Specializarea Contabilitate și Informatică de Gestiune [615251]

Universitatea „Alexandru Ioan Cuza” din Iași
Facultatea de Economie și Administrarea Afacerilor
Specializarea Contabilitate și Informatică de Gestiune

LUCRARE DE LICENȚĂ
Securitatea datelor personale în context european
Anul universitar 2019/2020

Coordonator științific , Absolvent: [anonimizat]. Maximilian Robu Tudurache Șerban

Iași, 2020

2
Cuprins

Introducere ………………………….. ………………………….. ………………………….. ……………… 3
Capitolul 1 – Datele personale în context european. ………………………….. …………… 5
1.1. Date personale – prezent și perspective. ………………………….. …………………… 5
1.2. Normele europene privind securitatea datelor. ………………………….. …………. 6
1.2.1 Date generale despre noua reglementare – GDPR ………………………….. ….. 6
1.2.2 Cauzele apar iției GDPR (General Data Protection Regulation) …………… 7
1.2.3 Ce presupune GDPR? Drepturi și obligații. ………………………….. ……………. 8
1.3. Cadrul European de Securitate al datelor personale din per spectiva
legislației românești ………………………….. ………………………….. ………………….. 11

Capitolul 2 – Securitatea datelor personale ………………………….. ……………………… 12
2.1. Regândirea securi tății în companii. ………………………….. ……………………….. 14
2.2. Impactul GDPR asupra organizațiilor ………………………….. …………………… 16
2.3. Securitatea datelor personale din perspectiva procesatorului ……………… 18
2.4. Securitatea datelor personale din perspectiva operatorului ………………… 18
2.5. Politici și proceduri aplicate ………………………….. ………………………….. ……… 20

Capitolul 3 – Studiu de caz – Aplicarea GDPR în cadrul SC Casa Auto Lețcani
SRL ………………………….. ………………………….. ………………………….. ………………………. 22
3.1. Gestionarea datelor personale în cadrul SC Casa Auto Lețcani SRL …… 22
3.2. Securitatea datelor în cadrul SC Casa Auto Lețcani ………………………….. .. 28
3.3. Concluzii și propuneri ………………………….. ………………………….. ………………. 29
Concluzii ………………………….. ………………………….. ………………………….. ……………….. 31
Bibliografie ………………………….. ………………………….. ………………………….. ……………. 32

3
Introducere

Lumea în care tr ăim este marcată de evoluții tehnologice de amploare, exemple
grăitoare în acest sens sunt Internetul lucrurilor, Inteligen ța Artificial ă sau Blockchain. Ele
permit colectarea și prelucrarea unui număr infinit de date cu caracter personal. De asemenea ,
capacitatea de stocare a informațiilor este aproape nelim itată. La fel este și capacitatea de
analiză și procesare.
Dreptul la viață privată și dreptul la protecția datelor cu caracter personal au devenit
două dintre cele mai importante drepturi fundamentale ale societății moderne. Legislația
privind confidenția litatea datelor evoluează odată cu dezvoltarea tehnologiilor de colectare și
prelucrare a datelor cu caracter personal de la progresul rapid în prelucrarea electronică a
datelor , în anii ' 70. În țările occidentale, legislația privind confidențialitatea dat elor cu caracter
personal era deja în vigoare.
Primul mijloc de asigurare a confidențialității datelor a fost Actul de Protecție a
Datelor adoptat de statul federal german Hessen în 1970, Actul Suedez de Protecție a Datelor
adoptat în 1973 și Practicile de informare echitabile formulate de guvernul SUA în 1973. De
atunci, au fost lansate câteva alte inițiative privind reglementarea vieții private. Multe dintre
ele au implementat și au dezvoltat în continuare FIP -uri, precum ghidurile Organizației pentru
Cooperare și Dezvoltare Economică (OCDE), DIR95 și acum GDPR .
Ca urmare a dezvoltării tehnologice, împreună cu globalizarea, au apărut noi provocări
sporite pentru protecția datelor cu caracter personal . Deși noile tehnologii și servicii aduc
beneficii atât c ompaniilor, cât și consumatorilor, acestea generează, de asemenea, riscuri
grave de confidențialitate. Această situație poate scădea încrederea oamenilor în companiile
care colectează date pentru producerea serviciilor lor.1
În Capitolul 1 al prezentei luc rări vom pune bazele înțelegerii și descoperirii noului
regulament, GDPR. În prima parte a acestui capitol voi aborda tema datelor personale , ca mai
apoi să aflăm ce a dus la apariția regulamentului intrat în vigoare în data de 25 mai 2018. În a
doua parte a primului capitol, voi prezenta și defini termenii principali ai GDPR .
Capitolul 2 , numit Securitatea datelor din perspectiva procesatorului , a fost dedicat
înțelegerii rolului procesatorului de date urmărind modul în care acesta trebuie să abordeze
problema securității. Acest capitol se dorește a fi o punte între partea de teorie și partea
practică ce va fi reg ăsită în cadrul C apitolul ui 3.
Efectele Regulamentului de Protecție a Datelor Personale pot fi identificate cel mai

1 Tikkinen -Piri,C., Rohunen , A., Markkula , J., EU General Data Protection Regulation:Changes and implications
for personal data collecting companies, computer law & security review vol.34 2018

4
bine în companiilor ce au rela ții directe cu persoane fizice. Necunoașterea legislației poate
duce la abateri de la prevederile în vigoare, iar abaterile pot atrage după sine sancțiuni, amenzi
și penalități.
În prima parte a Capitolul ui 3, am încercat să surprind noile re sponsabilită ți legate de
GDPR din cadrul unei companii, ca mai apoi să analizez soluțiile de securitate implementate
în cadrul acesteia.
Realizarea documentării acestei lucrări s -a efectuat la SC Casa Auto Lețcani SRL.

5
Capitolul 1 – Datele personale în context eur opean .

Încă de la Brexit și alegerile americane din 2016, unul dintre cel mai discutat subiect
din lumea IT este despre cât valorează datele noastre personale. În cadrul acestuia apar tot
felul de întrebări precum: Ce sunt datele perso nale? Cât valorează acestea? Putem fi
manipula ți? Dac ă da, c ât de tare?
Dezvoltarea tehnologică rapidă datorită progresului puterii de calcul, a capacității
sporite de stocare și a tehnologiei avansate de rețea permite companiilor să colecteze, să
proceseze și să interconec teze datele într -un mod extins. Acestea tind tot mai mult să
folosească aceste date în diverse scopuri, cum ar fi servicii personalizate și marketing .
În orice scenariu posibil , atunci când faci cumpărături, navighezi pe Internet,
alimentezi ma șina cu com bustibil sau efectuezi teste medicale, identitatea poate fi separată de
restul informațiilor ce țin de tranzacți a efectivă. În acest capitol vom afla ce sunt datele
personale, ce a dus la apariția GDPR, importanța noului regulament și termenii cheie folosi ți
în acesta.

1.1. Date personale – prezent și perspective .

Datele cu caracter personal sunt orice informații care se referă la o persoană fizică
identificată sau identificabilă. Informațiile diferite , care adunate pot duce la identificarea unei
anumi te persoane , constituie și ele date cu caracter personal.2
În legislația din România, c onform articolului 3 din Legea 677/2001 , datele personale
sunt definite ca fiind: orice informa ii referitoare la o persoană fizică identificată sau
identificabilă ; o persoană identificabilă este acea persoană care poate fi identificată, direct sau
indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mul i
factori specifici identită ii sale fizice, fiziologice, psihic e, economice, culturale sau sociale .3
Altfel spus , datele persoanele reprezint ă acele date ce duc la identificarea persoanelor
într-un mod direct. Spre exemplu: nume, CNP, amprenta, v ârsta, orientarea sexual ă, adresa
de domiciliu, adresa de email, ocupa ția, venitul, starea de s ănătate.
Datele cu caracter personal includ numai informații referitoare la persoane fizice care
pot fi identificate direct de informațiile în cauză sau care pot fi identificate indirect din
informațiile respective împreună cu alte informații.

2 ***, What is personal data?, https://ec.europa.eu/info/law/law -topic/data -protection/reform/what -personal –
data_en , accesat la 12.02.2020
3 ***, Date personale și viața privată – despre privacy in România, https://privacy.apti.ro/ce -sunt-datele –
personale/#legea677 , Decembrie 2016, accesat la 12.02.2020

6
Cu alte cuvinte, datele personale sunt acele date cu care poți fi identificat direct sau
indirect, altfel sunt considerate date anonime. Spre exemplu , dacă spunem: „un bărbat de 53
de ani din Vaslui” – reprezintă date anonime, pentru că este i mposibil s ă putem identifica
acea persoană. Dacă spunem „un bărbat de 53 de ani din Vaslui , ce conduce ma șina cu
numărul de înmatriculare VS 88 SET” atunci îl vom putea identifica , dacă îl vedem pe stradă
sau avem acces la baza de date a poliției.

1.2. Normele europene privind securitatea datelor.

Conform Consiliului European , regulamentul general de protecție al datelor (legea
679/2016) este un nou regulament din legislația Uniunii Europene privind protecția datelor și
confidențialitatea acestora pe ter itoriul Uniunii si al Spațiului Economic European 4.
Prin adoptarea GDPR, Uniunea Europeană își propune în primul rând să ofere
posibilitatea ca persoanele să dețină controlul deplin asupra datelor lor personale. Un alt
aspect urmărit a fost simplificarea procedurilor pentru companiile multi -naționale prin
unificarea reglementărilor în cadrul Uniunii Europene.

1.2.1 Date generale despre noua reglementare – GDPR

Regulamentul general privind protecția datelor a intrat în vigoare, începând cu data de
25 ma i 2018 , fiind aplicat în toată Uniunea Europeană. Regulamentul a fost adoptat pe 27
aprilie 2016 , astfel încât companiile europene să aibă timpul necesar pentru a -l aplica.
General Data Protection Regulation impune o serie de noi măsuri , care să fie
respectate de către companiile din Uniunea Europeană , cu referire directă c ătre datele cu
caracter personal. Ce informații vor fi colectate, justificarea colectării acestor date, modul în
care vor fi procesate datele, cât timp vor fi păstrate acestea, precum ș i posibilitatea de a șterge
datele cu caracter personal la cererea proprietarului sunt doar câteva din cerințele noului
regulament.5
Noul regulament permite autorităților competente s ă aplice amenzi de până la
10.000.000 de EURO sau până la 2% din cifra d e afaceri înregistrată în exercițiul financiar
precedent. În unele cazuri aceste cifre pot fi dublate. Aceste sancțiuni ar trebui să stimuleze
companiile să respecte regulamentul general privind protecția datelor cu caracter personal.
Cu aproximativ 3 lun i înainte ca noul regulament s ă intre în vigoare, doar două din

4 ***, DGD2C. http://data.consilium.europa.eu/doc/document/ST -9565 -2015 -INIT/en/pdf , accesat la data
14.02.2020
5 Renaud,K., Shepherd,L. GDPR its time has come, Network security, Februarie 2018

7
primile 10 cele mai accesate site -uri din Marea Britanie îndeplineau condițiile impuse de
GDPR. Wikipedia si BBC au fost singurele site -uri ce men ționau explicit cât timp vor fi
păstrate datel e și cum vor fi folosite acestea.6
În noul regulament se menționează c a politicile companiilor s ă fie clare și concise ,
deoarece cu cât o politică este mai lungă cu atât șansele ca aceasta să fie citită sunt mai mici.
Cuvintele folosite vor trebui s ă fie pe cât posibil familia re și s e va evita folosirea cuvintelor
formate din silabe lungi.
GDPR -ul este răspunsul Uniunii Europene la înmulțirea cazurilor de procesare a
datelor în mod ilegal atât din mediul online cât și din cel offline. În prima jumătate a anului
2018, toate companiile cu sediul aflat pe teritoriul Uniunii Europene au fost obligate s ă adopte
noile măsuri. Până la această dată a fost respectată directiva 95/46/CE , care deși era specifică
pentru persoanele fizice și datele lor, nu acoperea mod ul de procesare al acestor date (ex:
retragerea consimțământului, drepturile de prelucrare a datelor).
În consecin ță, GDPR a fost conceput pentru a înlocui și abroga directiva 95/46/CE ,
astfel încât organizațiile din Uniunea Europeană s ă garanteze protec ția corectă a datelor cu
caracter personal.7

1.2.2 Cauzele apar iției GDPR (General Data Protection Regulation)

Noua reglementare european ă în materia protecției datelor cu caracter personal o
reprezintă Regulamentul Uniunii Europene 2016/679 al Parlamen tului și al Consiliului
European din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal și libera circulație a acestor date , respectiv abrogarea
Directivei 95/46/CE. 8
Plecând de la contextul legislativ, în data de 27 aprilie 2016 , Parlamentul și Consiliul
European au adoptat Regulamentul Uniunii Europene 2016/679 privind protec ia persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal , precum și libera circula ie a
acestor date respectiv abrogarea Directivei 95/46/CE.
Regulamentul general privind protec ia datelor, a fost publicat în Jurnalul Oficial al
Uniunii L119 din 4 mai 2016, iar prevederile lui sunt direct aplicabile în toate statele membre
ale Uniunii Europene , începând cu data de 25 mai 2018. Noul regulament impune un set unic
de reguli în materia protec iei datelor cu caracter personal, înlocuind Directiva 95/46/CE și,

6 Rena ud,K., Shepherd,L. GDPR its time has come, Network security, Februarie 2018
7 Tamburii,D., Design principles for the General Data Protection Regulation (GDPR): A formal concept analysis
and its evaluation, Information Systems nr.91, Noiembrie 2019
8 Alexe I, Ploesteanu D., Protec ția datelor cu caracter personal, Editura Universitara, 2017, pag 11.

8
implicit, prevederile Legii nr. 677/2001.
General Data Protection Regulation a fost el aborat deoarece Uniunea Europeană
dorea transparen a fa ă de persoanele fizice și responsabilizarea operatorului de date fa ă de
modul în care prelucrează datele cu caracter personal; stabilirea unei serii de garan ii specifice
pentru a proteja cât mai eficien t via a privată a minorilor, în special în mediul online;
consolidarea drepturilor garantate persoanelor vizate și introducerea a noi drepturi: dreptul de
a fi uitat, dreptul la portabilitatea datelor și dreptul la restric ionarea prelucrării;9
Noua regle mentare prevede sancțiuni de până la 20 milioane de euro sau între 2% și
4% din cifra de afaceri la nivel interna ional, pentru operatorii din sectorul privat.
În ultimele două decenii , accesul la internet a devenit o normalitate, drept urmare
copiii și a dolescenții reprezintă un procent semnificativ al utilizatorilor mediului online. Noul
regulament cu privire la protecția datelor cu caracter personal prevede ca persoanele sub 16
ani (în unele țări limita este de 13 ani) să aibă nevoie de confirmarea unui părinte sau tutore
legal atunci când dorește să se înregistreze pe rețelele de socializare (Facebook, Instragram,
Twitter) sau pe alte site -uri unde se solicită date cu caracter personal. Controalele pentru
verificarea consințământului parental se vor rea liza prin trimiterea unui mesaj pe adresa de
email a părintelui.
Adolescenții vor avea acces la o versiune mai puțin personalizată a Facebook -ului, cu
anunțuri mai puțin relevante până când vor obține permisiunea unui părinte sau tutore să
utilizeze toate opțiunile oferite de rețeaua socială. Chiar și în cazul în care legea nu impune
acest lucru, fiecare adolescent va fi întrebat dacă dorește să vadă anunțuri pe baza datelor de
la parteneri și dacă vrea să includă informații personale în profilul său.10

1.2.3 Ce presupune GDPR? Drepturi și obligații .

Noul regulament GDPR are 261 de pagini, cuprinde 8 aliniate și 99 de articole ,
organizate în 11 capitole. Fiecare capitol abordează contextul, rolurile și restricțiile noilor
concepte. Mai precis: (1) Dispozi ții generale, (2) Principii, (3) Drepturile persoanei vizate,
(4) Operatorul și persoana împuternicită de operator, (5) Transferul de date cu caracter
personal către țări terțe sau organizații internaționale, (6) Autorități de supraveghere
independente, (7 ) Cooperare și coerentă, (8) Căi de atac, răspundere și sancțiuni, (9)

9 Nicola,O., Ce se schimbă în gestionarea datelor personale începând cu luna mai 2018 de pe site -ul
https://blog.wolterskluwer.ro/ce -se-schimba -gestionarea -datelor -personale -incepand -cu-luna-mai-2018/ 21
Noiembrie 2017, consultat în 29 Mai 2018
10 Abrihan,R., GDPR 2018: Ce schimbări face Facebook pentr u respectarea noilor legi pentru protecția datelor –
Re eaua întreabă dacă ești de acord cu recunoașterea facială, https://www.startupcafe.ro/a faceri/gdpr -facebook –
protectia -datelor -modificari -social -media.htm 19 Aprilie 2018, consultat în 29 Mai 2018

9
Dispoziții referitoare la situații specifice de prelucrare, (10) Acte delegate și acte de punere
în aplicare, (11) Dispoziții finale.11
Făcând o sinteză a capitolelor menționate anterio r, normele U niunii Europene privind
protecția datelor cu caracter personal prevăd că datele cu caracter personal pot fi prelucrate în
anumite situații și în anumite condiții:
 dacă v -ați dat consimțământul (trebuie să fiți informat că vi se colectează date cu
caracter personal) ;
 dacă prelucrarea datelor este necesară pentru încheierea unui contract, depunerea
candidaturii pentru un loc de muncă sau solicitarea unui credit ;
 dacă există o obligație juridică pentru prelucrarea datelor ;
 dacă prelucrarea datelor este în interesul vital, de exemplu când un medic are nevoie
de acces la dosarul dumneavoastră medical , dacă suferiți un accident ;
 dacă prelucrarea este necesară pentru îndeplinirea unor sarcini de interes public sau a
sarcinilor care le revin guvernelor, autorităților fiscale, poliției și altor organisme
publice.
Datele personale privind originea rasială sau etnică, orientarea sexuală, opiniile
politice, credințele religioase sau filosofice, apartenența la sindicate sau sănătatea nu pot fi
procesate decâ t în cazuri specifice (de exemplu, când vă dați consimțământul explicit sau
când prelucrarea este necesară din motive de interes public major, în baza legislației europene
sau naționale). Aceste norme se aplică atât organismelor publice, cât și celor priva te.
Persoana sau entitatea care gestionează datele este operatorul de date. Acesta trebuie
să respecte normele Uniunii Europene privind prelucrarea și stocarea datelor cu caracter
personal:
 datele pot fi colectate numai în scopuri legitime clar definite ;
 datele care vi se cer nu trebuie să fie excesive ;
 datele care vă identifică personal (nume, date de contact) nu trebuie stocate mai mult
decât este nevoie ;
 trebuie să aveți posibilitatea de a corecta, elimina sau bloca datele incorecte ce vă
aparțin;
 datele trebuie să fie protejate împotriva distrugerii, pierderii, modificării sau
dezvăluirii accidentale ori ilega le;
Dacă se fură, se pierd sau sunt accesate ilegal date sensibile cu caracter personal,
altfel spus dacă se încalcă securitatea datelor cu car acter personal, furnizorul trebuie să

11 Tamburii,D., Design principles for the General Data Protection Regulation (GDPR): A formal concept
analysis and its evaluation, Informatio n Sys tems nr.91, Noiembrie 2019

10
comunice acest lucru autorității naționale responsabile de protecția datelor. Operatorul de date
trebuie, de asemenea, să informeze în mod direct dacă există riscuri la adresa datelor
personale și a vieții private ca u rmare a încălcării securității acestor date .12
Regulamentul general privind protecția datelor este conceput pentru a oferi oamenilor
mai mult control asupra datelor lor cu caracter personal, impunând noi obligații organizațiilor
care colectează, manipuleaz ă sau analizează datele cu caracter personal, inclusiv
organizațiilor din afara Uniunii Europene. GDPR a intrat în vigoare pe 25 mai 2018 .

Persoanele au dreptul:
 să își acceseze și să își exporte datele cu caracter personal;
 să își șteargă datele cu car acter personal;
 să corecteze greșelile din datele lor cu caracter personal;
 să se opună prelucrării datelor lor cu caracter personal.

Companiile și organizațiile trebuie:
 să protejeze datele cu caracter personal prin măsuri de securitate adecvate;
 să notifice autoritățile despre încălcări privind datele cu caracter personal;
 să obțină consimțământul pentru colectarea și prelucrarea datelor cu caracter personal;
 să țină evidențe detaliate despre activitățile de prelucrare a datelor.13
Companiile și orga nizațiile trebuie să aibă politici care:
 să comunice clar colectarea datelor;
 să precizeze de ce și când se prelucrează datele cu caracter personal;
 să stabilească politici de păstrare și ștergere a datelor ;
Companiile și organizațiile sunt obligate:
 să își instruiască angajații despre bune practici de confidențialitate și securitate;
 să auditeze și actualizeze politicile privind datele;
 să angajeze, dacă este cazul, un responsabil de protecția datelor;
 să redacteze și gestioneze contracte conforme at ât cu furnizorii cât si cu clienții.
GDPR nu se aplică prelucrării datelor cu caracter personal în următoarele cazuri excepționale:
 În ceea ce privește activitățile care nu intră sub incidența legislației UE (de exemplu,

12 ***, Protecția datelor și a vieții private , https://europa.eu/youreurope/citizens/consumers/internet –
telecoms/data -protection -online -privacy/index_ro.htm , 9.03.2020, accesat la 10.05.2020 .
13 ***, Noul Regulament privind protec ia datelor personale: Care sunt riscurile la care se expun companiile din
România care nu respectă reglementările de secu ritate ȋn vigoare?, http://www.zf.ro/info/noul -regulament –
privind -protectia -datelor -personale -riscurile -expun -companiile -romania -respecta -reglementarile -securitate -n-
vigoare -amenzile -ajung -4-cifra-afaceri -16250316 , consultat în 06.05. 2018

11
activități privind securitatea naț ională);
 În ceea ce privește politica externă și de securitate comună a UE;
 De către autoritățile competente în scopul prevenirii, investigării, detectării sau
urmăririi penale a infracțiunilor și a aspectelor asociate;
 De către instituțiile UE, în cazu l în care se va aplica Regulamentul 45/2001/CE în
locul GDPR.14

1.3. Cadrul European de Securitate al datelor personale din per spectiva
legislației românești

Pu ine companii românești cunosc cerin ele noului Regulament al datelor cu caracter
personal. Multe dintre acestea nu sunt pregătite pentru a în elege schimbarea de atitudine
necesară și pașii necesari în implementarea noilor reglementări.
Noul regulament nu schimbă principiile esen iale ale procesării datelor personale
(legalitate, scop determinat , necesitate și propor ionalitate, transparen a și securitate) care
există în legisla ie română din 2001, însă va fi în sarcina companiilor să demonstreze modul
în care respectă aceste principii. Cu cât o companie este mai mare sau colectează date
personale prin diverse canale, cu atât aplicarea acestui regulament devine mai complexă.
Una dintre noută ile care merit ă men ionate, inclusiv din perspectiva amenzilor care
pot fi aplicate, este notificarea privind încălcarea securită ii datelor cu caracter pers onal.
Companiile trebuie s ă implementeze măsuri tehnice și organizatorice pentru a asigura
securitatea datelor personale. De asemenea , trebuie să se asigure că măsurile sunt adecvate,
asigură un nivel de securitate corespunzător riscului și sunt eficace di n punct de vedere al
„confidențialității, integrității, disponibilității și rezistenței continue ale sistemelor și
serviciilor de prelucrare” .
Prin măsurile pe care le iau companiile trebuie să detecteze orice încălcare a securită ii
datelor, pentru a pu tea să decidă dacă și ce trebuie să notifice către Autoritate a Națională de
Supraveghere a Prelucrării Datelor cu Caracter Personal sau, în cazuri deosebite , chiar
persoanele fizice a le căror date au fost afectate de acest incident de securitate.15

14 ***, Noul Regulament privind protec ia datelor personale: Care sunt riscurile la care se expun companiile din
România care nu respectă reglementările de securitate ȋn vigoare?, http://www.zf.ro/info/noul -regulament –
privind -protectia -datelor -personale -riscurile -expun -companiile -romania -respecta -reglementarile -securit ate-n-
vigoare -amenzile -ajung -4-cifra-afaceri -16250316, consultat în 06.05.2018
15 Nicola, O., Ce se schimbă în gestionarea datelor personale începând cu luna mai 2018,
https://blog.wolterskluwer.ro/ce -se-schimba -gestionarea -datelor -personale -incepand -cu-luna-mai-2018/ ,
21 Noiembrie 2017, consultat în 29.05 .2020

12

Capi tolul 2 – Securitatea datelor personale

Dacă în prima parte a acestei lucrări am prezentat ce înseamnă datele personale și
conceptul de General Data Protection Regulation din punct de vedere teoretic, în capitolul
ce urmeaz ă, voi aborda tema securității datelor, atât din perspectiva procesatorului de date cât
și din cea a controlo rului de date. Tot în acest capitol vom afla ce schimbări a produs noua
reglementare în cadrul companiilor.
Noua reglementare GDPR nu definește măsurile de securitate ce ar trebu i adoptate în
cadrul companiilor , ci solicită un nivel de securitate adecvat riscurilor prezentate de fiecare
societate. Nivelul de securitate adecvat va fi stabilit în funcție de costurile de implementare,
sfera de aplicare, contextul și scopul pentru car e vor fi prelucrate datele cu caracter personal.16
Conform GDPR , nu există o soluție unică care să se potrivească tuturor organizațiilor
pentru a asigura securitatea informațiilor. Acest fapt înseamnă că ceea ce este potrivit pentru o
organizație va depinde de circumstanțe, modul de procesare a datelor și riscurile prezentate de
către aceasta.
Înainte de aborda tema securității , va trebui sa aflăm termenii cheie folosiți în
Regulamentul general privind protecția datelor, deoarece la prima vedere aceștia pot părea
greu de în țeles. În tabelul 1 vom afla ce semnifică termeni precum : subiectul datelor,
operator de date, procesator de date, procesarea datelor și, nu în ultimul rând , încălcarea
datelor cu caracter personal .

16 ***, Guide to the General Dat a Protection Regulation (GDPR), https://ico.org.uk/for -organisations/guide -to-
data-protection/guide -to-the-general -data-protection -regulation -gdpr/security/ , consultat la 4.05.2020

13
Tabelul 1 – Termeni cheie GDPR

17 ***, Glosar GDPR, https://upfit.cloud/gdpr -glosar , consultat la 22.04.2020 Subiectul datelor
(data subject) Contro lor/operator
de date
(data controller) Procesator de date
(data proces sor) Procesarea datelor (processing) Încălcarea datelor cu
caracter personal
Persoana a le cărei
date cu caracter
personal sunt pro –
cesate. O organizație sau o
companie care colec –
tează datele cu
caracter personal și ia
decizii referitoare la
modul în care sunt
administrate. Cu alte
cuvinte, controlorul de
date, controlează con –
ținutul și folosește
datele cu caracter
personal.
O organizație sau o
companie care ajută
controlorul să pr oceseze
datele urmând instruc –
țiunile acestuia. Procesa –
torul de date nu decide
cum se utilizează datele
per-sonale.
Cu alte cuvinte, procesa –
torul de date procesează
datele cu caracter personal
în numele operatorului de
date. Orice operațiune care se rea lizează cu
date personale, prin sisteme
automatizate sau nu, precum colectarea,
organizarea, înregistrarea, structurarea,
consultarea, stocarea, folosirea,
recuperarea, divulgarea, ștergerea sau
distrugerea datelor. Cu alte cuvinte,
procesarea semnifică op erațiunile
efectuate pe datele cu caracter personal,
indiferent dac ă sunt sau nu prin
mijloace automatizate O încălcare a securității care
duce la distrugerea acciden –
tală sau ilegală, pierderea,
modificarea, divulgarea ne –
autorizată la datele cu
caracter personal stocate sau
în curs de prelucrare.17

14
2.1. Regândirea securității în companii.

Regulament ul general privind protecția datelor vine cu obligația de a desemna un
Responsabil cu protecția datelor. Rolul responsabilu lui cu protecția datelor este acela de a
asista și de a sfătui împuternicitul operatorului de date cu privire la respectarea
regulamentului și de a se asigura de aplicarea acestuia în cadrul companiei sau al instituției.
Responsabilii de protecția datelor sunt desemnați de către operatorii de date și
împuterniciții acestora în situația în care aceștia sunt o autoritate publică, activitățile lor
necesită monitorizarea regulată a persoanelor vizate și pe o scară mare sau atunci când
informația cuprinde date s ensibile cum ar fi infracțiunile. Spitalele, firmele de securitate,
firmele de asigurări, companiile de transport atât public cât și privat, furnizorii de internet și
telefonie reprezintă o parte din companiile ce sunt nevoite să desemneze un responsabil c u
protecția datelor p ersonale.18
Responsabilii de protecția datelor (DPO) trebuie s ă aibă un grad sporit de
independen ță în cadrul companiilor, ei fiind legătură directă între aceasta și Autoritatea
Națională de Supraveghere a Prelucrării Datelor cu Caracte r Personal.
Responsabilul de protecția datelor (DPO) nu este responsabil în cazul în care
regulamentul cu privire la datele cu caracter personal nu a fost sau nu este respectat. În cadrul
regulamentului se menționează clar că responsabil este operatorul de date care trebuie să se
asigure că prelucrarea datelor cu caracter personal este efectuată în conformitate cu
dispozițiile sale.19
GDPR introduce o nouă obligație a operatorului și a procesatorului de a desemna un
DPO (Ofițer de date) în următoarele situaț ii:
 prelucrarea datelor cu caracter personal este realizată de o autoritate sau
organism public ;
 activitățile de bază ale operatorului sau ale procesatorului constau în operațiuni
de prelucrare care necesită o monitorizare regulată și sistematică a persoan ele
vizate la scară largă sau activitățile de bază constau în procesarea unor
categorii speciale de date la scară largă.
În alte cazuri, desemnarea unui DPO este voluntară, cu excepția cazului în care
legislația UE sau a unui stat membru o impun. Un grup d e companii poate desemna un singur
Ofițer de date și de asemenea, autoritățile sau organismele publice pot desemna un singur

18 ***, Ce este un responsa bil cu protecția datelor (DPO)?, https://eugdprcompliant.com/ro/ce -este-responsabil –
protectia -datelor -dpo/ consu ltat 22.04.2020
19 ***, Ghid privind Responsabil ul cu protecția datelor (DPOs), http://ec.europa.eu/justice/data –
protection/index_en.htm consultat la 22.04.2020

15
DPO pentru mai multe entități ale controlorului sau ale procesatorului, în conformitate cu
structurile lor organizatorice.
DPO treb uie să fie desemnat pe baza calităților sale profesionale, a cunoștințelor de
specialitate a legilor și practicilor privind protecția datelor. Ofițerul de date poate fi angajat de
controlor sau de procesator sau poate îndeplini sarcinile bazate pe un contr act de servicii.
GDPR stabilește poziția DPO prin definirea obligațiilor controlorului și a procesorului
în funcție de performanța DPO, precum și prin definirea propriilor obligații ale DPO legate de
sarcinile sale. Controlorul și procesatorul trebuie să se asigure că DPO este implicat în mod
corespunzător și oportun în toate problemele referitoare la protecția datelor cu caracter
personal.20
Operatorul de date stabile ște mijloacele și scopul prelucrării datelor cu caracter
personal. Acesta hotărăște „de ce?” și „cum?” ar trebui prelucrate datele în cadrul unei
companii. Angajații care prelucrează date cu caracter personal în cadrul firmei, fac acest lucru
pentru a îndeplini sarcinile instituției în calitate de operator de date.
O societate devine operator d e date asociat în cazul în care împreună cu una sau mai
multe entități stabilește „de ce?” și „cum?” ar trebui prelucrate datele cu caracter personal.
Operatorii asocia ți trebuie să încheie un acord care să stabilească responsabilitățile fiecăruia
în ceea ce privește îndeplinirea normelor Regulamentului general privind protecția datelor cu
caracter personal. Entitățile asociate trebuie să comunice principalele aspecte ale acordului,
persoanelor fizice ale căror date sunt prelucrate.
Procesatorul de date pre lucrează datele cu caracter personal doar în numele
operatorului. De obicei, procesatorul de date este un terț din afara societății. Atribuțiile
procesatorului de date trebuie specificate într-un contract sau într-un alt act juridic pentru a
stabili de la început ce se va întâmpla cu datele personale în momentul încheierii contractului.
O activitate tipică procesatorilor de date o reprezintă furnizarea de soluții informatice, spațiu
de stocare cloud, etc.
Mai jos , voi prezenta un exemplu de relație între op eratorul de date si procesator :
O firma de vânzări auto are numeroși angajați. Aceasta semnează un contract cu o
societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților.
Firma de vânzări auto îi spune societății de a dministrare a statelor de plată când trebuie plătite
salariile, când un angajat părăsește firma sau primește o mărire de salariu și îi furnizează toate
celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor
de plată furnizează sistemul informatic și stochează datele angajaților. Firma de vânzări auto

20 Tikkinen -Piri,C., Rohunen , A., Markkula , J., EU General Data Pr otection Regulation:Changes and
implications for personal data collecting companies, computer law & security review vol.34/2018

16
este operatorul de date, iar societatea de administrare a statelor de plată este procesator de
date.21

2.2. Impactul GDPR asupra organizațiilor

Datorită noilor obl igații ale GDPR, toate companiile care gestionează date cu caracter
personal pe teritoriul Uniunii Europene trebuie să examineze, să își revizuiască acolo unde
este cazul , măsurile de protecție și să dezvolte noi politici care să asigure respectarea noului
regulament. De asemenea, companiile sunt nevoite să își instruiască angajații care îndeplinesc
sarcini legate de prelucrarea datelor, astfel încât să fie conștienți de regulile și schimbările
introduse de GDPR. În continuare, vom analiza schimbările aduse de GDPR .
1. Precizarea nevoii de utilizare a datelor.
Noul regulament solicită limitarea procesării datelor cu caracter personal la cele
minimum necesare. De asemenea, dacă datele sunt colectate de la copii prin metode
informatice, vârsta acestora trebuie verificată și trebuie obținut consimțământul de prelucrare
de la părinții acestora.
2. Condițiile de prelucrare a datelor în cotext internațional.
GDPR prevede condiții noi pentru transferurile de date cu caracter personal către o
țara din afara Uniunii E uropene sau o organizație internațională. Companiile din afara Uniunii
Europene care gestionează date cu caracter personal ale rezidenților europeni vor trebui să
respecte atât propria legislație, cât și GDPR.
3. Demonstrarea respectării cerințelor GDPR.
GDPR obligă operatorii să demonstreze că prelucrarea datelor cu caracter personal
respectă regulamentul. Companiilor li se recomandă să aplice sigilii sau mărci de protecție pe
documentele ce conțin date cu caracter personal.22
4. Dezvoltarea sistemelor de c ombatere a breșelor de securitate.
Întrucât procesatorii de date sunt obligați să notifice autoritățile de protecție a datelor
și persoanele vizate cu privire la breșele de securitate cât mai rapid posibil, în organizații
trebuie stabilite proceduri clare și bine puse la punct, pentru a face față eventu alelor încălcări
și raportări conexe.
5. Luarea în considerare a sancțiunilor pentru nerespectarea regulilor
În conformitate cu GDPR, autoritățile de supraveghere au dreptul de a impune amenzi

21 ***, Ce este un operator de date sau o perso ană împuternicită de operator?, https://ec.europa.eu/info/law/law –
topic/data -protection/reform/rules -business -and-organisations/obligations/controller -processor/what -data-
controller -or-data-processor_ro , consultat 22.04.2020
22 Tikkinen -Piri, C., Rohunen , A., Markkula , J., EU General Data Protection Regulation:Changes and
implications for personal data collecting companies, computer law & security review vol.34/2018

17
administrative companiilor care nu se conformează cu noul regulament. Nerespectarea
acestuia poate ajunge la amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri.
Așadar, companiile trebuie să asigure conformitatea cu regulamentul pentru a evita aceste
costuri.
6. Furnizarea de informații persoanelor vizate.
Companiile sunt obligate să informeze persoanele vizate despre drepturile acestora,
operațiunile de prelucrare, măsurile de securitate a datelor și interesele legitime. Aceste
informații trebuie să fi e ușor de înțeles, mai ales când persoana vizată este un minor.
Procedurile și mecanismele de exercitare a drepturilor persoanelor vizate sunt, de asemenea,
necesare (companiile trebuie să asigure mijloacele de a răspunde solicitărilor de informații din
partea persoanelor vizate) .
7. Obținerea consimțământului pentru utilizarea datelor cu caracter personal.
Consimțământul persoanei vizate este necesar pentru utilizarea datelor cu caracter
personal. Operatorul trebuie să demonstreze că persoana vizată și -a dat acordul pentru
prelucrarea datelor. Cererea de consimțământ trebuie să conțină informații relevante despre
prelucrarea datelor și să le prezinte în mod clar. Cererea trebuie să fie distinctă de alte
documente (de exemplu, contracte) . Persoana vizată are dreptul de a -și retrage oricând dorește
consimțământul contactând operatorul de date.
8. Asigurarea dreptului persoanei vizate de a fi uitat.
Companiile sunt obligate să șteargă datele personale ale unei persoane vizate oricând
aceasta dorește. Asigurarea dreptului de a fi uitat necesită documentarea datelor, modul în
care acestea sunt stocate și detalii despre ce alte întreprinderi au primit acces la date.
9. Asigurarea dreptului persoanelor la portabilitatea datelor.
Companiile sunt obligate să furnize ze persoanei vizate o copie electronică a datelor
sale la cerere. Acestea trebuie să se asigure că datele cu caracter personal colectate pentru
prelucrare sunt într -un format consecvent, pentru a facilita utilizarea ulterioară a acestora de
către persoana vizată, în cazul în care se cere transmiterea datelor către o altă companie.
10. Menținerea documentației.
Companiile sunt obligate să țină un registru al activităților de procesare și să le pună la
dispoziția autorității de supraveghere, în cazul solicită rii acesteia. De asemenea, companiilor
li se cere să efectueze o evaluare a impactului asupra protecției datelor înainte de operațiunile
de procesare riscante. Această documentație trebuie să fie la dispoziția autorității de
supraveghere.23

23 Tikkinen -Piri, C., Rohunen, A., Markkula, J., EU General Data Protection Regulation:Changes and
implications for personal data collecting companies, computer law & security review vol.34/2018

18
2.3. Securitatea datelor personale din perspectiva procesatorului

Articolul 29 din cadrul Regulamentului privind securitatea datelor cu caracter
personal, face referire directă către procesatorul de date. Acesta prevede că „Persoana
împuternicită de operator și orice persoană care acționează sub autoritatea operatorului
sau a persoanei împuternicite de operator care are acces la date cu caracter personal nu le
prelucrează decât la cererea operatorului, cu excepția cazului în care dreptul Uniunii sau
dreptul inte rn îl obligă să facă acest lucru.”24
Cu alte cuvinte, procesatorul de date nu poate prelucra datele cu caracter personal
primite de la operatorul de date decât la cererea expresă a acestuia.
În prima parte a capitolului spuneam că procesatorul de date procesează (logic, nu?)
datele cu caracter personal culese de operator. Articolul 32 , din cadrul noului regulament ,
prevede că pentru a asigura un nivel de securitate corespunzător trebuie luate anumite măsuri
precum :
 pseudonimizarea și criptarea datelor c u caracter personal;
 capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența
continue ale sistemelor și serviciilor de prelucrare;
 capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la
acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
 un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor
tehnice și organizatorice pentru a garanta securitatea prelucrării .25

2.4. Securitatea datelor personale din perspectiva operatorului

Operatorul de date are obligația ca în cazul în care are loc o încălcare a securității
datelor cu caracter personal să notifice acest lucru autorității de supraveghere competente
(Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Per sonal).
Operatorul are la dispoziție 72 de ore de la data la care a luat la cunoștință de încălcarea
securității. În cazul în care notificarea nu are loc în primele 72 de ore, aceasta va fi însoțită de
o explicație pertinentă pentru autoritatea de supraveg here. Notificarea trimisă către autoritatea
de supraveghere va conține detalii despre caracterul încălcării securității datelor cu caracter
personal inclusiv categoriile și numărul aproximativ al persoanelor vizate, datele de contact

24 ***, Articolul 29, Desfășurarea activității de prelucrare sub autoritatea operatorului sau a persoanei
împuternicite de operator , Regulamentul General privind Prelucrarea Datelor
25 ***, Articolul 32, Securitatea prelucr ării, Regulamentul General privind Prelu crarea Datelor

19
ale responsabilului cu protecția datelor, o descriere succintă a consecințelor probabile ale
încălcării securității. Tot în notificarea trimisă către autoritatea de supraveghere se vor descrie
măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încă lcării
securității datelor cu caracter personal, inclusiv măsurile pentru atenuarea efectelor negative.
Conform Articolului 33 din cadrul GDPR, operatorul este obligat să păstreze
documente le referitoare la toate cazurile de încălcare a securității datelo r cu caracter personal.
În acestea se va menționa cum a avut loc încălcarea securității, efectele încălcării și măsurile
de remediere întreprinse. Acest document va permite autorității de supraveghere să verifice
conformitatea cu regulamentul.
Operatorul de date are obliga ția de a informa fără întârzieri nejustificate, persoanele
vizate în cazul în care încălcarea securității datelor cu caracter personal va reprezenta un risc
pentru libertățile și drepturile acestora. Informarea trimisă către persoanele fi zice va fi formată
dintr -o descriere într-un limbaj clar și simplu, consecințele probabile a le încălcării datelor cu
caracter personal, măsurile luate de operator pentru a remedia problema și , nu în ultimul rând ,
numele și datele de contact ale responsabil ului de protecția datelor.
Excepție de la informarea persoanelor vizate de scurgerea de date se poate face atunci
când este îndeplinită una din următoarele condiții :
 operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate, iar
aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de
încălcarea securității, în special măsuri care asigură că datele cu caracter personal
devin neinteligibile oricărei persoane care nu este autorizată să le acceseze (criptarea) ;
 operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru
drepturile și libertățile persoanelor vizate nu mai este susceptibil să se materializeze;
 ar necesita un efort disproporționat din partea operatorului. În această sit uație ,
operatorul de date va face o informare publică către persoanele vizate de pierderea de
date într-un mod eficace .

20
2.5. Politici și proceduri aplicate

Pentru a îndeplini aceste măsuri, companiile trebuie să adopte noi politici și proceduri.

1. Politica Anti Spam Această politică are rolul de a asigura un nivel crescut de
securitate a sistemelor informatice din cadrul companiilor.
Politica Anti Spam are scopul de a estompa email -urile
publicitare nedorite , respectiv mesajele ce urmăresc furt ul
de date confidențiale.
2. Politica privind resursele
informatice Această politică are ca scop asigurarea securității
resurselor informatice din cadrul companiilor. Securizarea
calculatoarelor prin parol ă este doar un exemplu ce se
încadrează în această politică.
3. Politica privind gestionarea
datelor cu caracter personal Această politică are în vedere regulile generale ale GDPR
și asigură faptul că angajații societății , care au acces la
date cu caracter personal, nu vor prelucra aceste date
decât la c ererea operatorului.
4. Politica privind accesul la
date Această politică are rolul de a menține un nivel ridicat de
securitate în cadrul companiilor, pentru a proteja datele cu
caracter personal și de a evita scurgerea accidentală de
informații în mod il egal sau accidental.
5. Politica de monitorizare a
comunicațiilor electronice Această politică se aplică tuturor angajaților pentru a
proteja datele cu caracter personal din cadrul firmei.
Angajatorul poate cere informații despre cum a fost
folosit mail -ul, skype -ul sau internetul.
6. Politica de copiere și
stocare a datelor Această politică are scopul de a asigura protecția și
stocarea corespunzătoare a datelor și a documentelor
copiate. Procedura are , de asemenea , și scopul de a
îndruma angajații să res pecte normele de securitate cu
privire la copierea documentelor atât în format electronic
cât și în format fizic.26

26 ***, Regulamentul GDPR, împărțit în 12 politici și 8 proceduri. Acum e mai usor s ă-l aplici!, https: //e-
juridic.manager.ro/articole/regulamentul -gdpr-impartit -in-12-politici -si-8-proceduri -e-usor-sa-l-aplici -2639.html ,
consultat la 10.06.2020

21
7. Politica privind schimbul
de date cu caracter personal Această politică se aplică transferului de date în interiorul
societății, precum și către ale entități pentru un scop
stabilit sau prevăzut de lege.
8. Politica privind modulele
cookie Această politică are rolul de a consulta utilizatorul în
cazul în care dorește o interacțiune mai ușoară și mai
rapidă cu anumite site -uri. Dacă acesta își va da acordul
cu privire la cookie -urile de logare, nu va mai fi nevoit să
se autentifice pe un site de fiecare dată când îl accesează.
Un alt rol al cookie -urilor este acela de a stoca informații
despre utilizator și ce accesează acesta pentru a relu a cu
ușurință activitățile la o accesare ulterioară.
9. Politica generală de
confidențialitate Această politică reprezintă un angajament de respectare a
confidențialității datelor cu caracter personal și asigură
respectarea tuturor principiilor referitoar e la prelucrarea
datelor, stabilite de Regulamentul General privind
Protecția Datelor.
10. Politica de reținere și
ștergere a datelor cu caracter
personal Această politică are rolul de a documenta cerințele GDPR
privind stocarea și ștergerea datelor cu c aracter personal,
în vederea asigurării confidențialității.
11. Politica privind
confidențialitatea datelor Această politică are ca scop stabilirea metodologiei de
lucru cu datele cu caracter personal precum și a regulilor
impuse pentru angajați ce trebui e să asigure
confidențialitatea datelor , în conformitate cu legislația în
vigoare.
12. Politica de raportare și
tratare a incidentelor de
securitate Această politică are scopul de a surprinde cerințele GDPR
privind procedura de raportare și tratare a breș elor de
securitate. Politica prezintă modalitatea de notificare a
Autorității Naționale de Supraveghere a Datelor cu
Caracter Personal și de informare a persoanei vizate în
cazul în care se produce o încălcare a securității datelor.27

27 ***, Regulamentul GDPR, impartit in 12 politici si 8 proceduri. Acum e mai usor sa -l aplici!, https://e –
juridi c.manager.ro/articole/regulamentul -gdpr-impartit -in-12-politici -si-8-proceduri -e-usor-sa-l-aplici -2639.html,
consultat la 10.06.2020

22
Capitolul 3 – Studiu de caz – Aplicarea GDPR
în cadrul SC Casa Auto Lețcani SRL

Numele societății la care am efectuat prezenta lucrare este Societatea Comercial ă
Casa Auto Lețcani SRL, având numărul de înregistrare la Oficiul Registrului Comerțului:
J22/1654/2009 și codul f iscal: RO26087338. Forma juridică de constituire este de tipul:
societate cu r ăspundere limită, sediul social este în județul Iași, localitatea Lețcani, numărul
1115. Tipul activității principale este încadrat în categoria „comerț cu ridicata și cu
amănunt ul; repararea autovehiculelor și motocicletelor ”, natura capitalului fiind integral
privat.
SC Casa Auto Lețcani SRL face parte din grupul de firme Tester , grup ce și-a
început activitatea încă din anul 1993 cu distribuirea produselor alimentare, iar acum, 27 de
ani mai târziu, este prezent în domenii precum vânzarea și întreținerea autovehiculelor,
imobiliare, car sharing și producția materialelor textile . Domeniul auto , prin brandul Casa
Auto, reprezintă primul și cel mai cunoscut obiect de activitate din cadrul grupului de firme.
Casa Auto este cel mai mare distribuitor auto din Moldova, reprezentând un total de 13 brand –
uri (Mercedes -Benz, Jaguar, Land Rover, Dacia, Nissan, Renault, Opel, Mitsubishi, Hyundai,
Peugeot, Citro ën, Mazda și Honda ). Pe lângă s ervice -ul autorizat pentru fiecare brand, în anul
2012, Casa Auto a deschis cea mai modernă tinichigerie -vopsitorie din Europa de Est.
Firma Casa Auto Lețcani SRL și-a început activitatea în anul 2012 , sub denumirea
de Societatea Comercială Ande Motors SRL , pornind de la vânzarea și prestarea serviciilor de
întreținere a brandului auto O pel. În anul 2014, sub brandul A utoviva, firma și-a extins
activitatea în dorința de a oferi servicii de buy -back și posibilitatea de achiziționa re a
autovehiculelor second -hand clienților. Tot în anul 2014, brandul Mazda începe s ă fie vândut
de Casa Auto Lețcani. În anul 2017, în cadrul unui amplu proces de rebranding la nivelul
firmelor din cadrul Tester Grup, firma și-a schimbat denumirea în Societatea Comercială Casa
Auto Lețcani SRL. Tot în acest an, firma a început să comercializeze și să ofere servicii de
întreținere pentru brand -urile Peugeot și Citro ën.

3.1. Gestionarea datelor personale în cadrul
Casa Auto Lețcani SRL

Cel mai important lucru în cadrul unei compani i este ca personalul acesteia să
înțeleagă importan ța GDPR și consecințele grave suportate de angajator în cazul încălcării
regulilor. Tot personalul este răspunzător să se asigure că informațiile de pe birou l sau ecranul

23
stației de lucru sunt protejate în mod corespunzător, în conformitate cu politicile
regulamentului.
Casa Auto Lețcani SRL prelucrează date cu caracter personal cu scopul de a furniza
bunuri și servicii ce au legătura cu activitatea de dealer auto (garanție, service, vânzare), cu
scopul de a gestiona relațiile cu clienții pentru îmbunătățirea serviciilor și identificarea
nevoilor clienților. Un alt scop ce duce la prelucrarea datelor cu caracter personal este
îndeplinirea obligațiilor contractuale și angajamentelor luate față de client.
Clienții societății au o serie de drepturi asupra datelor lor. Acestea pot fi exercitate
prin trimiterea unui e -mail pe adresa de contact sau printr -o cerere scrisă depusă la sediul
Casa Auto Lețcani. Pentru a se asigura că datele personale nu vor ajunge în mâ inile unei
persoane rău -voitoare, societatea solicită parcurgerea unor pași de identificare. În cele ce
urmează voi enumera drepturile privind datele cu caracter personal ale clienților Casa Auto
Lețcani.
Dreptul la acces .
Acest drept permite clienților să acceseze toate informațiile personale pe care
societatea le procesează despre aceștia. Clienții pot solicita informații despre :
 scopurile prelucrării ;
 destinatarii sau categoriile de destinatari cărora datele cu caracter personal
le-au fost divulgate ;
 categoriile de date cu caracter personal vizate;
 perioada pentru care se preconizează c ă vor fi stocate datele cu caracter
personal;
 ștergerea datelor cu caracter personal ori restricționarea prelucrării acestora;
 dreptul de a depune o plângere către autori tatea de supraveghere a datelor .
Timpul limită în care se poate răspunde la solicitare este 30 de zile de la înregistrarea
cererii. Clienții au dreptul de a solicita o copie a datelor cu caracter personal care fac obiectul
prelucrării.
Dreptul la rectific area datelor .
Acest drept permite clienților să obțină fără întârzieri nejustificate, rectificarea datelor
cu caracter personal. De asemenea , clienții vor fi notificați în cazul în care se vor face corecții
asupra datelor lor.
Dreptul la ștergerea datelor .
Acest drept permite clienților să solicite ștergerea propriilor date cu caracter personal,
fără întârzieri nejustificate, dacă se aplică unul dintre următoarele motive :
 datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru

24
care au fost colectate;
 datele cu caracter personal au fost prelucrate ilegal;
 clientul nu dorește ca datele sale să fie prelucrate în scopuri de marketing sau
comunicări comerciale.

Dreptul la restricționarea prelucrării.
Acest drept permite clienților să obțină restricționarea prelucrării în următoarele
cazuri :
 prelucrarea este ilegal ă, clientul se opune ștergerii datelor cu caracter personal,
solicitând în schimb restricționarea utilizării lor;
 societatea nu mai are nevoie de datele cu caracter persona l în scopul prelucrării, dar
clientul solicită constatarea, apărarea sau exercitarea unui drept în instan ță;
 clientul contest ă exactitatea datelor, pentru o perioadă care îi permite societății să
verifice exactitatea lor.
Dreptul la portabilitatea datelor.
Clientul are dreptul de a transmite propriile date cu caracter personal pe care le -a
furnizat către firmă, într -un format structurat, către alt operator, fără obstacole din partea Casa
Auto Lețcani.
Dreptul la opoziție , atunci când prelucrarea este necesa ră în scopul intereselor
legitime urmărite de societate sau de o parte terță.
Există posibilitatea ca societatea să prelucreze datele clientului pentru executarea unui
contract la care acesta este parte sau pentru a face demersurile necesare încheierii
contractului. Datele pot fi colectate prin completarea procesului verbal de test -drive, prin
aplicația de prospectare (AutoMaster) sau rețele sociale. Clientul are dreptul de a se opune
acestui tip de prelucrare a datelor.
Dreptul de opoziție la prelucrarea î n scop de marketing direct.
Clientul are dreptul de a se opune prelucrării datelor cu caracter personal în scopuri de
marketing direct.
Dreptul de retragere a consimțământului.
Clientul are dreptul de retragere în orice moment al consimțământului de preluc rare a
datelor cu caracter personal. Retragerea acestuia nu afectează legalitatea prelucrării efectuate
pe baza consimțământului înainte de retragerea acestuia.
Procesarea datelor cu caracter personal în cadrul Casa Auto Lețcani se realizează cu
ajutorul p rogramului ERP, AutoMaster. Acest program este o agendă electronică unde
angajații pot ține o evidentă clară a sarcinilor, pot salva numele și datele de contact ale unui

25
client și pot selecta modul în care clienții î și doresc să fie contactați (telefon, e -mail, SMS). În
acest program, angajații ce au contact direct cu clienții, se vor loga cu un ID unic , ca mai apoi
să introducă datele completate de client în consimțământul de prelucrare.

Fig.1 Interfața programului Automaster – Logarea
Pentru o securita te ridicată, programul este protejat prin parolă

Fig.2 Interfața programului Automaster – Căutarea clientului

26
Înainte de a adauga un nou client în program, se va verifica dac ă acesta nu a fost
introdus în prealabil de către un alt angajat. Căutarea se p oate realiza prin introducerea unui
criteriu precum ID -ul de căutare, număr de telefon, adresa de email, etc.

Fig.3 Interfața programului Automaster – Rezultatul căutării după ID -ul de căutare
După utilizarea butonului de „Căutare”, programul va afișa in formații despre client
precum: numele complet, adres ă, număr de telefon (opțional), adresă de email (opțional) și
categoria de clienți din care face parte (persoană fizică sau juridică).

Fig.4 Interfața programului Automaster – Selectarea modalităților d e contactare
conform preferințelor clientului.

27
După asigurarea că datele cu caracter personal sunt completate corect și sunt de
actualitate, aplicația obligă utilizatorul să selecteze modalitățile de contactare dorite de client
și menționate în consimțăm ântul de prelucrare a datelor cu caracter personal.

Fig.5 Interfața programului Automaster – Crearea unei sarcini de lucru.
Aplicația Automaster este folosită ca și agenda electronică. În acest exemplu am notat
în aplicație vizita clientului în showroom și completarea formularului GDPR de către acesta.

Fig.6 Interfața programului Automaster – Facturarea către client.

28
Aplicația Automaster ajută la facturarea produselor către clienți, departamentul de
contabilitate având acces la datele completate anterio r.

3.2. Securitatea datelor în cadrul SC Casa Auto Lețcani SRL

Majoritatea angajaților Casa Auto Lețcani trebuie să utilizeze date cu caracter personal
pentru a -și practica meseria într -un mod eficient , iar acest aspect îi face responsabili de
securitate a datelor colectate. Pentru a nu declanșa eventuale scurgeri de date , reprezentanții
departamentului juridic pun accent pe mai multe proceduri din care vom exemplifica doar
câteva.

1. Procedura clean -desk
Procedura clean -desk este necesară pentru a asigur a păstrarea în siguranță a
informațiilor cu privire la datele cu caracter personal. Informațiile confidențiale nu trebuie
lăsate pe birou când acesta este nesupravegheat, pentru a preveni citirea sau fotografierea
acestora de părți neautorizate.
Informații le personale confidențiale trebuie puse sub cheie atunci când nu sunt
utilizate și nu trebuie lăsate niciodată nesupravegheate. Deoarece departamentul de vânzări se
află într -un spațiu comun pentru toate mărcile auto, în momentul în care se dorește
imprima rea unui contract de vânzare -cumpărare (act ce conține date cu caracter personal),
fotocopiatorul va începe să funcționeze doar după scanarea legitimației de serviciu .
O modalitate ușoară de a respecta procedura clean desk este de a lucra cu documente
electronice ori de câte ori este posibil .
În cazul în care trebuie distruse documente ce conțin date cu caracter personal, acestea
vor trece mai întâi printr -un distrugător de documente. Nu se vor pune niciodată documente ce
conțin informații personale sau cor porative în coșul de gunoi de uz general.
Dispozitivele de calcul portabile și cele de stocare, cum ar fi telefoanele mobile,
laptopurile, calculatoarele de buzunar, trebuie sa fie protejate printr -o parolă sau amprentă și
plasate intr -un loc discret, de p referință închise sub cheie la sfârșitul zilei de lucru.

2. Procedura clean workstation
Ecranul desktop -ului trebuie blocat în cazul în care acesta va rămâne nesupravegh eat.
Blocarea se realizează foarte rapid prin apăsarea concomitentă a tastelor „Windows + L” sau
„CTRL+ALT+DELETE”
Un alt factorul important în respectarea acestei proceduri este poziția ecranului ,

29
deoarece trebuie să ne asigurăm că acesta nu poate fi văzut de persoane neautorizate.

3. Securizarea rețelei de Wi -Fi
Orice rețea de Wi -Fi poate fi utilizată pentru a colecta anumite informații despre
echipamentele conectate, în concluzie o rețea nesecurizată poate expune date. Pentru a nu
expune datele cu caracter personal, accesul la aplicația AutoMaster se realizează printr -un
sistem de VPN.

4. Securizarea prin sisteme anti -virus și anti -spam
Casa Auto Lețcani colaborează pe partea de sisteme anti -virus și anti -spam cu cei de la
ESET , deoarece în cadrul grupului există un număr mare de sisteme interconectate între ele ,
iar pericolele pot apă rea de oriunde.

3.3. Concluzii și propuneri

În urma studiului efectuat asupra implementării GDPR în cadrul societății SC Casa
Auto Lețcani SRL, am ajuns la o serie de concluzii ce surprind atât aspecte pozitive , cât și
aspecte negative, pe baza cărora am elaborat o serie de sugestii și propuneri.
Un prim aspect pozitiv remarcat în cadrul companiei este training -ul dedicat
regulamentului general privind protecția datelor organizat de către departamentul juridic. În
cadrul acestuia, ofițerul de protecție al datelor le vorbește noilor angajați despre datele cu
caracter personal, cum trebuie protejate acestea și sancțiunile la care este expusă compania în
cazul nerespectării regulamentului.
Pentru a evita accesul persoanelor neautorizate la datele cu carac ter personal, atât
departamentul juridic cât și managementul companiei încurajează și sfătuiesc angajații ce au
legătura directă cu clienții să renunțe la agenda fizica, loc unde sunt înregistrate nume, număr
de telefon, etc.
Un alt aspect pozitiv remarca t este prezența ofițerului de date printre angajați , cu
scopul de a se asigura că nu sunt documente nesupravegheate la vedere și toate regulile sunt
respectate. Ofițerul de date colecta , la fiecare început de săptămână , consimțământurile cu
privire la prel ucrarea datelor cu caracter personal de la angajații ce au avut contact direct cu
clienții, verificând ulterior dacă acestea au fost introduse corect în baza de date a entității.
Făcând referire la aspectele negative sesizate în cadrul societății, se poat e distinge
lipsa informațiilor cu privire la protecția datelor de pe site -ul companiei . Acest aspect ar ajuta
la informarea clienților cu privire la modul în care sunt colectate datele cu caracter personal

30
din mediul online.
Un alt aspect negativ ce poa te fi evidențiat este interfața învechită a programului de
centralizare folosit în companie atât pentru introducerea datelor personale , cât și pentru
facturarea către client și micile defecte ale acestuia (erori de căutare, erori de introducere,
duplicarea clienților, etc.). Programul Automaster este lipsit de căi de comunicare
(mesagerie) , iar comunicarea între departamente se realizează prin Outlook, fapt ce poate
duce la erori cauzate de neatenție.
Ca urmare a aspectelor negative prezentate anterior, c onducerea unității poate avea în
vedere o serie de propuneri ce pot conduce la o mai bună securitate și gestionare a datelor cu
caracter personal în cadrul societății precum: actualizarea sistemului de centralizare și
procesare a datelor cu caracter person al cu unul mai nou, automatizat și actualizarea site-ului
companiei cu normele și regulile GDPR.

31

Concluzi i

Obiectivul acestei lucrări de licență a fost familiarizarea și înțelegerea unor termeni tot
mai des auziți în ultimii ani și anume GDPR, date personale, protecția datelor cu caracter
personal. Înțelegerea acestor termeni are o relevanță practică ridicată pentru companii,
întrucât sunt necesare cantități mari de timp, planificare bine stabilită, instruire a angajaților și
resurse financiare pentru a implementa cerințele.
Deși GDPR introduce multe reguli și instrucțiuni clarificate cu privire la punerea în
aplicare, soluțiile reale pentru punerea în practică a dispozițiilor menționate în regulament
trebuie să fie stabilite ch iar de companii.
Atunci când stabilesc noi proceduri și le revizuiesc pe cele existente, companiile ar
trebui să se axeze, de asemenea, pe sancțiuni pentru nerespectarea Regulamentului General
privind Protecția Datelor , pentru a evita eventuale amenzile u sturătoare primite de la
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. GDPR
necesită transparență , care demonstrează respectarea obligațiilor față de persoanele vizate.
În această lucrare, în cadrul celui de -al treilea capitol, am încercat să prezint realitatea
trăită la momentul actual, din punct de vedere al aplicării noului regulament, în cadrul unei
firme importante din Iași.
În cele din urmă, din punctul meu de vedere, GDPR -ul se aseamănă foarte mult cu
Contabilitatea în cadrul entităților, datorită elementelor comune , precum transpar ența și
obligativitatea. Atât securitatea datelor, cât și contabilitatea necesită mână de lucru foarte bine
pregătită, deoarece sancțiunile în ambele cazuri sunt foarte drastice.

32
Bibliografie

1. ***, Articolul 29, Desfășurarea activității de prelucrare sub autoritatea operator ului
sau a persoanei împuternicite de operator , Regulamentul General privind Prelucrarea Datelor
2. ***, Articolul 32, Securitatea prelucr ării, Regulamentul General privind Prelucrarea
Datelor
3. ***, Ce este un operator de date sau o persoană împuternicită de operator?,
https://ec.europa.eu/info/law/law -topic/data -protection/reform/rules -business -and-
organisations/obligations/controller -processor/what -data-controller -or-data-processor_ro /
4. ***, DGD2C , http://data.consilium.europa.eu/doc/document/ST -9565 -2015 –
INIT/en/pdf
5. ***, Date personale și viața privată – despre privacy in România,
https://privacy.apti.ro/ce -sunt-datele -personale/#legea677 , Decembrie 2016
6. ***, Ghid privind Responsabilul cu protecția datelor (DP Os),
http://ec.europa.eu/justice/data -protection/index_en.htm /
7. ***, Glosar GDPR, https://upfit.cloud/gdpr -glosar /
8. ***, Guide to the General Data Protection Regulation (GDPR), https://ico.org.uk/for –
organisations/guide -to-data-protection/gu ide-to-the-general -data-protection -regulation –
gdpr/security/
9. ***, Noul Regulament privind protec ia datelor personale: Care sunt riscurile la care
se expun companiile din România care nu respectă reglementările de secu ritate ȋn vigoare?,
http://www.zf.ro/info/noul -regulament – privind -protectia -datelor -personale -riscurile -expun –
comp aniile -romania -respecta -reglementarile -securitate -n- vigoare -amenzile -ajung -4-cifra –
afaceri -16250316
10. ***, Protecția datelor și a vieții private,
https://europa.eu/youreurope/citizens/consumers/internet -telecoms/data -protection -online –
privacy/index_ro.htm
11. ***, Regulamentul GDPR, împărțit în 12 politici și 8 procedur i. Acum e mai usor s ă-l
aplici!, https://e -juridic.manager.ro/articole/regulamentul -gdpr -impartit -in-12-politici -si-8-
proceduri -e-usor-sa-l-aplici -2639.html /
12. ***, What is personal data?, https://ec.europa.eu/info/law/law -topic/data –
protection/reform/what -personal -data_en
13. Abrihan, R.,GDPR 2018: Ce schimbări face Facebook pentru respectarea noilor legi
pentru protecția datelor – Re eaua întreabă dacă ești de acord cu recunoașterea facială,
https://www.startu pcafe.ro/afaceri/gdpr -facebook -protectia -datelor -modificari -social –

33
media.htm 19 Aprilie 2018
14. Alexe I, Ploesteanu D., Protecția datelor cu caracter persona l, Editura Universitara,
2017
15. Nicola, O., Ce se schimbă în gestionarea datelor personale începând cu luna mai 2018,
https://blog.wolterskluwer.ro/ce -se-schimba -gestionarea -datelor -personale -incepand -cu-
luna-mai-2018/ , 21 Noiembrie 2017
16. Renaud, K., Shepherd, L. GDPR its time has come, Network security, Februarie 2018
17. Tamburii, D., Design principles for the General Data Protection Regulation (GDPR):
A formal concept analysis and its evaluation, Information Systems nr.91, Noiembrie 2019
18. Tikkinen -Piri, C. , Rohunen , A., Markkula , J., EU General Data Protection
Regulation:Changes and implications for personal data collecting companies, computer law &
security review vol.34/2018