PROTECTIA DATELOR CU CARACTER PERSONAL Ghid introductiv pentru angajati ‘Adrian Munteanu - CIPM, CISA, CRISC criptare simtaminAdrian Munteanu este profesor universitar doctor in eadrul Facultait ide Economie $i Administrarea Afacoriior Univ. Alexandru Toun Ciza din lasi, unde pred cursuri despre securitatea informayiiior, auditul sistemelor | Din februarie 2017 este co-presetintele flialei din Romania a LAPP (International Association of Privacy Professionals psi/iapp ore about chains/knowl si instructor pentru cursuri certificate IAPP. Este expert ENISA (European Union Agency for Network and Information Security, 2014) in donentul managemenului riscurilor. De asemenca, este Certified Information Privacy Manager (CIPM, 2017), Computer Information System Autitor (CISA, 2006). Certified in Risk ‘and Information Systems Control ‘CRISC, 2010), COBIT Foundation Certificate (2009), ITH. Foundaton Certificate (2007). nformayionale, guvernare si managementul servictlor IT. Arco experienté de peste 10.ani in si protecte de arelit @nternet banking, securiuue IT, proiecte IT, proiecte finantate prin fonduré UE} . consultant (continuitatee afacera, analiza de impact, analiza decalajelor, evaluarea maturitayi proceselor, evatuarca riscuritor, salut tehnice de securitare - DLP SIEM, endpoint ete): fi implementarea de standarde si bune practici de securitate (ISO 27001, COBIT, ISO 200001711) insiruire ITC (CISA, CIPD: © Adrian Munteanus, 2017-2018 Reproducerea acestui material fird acordul autorului constituie 0 incdleare a legit. Acest ghid grupeact intr-o forma structurati aricolele publicate in intervalul 2016-2018 ta adres bhttp:/adimunteanu.com sau www.linkediCUPRINS ‘Captlul 1 - RGULAMENTUL (UE) 2016/679 1.4 GDPR- pricipalele nowtati : : 7 1.2 Amenzi pentru nerespectarea cerintelor... 13 Relevanta GDPR pentru organizatie, 14 Domentul de aplicare sl acoperire 15 Drenturile persoanel vizate = . 2 Capitlul 2- Bune practic - management programul... a5 2.1 Cilul de viag al program. a aris) 22 Pregitirea programului \ . : 16 2.2.1 Implicarea managementului si ediearea parfilor implicate ..sereenneneel 2.2.3 Ciclul de viata datelors 23 Operarea programului oA 23.1 Principiile GDPR . sos 19 123.2 Moditcarea comportamentuli la nivel operational 20 2.3.3 Coréile persoanei vizate 20 234 Incalearea securiti... 20 24 Intresinerea programUltawwsnnenmumnnunsnnennninennnnnnnnnnnnindh 24.1 Responsabiltatea enn Seer eens teneeetene eZ) 24.2 Rapottared.onnon smn 24.3 Infelegereaschimbarilor organizationale sia impactului asupra datelorpersonale a 24.4 Prelucrarea datelor de citre tert 2 Capture progam Ei omz3) $31 Definirea programului de management asecuritati datelor personale odAdrian Munteanu - Ghid introductiv Protectia datelor personale 3.4.1 Comportamente adecvate protectie datelor personale..... nh 3.1.2 Manageri care trebule implica, 24 32 Inveleyeres rolurilor definite in GDPR. 24 3.2.1 Injelegerea rolului personal 7 3.2.2 Ce date personale controlezi ~ ~ 28 3.2.3 Cartografierea/inventarierea datebr si activtatllor de preluerare 0.029 3.2.4 Cererile angajaylor sclentior. sens 0 3.2.5 Educarea angajatlOr eon at 3.2.6 Transferul datelor personale. 32 3.3 Managementul incidentel0r on 7 32 33.1 Protectia datelor din momentul concepe! 32 4.2 Consmimtsinint s transparent 34 apitlul 4-Prepitira organiza 36 44 Pregiticea conformitati cu GDPR. 36 42 Bvaluarea initial (Gap Analysis) .etinsinsinennnsoninninsnnsnnnsnsed) 4.2.1 Kdentficarea punctelor de colectare «datelor personal... oT 42.2 Nauitai tert 7 4.2.3 Actiitafile urente de prelucrarea ditelor. : eeneneatat] 4.2.4 Bvaluarea risculti asociat activitatior de prelucrare eo 42.5 Actualizarea politicilor, procedurilr si imformarilor.... sonnel 4.2.6 Rolul tehnologle! gla misurllor teblee nner Capitol 5-opeara, aa 5: Blemente generale. 5.1. Evidentele ativiailor de preluerae.. a3 51.2 Asigurarea legal prelucrat a7 5.3 Oblgati pivind transparent gl obtherea consimtimantulu 42 5.14 Administrarea ceerilor persoanele vizate 49 5.1.5 Managementul incidentelor.Adrian Munteanu — Ghid introductiv Protectia datelor personale 5.1.4 Transferul international si portablltatea datelor personale...ennen- SE apitlul 6-intretinere 54 46.1 Dover! cu privire a masuriletehnice si auiinistraive sa wepCAPITOLUL 1 - REGULAMENTUL (UE) 2016/679 REGULAMENTUL' (UE) 2016/67 AL PARLAMENTULUI EUROPEAN $1 AL CONSILIULU! din 27 aprilie 2016 frivind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95 /46/CE (Regulamentul ‘general privind protectia datelor) este o imbunatatire a Directivei 95/46/CE 4 Parlamentului European si a Gorsiliulut (4) vizeaz armonizarea nivelului de protectie a drepturilor si libertitilor fundamentale ale persoanelor fizice ‘in ceea ce priveste activitatile de prelucrare si asigurarea liberei circulatii a datelor cu caracter personal intre statele membre. La nivel national, Legea 67/2001 (cu actualiziri) transpune cerintele Directivei 95/46 in legistatia noasta, DPR asigur& persoanelor vizate (cetiteni ai UE ale ciror date sint prelucrate) respectarea anumitor drepturi si impune protejarea datelor personale, Dupa cum vom detalia in acces ghii, datele personale pot include, fird insi a se limita Nume si prenune ‘Numérul conti bancar Adresa de domly Datele despre sindtate Numeirul pasaporeutul Adresa de emai’ Fotografia Numele de utilizator v ¥ ¥ v ¥ v ¥ a Date personale: Gigei Popescu are ochit verzi. Date ananime: Oameail au ochi albastri Pseudonim: X are ochif verzi. * nape ineerops uence R/T Pech ROE Rem PHI ENON éAdrian Munteanu — Ghid introductiv Protectia datelor personale 1.1 GDPR - PRINCIPALELE NOUTATI Dintre modificirile aduse de Regulment, amintim: YY Extinderea seopulul teriterial (nu conteaz’ daca seditl operaterulu este in UB) Y Gartografierea (Inventarierea) datelor personale YY — Amenzi mai mari (pind la % din cifra de faceri sau 10 milioane euro; pind la 4% din cira de afaceri global sau 20 milioane euro) in anumite conditit obligativitatea angajarii unui responsabil cu protectia datelor (RPD) Y- Ubligatii extinse pentru operatori (organizatille care eolecteaza si administreaza datele personale ale cetitenilor europeni) ¥ Obligatiidirecte pentru personale imputernicite de operatori (orice “organizatie care prelucreaza date personale in numele operatorulul) Yo obligtivitaten tapurtins fwedieih mndus ily de seen itate fi termen de 72 de ore din nomentulidentificdri (in cazul riscurilor ridieate) Mai multe drepturi pentrv persoanele vizate (de exemplu dreptul la portabilitatea datelor)A hid introductiv Protectia datelor personale fan Munteanu 1.2 AMENZI PENTRU NERESPECTAREA CERINTELOR Dupa data de 25 mai 2018, conpaniile care nu vor respecta cerintele Regulamentului pot fi supuse unorsanctun administrative sou amen. Cuantumul amenzit administrative se stabileste tindnd cont de natura, gravitatea si durata incaledri, caracterul intentionat sau negiijent al icileari, ‘gradul de responsabilitate al persoanei fizice sau juridice si incdlcérile anterioare ale acesteia, mésurile si procedurile tehnice si organtzatorice implementate in conformitate cu Articolul 23 si gradul de cooperare cu utoritatea de supraveghere pentruremedierea ined © Amenzile pot ajunge pin 1a 2% din cifra de afacerl sau 10 milioane de euro, 1.3 RELEVANTA GDPR PENTRU ORGANIZATIE Pot fi identificati mai mult factori care vor influenta relevanta GDPR pentru fiecare organizatie in parte. In general, dacd organizatia dumneavoastra colecteazi si prelucroazi date ale cetétenilor curopeni, atunci intra sub Incidenta regulamentuli, Regulamentul are in vedere ,dlatele cu caracter personal ‘orice informatit privind 0 persoand fizicd identifieati saw identificabili —(Spewsoanavizata’); 0 persoand fic identificabila este 0 perseand care poate fidentificats, direct sau ‘indirect fn special prin referire la unelement de identificare, cur ar fitun nume, un numa de identficare, date de localizare, un idemificator online, sau tr unul sau mai multe elemente specifice, roprit identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sausociale;Adrian Munteanu — Ghid introductiv Protectia datelor personale General Organizational + Nume + acess personalities + Gen + Numie de telefon + Vita datas personay/atacare + torent + Adresé email personali/stcere + cocienie + Marca + Aiba mater + eno + Stareadesinitate format penta vera Ades P ier + Cookies c Cu cit organizatia colecteaza si prelucreazi mai multe date, cu atét este mai robo caacete,guseimmneunisi cnduladentifcaeauneinersoan Acost lucru Inseammd si un rise mai mare aseciat cu protectia sau uti datelor in conditii sigure. Conform Preambul 26, datele anonime sint datele care: Y mu sunt legate de 0 persoand flzict Identificatt sau fdeneificabite Y sunt anontmizcte astfel tnedt persoana vizatéi nu este sau nu mai este identificabila Pseudonimizare inseanni prelucrarea datelor cu caracter personal fntr-un asemenea mod incat acestea s% nu mai pot fi atribuite nei anune persoane vizate feria se utiliza informatii suplimentare, cu conditia ca aceste informat suplimentare si fie stecate separat si si faci obiectul unor masuride natura tehrica si organizatoricd care sa asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificite sau identificabile,dl introduectiv Protectia datelor personale ‘anopingeandiie | Teles [oo laererateack toma demon Comunici Cu anumite except, Regulamentul interzice prelucrarea categorillor speciale de date: coriginea rasial sau etnict ‘opinillepoitice confesiunea religioasi sau convingerile Alozofice -apartenenta la sindicate prelucrarea de date genetic, de date blometrice pentru letificarea unici aunei persoane fice date privind sindtatea sau de date privind viata sexuala SESS SKN ¥ vocea inregistrata pe un robot telefonic ce ofera instructiunt clientilor ar trebui considerata dati cu caracter personals, 1 Imaginile inregisteate de un slatem de supraveghere video ar trebui considerate date cu caracter personal in masura in care petsoanele pot fl identificat Valoarea unei proprietiti este o informatie despre un obiect care apartine urel persoane identificabili. In anumite circumstante 0 astel de Informatie poate fi considerati data ‘cu caracter personal; Inregistrarile cu reparatile unei masini, intr-un service sunt Informatit despre un obiect care apartine unel persoane identificabils, In anumite circumstante aceste informatii ar trebul consideratedate cu caracter personal.telor personale Ghid introductiv Protec Adrian Muntean 1.4 DOMENIUL DE APLICARE $1 ACOPERIRE Spre deosebire de Legea 67/2001 care avea aplicabiltatea .teritoriald GDPR are aplicabiltate extrateriterial.: v se aplicd prelicririi datelor cu caracter personal, efectuata total sau partial prin mijloace automatizate, precum si prelucrarii prin alte mijloace decat cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evideaga a datelor sau care sunt destinate si faci parte dintr-un sistemde evident a datelor. ¥ se aplicd preluerarii datelor cu caracter personal in cadrul activititilor unui sediu al unul operator sau al unei persoane imputernicite de operator pe teritoriul Untunil indiferent daca prelucrarea are loc sau nu pe teritoriul Uniunii. Intentia a fost de a face aplicabil Regulamentul atit fn interiorul UE cit si in afara sa, dacd se aplicd cetatenilor europeni Dacé operatorul sau persoana fmputernicita din afara UE prelucreaza date cu caracter personal ale celdtenilor europeni cu scopul de a furniza bunuri sau servicil citre acestia sau pentru 2 le monitoriza comportamentul, atunci 1cea organiaatie intri sub incidenta GDPR. ‘egistrarea atheselor IP poate fi interpretata in anumite Folosirea cooki circumstange ca flind ,monitorizare,*, pentru orientari care trateazi/detllat aspece specifice ale GDPR trebule studiae/cite shidurile publicate de WP29,A fan Munteanu hid introdu 1.5 DREPTURILE PERSOANEI VIZATE iv Protectia datelor personale Transparent, informare — Art. 12, 13 wh o Acces ~ Art. 15 Rectificare ~ Ar. 16 Stergere- Art. 17 Portabilitate— Art. 20 ine ® Restrictionare ~ Art. 18 % Wy Opozitie ~ Art. 22 Articolele 13 51 14 din Regulament precizeaza care sint informatiile care trebuie aduse la cunostinta persoazei vizate: ‘nformatifurnizate Tentatea 1 datele de contac ale operatorulul si. dupa cam, ale Feprezentantul acest Datele de contact ale responsabilulu euprotecta date, dup exe Scopurile in care sunt _prelucrate datele ew earacter personal, precum temeiljaridi al prebueraei, Corogorile de date ou caracter personal vizate; Destinatarl sau categorlle de dlestinatari al “datelor eu catacter Ditele cu caracter personal ‘sunt cdectat de la persoana vizath (Art, 1 DA Da Datele cu caracter personal nu au Fostobtinute de a persoana vizati (arcs) Da DA DA DA DaAdrian Munteanu — Ghid introductiv Protectia datelor personale personal, dup ez: intenia foperatorulul de a transfera date cu ‘aracter personal tre un destinatar intro gard ter sau o organiza inermationslt Perioada pentru care vor fl stocate Da DA datele cu earacter personal sau, dacd acest Iucru nt este posibil,eiterile uilizate pentru a stabil aceasta perioad: Interesole Tegitime —wnmarite de DA DA ‘operator sau deo parte ters: ‘Accesul Ta acestea,rectificarea sau DA Da ‘stergerea acestora sau restriionarea prelucran sia dreptulul dese opune prelucriri, precum si a drepeulu la porabuitaea dateor, Retragerea consimtamdntuli tn orice DA Da moment, firi a afecta_legalitatea prelucrintefectuate pe Baza cconsimimantalsi—inainte de Fetragerea acest: Dreptul dea depune o plingere i ata DA, Da une autoritit de supraveghere; ‘sursa din. care provin datele. cu Da ‘aracter personal si, dacd este cal, ddaci acesteaprovin din sunse “sponibile publics acd furnizarea de date ey caraeter DA personal reprevine obligaty legal Sau contractual sa 0 oblige necesari pentru incheieres unui contract, prevum. 3b daci_ persoan Viatieste obligat si frnizere aveste date cu caracter personaly care sunt feventtalele exnsecingo ale nerespeetiriacestel obliga; Existenta unl proces devizonal Da DA automatizat inclzind ctearea de profil informatipertinenteprivind logica utiliza si privind important si cconsecintele preconizate ale une ‘til de prelurvie pentru perwoan ira acd se intra sub incidenta Art. 13, oate datele trebuie furnizate in momentul objineril acestor date cu caracter personal. Dac se intr sub incidenja Art. 14: a os?xrAdrian Munteanu - Ghid introductiv Protectia datelor personale ¥Y intr-un termen rezonabil dup’ obtinerea datelor cu caracter personal, dar nu mai mare de o luni, tinindu-se seama de ‘ircumstantele specifice la care sunt prelucrate datele cu caracter personal; Y daci datele cu caracter personal urmeazi si fie utilizate pentru comunicarea cu persoans vizaté, cel térciu in momentul primei ‘comunicari catre persoana vizata respectiva; sau ¥ daci se intentioneazi divalgarea datelor cu caracter personal citre un alt destinatar, cel mai tirziu la data la care acestea sunt divulgate pentru prima oar’.Adrian Munteanu — Ghid introductiv Protectia datelor personale CAPITOLUL 2 - BUNE PRACTICI - MANAGEMENTUL PROGRAMULUI Protectia datelor este un proces care implici persoane, procese si tehnologic. 2.1 CICLUL DE VIATA AL PROGRAMULUL In acest ghid vom considera eX ciclil de viat& al programului poate f impartit {n troi faze (alte bune practici prezint& mai detaliat subiectul, dar ideile sunt aceleasi). In prima faza, partile intsresate ar trebui si fle implicate pentru a asigura. pregitirea organizational. Apol, echipele operationale vor ‘implementa proceduri compatibile cu GDPR. In ultima etapa, criteriile de asigurare sunt revizute si actualizate, apoi intregul ciclu de viaga se repeta. Conformarea cu GDPR nu este o adtivitate care se poate desfigura o singurd dati si gata, a terminat. Chiar dacdnu este mentionat explicit in Regulament, din. modul tn care sint scrise cerinfele rezulta ca abordarea conformaril trebuie si fie sub forma de ,program pentru protectia datelor.. program — structurd organizatorie’ flexibild creat pentru a coordona, 2onduce si superviza un set de protecte si activitati conexe pentru a oferi rezultate si beneficii legate de obiectivels organizatie Y portofoliu - setul de programe si proiecte independente destésurate in cadrul organizatiei. project ~ obtinerea unor rezultate fn timpul, costurile si calitatea agreate.Adrian Munteanu ~ Ghid introductiv Protectia datelor personale 2.2 PREGATIREA PROGRAMULUI Prima faz implici mai multe seturi de activititi distincte pentru se realiza procesul de conformitate cu GDPR, Odata cu asigurarea implicarii pirtilor Interesate, ar trebui alcatuita o echips de lucru, Functile relevante ale organizaiti si activititile de prelucrare a datelor trebuie 58 fie identificate si trebsie creat un registru cu date personale. Politicile de confidentialitate si anunturile ar trebui actualizate, iar personalul intern ar trebui si fle pregatit cu privire lacerintele regulamentului, “Can someone heb me with GDPR?" 2.2.1 Implicarea managemeatului si educarea partilor implicate La fel ea in cazul oric&rui proiect organizational major, implicarea conduceri ‘si asigurarea resurselor financiare sunt esentiale pentru punerea In aplicare ‘unuil program GDPR. ‘Toate partile implicate ar trebui s4 fie educate cu privire la contextul reylementiri ila impuctl Gnancir specific wsociat neconformii in plus, ar trebui si existe reprezentare din toate domenile de activitate din cadrul organizaiei, cum ar fi Resurse umane Achii Vanzari si marketing Tehnologia de informatie Securitateainformatilor Behipe de deavoltare Juridic, risc $i conformitate Servicile pentru clieni KS RRR KKK 6Adrian Munteanu — Ghid introductiv Protectia datelor personale In uncte de domeniul de activitat al companiel dvs, este posibil i avetio prezenfa locala sau regional (sau chiar globala). in companiile mai micl, s-ar Fecomanda si fe implicat direct manageri de top si cole relevant pentru a discuta impact potential al GDFR asupra organizatei dvs. Daci eompania dis, este mai mare sau global, atunclsesiunile de formare online pot flo modalitate mai practic’ de a initia constientizarea si disponibilitatea in ‘ntreaga organtzate. lial, ar trebul organizatl 0 echips de pregatire pentru GDPR. Dac sunteti un manager. de unit3ti functionale, probabil vet fl un reprezentant in echipa de pregitire, Echipa ar ‘rebui sf fie formata din sponsori la nivel de consiliu de administratie, responsabilul cu protectia datelar /DPO), reprezentanti din domeniul juridic, le Hise 31 de eontorvnltate gl unt jnuregul program de conformitate cu GDPR. wger de protect care va geste Odati ce echipa este instalat’, este vorba de planificarea oblectivelor, ctapelor si resurselor si asigurareaunei finantari adecvate pentru program, Exist costuri asociate cu initierea programului, dar vor cexista, de asemenet, costuri permanente asociate cu ‘operajiunile de respestare's intretinere a GDPR. 2.2.2 Identificarea datelor personale ‘Trebulie si existe un registru cu date personale prin care se gestioneazi legatura dintre datele personale asociate cu procesele economice, atat pe plan intern, eat si cu terte parti. Ca parte a acestui lucru, organizatia dvs. va trebui s3 inceapa si verifice relevanta si rationamentul din spatele stocaril sl prelucrarll datelor personale. Tata cfteva dintre Informatiile pe care organizatia dvs, va trebul s& le cunoasci cu privire la seturile dedate cu caracter personal Cedate sunt colectate? Deunde provin datele? Decesse colecteazé datele? Cum se proceseaza? Cine are acces? Cit imp sint pastrate datew? Cind si cétre cine se transferd datele? SARK RRSdl introduectiv Protectia datelor personale > DE CE? x CINE? cE? cIND? ~~ UNDE? WV WS VS Colectarea acestor Intr-un sistem d2 management comun vaoferi organtzatlel dvs, un registru central de date personale, care contine un set comun de documente referitoare la seturile de date cu date personale, de unde provin acestea, modul in care sunt procesate si de ce ete. GDPR prevede c& toate organizatile trebuie si implementeze politci adecvate de protectie a datelor care i descrie misurile tehnice si organizatorice necesare pentru a seasigura ci preluerareadatelor eu caraeter personal este efectuat3 In conformtate cu regulamentul in plus, trebuie si furnizati note privind confidentialitatea ca mijloe de a fl transparent cu clienfit dvs, asgurandu-va e4 stu cum vor f utlizate informatie tor. Ciclul de viata al datelor Regulamentul defineste .prelucrarea, ca flind: datelor cu caracter personal sau asupra seturtior de date cu caracter personal, cu sau ford utilizarea de mijloace automatizate, cum ar fi colectarea, inragistrarea, organizarea, strusturarea, stocarea, adaptarea sau ‘modificarea, extragerea, consultarea, wtilizarea, divulgarea prin transmitere, dseminarea sau punerea Ia dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distregerea 0} orice operatiune sau set de operatiuni efectuate asupra Operatiunile care se execuli asupra datelor, din momentul aparitiei lor, pentru a genera informattl semnifcative si relevante, sunt referite la un loc prin nofiunea de ,ciclul de viat3 al datelor/informatillor, sau ,guvernarea datelor/informatiilor, 8Este foarte Important si Klentificati si si injelegelt provesele ‘economice cu impact asupra datelor personale $i ciclul de viaga al acestora (vezi imagitea de mai sus). Dupa ce au fost intelese, procesele economice trobule s& fle evaluate in funcrie de rise $1 un set de actiuni de cemediere definite in cazul in care se descoperi ci nu existi conformitate. De exemplu nu a fost identificatd baza legali pentru o anumita operatiune de prelucrare a datelor cu caracter personal. 2.3 OPERAREA PROGRAMULUL Atunci cind se instituie un program de conformare, principiile directoare pot ajula sf arate strategla gi directia eorturilor unei organtzall, 2.3.1 Principiile GDPR Articolul 5 - Principit legate de pretucrarea datetor cu caracter personal: ‘pte nod ga eda wansprent (lea, eat wana Y= |# exacte gin cazul in care este neces, sb fe actualizate (,ennetitate”) | Deoarece operatorul este responsibil do respectarea principilor si poate demonstra aceasta respectare, aderarea la aceste principll Inc din faza deAdrian Muntean dl introduectiv Protectia datelor personale proiectare a programulul va contefoui la demonstrarea respectiril cerinjelor GDPR 2.3.2 Modificarea comportamentului la nivel operational Explicarea sl integrarea la nivelul erganizatiei a comportamentelor conforme oferd asigurari ch angalatli de la toite nivelurile opereaza In conformitate cu politicie si procedurile companie; in functie de rolurile lor respective din cadrul organiza De exemplu, departanentul de marketing poate procesa seturt de date cu caracter personal diferite fat% departamentul de| resurse umane si inti-un context diferit. Ca atare, ar trebui sa) existe proceduri operstionale pentru fiecare dintre acestea sl in fanctic de content. 2.3.3 Cererile persoanei vizate Regulamentul impune existenta unor instruetiuni clare prin care sint gestionate cererile persoanelor. Asa cum am prezentat in Capitolul 1, ersoanele vizate au drepturt si prin urmare este foarte important ca atit angajati cit si tertii care actioneaza in numele organizatiei s& poata identifica circumstangele care implica exercitarea drepturilor de catre persoana vizata 2.3.4 incalcarea securitati Incalearea securitati datelor cu caracter personal inseamna egal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizatd a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la ‘accesul neautorizatla acestea 7 ‘0 incleare a securitifii care duce, in mod accidental sau in cazul identificiril unel tne&lcirl, GDPR dlcteazé eX trebule furnizatt documentafia “cuprinzind faptele referitoare la incalcarea datelor, efectele acestela siactiunile de remediere. {In multe organizatii exist un Plan de continuitatea afacerii care la rindul su Include un Plan de refacere in cxz de incidente/dezastru, Aceste planuri trebuie modificate astfel incat si ircluda proceduri specifice pentru situatiile {in care sunt incSleate misurile de securitate a datelor personale: notificarea autoriil si/sau a persoanelor vizate,Adrian Muntennu - Ghid introductiv Protectia datelor personale 2.4 INTRETINEREA PROGRAMULUL Aceasta faza a managementului programului se desfasoara simultan cu precedenta i implica analiza periodicd a tuturor practicilor operationale cu privire la prelucrarea datelor perscnale. 2.4.1 Responsabilitatea in infelesul GDPR, responsabilitatea implic& demonstrarea modului in care sunt indeplinite obligauile ir legitura cu Y Prelucrarea dateler cu caracter personal in mod legal si precis, intr-o manira transparent ¥ Existenta unui mo:iv preeis 51 legitim de a prelucra datele ® personale © Poteavea datetor st caneeter porSeurl neal deat este necesar Y Asigurarea dateor _personale —impotriva _utiliziril neautorizate sau aplerderii accidentale 2.4.2 Raportarea GGDPR cere fie evaluat’ eficfenta practiciloroperationale legate de protectia datelor personale, Realizarea evaludrilor periodice ale eforturilor de respectare a leg raportarea acestora permite dovedirea responsabilitatit fata de organizatie, conducere, parle interesate, persoane vizate. © un proces pentru testarea, evaluarea st apreclerea periodice ale eficacttatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarti - Art. 32 (1) d) Eficacitatea programului de conformare continua necesita urmarirea unor Indicatori reali $i adaptarea proceselor in mod corespunzitor atunei cand sunt identifieste ahateri 2.4.3 Intelegerea schimbarilor organizationale si asupra datelor personale Majoritatea organizatiilor se aff intr-o stare aproape constant de schimbare, Ca atare, schimbarile organizafionale trebuie s& fie luate considerare in ceea ce priveste rrodul in care ele influenteazi activitatile de conformitate cu GDPR. impactului ‘Toate prolectele si initiativele majore din cadrul unel organtzatil trebule si fle analizate si din perspectiva Impactului asupra datelor personale si si fle 7