un format electronic
standard, deschis şi utilizat în mod obişnuit.
În ceea ce priveşte domeniul sănătăţii, cel căruia Info World îi este integral dedicat, articolul
15 defineşte faptul că pacientul are dreptul să obţină de la operatorul de date confirmarea că
datele sale personale sunt prelucrate sau nu, şi după caz, accesul la datele personale, precum
şi o copie a acestor date care fac obiectul unei prelucrări. În cazul în care persoana vizată
depune cererea prin mijloace electronice şi nu solicită altfel, informaţiile pot fi furnizate într-o
formă electronică utilizată în mod obişnuit, ceea ce înseamnă un fişier uzual, de tip PDF sau
alt format de uz general. Acest aspect permite persoanelor fizice să obţină şi să reutilizeze
datele lor personale şi medicale în diverse scopuri, cum ar fi: a doua opinie medicală, schim-
barea furnizorilor de asistenţă medicală, păstrarea datelor intr-un sistem de tip dosar per-
sonal de sănătate. În acest mod, persoanele vizate pot să copieze sau să transfere cu uşurinţă
informaţiile dintr-un sistem informatic în altul.
84
Catalog GDPR Ready

Portabilitatea datelor se aplică acelor date cu caracter personal referitoare la persoana


vizată şi anume:
Sunt procesate automat – chiar dacă pacientul beneficiază de dreptul de a îşi accesa toate
înregistrările medicale, portabilitatea datelor este limitată doar la datele colectate în format
electronic;
Sunt furnizate de persoana vizată – informaţii funizate verbal sau scris de pacient şi/sau
rezultatul examinărilor, analizelor de laborator, investigaţii magistice, etc.;
Sunt procesate pe baza consimţământului persoanei vizate sau pentru executarea unui
contract – există excepţii care pot scoate datele medicale de sub dreptul de portabilitate,
dar ca principiu general, orice procesare sau schimb de date care necesită consimţământul
pacientului intră sub incidenta dreptului de portabilitate a datelor.
Considerăm că dreptul la portabilitatea datelor va genera un impact major asupra întregii
activităţi medicale şi în special eHealth. Operatorii de date vor trebui să garanteze că datele
cu caracter personal sunt transmise într-un format electronic standard, deschis şi utilizat
în mod obişnuit şi vor trebui să asigure interoperabilitatea formatului de date în cazul unei
solicitări de portabilitate a datelor.
Nivelul de cooperare dintre industria de eHealth şi asociaţiile profesionale va creşte datorită
necesităţii de a elabora împreună un set de standarde şi formate de interoperabilitate pentru
a îndeplini cerinţele dreptului la portabilitatea datelor.
Din punct de vedere tehnic, punerea la dispoziţia persoanelor vizate a datelor cu caracter
personal se va putea face fie printr-un mecanism de transmitere directă a setului global
de date al persoanei vizate, fie prin utilizarea unui instrument automatizat de extragere a
datelor relevante.
Costurile generate de implementarea modificărilor nu vor putea fi imputate persoanelor
vizate şi nici nu vor putea fi folosite ca justificare a refuzului de a răspunde solicitărilor de
portabilitate a datelor. Desigur că intrarea în vigoare a acestui regulament, începând cu 28
mai 2018, presupune o pregătire amplă a infrastructurii la nivel gurvernamental şi privat în
ceea ce priveşte furnizorii de servicii şi produse în domeniul eHealth.
«Info World „ready” înseamnă foarte mult. Dincolo de Privacy by design & Privacy
by default, de gradul înalt de conformitate cu toate prevederile regulamentului european,
de securitatea datelor şi de garanţia unor servicii care să onoreze experienta şi reputaţia
consolidată în peste 17 de ani de acitivitate, Info World „ready” înseamnă investiţii, inovaţie,
dialog şi comunicare cu toţi factorii implicaţi în proces, reacţie rapidă şi garanţia serviciilor şi
aplicaţiilor la cele mai înalte standarde.» - Daniel Nistor, CEO Info World 
www.infoworld.ro

 
  

  
  


    



85
Catalog GDPR Ready

Cum poate organizația


dumneavoastră să beneficieze
de pe urma GDPR?
de Scott Register, Vice President of Product
Management for Security and Cloud,
Ixia Solutions Group, a Keysight business

GDPR (Regulamentul general privind protecția datelor) va intra în vigoare în spațiul


Uniunii Europene în data de 25 mai 2018. Scopul principal al acestei reglementări este
protecția datelor utilizatorului și acordarea controlului efectiv al utilizatorilor asupra acestor
date. Unul dintre principalele ingrediente ale GDPR este „pseudonimizarea” datelor, ceea ce
înseamnă că, dacă cineva obține date aparținând unui utilizator, acestea nu trebuie să aibă
capacitatea de a conecta acele date cu un anumit utilizator. Aceasta se poate realiza prin
criptarea sau mascarea datelor și ar trebui efectuată cât mai curând posibil pentru a asigura
protecția maximă. Companiile care încalcă GDPR prin protecția necorespunzătoare a datelor
utilizatorului riscă amenzi mari, care pot merge până la 4% din venitul anual.
Deși acest lucru poate constitui o problemă pentru organizații în procesul de recuperare si
reconstituire a datelor, acest proces nu este in mod necesar negativ, şi aceasta din mai multe
motive. În primul rând, acesta înlocuiește un mozaic de reglementări naționale cu un singur
set de reguli la nivelul UE, ceea ce face conformitatea mult mai facilă și mai puțin costisitoare
pentru corporațiile multinaționale. În al doilea rând, poate fi folosit ca o oportunitate de a
reglementa procesele interne și de a îmbunătăți securitatea, ceea ce are beneficii atât pe
termen scurt, cât și pe termen mediu și lung.
Datele care au trecut prin procesul de „pseudonimizare”, criptarea acestora și constrânge-
rile de audit (și de trasabilitate) sunt mai mult decât provocări tehnologice, întrucât tehno-
logia adecvată este disponibilă pe scară largă în produsele off-the-shelf. Acestea ar trebui
văzute de drept ca provocări legate de gestionarea datelor. Pentru a asigura protecția și evi-
denþa datelor personale ale utilizatorilor în toate etapele procesării, trebuie stabilit un singur
flux de proces pentru achiziționarea, manipularea, prelucrarea, stocarea și dispunerea date-
lor respective într-un singur flux de lucru.
Specialiștii IT știu că integrarea datelor - combinarea și compararea datelor din mai
multe surse, cum ar fi bazele de date disparate - este una dintre cele mai dificile provocări
operaționale cu care se confruntă și implică adesea multă muncă. Multe organizații ar putea
fi chiar puse în încurcătura dacă ar trebui să dezvăluie că gestionarea și prelucrarea date-
86
Catalog GDPR Ready

lor cheie se realizează prin completarea manuală


a unei foi de calcul, care nu este automatizată,
eficientă, foarte sigură sau ușor de auditat.
GDPR oferă un catalizator extern prin care
IT-ul poate avea un avantaj pentru a forța
îmbunătățirile procesului de gestionare a da-
telor. Începând din luna mai a anului următor,
organizațiile vor fi obligate să localizeze datele
utilizatorilor într-un spațiu protejat și să moni-
torizeze cu atenție accesul la acesta - care este
scopul final al personalului IT de securitate.
Aceasta nu mai este o dezbatere cu privire la
probabilitatea sau costul unei breșe reale. Simpla
eșuare de a proteja datele în mod corespunzător
va fi pedepsită și va fi costisitoare. Mai mult
decât atât, spre deosebire de un atac de scurtă
durată sau unul de tip DDoS, GDPR este larg
mediatizat, ușor de înțeles în esența lui și foarte
clar în privința faptului că fiecare organizație
care operează în UE este supusă acestuia.
Un beneficiu suplimentar la această cerință îl
reprezintă reducerea IT-ului din umbră, deoarece
datele stocate în depozitele disparate nu pot fi
ușor pseudonimizate sau auditate.
Organizația inteligentă nu va utiliza GDPR ca
pe un mijloc (sau a unui pretext) pentru a iniția
cheltuieli majore de noi soluții de securitate, ci ca
pe un laser pentru a re-imagina conductele lor de
prelucrare a datelor având securitatea ca punct
central, cu multe avantaje convingătoare:

1 Achiziționarea de date - în cadrul GDPR, va


fi esențial ca datele utilizatorilor care stau în
jurul punctelor de colectare (cum ar fi termina-
lele Point of Sale) să nu fie lăsate mai mult decât
este necesar și ca acestea să fie criptate cât mai
curând posibil. Acest lucru va reduce cerințele
distribuite de stocare, va îmbunătăți securitatea
și va facilita transferuri mai rapide de date de la
punctele de colectare către miezul afacerii – fapt
ce are avantajul de a permite o înțelegere mai
87
Catalog GDPR Ready

rapidă a afacerilor în timp real. Într-o organizație de retail, de exemplu, nu ar fi mai bine să
se știe în câteva minute că magazinele văd o creștere a vânzărilor unui anumit pulover, mai
degrabă decât în câteva zile?

2 Transferul de date - până în prezent, majoritatea organizațiilor au implementat tehno-


logia VPN, însă pentru cei ramași în urmă acest lucru va alimenta IT-ul pentru a forța
actualizarea.

3 Prelucrarea și stocarea datelor - GDPR cere ca datele să fie pseudonimizate cât mai
curând posibil, ceea ce înseamnă că nu trebuie să fie posibilă corelarea unui anumit uti-
lizator cu un set de date; de exemplu, datele ar putea arăta că 180 de cumpărători se aflau
într-o anumită sucursală a unei bănci într-o zi, dar nu și cine erau acei utilizatori. Acest
lucru poate determina o reconsiderare atentă a datelor colectate, modul în care acestea sunt
stocate și asigurarea faptului că deciziile critice bazate pe utilizatori (cum ar fi direcționarea
anunțurilor către un anumit client pe baza comportamentului acestuia) se fac cât mai repede
posibil - cu rezultate de afaceri foarte benefice. Și prin automatizarea acestei procesări vs. cea
manuală se realizează o protecție mult mai ușoară și mai controlată a datelor.

4 Stocarea și dispunerea datelor - orice date stocate de utilizator prezintă un risc de


compromis. Îndepărtarea mai agresivă a datelor utilizatorilor, în special a celor detaliate
și non-pseudonimizate, va reduce atât costurile de stocare, cât și dictarea unor controale mai
stricte privind gestionarea datelor (cum ar fi dispunerea copiilor de rezervă).
În special, acești pași trebuie să fie clar documentați și auditați în mod regulat, fapt
ce va intra adesea în sarcina responsabilului cu protecția datelor Data Protection Officer
(DPO). Traseul de audit va deveni deosebit de important dacă practica unei organizații este
contestată în instanță, deoarece un jurnal de audit clar și consecvent va oferi o apărare
robustă a protecției datelor organizației și respectării GDPR.
Bazându-se pe publicitatea din jurul inițiativei de a face ca organizația să răspundă și cu
deadline-ul apropiindu-se rapid, magazinele IT trebuie să facă din GDPR o prioritate urgentă.
Piatra de temelie a unei abordări eficiente și productive în cadrul strategiei GDPR nu este de
a descompune procesul actual în pași discreți și de a implementa soluții de securitate punct
pentru a face ajustări de securitate necoordonate pe parcursul acestor pași. Cea mai bună
abordare este de a lua în considerare și de a răspunde la următoarele întrebări:
Ce date colectăm despre utilizatorii noștri?
Cum le colectăm?
Cât de rapid le putem muta din punctul de colectare către centrul de date pentru procesare?
Cum procesăm acele date și cât timp trebuie ca elementele de date să fie identificabile
personal?
Cât de repede putem renunța la toate sau la o parte din ceea ce am colectat?
Cum putem proteja și pseudonimiza acele date într-un mod holistic și ușor de verificat?
Organizația care abordează GDPR ca pe o re-imaginare a proceselor de afaceri, mai degrabă decât
ca pe o erupție a cheltuielilor noi de securitate, va constata că beneficiile pe termen lung depășesc
cu mult securitatea și că atitudinea lor generală in privința securității este mult îmbunătățită. 
88
Catalog GDPR Ready

ANSSI implicată activ în


conștientizarea și promovarea
conformității GDPR
Asociația Națională pentru Securitatea Sistemelor Informatice
(ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public
și mediul de afaceri, pentru promovarea practicilor de succes și fa-
cilitarea unei schimbări culturale în domeniul securității informației.
Identificarea și sesizarea factorilor cu competențe administrative în
cazul eventualelor deficiențe de pe piața IT, precum și pentru coagu-
larea unor forme de parteneriat public-privat care să conducă la
creșterea eficienței si operaționalității sistemelor informatice imple-
Toma Cîmpeanu
mentate în România au fost preocupări constante ale asociației.
ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă.
Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând
25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI,
prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează
un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările
generale ale domeniului.
ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții
sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii
conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și
e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau stan-
dardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură
IT au constituit preocuparea centrală.
„În ultima perioadă ANSSI a avut o implicare activă în evenimentele și inițiativele
legate de noul Regulament European de Protecție a Datelor Personale. Participarea la
acest proiect de realizare a primului Catalog dedicat ofertelor GDPR din România prin
materiale pregătite de câțiva dintre membrii noștri este un exemplu elocvent al implicării
noastre în inițiativele comunității profesionale din România,” Toma Cîmpeanu, Director
Executiv Asociația Națională pentru Securitatea Sistemelor Informatice 

În paginile care urmează vă prezentăm câteva dintre opiniile și recomandările făcute


de câțiva dintre membrii ANSSI.
89
Catalog GDPR Ready

Cât de pregătiți sunteți pentru RGPD?


de Diana Comanici

Sunteți operator de date/persoană împuternicită de operator care procesează date ale


cetățenilor din UE?
Aveți un program implementat pentru protecția datelor și puteți dovedi alinierea la
cerințele RGPD?
Integrați cerințele privind protecția datelor și a confidențialității în crearea proceselor
de business noi sau în dezvoltarea de sisteme/ aplicații noi?
Realizați o monitorizare sistematică pe scară largă (inclusiv a datelor angajaților)?
Procesați volume mari de date personale sensibile?
Cum veți trata „dreptul de a fi uitat”, dreptul la portabilitatea datelor și dreptul de
opoziție la crearea de profiluri ale persoanelor vizate?
Sunteți în măsură să notificați ANSPDCP în cel mult 72 de ore de la producerea unei
potențiale încălcări a securității datelor cu caracter personal?
Indiferent în ce stadiu vă aflați, există câțiva pași de urmat pentru conformitatea cu
RGPD. Pentru a putea fi aliniați la cerințele RGPD este vital să identificați care sunt
toate datele cu caracter personal pe care le procesați în cadrul organizației, unde se afla
acestea, de unde şi până unde circulă
şi care sunt dispozitivele de securi-
tate care controlează/ filtrează accesul
la aceste date, pe toata durata lor de
viață. Ca principale etape în procesul de
aliniere la RGPD vă recomandăm:
GDPR Quick Scan - este o eva-
luare rapidă/ workshop cu părțile cheie
interesate de identificarea diferențelor
fluxurilor principale, estimării de efort
și durata de implementare.
Analiză - Evaluarea completa a conformității cu cerințele RGPD – este o evaluare
detaliată a conformității și maturității cu RGPD.
Implementare - Implementarea Programului de Protecție a Datelor – este un pro-
gram holistic pentru realizarea conformității cu RGPD.
Între activitățile principale ale acestor etape se numără și realizarea Evaluării Im-
pactului asupra Securității Datelor (DPIA) si Inventarul Datelor cu Caracter Personal (un
inventar al datelor si fluxurilor de date din cadrul organizației). 

Diana COMANICI este Director Executiv la compania Smart Factor.


Poate fi contactată la adresa: diana.comanici@smartfactor.ro
90
Catalog GDPR Ready

GDPR o bună ocazie pentru eficientizarea


activității, nu o presiune în plus
de Maria-Cristina Murgoci

25 mai 2018 este termenul-limită pentru intrarea în vigoare a noilor reglementări din
Regulamentul General al Uniunii Europene cu privire la Protecția Datelor. În această
perioadă premergătoare, companiile care știu să-și valorifice resursele și competențele, vor
pune mai mult și mai pregnant accentul pe modalitățile de colectare, gestionare și asigu-
rare a confidențialității pentru datele personale de pe platformele informatice deținute.
Dacă în trecut acest aspect a fost tratat cu superficialitate de către unele companii sau
instituții, acum este momentul ca fiecare deținător de date cu caracter sensibil, de la mic
la mare, să pună în funcțiune un mecanism intern de bună practică și conformitate cu
reglementările GDPR. Practic, tot ceea ce nu s-a putut realiza din lipsă de informații,
resurse sau termene-limită, are acum opor-
tunitatea celor mai bune implementări, nu
atât sub imperiul amenzilor ce se vehiculează
în caz de non-conformitate, ci mai ales din
dorința firească de a pune lupa pe limitări și de
a găsi soluții salvatoare, de care să beneficieze
întreaga organizație, nu doar departamentele
care sunt direct implicate în operațiunile cu
date ce au caracter sensibil.
Companiile care vor reuși să privească reglementările GDPR drept un prilej pentru eficien-
tizarea activităților, nu doar ca pe o presiune în plus, se vor putea deschide și la întâmpi-
narea oportunităților care derivă din buna lor implementare. Într-adevăr sunt prevederi cu
caracter obligatoriu, care presupun resurse și investiții bănești consistente. Însă, acestea
vin și cu beneficii pentru mediul de afaceri, printre care amintim simplificarea și armoni-
zarea la nivel juridic și administrativ a protecției datelor în Uniunea Europeană, precum și
stimularea inovației pentru tehnologiile care asigură stocarea și protecția datelor.
Departe de a fi doar un proces costisitor, asigurarea conformității cu noile măsuri
GDPR este o etapă esențială de creștere și inovație pentru companiile care pot fructifica la
maximum era digitală de astăzi. 

Maria-Cristina MURGOCI este Marketing Manager la compania


Q-East Software. Prin soluțiile furnizate de management și securitate
a sistemelor informatice, experții Q-East Software asigură compani-
ilor și instituțiilor competențele necesare unor implementări eficiente
pentru procesele de conformitate cu reglementările GDPR.
91
Catalog GDPR Ready

Noul regulament va face companiile mai


responsabile pentru datele din posesia lor
de Florin Răducu

Informația a devenit accesibilă oricui. Vrei să o cauți pe


Internet? E gratis… Vrei cont de e-mail? Gratis... Instant
messaging? Gratis. Rețele de socializare? Gratis. Puține lucruri
mai costă bani pe Internet. Și totuși companiile care oferă aceste
servicii sunt printre cele mai bogate de pe pământ… Cum își fac
banii? Cu noi sau, mai degrabă, cu datele noastre... E mai ren-
tabil să colecteze și să furnizeze terților informații despre tine,
decât să îți vândă servicii.
Florin Răducu
Multe companii au profitat de lejeritatea cu care ne oferim
datele personale pentru a câștiga bani, cote de piață și a construi noi modele de
business. Ne expunem viața din ce în ce mai mult online și asta ne face vulnerabili.
Astăzi criminalitatea cibernetică crește cu 38% în fiecare an, devenind a 2-a cea mai
răspândită infracțiune economică.
Noua legislație GDPR și, în special cuantumul amenzilor stabilite prin acest regula-
ment vor face companiile să fie mai responsabile cu datele personale din posesia lor.
Un milion de conturi hackuite nu vor mai reprezenta o simplă statistică, atât timp cât
pierderea sau folosirea abuzivă a datelor unei singure persoane pot duce la închiderea
businessului. Consecința: tehnologiile moderne de cyber security nu vor mai fi un
„nice to have” ci un „must have”.
Statistic, se dezvoltă un milion de noi feluri de malware în fiecare zi. Astăzi, timpul
mediu în care un malware stă nedetectat într-o organizație este de 201 zile. Totuși,
cu tehnologii moderne de EDR îl putem detecta în câteva secunde. În acest context,
apare necesitatea unei schimbări a mentalității în privința modalității de apărare la un
atac cibernetic. Organizațiile vor fi nevoite să facă trecerea de la o apărare cibernetică
statică - de așteptare,  la una dinamică - de prevenție, cu soluții de cyber security și
cyber threat intelligence care le vor spune dacă sunt vizate de hackeri, modul în care
vor fi atacate, momentul și durata atacului. 

Florin RĂDUCU este Director General în cadrul companiei SmartFeel


Solutions ce oferă soluții de securitate cibernetică și cyber threat
intelligence sub brandul Cyberus și poate fi contactat la adresa:  
florin.raducu@cyberus.ro

92
get to know!

Lansare ianuarie 2018!