Cartografiere, clasificare și evaluare a datelor cu caracter personal

Analiză de risc

Instruire personal

Politici și proceduri organizaționale și tehnice

Evaluare infrastructură IT și măsuri specifice

Focus pe activitatea ta!

Fiecare sector de business are particularități specifice din punctul de vedere al prelucrărilor de date personale

Retail

Specificul prelucrărilor de date cu caracter personal ale companiilor care actionează în retail se datorează numarului mare de persoane vizate cât și activării prevalente în mediul online. […]

Medical și farma

Prelucrarea datelor medicale, atât de către cabinetele individuale cât și de către unitățile spitalicești, presupune abordarea corectă a categoriilor  de date sensibile și temeiurilor  legale cu privire […]

Toate companiile

Indiferent de sectorul de activitate, cu foarte rare excepții, orice companie prelucrează date cu caracter personal fie că se referă la angajați, la asociați, la partenerii comerciali […]

Hoteluri și restaurante

Prin specificul activității hotelurile și restaurantele prelucrează date cu caracter personal ale clienților lor. Fie ca acestea sunt folosite pentru gestiunea afacerii, în scopuri de protejare a […]

Servicii IT

Operatorii economici care oferă servicii IT de dezvoltare, mentenanță, SaaS au acces la o gamă largă de date cu caracter personal, inclusiv date sensibile,  care aparțin clienților […]

Producție

Companiile, care sunt orientate pe producția de bunuri au de regulă,  relativ puține prelucrari de date personale legate de obiectul de activitate specific. Pe lângă prelucrarile de […]

Outsourcing HR

Companiile, care oferă servicii externalizate de resurse umane precum calcul salarial, diverse servicii HR, recrutare, leasing de personal  sunt o categorie aparte din punctul de vedere al […]

Call-center

Activitățile de tip call-center presupun o relație directă cu un grup larg de persoane vizate. Există câteva aspecte cheie și provocari  pentru că cerințele Regulamentului să fie […]

Cerințele Regulamentului și soluții concrete

Regulamentul 679/2016 are cerințe specifice obligatorii, pe care le adresam corespunzator

Respectarea principiilor

Art. 5 GDPR: Principii legate de prelucrarea datelor cu caracter personal:

Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil și transparent …
(b) colectate în scopuri determinate, explicite și legitime….

(c) adecvate, relevante și limitate la ceea ce este necesar….

(d) exacte și, în cazul în care este necesar, să fie actualizate;…

(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; ….
(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal….

(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare (“responsabilitate”).

 

Evaluare temeiuri legale prelucrare

  1. Determinare corectă a temeiurilor legale pentru fiecare prelucrare de date: obligatie legală, contractual, interes legitim, consimțământ, interes vital, interesul public
  2. Documentare și referințe la cadrul legislativ intern și european cu privire la temeiul obligației legale
  3. Documentarea corespunzatoare în scris a interesului legitim cf Art. 6.1(f) pentru fiecare prelucrare din perspectiva testului scop/necesitate/echilibru
  4. Întocmirea cererilor de consimțământ în forma adecvată

Evaluare perioadă de retenție date

  1. Evaluarea conformității perioadelor de retenție a datelor conform prevederilor legale
  2. Evaluarea conformității perioadelor de retenție a datelor conform temeiurilor legale
  3. Recomandări cu privire la perioadele de retenție dincolo de timpii standard
  4. Propuneri și proceduri de distrugere securizată a datelor dupa expirarea perioadelor de retenție

Evaluare relevanță date prelucrate în raport cu scopul prelucrarii

  1. Analiza posibilităților de identificare a persoanelor vizate (caracter personal al datelor)
  2. Analiza datelor prelucrate și determinarea setului minimal în raport cu scopul propus
  3. Auditarea relevanței datelor din prelucrarile de date cu caracter personal
  4. Auditarea existenței refolosirii datelor în alt scop decât cel inițial declarat
  5. Auditarea măsurilor care asigură că datele sunt exacte

Evaluarea prelucrărilor de date sensibile

  1. Evaluarea corectă a tuturor datelor sensibile așa cum sunt ele definite în Art. 9 GDPR
  2. Evaluarea altor categorii de date care nu sunt menționate expres dar care au impact major în breșele de securitate
  3. Evaluarea categoriilor de date și prelucrărilor cu regim special menționate în Legea 190/2018
  4. Evaluarea corectă a temeiurilor legale ale prelucrărilor de date sensibile conform Regulamentului și Legii 190/2018
  5. Recomandări cu privire la riscul de prelucrare și măsurile necesare de protecție

Evaluarea prelucrărilor cu privire la infracțiuni

  1. Evaluarea respectării cerințelor legale cu privire la cazierul judiciar din punct de vedere al legislației interne și a Regulamentului
  2. Recomandări cu privire la posibile prelucrări alternative ale datelor cu privire la infracțiuni
Sună și află detalii!

Drepturile persoanei vizate

Art 12 Alin 1 GDPR: Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate:

Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil. Informațiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace.

Read more

Abordarea drepturilor persoanelor vizate

  1. Procedura de abordare a cererilor persoanelor vizate
  2. Matricea drepturilor persoanelor vizate în funcție de temeiul legal al prelucrarii
  3. Modalitățile de identificare a persoanelor vizate
  4. Registrul de evidență al cererilor persoanelor vizate

Raspunsul la cererile persoanelor vizate

  1. Stabilirea caracterului gratuit al răspunsului către persoana vizată de la caz la caz
  2. Modalitățile de a raspunde cererilor persoanelor vizate
  3. Formulare standardizate puse la dispozitia persoanelor vizate

Asistență cereri persoane vizate

  1. Ca și DPO externalizat vom răspunde cererilor persoanelor vizate în mod corespunzator
  2. Ca și DPO externalizat vom media și trata corespunzator toate plângerile către Autoritatea de Supraveghere
  3. Putem gestiona comunicările către persoanele vizate în cazul breselor de securitate atunci cand legea o impune într-un mod eficient
  4. Putem gestiona toate cererile de consultare către Autoritatea de Supraveghere în numele tău

 

Documente specifice

Extras din Art. 30 GDPR : Evidențele activităților de prelucrare:

Fiecare operator și, după caz, reprezentantul acestuia păstrează o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor.
Fiecare operator și, după caz, persoana împuternicită de operator păstrează o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele operatorului
Evidențele menționate la alineatele (1) și (2) se formulează în scris, inclusiv în format electronic
Operatorul sau persoana împuternicită de acesta, precum și, după caz, reprezentantul operatorului sau al persoanei împuternicite de operator pun evidențele la dispoziția autorității de supraveghere, la cererea acesteia.

Read more

Analiza GAP

  1. Efectuare de analiză GAP inițiala cu privire la nivelul de conformare la cerințele Regulamentului
  2. Raport de evaluare inițial bazat pe chestionare și interviuri telefonice
  3. Analiză GAP postimplementare
  4. Recomandări postimplementare

Registre de evidență

  1. Registrul de evidență Operator
  2. Registru de evidență Persoana împuternicită
  3. Registrul cererilor persoanelor vizate
  4. Registrul de risc al prelucrărilor
  5. Registrul de evidență a relației cu ANSPDCP
  6. Registrul de evidență a breșelor de securitate

Note de informare

  1. Inventarierea tututor categoriilor de persoane vizate
  2. Evaluarea datelor cu caracter personal ale persoanelor vizate  care trebuie menționate
  3. Evaluarea tuturor persoanelor împuternicite care prelucrează datele fiecărei categorii de persoane vizate
  4. Întocmirea notelor de informare conform Art. 13 și Art 14 GDPR
  5. Distribuirea corespunzătoare a notelor de informare

Formulare de consimțământ

  1. Centralizarea tututor prelucrărilor care au ca și temei legal consimțământul persoanelor vizate
  2. Evaluarea condițiilor legale ale consimțământului conform Art. 7 GDPR pentru fiecare prelucrare de date
  3. Propuneri tehnice pentru îndeplinirea cerințelor legale: opt-in, dublu opt-in, opt-out
  4. Redactarea formularelor de consimțământ conform cerințelor Art. 7 și Art 13 GDPR

Formulare de evaluare a interesului legitim

  1. Evaluarea tututor prelucrărilor care au la bază interesul legitim
  2. Documentarea corespunzătoare a cadrului legal care sprijină temeiul legal al interesului legitim
  3. Evaluarea datelor de identificare naționale care sunt prelucrate în interese legitim și a condițiilor suplimentare conform Legii 190/2018
  4. Întocmirea formularelor de documentare pentru fiecare prelucrare de date personale efectuată în interes legitim

Analiza de impact

  1. Analiza prelucrărilor care necesită analiza de impact în mod standardizat conform deciziilor ANSPDCP
  2. Coordonare analiză de impact
  3. Utilizare de soluții software standardizate pentru analiza de impact conform recomandarilor EPDB

Evaluare standardizată breșe de securitate

  1. Procedura de abordare a breșelor de securitate a datelor cu caracter personal
  2. Instrumente software care documentează și recomandă necesitatea raportării breșei de securitate către ANSPDCP de la caz la caz
  3. Registrul de evidență a breșelor de securitate
  4. Alte documente suport și cazuistică care evaluează în mod corespunzator o breșă de securitate a datelor cu caracter personal

Masuri organizatorice

Art. 24 GDPR : Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.

Contacteaza-ne

Inventar și analiza datelor

  1. Inventarierea datelor personale pentru fiecare departament
  2. Analiză de risc
  3. Analiză de impact (DPIA)

Instruire personal

  1. Iți oferim materiale de prezentare a Regulamentului
  2. Analizăm organigrama și atribuim responsabilități specifice fiecărui rol
  3. Putem evalua pregătirea personalului cu privire la regulile și legislația specifică protecției datelor cu caracter personal
  4. Procedura de evaluare a competențelor

Politici și proceduri

  1. Politici și proceduri cu privire la analiza datelor cu caracter personal
  2. Politici și proceduri cu privire la confidențialitatea datelor
  3. Politici și proceduri cu privire la drepturile persoanelor vizate
  4. Politici și proceduri cu privire la operatori și persoane împuternicite
  5. Politici și proceduri cu privire la transferurile de date
  6. Politici și proceduri cu privire la bresele de date cu caracter personal

Masuri tehnice

Extras din Art. 32 GDPR :

Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc

Read more

Evaluare infrastructură IT

  1. Inventariere sisteme de calcul
  2. Evaluarea măsurilor tehnice existente de protecție a datelor
  3. Verificarea locației efective de stocare a datelor (cloud)
  4. Verificare existență transferuri de date pentru servicii și produse în regim externalizat

Politici și proceduri IT

  1. Politica de securitate a informatiei
  2. Politici de securitate a serverelor
  3. Politici de securitate a stațiilor de lucru
  4. Politica cu privire la control accesului
  5. Politica cu privire la dispozitivele mobile
  6. Politica cu privire la salvarea datelor și reziliența
  7. Politica de securitate a rețelei
  8. Politica antimalware
  9. Politica de utilizare acceptabilă a resurselor IT
  10. Politica de utilizare a criptografiei

 

Tratament diferențiat al datelor

  1. Clasificarea datelor în funcție de confidențialitatea și sensibilitatea lor
  2. Recomandări cu privire la etichetarea datelor
  3. Recomandări cu privire la proceduri tehnice de acces diferențiat la date
  4. Recomandări de soluții tehnice de protecție a datelor stocate și în tranzit
  5. Recomandări cu privire la securitatea datelor ținând cont de CIA (confidențialitate, integritate, accesibilitate)

 

Proceduri cu privire la incidentele de securitate

  1. Procedura cu privire la incidentele de securitate a datelor
  2. Distribuirea corectă a rolurilor în organizație în cazul unui incident de securitate
  3. Determinarea existenței unei breșe de securitate a datelor cu caracter personal în cazul incidentelor de securitate
  4. Evaluarea obligației legale de a raporta breșa de securitate a datelor cu caracter personal la ANSPDCP într-un mod standardizat și documentat

 

Operatori și împuterniciți

Extras din Art 28 GDPR: Persoana imputernicita de operator

 În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate

Read more

Evaluarea contractelor comerciale din perspectiva GDPR

  1. Formulare standardizate de evidență a contractelor comerciale
  2. Selecția furnizorilor care au calitatea de persoane împuternicite conform Regulamentului
  3. Stabilirea furnizorilor care au calitatea de persoane subîmputernicite

 

Stabilirea calitații de operator / persoană împuternicită

  1. Evaluarea scopurilor și mijloacelor prelucrarii pentru a determina în mod corect calitatea de operator independent, persoană împuternicita, operator asociat  sau subîmputernicit
  2. Recomandari cu privire la cerințele legale, care adresează fiecare situație  în parte
  3. Consiliere și reprezentare în relația cu partenerii comerciali în vederea stabilirii calității de operator/persoana împuternicita care să-ți asigure responsabilitățile minime cu privire la prelucrari
  4. Opinii bazate pe cazuistica Autoritaților de Supraveghere europene precum și pe recomandările grupurilor de lucru EPDB

Acorduri de prelucrare date cu caracter personal

  1. Analiza și inventarierea datelor prelucrate în calitate de operator
  2. Analiza și inventarierea datelor prelucrate în calitate de persoana împuternicită
  3. Întocmirea de instrucțiuni scrise de prelucrare
  4. Gestionarea autorizărilor persoanelor subîmputernicite
  5. Evaluarea perioadelor de retenție specifice prelucrarii
  6. Stabilirea condițiilor de securitate a prelucrărilor obligatorii pentru persoanele împuternicite
  7. Elaborarea de note de informare a operatorilor pentru neconformitațile dintre instructiunile de prelucrare și conditiile legale
  8. Elaborarea și asistența cu privire la acordurile de date personale necesare în relația operator/persoana împuternicita și operatori asociați

Evaluarea persoanelor împuternicite

  1. Evaluarea standardizată și documentată a gradului de conformare la Regulament a tuturor furnizorilor care au calitatea de persoana împuternicita
  2. Evaluarea standardizată și documentată cu privire la nivelul de protecție IT a datelor cu caracter personal prelucrate de împuternicit în numele operatorului
  3. Stabilirea condițiilor de auditare a persoanelor împuternicite
  4. Consiliere cu privire la nivelul minim de pregatire al persoanelor împuternicite în funcție de prelucrările externalizate

Acorduri de date dintre operatori asociați

  1. Stabilirea responsabilităților fiecarui operator asociat
  2. Evaluarea conformării la prevederile Regulamentului a operatorilor asociați
  3. Stabilirea măsurilor minime de securitate cu privire la siguranța datelor cu caracter personal prelucrate în comun
  4. Redactarea notei de informare către persoanele vizate cu privire la acordul de date personale dintre operatorii asociați
  5. Consiliere și reprezentare în relația cu operatorii asociați

Responsabilul cu protectia datelor

Extras din Art. 37 GDPR :

(1) Operatorul și persoana împuternicită de operator desemnează un responsabil cu protecția datelor ori de câte ori:
(a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
(b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau
(c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, menționată la articolul 9, sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată

Read more

Evaluarea domeniului de activitate

  1. Evaluarea domeniului de activitate si a posibilelor prelucrari de date in interes public
  2. Evaluarea incadrarii prelucrarilor la activitari principale
  3. Evaluarea documentata a existentei monitorizarilor periodice si sistematice bazata pe un instrumente de scoring
  4. Evaluarea documentata a prelucrarilor pe scara larga bazata pe un instrument de scoring

 

Evaluarea necesității desemnării DPO

  1. Evaluarea necesității desemnarii unui responsabil cu protecția datelor
  2. Evaluare și recomandări cu privire la criteriile de incompatibilitate a responsabilului cu protectia datelor
  3. Evaluarea gradului de pregatire al responsabilului cu protecția datelor
  4. Stabilirea de roluri și responsabilități ale DPO
  5. Notificarea Autorității de Supraveghere cu privire la numirea unui DPO

DPO externalizat

  1. Crowe Romania poate îndeplini rolul de DPO externalizat prin personal specializat
  2. Crowe Romania desemnează nominal  un specialist care te va reprezenta în relațiile cu terții, inclusiv Autoritatea de Supraveghere
  3. Monitorizarea permanentă a prelucrărilor tale de date
  4. Furnizare de consultanță specifică
  5. Gestionarea registrelor de evidentă
  6. Reprezentare în relația cu Autoritatea de Supraveghere

 

Cerințele Legii 190 /2018 și soluții concrete

Legea de implementare a Regulamentului impune cerințe suplimentare cu privire la protecția datelor cu caracter personal

Prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea

Art 3 Legea 190/2018:

(1)Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimţământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziţii legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate. (2)Prelucrarea datelor privind sănătatea realizată în scopul asigurării sănătăţii publice, astfel cum este definită în Regulamentul (CE) nr. 1.338/2008 al Parlamentului European şi al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum şi la sănătatea şi siguranţa la locul de muncă, publicat în Jurnalul Oficial al Uniunii Europene, seria L, nr. 354/70 din 31 decembrie 2008, nu se poate efectua ulterior, în alte scopuri, de către terţe entităţi.

Procese automatizate și crearea de profiluri

  1. Stabilirea și evaluarea existenței de procese decizionale automatizate
  2. Stabilirea prelucrărilor de date care realizează pofiluri ale persoanei vizate
  3. Analiza de impact pentru prelucrări cu risc înalt

Consimțămantul persoanei vizate

  1. Evaluarea datelor implicare în procesare
  2. Întocmirea formularului de consimțământ explicit
  3. Gestionarea corectă a proceselor decizionale automate conform cerințelor Regulamentului

Evaluarea cadrului legislativ specific

  1. Evaluarea prevederilor legale cu privire la prelucrarea de date genetice, biometrice și privind sănătatea
  2. Stabilirea temeiului legal bazat pe obligație legală sau consimțământ

Măsuri de protecție a datelor

  1. Evaluarea infrastructurii care prelucreaza datele
  2. Analiza de risc cu privire la prelucrarea datelor
  3. Analiza de impact cu privire la prelucrarea datelor
  4. Stabilirea de masuri tehnice și organizatorice corespunzatoare precum: criptarea, pseudonimizarea sau anonimizarea
Sună și află detalii!

Prelucrarea datelor cu caracter personal în contextul relaţiilor de muncă

Extras din Legea 190/2018 Art 5:

În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

Read more

Evaluarea prelucrarilor cu caracter de monitorizare

  1. Identificarea prelucrărilor pe baza de scoring care pot fi considerate monitorizari ale angajaților (raportarea timpului efectiv lucrat, a activității online, a conținutului corespondenței, etc)
  2. Evaluarea încadrării sistemelor de supraveghere video
  3. Evaluarea încadrării sistemelor de supraveghere audio
  4. Evaluarea încadrării sistemelor geolocație

Evaluarea interesului legitim

  1. Documentarea corespunzatoare a cadrului legal care sprijină temeiul legal al interesului legitim
  2. Evaluarea scop/necesitate/echilibru și documentare
  3. Întocmirea formularelor de documentare pentru fiecare prelucrare de date personale efectuată în interes legitim

Măsuri de conformare

  1. Documentarea interesului legitim prevalent asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate
  2. Informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor
  3. Consultarea si informarea sindicatului sau, după caz, a reprezentanţii angajaţilor
  4. Documentarea altor  forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa
  5. Stabilirea de perioade de retenție conform legii

Prelucrarea unui numar de identificare national

Extras din Legea 190/2018 Art 4:

(1)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, se poate efectua în situaţiile prevăzute de art. 6 alin. (1) din Regulamentul general privind protecţia datelor.

Read more

Inventariere date

  1. Inventarierea tuturor documentelor și prelucrărilor care conțin date de identificare națională
  2. Evaluarea temeiurilor legale în baza cărora se efectuează aceste prelucrări

 

 

Limitarea prelucrărilor datelor de identificare națională

  1. Demonstrarea caracterului adecvat, relevant și limitat la ceea ce este necesar cu privire la prelucrările ce conțin numere de identificare națională
  2. Indicarea cazurilor din legislația națională care exclud interesul legitim
  3. Limitarea prelucrărilor datelor de identificare națională în interes legitim
  4. Stabilirea de alternative în ceea ce privește temeiul legal al prelucrării

Măsuri legale în prelucrările de date de identificare naționale

  1. Stabilirea de măsuri tehnice şi organizatorice adecvate pentru
    respectarea, în special, a principiului reducerii la minimum a datelor
  2. Numirea unui responsabil pentru protecţia datelor si notifiacrea Autoritatii de Supraveghere
  3. Stabilirea de termene de stocare în funcţie de natura datelor şi scopul
    prelucrării
  4. Instruirea periodică cu privire la obligaţiile ce le revin a persoanelor prelucrează date cu caracter personal.

Prelucrarea datelor cu caracter personal şi de categorii speciale de date cu caracter personal, în contextul îndeplinirii unei sarcini care serveşte unui interes public

Extras din Legea 190/2018 Art. 6 :

În cazul în care prelucrarea datelor personale şi speciale este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public conform art. 6 alin. (1) lit. e) şi art. 9 lit. g) din Regulamentul general privind protecţia datelor se efectuează cu instituirea de către operator sau de către partea terţă a următoarelor garanţii:

Read more

Evaluarea încadrării temeiurilor legale de prelucrare

  1. Analiza obiectelor de activitate
  2. Stabilirea documentată a activităților ca aparținând interesului public, inclusiv pentru operatorii privați
  3. Stabilirea raporturilor operator/persoana împuternicita/persoana subîmputernicita și determinarea corecta a responsabilitaților

 

Măsuri legale în prelucrarile de date de interes public

  1. Stabilirea de  măsuri tehnice şi organizatorice adecvate pentru
    respectarea principiilor privind protecţia datelor
  2. Numirea unui responsabil pentru protecţia datelor
  3. Stabilirea de termene de stocare în funcţie de natura datelor şi scopul
    prelucrării
  4. Stabilirea de  termene specifice în care datele cu caracter personal
    trebuie şterse sau revizuite în vederea ştergerii