în parteneriat cu

PECB EUROPE vă recomandă

(Professional Evaluation and Certification Board Europe)

Ghidul GDPR
regulament pentru protecția datelor cu caracter personal

protecția
datelor
www.promanagement.ro
GDPR

În ultimii 4 ani UE a dezbătut problematica protecției bazelor de date și a creat pe

8 aprilie 2016 cadrul legislativ care asigură această protecție Regulamentul General
de Protecție a Datelor (the General Data Protection Regulation (GDPR).

Acesta va înlocui directiva actuală începând cu 25 mai 2018 și se va aplica tuturor

statelor membre fără a fi nevoie de implementarea legislației naționale. Scopul este
acela de a armoniza legislația din acest domeniu pentru toate țările membre UE.

un nou context al legislației

privind protecția datelor
vezi curs
http://promanagement.ro/curs-ofiter-protectie-date-cu-caracter-personal-dpo/

www.promanagement.ro
GDPR Pentru Societățile Comerciale

Gestionarea datelor trebuie făcută astfel încât datele personale să fie foarte bine protejate, iar persoanele
responsabile să aibă pregătirea necesară privind Regulamentul de Securitate a datelor cu caracter personal în
conformitate cu Legea 679/2016. Nerespectarea Regulamentului General privind proțectia datelor cu caracter
personal (GDPR ) se sancționează cu o amendă de 4% din cifra de afaceri.
vezi curs
http://promanagement.ro/curs-ofiter-protectie-date-cu-caracter-personal-dpo/

Toate datele clienților sunt considerate date cu caracter

personal și intră sub incidența unor prevederi speciale:

adresele de
numele clientilor
domiciliu

datele cărților
adresele de e-mail
de identitate

informațiile despre convingerile

lor politice sau despre starea de sănătate etc. www.promanagement.ro
Direcții generale

Operatorii și procesatorii de date trebuie să desemneze un Ofiter cu Protecția Datelor (Data

Protection Officer – DPO).

Activitățile ofițerului protecție date

de a informa şi consilia operatorul, sau persoana împuternicită de operator, precum şi angajaţii

care se ocupă de prelucrările de date;
de a monitoriza respectarea Regulamentului, a altor dispoziţii de drept al Uniunii sau de drept
intern referitoare la protecţia datelor;
de a consilia operatorul în ceea ce priveşte realizarea unei analize de impact asupra protecţiei
datelor şi de a monitoriza executarea acesteia;
de a coopera cu Autoritatea de Supraveghere și de a reprezenta punctul de contact cu aceasta;
de a ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare la
îndeplinirea sarcinilor sale.
1. Rolul Operatorilor de date

Operatorii și procesatorii de date sunt obligați să desemneze un responsabil cu protecția datelor:

dacă activitățile principale ale dacă activitățile principale ale

când prelucrarea este efectuată
de o autoritate publică sau un
organism public, cu excepția
instanțelor care acționează în
exercițiul funcției lor
jurisdicționale
operatorului sau ale persoanei
împuternicite de operator
constau în operațiuni de
prelucrare care necesită o
monitorizare periodică și
sistematică a persoanelor
vizate pe scară largă
operatorului sau ale persoanei
împuternicite de operator
constau în prelucrarea pe scară
largă a unor categorii speciale de
date sau a unor categorii de date
cu caracter personal privind
condamnări penale și infracțiuni

2. Consimțământul

operatorul trebuie să fie în măsura să demonstreze că persoana vizată și-a dat consimțământul pentru
prelucrarea datelor sale cu caracter personal;
cererea trimisă de operator către persoana vizată trebuie făcută în scris folosind o formă inteligibilă și ușor
accesibilă, utilizând un limbaj clar și simplu;
persoana vizată are dreptul să își retragă în orice moment consimțământul;
prelucrarea datelor cu caracter personal este legală dacă copilul are cel puțin vârsta de 16 ani, în cazul în
care copilul are vârsta sub 16 ani, consimțământul este acordat de titularul răspunderii părintești.

www.promanagement.ro
3. Transparența procesării datelor

Operatorii de date sunt obligați să furnizeze informații transparente persoanelor și să verifice că

acest lucru se realizează într-un mod clar și într-un format ușor accesibil.

Informațiile furnizate trebuie să fie cuprinzătoare și trebuie să informeze persoana vizată cu privire

la anumite drepturi (cum ar fi abilitatea de a retrage consimțământul) și perioada pentru care vor fi
stocate datele.

4. Sancțiuni

Până la 10-20 milioane de euro sau între 2% și 4% din cifra de afaceri la nivel internațional, pentru
operatorii din sectorul privat. Criterii clare de individualizare a sancțiunii ținând cont de natura,
gravitatea și durata încălcării, caracterul deliberat, acțiunile întreprinse, gradul de răspundere, etc.

www.promanagement.ro
5. Notificarea încălcării datelor

Operatorii de date sunt obligați să notifice încălcările de Securitate a datelor către autoritatea de
supraveghere în cel mult 72 de ore din momentul în care acesta a luat la cunoștință de existența
acesteia.
Operatorul ar trebui să comunice persoanei vizate o încălcare a securității datelor cu caracter
personal, atunci când încălcarea este succeptibilă să genereze un risc ridicat pentru drepturile și
libertățile persoanei fizice.

6. Servicii complete sau sistemul „One-Stop-Shop"

Formalități reduse pentru operatorii de date, un singur interlocutor la nivel UE. Operatorii de
date care își desfășoară activitățile în mai multe state member UE își pot alege un singur
interlocutor - autoritatea de supraveghere din statul membru în care își au stabilite sediul
principal.

www.promanagement.ro
7. Responsabilizarea operatorilor de date

O schimbare apare la nivelul eliminării cerinței generale de a notifica autoritatea de supraveghere

(ANS) cu privire la activitățile de prelucrare a datelor ale unui operator și de a solicita aprobarea din
partea ANS în anumite circumstanțe.

Obligația operatorilor de date va fi, astfel, de a pune în aplicare proceduri și mecanisme eficiente

care să se axeze pe operațiuni cu risc mai mare și să efectueze o evaluare a impactului privind
protecția datelor pentru a lua în considerare probabilitatea și gravitatea riscului, în special în
procesarea pe scară largă.

În plus, o nouă cerință va fi de a consulta, în prealabil, ANS în cazul în care

evaluarea impactului indică faptul că prelucrarea ar avea ca rezultat un risc
ridicat, dacă nu s-ar lua măsuri pentru a atenua acest risc.

În cazul în care ANS consideră că prelucrarea ar încălca GDPR, acestea

pot oferi consiliere scrisă și pot folosi puterea de executoare acolo
unde este necesar.

www.promanagement.ro
8. Comisia Europeană pentru Protecția Datelor

Comisia Europeană pentru protecția datelor este compus din supervizorul PDE și reprezentanții cu funcții de
seniori ai ANS-urilor naționale. Rolul său este de a emite avize și îndrumări care să asigure aplicarea
consecventă a GDPR și raportarea către Comisie. De asemenea, va avea un rol cheie în mecanismul
One-Stop-Shop.

9. Legislația adresată companiilor

GDPR recunoaște în mod expres BCR (Binding Corporate Rules) pentru operatori și procesatori ca mijloc de
legitimare a transferurilor internaționale de date în interiorul grupului.

BCR (Binding Corporate Rules) trebuie să:

respecte regulile aplice și să fie aplicate de către fiecare acorde, în mod expres,

legislative membru al grupului de întreprinderi / drepturi executorii asupra
întreprinderi care desfășoară o activitate persoanelor vizate.
economică comună, inclusiv angajații lor

www.promanagement.ro
 10. Transferuri internaționale

GDPR a înlăturat autoevaluarea ca bază pentru transfer. În prezent, aceasta este utilizată doar ca bază
autonomă în câteva state membre. De asemenea, a fost modificată derogarea de acordare a acordului:
exportatorii de date care se bazează pe consimțământul de a muta date în afara UE vor trebui să analizeze cu
atenție dacă persoanele vizate au fost suficient de bine informate cu privire la riscurile transferului.

11. Drepturile garantate persoanelor cu privire la datele personale

Comisia Europeană propune un nou cadru de protecție a drepturilor persoanelor care își încredințează datele.
Acestea includ:

dreptul persoanelor de a dreptul de a restricționa dreptul de a se opune dreptul de a da datele personale

solicita informații cu privire la
datele prelucrate, de a avea
accesul la date în anumite
circumstanțe și de a corecta
datele greșite
anumite prelucrări prelucrării datelor lor cu într-un format structurat pentru
caracter personal pentru a fi ușor transferate către un alt
marketing direct operator de date (acest lucru
este cunoscut sub numele de
„portabilitatea datelor").

www.promanagement.ro
GDPR specifică faptul că operatorii de date care externalizează prelucrarea datelor sau le prelucrează
împreună cu alți operatori trebuie să aibă aranjamente contractuale clare pentru a aloca responsabilitățile
fiecărei părți în a onora solicitările privind portabilitatea datelor.

Persoanele fizice au dreptul de a solicita operatorului de date să le șteargă datele cu caracter personal fără
întârzieri nejustificate în anumite situații, cum ar fi cazul în care își retrag consimțământul și nu se aplică
niciun alt motiv juridic pentru prelucrare. În acest context, trebuie informați terții că persoana vizată a
solicitat ștergerea oricăror legături sau copii ale acestor date.

Operatorul de date trebuie să răspundă acestor solicitări de informații în termen de o lună, cu

posibilitatea de a prelungi această perioadă pentru solicitări complexe.

Informațiile sunt furnizate gratuit, cu excepția cazului în care cererea este „vădit nefondată sau
excesivă".

www.promanagement.ro
Măsuri
1. Pregătire pentru situațiile de încălcări ale securității datelor

2. Stabilirea unei strategii de supervizare

3. Asigurarea unui cadru sigur de confidențialitate

4. Analizarea temeiului juridic de utilizare a datelor personale

5. Verificarea notificărilor și politicilor de confidențialitate

6. Acordarea unei atenții speciale drepturilor utilizatorilor

7. Analiza asupra obligațiilor de procesator de date

8. Verificarea acordurilor privind datele de transfer

www.promanagement.ro
DPO Ofițer protecție date
Agenda Cursului
Ziua 1
Introducere în GDPR și inițiere în Conformitatea cu GDPR
Obiectivul și structura cursului
Regulamentul general de protecție a datelor
Principii fundamentale GDPR
Inițierea implementării GDPR.

Ziua 2
Planificarea implementării GDPR
Conducerea și aprobarea proiectului de implementare a conformității cu GDPR
Politica protecție datelor
Definirea structurii organizatorice a protecției datelor
Clasificarea datelor
Analiza riscurilor în cadrul GDPR.

www.promanagement.ro
Agenda Cursului

Ziua 3
Desfășurarea proiectului GDPR
Analiza impactului de confidențialitate
Design al controalelor de Securitate și elaborarea de rapoarte specifica politicilor și procedurilor
Implementarea controalelor
Definirea proceselor de management de documente
Plan de comunicare
Plan de Training și conștientizare.

Ziua 4
Monitorizarea și îmbunătățirea continuă a respectării GDPR
Managementul incidentelor
Monitorizarea, măsurarea, analiza și evaluare
Audit intern
Breșe de date și acțiuni corective
Imbunătățire continuă
Competență, evaluare și închidere sesiune training.
vezi curs
http://promanagement.ro/curs-ofiter-protectie-date-cu-caracter-personal-dpo/
Ziua 5: Examen de certificare.

www.promanagement.ro
Diploma PECB Europe

http://promanagement.ro/curs-ofiter-protectie-date-cu-caracter-personal-dpo/

www.promanagement.ro
Investiție
inteligentă !"#$%&#'()*)+'!"',%$"!'-%!)*%!,.",.'-" ,

pentru viitor!
Echipa noastră de profesioniști îți stă la dispoziție pentru orice informații
suplimentare despre cursuri, traineri, expertiză Pro Management sau
oferte corporate.

Contact
0213170929 0721 391 236 office@promanagement.ro

Bld. Nicolae Caramfil, Nr. 53, Etaj 5, Sector 1 București

www.promanagement.ro