Implementare GDPR specifică companiei tale

Servicii DPO externalizat

Consultanță juridică și specifică

Auditare implementare și postimplementare

Instruire personal

Asistență control ANSPDCP

Auditare infrastructură IT

Vezi mai mult

Contactează-ne!

Spune-ne despre compania ta și iți vom da soluții specifice



Cadru legislativ

  • Regulamentul (UE) 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date
  • Legea 190/2018 privind măsuri de punere în aplicare a Regulamentului
  • Ghidurile, procedurile și deciziile Autoritarii Nationale de Supraveghere precum și cele emise de EPDB
  • Legea 506/2004 privind prelucrarea datelor cu caracter personal în  comunicațiile electronice
  • Legi naționale,  directive, decizii CJUE si CEDO sau emise de instanțele naționale

Ce presupune GDPR?

  • Cartografiere, clasificare și evaluare documentată a tututor proceselor de business care operează cu date personale
  • Consultarea ANSPDCP în situații bine definite
  • Abordare documentată a prelucrării datelor personale  bazată pe analiză de risc
  • Implementare de măsuri organizatorice, juridice și tehnice care să se adreseze în mod rezonabil și proporțional riscurilor identificate
  • Monitorizare periodică dupa implementare a întregului proces
  • Instruire periodică și conștientizare a personalului care operează date referitoare la persoanele fizice

De ce externalizare?

  • Pentru că kiturile GDPR și documentele generice nu te fac compliant
  • Pentru că prin particularitățile afacerii tale fiecare prelucrare este diferită și trebuie adresată corespunzator
  • Pentru că nivelul de know-how necesar este ridicat
  • Pentru că ai nevoie de informații adecvate cu privire la procedurile de control ale Autoritații de Supraveghere
  • Pentru că suntem în permanență la curent cu recomandarile ANSPDCP, EPDB și cazuistică europeană în materie de protecție a datelor personale

GDPR: mituri

Miturile cu privire la GDPR nu te fac mai compliant sau mai puțin responsabil. Fii informat !

Am sub 250 de angajaţi - GDPR nu mi se aplică

Conform Art. 30 Alin 5, operatorii care au sub 250 de angajați nu au obligația să păstreaze o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor, daca prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date.

Existența unui singur angajat și prelucrările lunare cu privire la salarii, prelucrări care conțin date sensibile obligă operatorul să dețină registre de evidență.

Mai mult excepția de la întocmirea acestor registre nu presupune ca celelalte prevederi ale Regulamentului nu se aplică.

Am desemnat şi platesc un DPO, nu am alte obligaţii

Rolul DPO constă în  informarea și consilierea operatorului, monitorizarea respectării prezentului regulament, furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor, cooperarea cu autoritatea de supraveghere și asumarea rolului de punct de contact pentru autoritatea de supraveghere.

Operatorul respectiv persoana împuternicita este însă direct responsabil de aplicarea tuturor măsurilor legale și a recomandarilor DPO, aspect re-enunțat de Regulament la capitolul Sancțiuni. Mai mult acesta are obligația de a documenta refuzul măsurilor propuse de DPO.

Cumpăr un kit GDPR şi am rezolvat

Existenţa de drafturi corect redactate ușurează într-adevar adoptarea de măsuri organizatorice, însa nu poate suplini, fără un efort de documentare serios, un proces de implementare adecvat.

Măsurile organizatorice, tehnice și celelalte cerinţe ale Regulamentului sunt  strict legate de specificul prelucrărilor de date. Deși pot exista similarități foarte mari intre 2 companii care au acelaşi obiect de activitate, experienţa ne confirmă in fiecare zi că aceleaşi prevederi contractuale înseamnă frecvent prelucrări diferite și ca abordare și ca măsuri necesare.

Am achiziţionat un soft GDPR şi am rezolvat

Există soluții software de tip project management, soluții software care realizează automat inventar de date și care te pot asista în luarea unor decizii.

De regulă însă decizia îți aparține și costul unei aplicații “bune” este prohibitiv pentru sectorul întreprinderi mici și mijlocii.

Testul corectitudinii aplicării deciziilor apare de regulă în cazul breșelor de date cu caracter personal. Corectarea riscului prin simulări de brese de date reprezintă un test al evaluării corecte a deciziilor de prelucrare, pe care il avem  în vedere atunci când emitem recomandari.

În plus niciun software nu poate suplini know-how-ul.

Oricine poate îndeplini rolul de DPO

Nivelul necesar al cunoștințelor de specialitate ar trebui să fie stabilit în special în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate de operator sau de persoana împuternicită de operator. Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.

De asemenea exista situatii de incompatibilitate. De exemplu un manager HR , IT, in general CxO nu pot indeplini functia de DPO.

Este de preferat ca persoana desemnată ca și DPO să dețina o certificare și o autorizare națională, conform standardului ocupațional pentru educația și formare profesională a Responsabililor cu protecția datelor cu caracter personal – cod COR 242231.

Mai mult, funcția de DPO presupune efort de documentare continuă și consultarea periodică atât a recomandarilor EPDB și ANSPDCP, precum și a cazuisticii diverse a autorităților europene și deciziilor judecătorești cu privire la prelucrarile de date cu caracter personal.

Am implementat cu un consultant şi am terminat

Succesul unei implementări inițiale este esențial, dar nu suficient întrucât operatorii și persoanele împuternicite au obligația revizuirii periodice a prelucrărilor, a masurilor de securitate aplicate și a documentarii corespunzatoare.

Procesele de business se modifică în permanență atât datorită schimbarii rapide a tehnologiilor, cât și datorită modificărilor relațiilor comerciale. În consecință prelucrările de date cu caracter personal se modifică și ele, iar monitorizarea și analiza periodică a prelucrărilor este necesară.

Sunt operator independent

Calitatea de operator sau persoană împuternicită este apanajul contextului și specificului prelucrarilor de date cu caracter personal. Ea este determinată de puterea de a determina scopurile și mijloacele de prelucrare.

Deși frecvent determinarea scopurilor și în special a mijloacelor de prelucrare este dificilă și necesită criterii specifice de evaluare, determinarea calității de operator/persoană împuternicită nu este niciodată o decizie arbitrară a unei parți, care să urmeze intereselor acesteia.

Unul din testele indirecte a corectitudinii evaluarii acestei calități este reprezentată de percepția și așteptările persoanei vizate, căreia îi sunt prelucrate datele.

Sunt prea mic pentru a fi controlat de Autoritate

Spre deosebire de alte legi, Regulamentul enunță obligatiile operatorilor având focus pe drepturile persoanelor fizice.

Controlul inopinat, de fond al Autorității are într-adevar probabilite mică.

Există însă 3 situații în care acesta devine cert: plângerile înaintate de către persoanele vizate, angajați nemulțumiți și breșele de securitate care devin vizibile.

Sancțiunile prevăzute de Regulament sunt invers proporționale cu diligența operatorului sau a persoanei împuternicite în materie de protecție a datelor personale, așa cum este enunțat în capitolul “Sancțiuni”.

Astfel o entitate care tratează corespunzator principiile de protecție a datelor cu caracter personal, va primi mai degrabă măsuri de remediere din partea Autoritatii decât penalități financiare

Autoritatea are doar rol de control şi impunere sancţiuni

Autoritatea de Supraveghere are pe lângă rolul de control și rol consultativ.

Mai mult conform Art. 36 GDPR autoritatea de supraveghere  oferă consiliere în scris operatorului și, după caz, persoanei împuternicite de operator, în cel mult opt săptămâni de la primirea cererii de consultare și informează operatorul și, după caz, persoana împuternicită de operator, în termen de o lună de la primirea cererii, cu privire la orice astfel de prelungire, prezentând motivele întârzierii.

Răspunsul la cereri oferă atât orientare corectă în abordarea prelucrarilor de date cu caracter personal în diferite situații, dar și argumente în documentarea acestora.

Decizia de raportate a breşelor îmi aparţine

Conform Art. 33 GDPR, breșele de securitate a datelor cu caracter personal trebuie raportate în cel mult 72 de ore de la data la care operatorul  a luat cunoștință de aceasta, cu excepția cazului în care breșa de securitate nu reprezintă un risc pentru drepturile și libertățile persoanelor fizice.

Decizia raportării breșei de securitate nu este expresia voinței operatorul, ci este legată de particularitățile și contexul breșei.

Breșa de securitate necesită evaluare specifică și în toate cazurile documentare corespunzatoare, iar decizia de a nu notifica Autoritatea trebuie argumentată.

Printre breșele care trebuie raporate se înscriu: incidentele de securitate de tip ransomware, pierderea de documente care conțin date sensibile, acces neautorizat la resurse informatice, imposibilitatea recuperării datelor dupa un incident care afectează în mod semnificativ persoanele vizate

Sună și cere detalii!

Cum procedăm?

Implementăm măsuri organizatorice, juridice și tehnice adecvate analizelor de risc și de impact.
  • 1

    Evaluarea inițială

    Într-o primă fază analizăm specificul afacerii tale și întocmim analiza GAP

  • 2

    Inventariere date

    Inventariem datele cu caracter personal în mod structurat pentru fiecare unitate de business

  • 3

    Analiza de risc

    Clasificăm datele și stabilim nivelul de risc pentru fiecare prelucrare

  • 4

    Analiza contractelor

    Evaluăm relațiile comerciale pe care le ai cu partenerii și te asistăm în demersul de a semna acordurile de date personale potrivite

  • 5

    Drepturile persoanelor

    Pentru fiecare categorie de persoane vizate identificam temeiul legal în baza căruia poți continua prelucrarea și luăm măsuri specifice

  • 6

    Evaluare IT

    Inventariem și analizăm conformitatea tututor sistemelor IT folosite și iți propunem măsuri tehnice adecvate

  • 7

    Măsuri de conformare

    Iți oferim un set complet de politici, proceduri și instrumente ca să poți gestiona corect și legal prelucrările de date personale

  • 8

    Documentare completă

    Iti documentam toate prelucrările în registre de evidentă, formularele LIA, note de informare și te asistăm în consultarea ANSPDCP

  • 9

    Suport postimplementare

    Te asistăm oricand ai dificultăți în gestionarea prelucrarilor postimplementare, de un DPO sau de suport legal în cazul unui control ANSPDCP

Cu instrumentele, drafturile și trainingul aferent vei putea sa-ți gestionezi singur protecția datelor cu caracter personal

Noi te consiliem, tu alegi!

Contactează-ne și vei avea oferta corectă pentru afacerea ta!
Asistență Basic
Include 5 ore de consultanță!
Politici și proceduri IT și GDPR
Registre de evidența cu explicații
Note de informare, consimțământ
Formulare de inventariere date
Peste 70 de drafturi editabile
5 ore de consultanta incluse
Cere oferta
Implementare 360° GDPR
Soluție la cheie, succes garantat!
Analiză procese de business
Inventariere date personale
Clasificare și analiză de risc
Redactare completă documente
Consultanţă GDPR
Implementare completă
Cere oferta
DPO externalizat
În funcţie de specificul activităţii
Permanent de partea ta!
Audit periodic GDPR
Consultanţă 24/7
Reprezentare 24/7
Abordare multidiciplinară
Niciun un risc necunoscut!
Cere oferta

De ce noi?

Experiență de peste 25 de ani în consultanță de business și cei peste 300 de clienți ne recomandă!

Boscolo & Partners - Member Crowe Global

Strada Popa Petre Nr. 5, Etaj 4+40312285115gdpr@crowe.ro

Ore de lucru

Luni-Vineri9:00 - 18:00
SambataInchis
DuminicaInchis