[Ghid gratuit] Cum se implementează GDPR într-o primărie

Având șansa să colaborăm cu mai multe instituții publice printre care și primării, văzând și dificultățile acestora, și înțelegerile greșite a normelor aplicabile venim vin în sprijinul dumneavoastră oferindu-vă în mod gratuit o resursă care este rezultatul a sute de ore de muncă în direcția conformării instituțiilor publice la GDPR. Ne-am propus ca prin acest ghid să oferim primăriilor o ,,coloana vertebrală a conformării” la GDPR.



Urmând acești pași în mod practic, vă veți putea asigura că ajungeți să respectați într-o mare măsură standardul privind protecția datelor.



Primăria, autoritate publică, este operator de date cu caracter personal, prelucrând datele a mii sau sute de mii de cetățeni, după caz. Servind un interes public atunci când prelucrează datele, primăria poartă o mare responsabilitate prin felul în care acționează, fiind și un reper pentru alte instituții publice.


Întreg procesul de conformare al primăriei cu Regulamentul General Privind Protecția Datelor, ridică deseori multe provocări atât pentru responsabilul cu protecția datelor cât și pentru angajații altor departamente, precum resurse umane, juridic sau IT. Astfel, înțelegerea corectă a normelor dar și vizualizarea pașilor pe care îi avem de făcut, poate ușura mult conformarea primăriei pe când, dimpotrivă, o înțelegere greșită a prevederilor nu va face altceva decât să ne aglomerăm ziua de lucru cu aspecte care nu sunt poate nici necesare și nici utile! (ex. solicitarea de consimțământ scris de la angajați pentru prelucrarea datelor privind plata salariului acestora, după cum s-a întâlnit în practică).



Care sunt așadar pașii în vederea conformării la standardul privind protecția datelor cu caracter personal:


1. Instruirea managementului și personalului


• Unul dintre cele mai importante lucruri de știut în ceea ce privește GDPR-ul este că responsabilitatea implementării standardului cu succes sau nu este a operatorului de date cu caracter personal – adică a Primăriei. Responsabilitatea nu va fi a Responsabilului cu Protecția Datelor după cum s-a înțeles greșit de multe ori. Astfel, echipa de management a Primăriei, în frunte cu reprezentantul acesteia, primarul, cu secretarul primăriei sunt primii care trebuie să întreprindă acțiuni în această direcție.


• Pentru că activitatea acestora însă este de cele mai multe ori foarte intensă, sugestia noastră este ca, dacă până acum nu a existat, să fie stabilită o ședință de instruire cu caracter general în domeniul protecției datelor, dar și specific pentru a fi puse în vedere principalele vulnerabilități care există în primăria dumneavoastră. În acest sens, recomandăm ca instruirea să fie ținută de Responsabilul cu Protecția Datelor sau de o companie specializată din domeniu.


• Întrucât nivelele de management sunt multiple în primărie, este necesar ca la fiecare nivel să fie făcută o instruire specifică (ex. pentru resurse umane, juridic, IT, administrativ, urbanism, etc.). În cadrul acestor instruiri vor reieși o mulțime de aspecte care sunt neclare sau insuficient reglementate de lege. Odată identificate, vor fi notate și supuse discuției Comisiei de specialitate a protecției datelor cu caracter personal, sau dacă aceasta nu există, se va constitui o comisie din reprezentanți din departamentele vizate (ex. juridic, IT) și împreună cu Responsabilul cu Protecția Datelor vor căuta soluțiile cele mai potrivite pentru buna funcționare a activității.


• Deoarece cele mai multe riscuri apar datorită factorului uman, unul din cele mai de succes aspecte de avut în vedere este instruirea întregului personal al primăriei. Poate vi se pare mult, însă cu o planificare din timp, pe departamente, 1 oră pe deopartament, 1 departament pe săptămână, în decursul a 6 luni sau 1 an în cazul primăriilor mai mari aceasta poate avea un impact imens. De ce? Deoarce colegii noștri vor deveni conștienți despre prezența datelor cu caracter personal, despre răspunderea în caz de încălcare, își vor pune mai multe întrebări și vor căuta să îl implice mai mult pe Responsabilul cu Protecția Datelor în soluționarea cazurilor specifice.


2.Numirea Responsabilului cu Protecția Datelor


• Ce este foarte important în acest caz, am putut observa din practica din țară și străinătate este ca acesta să nu fie în conflict de interese! (au fost aplicate sancțiuni pentru aceasta – ex. Compania Proximus S.A. din Belgia, la data de 28.04.20 a primit o amendă de 50.000 euro pentru că responsabilul cu protecția datelor se afla în conflict de interese).


De ce este atât de important acest aspect? Deoarece fiind în conflict de interese, spre exemplu, șeful departamentului IT numit Responsabil cu Protecția Datelor, nu își va putea duce la îndeplinire sarcinile pe care Regulamentul le impune – ex. Raportarea în 72 ore a unei breșe de securitate care a afectat în mod grav drepturile a câtorva mii de persoane vizate.


Cum se va putea realiza raportarea DPO-ului a breșei de securitate care este datorată șefului departamentului IT, pentru că nu au fost avute în vedere la timp update-urile de sistem? Ei bine, nu va fi raportată, expunând operatorul și persoanele vizate unui risc enorm!


• Cine ar trebui să fie numit DPO? Regulamentul nu ne spune, însă recomandările pe marginea acestuia spun că este bine să fie avute în vedere persoanele cu pregătire juridică sau IT.


• Chiar dacă această funcție este încredințată unui jurist sau unui IT-st, oricât de bine pregătit este în aria de lucru pe care activează, nu îl face complet echipat pentru rezolvarea situațiilor privind protecția datelor cu caracter personal. În acest sens, noua persoană numită are nevoie de instruiri periodice pentru a putea face față provocărilor din domeniu.


3.Constituire Comisie de Lucru (dacă este cazul)


Atunci când vorbim de o primărie a unui municipiu sau a unui oraș mare, cu multe departamente, este bine să avem în vedere implicarea mai multor persoane din diverse departamente pentru a găsi cele mai bune soluții în domeniul protecției datelor. Astfel că sugestia noastră este numirea unei comisii de lucru, formată din membrii a departamentelor principale care se ocupă cu prelucrări de date cu caracter personal.


Această comisie va putea avea întâlniri regulate pentru implementarea planului de acțiune împreună cu Responsabilul cu Protecția Datelor, va putea dezbate, analiza, decide asupra situațiilor urgente sau problematice din domeniu pentru oferirea de soluții potrivite situației date.


4.Redactarea și aprobarea planului de acțiune: Așa cum atunci când dorim să ne construim o casă ne facem un plan, la fel este bine ca atunci când începem procesul de conformitate cu GDPR-ul să avem un plan care să includă prioritățile în materie și acțiunile concrete. Acest plan va fi supus aprobării conducătorului instituției.


5. Realizarea cartografierii datelor(evidenței prelucrării datelor cu caracter personal): tuturor activităților de prelucrare a datelor cu caracter personal din cadrul primăriei (ex.: categoriile de date prelucrate, cine prelucrează datele, scopul în care se prelucrează aceste date, temeiul pe baza căruia se prelucrează datele, persoanele vizate candidați la examene, reprezentanți ai altor personae juridice etc.).


Știm că aceasta este una din cele mai importante dar și mai dificile aspecte de realizat într-o primărie. De ce? Deoarce avem de a face cu o mulțime de date, mii, zeci de mii de date cu caracter personal! Cum le inventariem?


Mai jos puteți găsi câteva aspecte de avut în vedere în realizarea cartografierii:

• Planificarea cartografierii și trimiterea instrumentelor de lucru;

• Instruirea membrilor implicați în cartografiere;

• Oferirea de asistență personală membrilor departamentelor în vederea completării tabelelor (o întâlnire minim / departament);

• Strângerea tabelelor de cartografiere;

• Analiza tabelelor și rectificarea după caz a formei inițiale;

• Finalizarea tabelelor de cartografiere și realizarea diagramelor care ilustrează fluxul de date, în baza tabelelor completate;

• Trimiterea formei inițiale spre analiză departamentelor și primirea de feedback.


6. Identificarea riscurilor


Evaluarea aceasta presupune o analiză atentă în care să vă gândiți ce fel de date personale se pot scurge cel mai ușor și pe unde anume?


Câteva posibile exemple de zone de risc într-o primărie:

• Dosare care sunt stivuite la vedere și la care poate avea acces oricare din angajați, inclusiv personalul de curațenie sau sunt stivuite într-o zonă cu risc de incendiu sau cu umititate ridicată;

• Pe rețeaua de calculatoare nu este instalat un antivirus la zi ceea ce o face foarte expusă la atacuri prin care se pot fura datele de pe calculatoarele din rețea

• Orice angajat poate veni cu un memory stick de acasă și copia pe el orice fel de date de pe calculatoarele instituției. Ori poate să aducă (fie și neintenționat) un virus pe care să-l introducă în rețeaua IT a Primăriei.


Exemplele de acest gen reprezintă niște riscuri mari de scurgere sau periclitare a datelor cu caracter personal pe care trebuie să le identificați prin această analiză.


7.Realizarea politicilor (ex. de prelucrare a datelor cu caracter personal) și procedurilor:

• model general de informare (trebuie particularizat pe categorii de persoane vizate – ex.: angajați, practicieni în insolvență, candidați la examene, persoane care participă la conferințe sau la activități de pregătire profesională inițială / continuă etc.);

• politica de confidențialitate a site-ului web, politica privind fișierele cookies;

• clauze contractuale de utilizat în relația cu partenerii contractuali, respectiv clauza de prelucrare minimă a datelor, model de contract de utilizat;

• politica generală de confidențialitate, politica de stocare a datelor, politica în caz de încălcare a securității datelor (incluzând model de registru al situațiilor de încălcare a protecției datelor si modele de notificări);

• test de echilibru care este necesar a fi realizat când prelucrarea se întemeiază pe interesul legitim;

• studiu de impact asupra protecției datelor cu caracter personal (DPIA);

• ghiduri care să ajute Primăria să identifice răspunsurile la anumite situații concrete;

• alte aspecte: pseudominizarea; ștergerea datelor cu caracter personal; cartografierea; restricționarea prelucrării datelor cu caracter personal etc;


8.Evaluarea infrastructurii informatice


Aici intrăm într-o zonă mai tehnică unde e bine să fie implicată echipa IT. Și anume vorbim de bazele de date în care se regăsesc datele personale ale cetățenilor. Acestea pe de-o parte trebuie construite astfel încât să asigure anonimizarea datelor. Mai concret, să nu existe într-un sigur loc (aceeași tabelă) TOATE datele unei persoane, ci în mai multe tabele. Acestea din urmă ar urma să fie unificate de către aplicația care le folosește pe baza unor id-uri.


În acest sens este importantă implementarea soluțiilor de backup a datelor. Acestea vă vor ajuta să aveți o versiune a datelor la zi, în cazul pierderii sau coruperii datelor pe care le dețineți.


Sunt multiple soluții în acest sens, de la aplicații gratuite gen Dropbox sau Google Drive până la variante personalizate care vă pot fi oferite de furnizorii dumneavoastră de servicii IT.


În al doilea rând, bazele de date trebuie criptate astfel încât informația din interiorul lor să nu fie accesibilă fără accesul la un cod de criptare (encryption key). În acest sens se pot folosi aplicații de criptare. În acest sens este recomandat să contactați furnizorii de aplicații și să verificați daca implementează măsuri în direcția aspectelor de mai sus.


9. Adaptarea clauzelor contractuale privind prelucrarea datelor cu caracter personal


Pentru aceasta este necesar să înțelegem în ce relație se află Primăria și în ce relație se află părțile terțe (operator – persoană împuternicită? Operatori asociați? Operatori independenți?) spre exemplu: Primăria în comunicările ei oficiale se folosește de un furnizor de servicii poștale, încheind un contract în acest sens. Ce garanții trebuie să acopere acel contract? Garanțiile privind protecția datelor care vor fi introduse vor privi în mod specific relația operator – persoană împuternicită.


10. Redactarea de formulare privind protecția datelor


• Pentru a vă ușura munca, este foarte util să aveți niște formulare specifice care să le puneți la dispoziția cetățenilor atunci când vor, spre exemplu, să își exercite anumite drepturi dar și un model (machetă) de răspuns din partea primăriei;

• De asemenea este util să avem model de formulare privind exprimarea consimțământului;

• Vom avea în vedere și formularele de colectare consimțământ de pe website-ul instituției, dacă există astfel de cazuri de colectare de date cu caracter personal. Spre exemplu Primăria prin platformele online permite plata taxelor, cetățeanul trebuind să își facă un cont de utilizator prin care se colectează astfel date.


11.Soluționarea cazurilor urgente


• Nu în ultimul rând, pot exista cazuri care necesită o atenție aparte și sunt foarte urgente, cum ar fi: o breșă informatică, pierderea corespondenței care conține date cu caracter personal de către persoana împuternicită, transmiterea anumitor emailuri cu date sensibile unor părți terțe neavizate sau poate înregistrări ale stațiilor de lucru sau video, pentru care nu s-a făcut o informare corectă.

• Ultimul dintre cazuri este des întâlnit în rândul primăriilor – adică colectează date cu caracter personal prin intermediul sistemelor de supraveghere video. Temeiul legal folosit cel mai adesea este cel al obligației legale – Legea 333/2003 privind paza și protecția bunurilor. Cu toate că avem un temei legal valid, pot fi ridicate multe probleme atunci când lispește semnalizarea camerelor în primărie sau în spațiul administrat de primărie (ex. în parcarea conexă). Totodată, accesul la aceste date trebuie să fie bine reglementat și să existe o informare completă a persoanelor vizate cu privire la procesul de prelucrare a datelor prin intermediul camerelor (ex. Cine e operator, cine are acces la date, cât timp se stochează, etc).

• Netratarea în mod corespunzător a acestei situații poate atrage sancțiuni din partea ANSPDCP pentru lipsa informării (există o astfel de amendă dată unei companii) spre exemplu.



În concluzie, procesul de implementare a GDPR-ului într-o primărie este unul de lungă durată și care necesită multă atenție din partea a unui număr ridicat de persoane din instituție.


Fără o aplecare reală asupra aspectelor problematice, și acoperirea în mod formal cu documente, expune datele cu caracter personal prelucrate de Primărie la riscuri ridicate. Încălcările privind protecția datelor pot fi sancționate nu doar pecuniar de ANSPDCP dar și de persoanele vizate prin votul de încredere pe care îl oferă instituției publice și funcționarilor publici care o conduc.


În consecință o încălcare de date poate avea efecte majore asupra bunului mers al lucrurilor într-o primărie. Pentru acest motiv, noi, GDPR COMPLET, venim în sprijinul primăriilor oferind soluții particularizate prin diversele modalități de colaborare. Soluțiile privesc toate aspectele menționate: Evaluare, instruire, cartografiere, redactare politici, proceduri, clauze contractuale și nu în ultimul rând tratarea situațiilor urgente în timp util și în mod profesionist astfel ca orice risc al încălcărilor privind protecția datelor să fie redus la minim!


GDPR Complet oferă servicii complete de conformare la GDPR pentru instituții publice și companii. Compania se diferențiază atât prin furnizarea de soluții complete (cursuri, aplicații software și consultanță) cât și prin experiența specialiștilor atât în domeniul legal cât și în securitate IT.



Acest site foloseşte cookies! Continuarea navigării implică acceptarea lor!
Pentru mai multe informatii despre cookie-uri puteti citi aici.

Se încarcă...