GDPR

Regulamentul general privind

protecția datelor – Uniunea Europeană
DESPRE GDPR
Ce este GDPR?
DREPTURI SPORITE
Regulamentul general privind protecția persoanelor DE CONFIDENȚIALITATE
fizice în ceea ce privește prelucrarea datelor cu
caracter personal este un nou regulament care RESPONSABILITATE EXTINSĂ
stabilește un set unic de reguli, aplicabile în mod PENTRU PROTEJAREA DATELOR
direct în toate statele membre ale Uniunii.
Acesta oferă oamenilor control suplimentar asupra SANCȚIUNI SEMNIFICATIVE PENTRU
datelor personale, asigură transparența cu privire la NERESPECTAREA NORMELOR
utilizarea datelor și impune securitate și mijloace de
control pentru protejarea datelor. RAPORTAREA OBLIGATORIE
A BREȘELOR

Cum se aplică companiei mele?

GDPR SE APLICĂ LA O SCARĂ MAI LARGĂ DECÂT POATE PĂREA LA PRIMA VEDERE
Legea impune noi reguli pentru companii, agenții guvernamentale, organizații non-profit și alte
organizații care oferă bunuri și servicii persoanelor din Uniunea Europeană (UE) sau care
colectează și analizează date legate de rezidenții UE.

GDPR SE APLICĂ INDIFERENT UNDE SUNTEȚI LOCALIZAT

Spre deosebire de legile privind confidențialitatea din alte jurisdicții, GDPR se aplică organizațiilor
de orice dimensiune și din orice domeniu.
UE este privită adesea la nivel internațional ca model în ceea ce privește chestiunile legate de
confidențialitate, de aceea ne așteptăm ca, în timp, anumite concepte din GDPR să fie adoptate și
în alte părți ale lumii.

Când intră în vigoare GDPR?

GDPR INTRĂ ÎN VIGOARE PE 25 MAI 2018
Va înlocui Directiva existentă privind protecția datelor (Directiva 95/46/CE), care este în vigoare din
1995. GDPR a devenit, de fapt, o lege în UE în aprilie 2016, dar, având în vedere schimbările
semnificative pe care unele organizații vor trebui să le facă pentru a respecta regulamentul, s-a
inclus și o perioadă de tranziție de doi ani.
La ce ne expunem dacă nu luăm
măsuri?
La data de 25 mai 2018 se încheie perioada de tranziție și vor produce efecte
dispozițiile Regulamentului (UE) 2016/679 privind protecția datelor cu caracter
personal și libera circulație a acestor date, regulament cunoscut sub numele
GDPR.

Amenzile de până la 20 milioane de Euro sau de 4% din cifra de afaceri anuală a grupului, oricare
dintre acestea este mai mare, reprezintă un aspect pe care a mizat Parlamentul European pentru a
determina companiile să asigure conformitatea cu dispozițiile GDPR.
Conformarea sau neconformarea cu GDPR va reprezenta o condiție impusă de către partenerii de
afaceri pentru a continua sau iniția noi raporturi comerciale/contractuale, nemaifiind
permis/posibil transferul de responsabilitate între compania care controlează datele personale și
compania care procesează datele personale pentru cea dintâi (ambele vor răspunde în nume
propriu).
Este de notat că, în timp ce în temeiul legislației încă în vigoare nu orice companie are obligații din
perspectiva dispozițiilor privind protecția datelor cu caracter personal, începând cu 25 mai 2018
Regulamentul va fi direct aplicabil oricărei companii care:
 furnizează bunuri sau servicii indivizilor din țările membre ale Uniunii Europene;
 monitorizează comportamentul indivizilor din țări membre ale Uniunii Europene sau
 are angajați în țări membre ale Uniunii Europene.
Exemple de cerințe GDPR
1 DATELE CU CARACTER PERSONAL

Conform GDPR, persoanele au dreptul să știe dacă o organizație le procesează datele cu caracter
personal și să înțeleagă scopurile respectivei procesări.
O persoană are dreptul de a solicita ștergerea sau corectarea datelor, de a cere să nu mai fie
procesate, de a refuza marketingul direct și de a revoca consimțământul pentru anumite utilizări
ale datelor sale.
Dreptul de portabilitate a datelor oferă persoanelor dreptul de a muta datele în altă parte și de a
primi asistență în acest sens.

2 SECURIZAREA DATELOR CU CARACTER PERSONAL

GDPR impune organizațiilor să securizeze datele cu caracter personal în conformitate cu

sensibilitatea acestora.
În cazul unei breșe de securitate, controlorii de date trebuie să notifice autoritățile
corespunzătoare în decurs de 72 de ore. În plus, dacă breșa va duce la apariția de riscuri mari
pentru drepturile și libertățile persoanelor, organizațiile vor trebui, de asemenea, să notifice fără
întârziere persoanele afectate.

3 PROCESAREA DATELOR CU CARACTER PERSONAL

Pentru procesarea datelor cu caracter personal trebuie să existe o bază legală.

Consimțământul pentru procesarea datelor cu caracter personal trebuie să fie „oferit în mod liber,
specific, informat și lipsit de ambiguități”. Conform GDPR, există cerințe speciale de obținere a
consimțământului pentru protejarea copiilor.

4 IMPACTUL ASUPRA PROTECȚIEI DATELOR CU CARACTER PERSONAL

Organizațiile trebuie să evalueze impactul asupra protecției datelor, pentru a anticipa impactul
proiectelor asupra confidențialității și pentru a lua măsuri, după cum este necesar.
Pentru a putea demonstra conformitatea cu GDPR trebuie menținute înregistrări ale activităților de
procesare și ale dovezilor de obținere a consimțământului pentru procesarea datelor.

5 CONFORMAREA CU DISPOZIȚIILE GDPR

Conformarea cu dispozițiile GDPR nu este o activitate care are loc o singură dată, ci este un
proces continuu de monitorizare a activităților desfășurate asupra datelor cu caracter personal și
de asigurare a securității acestora. Neconformarea cu GDPR poate duce la amenzi
semnificative sau la refuzul partenerilor de afaceri de a colabora.
Pentru a asigura conformitatea cu GDPR, organizațiile sunt încurajate să implementeze o cultură
de confidențialitate, pentru a proteja drepturile și interesele persoanelor cu privire la datele cu
caracter personal.
SERVICIILE NOD
Audit GDPR high-level

WORKSHOP GDPR – IT ȘI JURIDIC

1 WORKSHOP Participă persoanele cheie din compania dumneavoastră

ANALIZĂ ȘI CHESTIONAR
2 ANALIZĂ Analiza informațiilor din cadrul workshop-ului și
personalizarea chestionarului GDPR comun IT/juridic

COMPLETAREA CHESTIONARULUI
3 CHESTIONAR Completarea chestionarului de către persoanele cheie din
echipa companiei dumneavoastră

ANALIZA RĂSPUNSURILOR
4 ANALIZĂ Agregarea informațiilor obținute

ÎNTOCMIREA RAPORTULUI
5 RAPORTARE  Nivelurile actuale de conformare cu prevederile GDPR
 Set de recomandări

MEETING PREZENTAREA RAPORTULUI GDPR

6 ON-SITE Detalierea rezultatelor chestionarului și a recomandărilor
Audit GDPR high-level
WORKSHOP GDPR – IT ȘI JURIDIC
1 WORKSHOP Participă persoanele cheie din compania dumneavoastră

1 DESCRIERE

 În cadrul workshop-ului echipa noastră cu componență juridică și IT va prezenta:

 Implicațiile noului regulament GDPR
 Modul în care companiile vor trebui să-și adapteze procedurile de lucru pentru a deveni
conforme
 Calendarul întregului proiect de implementare
 Scenarii din viața reală, atât din punct de vedere IT, cât și juridic
 Soluții IT disponibile deja și care susțin implementarea GDPR
 Sesiune de prezentare a companiei și a fluxurilor de date ținută de una sau mai multe
persoane din partea dumneavoastră
 Sesiune Q & A
2 OBIECTIVE

 Creșterea gradului de responsabilizare și înțelegere a regulamentului GDPR al persoanelor

cheie din companie
 Dobândirea de către echipa dumnevoastră a unui nivel minim de cunoștințe GDPR astfel încât
să poată porni singură procesul de conformare.
Desigur, echipa noastră vă poate oferi asistență pe durata întregului proces.
 Identificarea clară a personalului cheie din echipa dumneavoastră responsabil pentru
implementarea GDPR
 Strângerea de informații necesare pentru personalizarea chestionarului GDPR

3 LIVRABILE

 Lista personalului cheie din echipa dumneavoastră responsabil pentru implementarea GDPR
 Prezentările folosite în timpul workshop-ului
Audit GDPR high-level
ANALIZĂ ȘI CHESTIONAR
2 ANALIZĂ Analiza informațiilor din cadrul workshop-ului și
personalizarea chestionarului GDPR comun IT/juridic

1 DESCRIERE

 Echipa noastră cu componență juridică și IT va analiza informațiile culese în etapa anterioară

 Pe baza acestei analize vom dezvolta un chestionar pe specificul companiei dumneavoastră
 Acest chestionar ne va permite să identificăm măsura în care compania dumneavoastră este
pregătită și respectă deja regulamentul GDPR
 Chestionarul GDPR va trebui completat de către persoanele cheie identificate în etapa
precedentă

2 OBIECTIVE

 Obținerea unui chestionar personalizat pe baza:

 Obiectulului de activitate al companiei dumneavoastră
 Proceselor de business din activitatea de zi cu zi a companiei dumneavoastră. Acestea vor fi
identificate pe baza informațiilor culese de la persoanele cheie în timpul workshop-ului

3 LIVRABILE

 Chestionarul GDPR personalizat pe specificul companiei

Audit GDPR high-level
COMPLETAREA CHESTIONARULUI
3 CHESTIONAR Completarea chestionarului de către persoanele cheie din
echipa companiei dumneavoastră

1 DESCRIERE

 Chestionarul are două componente majore

 Întrebările chestionarului urmăresc atât aspecte juridice, cât și IT
 Întrebările chestionarului vor necesita răspunsuri din partea responsabililor din cadrul
următoarelor departamente:
 Marketing
 Resurse umane
 Vânzări
 IT
 Contabilitate / Financiar
 Compliance / Juridic
 În cadrul acestei etape persoanele cheie din echipa companiei dumneavoastră vor beneficia
de asistența noastră pentru a putea completa chestionarul cu o cât mai mare acuratețe

2 OBIECTIVE

 Obținerea de informații despre activitatea companiei dumneavoastră și a gradului actual de

conformare cu regulamentul GDPR

3 LIVRABILE

 Chestionarul completat de către echipa dumneavoastră

Audit GDPR high-level
ANALIZA RĂSPUNSURILOR
4 ANALIZĂ Agregarea informațiilor obținute

1 DESCRIERE

 Echipa noastră cu componență juridică și IT va agrega informațiile obținute pe baza

workshop-ului, a chestionarului și a întâlnirilor suplimentare din etapele anterioare
 Toate informațiile culese vor fi analizate în vederea pregătirii raportului final de audit high-
level GDPR

2 OBIECTIVE

 Analizarea informațiilor culese în vederea pregătirii raportului final de audit high-level GDPR
 Înțelegerea aprofundată a situației actuale a companiei dumneavoastră și a gradului de
conformare cu regulamentul GDPR
Audit GDPR high-level
ÎNTOCMIREA RAPORTULUI
5 RAPORTARE  Nivelurile actuale de conformare cu prevederile GDPR
 Set de recomandări

1 DESCRIERE

În această etapă echipa noastră cu componență juridică și IT va elabora:

 Raportul final al nivelurilor actuale de conformare cu prevederile GDPR – scoring general și
scoring pe capitole – pe baza răspunsurilor din chestionar
 Raportul va conține și recomandări de soluții IT care acoperă nevoile clientului și care sunt
GDPR-ready

2 OBIECTIVE

 Elaborarea unui raport high-level al nivelului actual de conformare cu prevederile GDPR

 Creșterea gradului de înțelegere în rândul persoanelor cheie din companie al stadiului actual
de conformare GDPR
 Luarea deciziilor cu privire la implementarea recomandărilor propuse și a remedierilor
referitoare la proceduri, procese tehnice, infrastructură și licențe

3 LIVRABILE

 Raportul final al nivelurilor actuale de conformare cu prevederile GDPR și soluții recomandate

pentru conformarea cu regulamentul GDPR
Audit GDPR high-level
MEETING PREZENTAREA RAPORTULUI GDPR
6 ON-SITE Detalierea rezultatelor chestionarului și a recomandărilor

1 DESCRIERE

În această etapă discutăm pe larg despre raportul GDPR:

 Detaliem rezultatele chestionarului și le prezentăm punctual
 Prezentăm setul întocmit de recomandări și propunem soluții practice

2 OBIECTIVE

 Creșterea gradului de înțelegere în rândul persoanelor cheie din companie al stadiului actual
de conformare GDPR
 Înțelegerea recomandărilor pentru creșterea nivelului de conformare GDPR
 Stabilirea soluțiilor care urmează să fie implementate
Next Steps
 Interviuri cu oamenii cheie
ANALIZĂ  Verificarea procedurilor existente, proceselor tehnice,
1 DETALIATĂ infrastructurii, licențelor etc.
 Raport cu propuneri, recomandări și soluții pentru
remedierea/reducerea riscurilor

Training-uri pentru sensibilizarea personalului în legătură

2 TRAININGURI cu prevederile GDPR și utilizarea noilor procese tehnice,
infrastructură și licențe

Implementarea recomandărilor și remedierilor referitoare

3 IMPLEMENTARE la proceduri, procese tehnice, infrastructură și licențe