Implementare GDPR specifica companiei tale

Servicii DPO externalizat

Consultanta juridica si specifica

Auditare implementare si postimplementare

Instruire personal

Asistenta control ANSPDCP

Auditare infrastructura IT

Vezi mai mult

Contacteaza-ne!

Spune-ne despre compania ta si iti vom da solutii specifice



    Cadru legislativ

    • Regulamentul (UE) 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date
    • Legea 190/2018 privind masuri de punere in aplicare a Regulamentului
    • Ghidurile, procedurile si deciziile Autoritarii Nationale de Supraveghere precum si cele emise de EPDB
    • Legea 506/2004 privind prelucrarea datelor cu caracter personal in  comunicatiile electronice
    • Legi naționale,  directive, decizii CJUE si CEDO sau emise de instanțele naționale

    Ce presupune GDPR?

    • Cartografiere, clasificare si evaluare documentata a tututor proceselor de business care opereaza cu date personale
    • Consultarea ANSPDCP in situatii bine definite
    • Abordare documentata a prelucrarii datelor personale  bazata pe analiza de risc
    • Implementare de masuri organizatorice, juridice si tehnice care sa se adreseze in mod rezonabil si proportional riscurilor identificate
    • Monitorizare periodica dupa implementare a intregului proces
    • Instruire periodica si constientizare a personalului care opereaza date referitoare la persoanele fizice

    De ce externalizare?

    • Pentru ca kiturile GDPR si documentele generice nu te fac compliant
    • Pentru ca prin particularitatile afacerii tale fiecare prelucrare este diferita si trebuie adresata corespunzator
    • Pentru ca nivelul de know-how necesar este ridicat
    • Pentru ca ai nevoie de informatii adecvate cu privire la procedurile de control ale Autoritatii de Supraveghere
    • Pentru ca suntem in permanenta la curent cu recomandarile ANSPDCP, EPDB si cazuistica europeana in materie de protectie a datelor personale

    GDPR: mituri

    Miturile cu privire la GDPR nu te fac mai compliant sau mai putin responsabil. Fii informat !

    Am sub 250 de angajati - GDPR nu mi se aplica

    Conform Art. 30 Alin 5, operatorii care au sub 250 de angajati nu au obligatia sa pastreze o evidenta a activitatilor de prelucrare desfasurate sub responsabilitatea lor, daca prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date.

    Existenta unui singur angajat si prelucrarile lunare cu privire la salarii, prelucrari care contin date sensibile obliga operatorul sa detina registre de evidenta.

    Mai mult exceptia de la intocmirea acestor registre nu presupune ca celelalte prevederi ale Regulamentului nu se aplica.

    Am desemnat si platesc un DPO, nu am alte obligatii

    Rolul DPO consta in  informarea si consilierea operatorului, monitorizarea respectarii prezentului regulament, furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor, cooperarea cu autoritatea de supraveghere si asumarea rolului de punct de contact pentru autoritatea de supraveghere.

    Operatorul respectiv persoana imputernicita este insa direct responsabil de aplicarea tuturor masurilor legale si a recomandarilor DPO, aspect re-enuntat de Regulament la capitolul Sanctiuni. Mai mult acesta are obligatia de a documenta refuzul masurilor propuse de DPO.

    Cumpar un kit GDPR si am rezolvat

    Existenta de drafturi corect redactate usureaza intr-adevar adoptarea de masuri organizatorice, insa nu poate suplini, fara un efort de documentare serios, un proces de implementare adecvat.

    Masurile organizatorice, tehnice si celelalte cerinte ale Regulamentului sunt  strict legate de specificul prelucrarilor de date. Desi pot exista similaritati foarte mari intre 2 companii care au acelaşi obiect de activitate, experienta ne confirma in fiecare zi ca aceleasi prevederi contractuale inseamna frecvent prelucrari diferite si ca abordare si ca masuri necesare.

    Am achizitionat un soft GDPR si am rezolvat

    Exista solutii software de tip project management, solutii software care realizeaza automat inventar de date si care te pot asista in luarea unor decizii.

    De regula insa decizia iti apartine si costul unei aplicatii “bune” este prohibitiv pentru sectorul intreprinderi mici și mijlocii.

    Testul corectitudinii aplicarii deciziilor apare de regula in cazul breselor de date cu caracter personal. Corectarea riscului prin simulari de brese de date reprezinta un test al evaluarii corecte a deciziilor de prelucrare, pe care il avem  in vedere atunci cand emitem recomandari.

    In plus niciun software nu poate suplini know-how-ul.

    Oricine poate indeplini rolul de DPO

    Nivelul necesar al cunostintelor de specialitate ar trebui sa fie stabilit in special in functie de operatiunile de prelucrare a datelor efectuate si de nivelul de protectie impus pentru datele cu caracter personal prelucrate de operator sau de persoana imputernicita de operator. Acesti responsabili cu protectia datelor, indiferent daca sunt sau nu angajați ai operatorului, ar trebui sa fie in masura sa isi indeplineasca atributiile si sarcinile in mod independent.

    De asemenea exista situatii de incompatibilitate. De exemplu un manager HR , IT, in general CxO nu pot indeplini functia de DPO.

    Este de preferat ca persoana desemnata ca si DPO sa detina o certificare si o autorizare naționala, conform standardului ocupational pentru educatia si formare profesionala a Responsabililor cu protectia datelor cu caracter personal – cod COR 242231.

    Mai mult, functia de DPO presupune efort de documentare continua si consultarea periodica atat a recomandarilor EPDB si ANSPDCP, precum si a cazuisticii diverse a autoritatilor europene si deciziilor judecatoresti cu privire la prelucrarile de date cu caracter personal.

    Am implementat cu un consultant si am terminat

    Succesul unei implementari initiale este esential, dar nu suficient intrucat operatorii si persoanele imputernicite au obligatia revizuirii periodice a prelucrarilor, a masurilor de securitate aplicate si a documentarii corespunzatoare.

    Procesele de business se modifica in permanenta atat datorita schimbarii rapide a tehnologiilor, cat si datorita modificarilor relatiilor comerciale. In consecinta prelucrarile de date cu caracter personal se modifica si ele, iar monitorizarea si analiza periodica a prelucrarilor este necesara.

    Sunt operator independent

    Calitatea de operator sau persoana imputernicita este apanajul contextului si specificului prelucrarilor de date cu caracter personal. Ea este determinata de puterea de a determina scopurile si mijloacele de prelucrare.

    Deși frecvent determinarea scopurilor si în special a mijloacelor de prelucrare este dificila si necesita criterii specifice de evaluare, determinarea calitatii de operator/persoana imputernicita nu este niciodata o decizie arbitrara a unei parti, care sa urmeze intereselor acesteia.

    Unul din testele indirecte a corectitudinii evaluarii acestei calitati este reprezentata de perceptia si asteptarile persoanei vizate, careia ii sunt prelucrate datele.

    Sunt prea mic pentru a fi controlat de Autoritate

    Spre deosebire de alte legi, Regulamentul enunta obligatiile operatorilor avand focus pe drepturile persoanelor fizice.

    Controlul inopinat, de fond al Autoritătii are intr-adevar probabilite mica.

    Exista însa trei situatii in care acesta devine cert: plangerile inaintate de catre persoanele vizate, angajati nemulțumiti si bresele de securitate care devin vizibile.

    Sanctiunile prevazute de Regulament sunt invers proportionale cu diligenta operatorului sau a persoanei imputernicite in materie de protectie a datelor personale, asa cum este enuntat in capitolul “Sanctiuni”.

    Astfel o entitate care trateaza corespunzator principiile de protectie a datelor cu caracter personal, va primi mai degraba masuri de remediere din partea Autoritatii decat penalitati financiare

    Autoritatea are doar rol de control si impunere sanctiuni

    Autoritatea de Supraveghere are pe langa rolul de control si rol consultativ.

    Mai mult conform Art. 36 GDPR autoritatea de supraveghere  ofera consiliere in scris operatorului si, dupa caz, persoanei imputernicite de operator, in cel mult opt saptamani de la primirea cererii de consultare si informeaza operatorul si, dupa caz, persoana împuternicita de operator, in termen de o luna de la primirea cererii, cu privire la orice astfel de prelungire, prezentand motivele intarzierii.

    Raspunsul la cereri ofera atat orientare corecta in abordarea prelucrarilor de date cu caracter personal in diferite situatii, dar si argumente in documentarea acestora.

    Decizia de raportate a breselor imi apartine

    Conform Art. 33 GDPR, bresele de securitate a datelor cu caracter personal trebuie raportate in cel mult 72 de ore de la data la care operatorul  a luat cunoștinta de aceasta, cu exceptia cazului in care bresa de securitate nu reprezinta un risc pentru drepturile si libertatile persoanelor fizice.

    Decizia raportarii bresei de securitate nu este expresia vointei operatorului, ci este legata de particularitatile si contexul bresei.

    Bresa de securitate necesita evaluare specifica si in toate cazurile documentare corespunzatoare, iar decizia de a nu notifica Autoritatea trebuie argumentata in scris.

    Printre bresele care trebuie raporate se inscriu: incidentele de securitate de tip ransomware, pierderea de documente care contin date sensibile, acces neautorizat la resurse informatice, imposibilitatea recuperarii datelor dupa un incident care afecteaza in mod semnificativ persoanele vizate

    Suna si cere detalii!

    Cum procedam?

    Implementam masuri organizatorice, juridice si tehnice adecvate analizelor de risc si de impact.
    • 1

      Evaluarea initiala

      Intr-o prima faza analizam specificul afacerii tale si întocmim analiza GAP

    • 2

      Inventariere date

      Inventariem datele cu caracter personal in mod structurat pentru fiecare unitate de business

    • 3

      Analiza de risc

      Clasificam datele si stabilim nivelul de risc pentru fiecare prelucrare

    • 4

      Analiza contractelor

      Evaluam relatiile comerciale pe care le ai cu partenerii si te asistam in demersul de a semna acordurile de date personale potrivite

    • 5

      Drepturile persoanelor

      Pentru fiecare categorie de persoane vizate identificam temeiul legal in baza caruia poti continua prelucrarea si luam masuri specifice

    • 6

      Evaluare IT

      Inventariem si analizam conformitatea tututor sistemelor IT folosite si iti propunem masuri tehnice adecvate

    • 7

      Masuri de conformare

      Iti oferim un set complet de politici, proceduri si instrumente ca sa poti gestiona corect si legal prelucrarile de date personale

    • 8

      Documentare completa

      Iti documentam toate prelucrarile in registre de evidenta, formularele LIA, note de informare si te asistam in consultarea ANSPDCP

    • 9

      Suport postimplementare

      Te asistam oricand ai dificultati în gestionarea prelucrarilor postimplementare, cand ai nevoie de un DPO sau de suport legal în cazul unui control ANSPDCP

    Cu instrumentele, drafturile si trainingul aferent vei putea sa-ti gestionezi singur protectia datelor cu caracter personal

    Noi te consiliem, tu alegi!

    Contacteaza-ne si vei avea o oferta corecta pentru afacerea ta!
    Asistenta Basic
    Include 5 ore de consultanta!
    Politici si proceduri IT si GDPR
    Registre de evidenta cu explicatii
    Note de informare, consimtamant
    Formulare de inventariere date
    Peste 70 de drafturi editabile
    5 ore de consultanta incluse
    Cere oferta
    Implementare 360° GDPR
    Solutie la cheie, succes garantat!
    Analiza procese de business
    Inventariere date personale
    Clasificare si analiza de risc
    Redactare completa documente
    Consultanta GDPR
    Implementare completa
    Cere oferta
    DPO externalizat
    In functie de specificul activitatii
    Permanent de partea ta!
    Audit periodic GDPR
    Consultanta 24/7
    Reprezentare 24/7
    Abordare multidiciplinara
    Niciun un risc necunoscut!
    Cere oferta

    De ce noi?

    DPO certificati si proiecte finalizate in sectoare variate de activitateExperienta de peste 15 ani in infrastructura IT