GDPR: un angajament pe termen lung

 

Ing. Lucia ȘREFAN

 

 

Ing. LUCIA ȘTEFAN, MSc Information Systems, Data Protection Officer Certified (Maastricht University, 2017).

Director/Consultant al companiei Archiva Ltd. din Marea Britanie.

 

Date de contact:

Email: datapro.archiva@btinternet.com

LinkedIn: https://uk.linkedin.com/in/luciastefan

Din momentul în care Regulamentul General privind Protecția Datelor (GDPR) a fost publicat, au apărut tot felul de interpretări privind înțelegerea și aplicarea acestui regulament. Un curent care și astăzi este destul de puternic afirmă că întregul GDPR nu constă decât în securizarea datelor personale și conformitatea cu ISO 27001.

Alții afirmă că este o chestiune de interpretare legală și doar un jurist poate interpreta corect prevederile Regulamentului. Cei din zona administrării de date (Data Management), spun că e suficient să inventariezi datele din sisteme informatice și să iei masuri de remediere acolo unde trebuie pentru a fi conform cu GDPR. În sfârșit, o altă categorie afirmă că datele personale trebuie gestionate dinamic în timp, comparabil cu un ciclu de viață care începe prin capturarea acestor date și se termină prin ștergerea lor definitivă (dispariția lor) din sistem.

În realitate, toate opiniile de mai sus sunt corecte, în sensul că administrarea și controlul datelor personale într-o organizație este foarte complexă, fiind obiectul muncii unei întregi echipe, în care avem juriști, specialiști în securizarea informației (InfoSec), specialiști din managementul informației digitale, al conformității (compliance), al riscului, al gestionării și arhivării informației. Cu cât arhitectura sistemelor informatice este mai complexa, cu atât este mai multă nevoie, nu de omul-orchestra, ci de o întreagă echipă, cu competențe multiple!

Organizațiile, care prin natura afacerii lor trebuie să se conformeze GDPR, au nu numai obligația atingerii acestui obiectiv dar și pe aceea a menținerii conformității pe toata durata existenței organizației. Cu alte cuvinte, atingerea standardelor RGPD în materie de informații personale nu este suficientă, conformitatea trebuie menținută și gestionată pe termen lung. Atingerea conformității nu este un efort care, odată făcut, îți permite să te relaxezi după aceea. GDPR impune ca organizația să poată demonstra, prin dovezile obținute și păstrate, că este conformă în orice moment cu prevederile Regulamentului. Administrarea pe termen lung a prevederilor GDPR este la fel importantă ca obținerea conformității la data de 25 Mai 2018.

 

Acest articol a fost publicat în secțiunea ”Ce ne recomandă experții”, din cadrul ”Ghidului de bune practici” din Catalogul GDPR Ready. 

Advertisements

Ce au în comun domeniile Cloud, Big Data și GDPR?   

 

 

Atât domeniul Cloud, cât și cel al Big Data sunt esențiale pentru transformarea pe care segmentul tehnologiei informației îl parcurge în prezent și sunt adeseori considerate subiecte conexe, însă cum rămâne cu noile Reglementări ale Uniunii Europene privind protecția generală a datelor ( GDPR)?

O presiune enormă pe politicile de date

Este adevărat că domeniile Cloud, Big Data și Regulamentul General privind Protecția Datelor (GDPR), luate împreună, pun o presiune enormă asupra provocărilor ridicate politicilor aferente datelor. Atât de mult, încât multor organizații le va fi foarte greu să le facă față în timp ce duc inițiativele legate de Cloud, Big Data și GPRD din faza de testare în cea de producție.

Să luăm un exemplu simplu pentru fiecare domeniu în parte. Datele din Cloud trebuie adesea ținute într-o anumită țară; anumite elemente de Big Data trebuie să fie anonimizate înainte de a fi procesate, iar politica GPRD cere ca utilizatorilor să li se spună pentru ce le sunt reținute datele (printre alte cerințe de confidențialitate). Acum imaginați-vă o listă de articole cu sute de astfel de cerințe, determinate fie de reglementări, fie de reguli de guvernare corporativă și care să cuprindă aspecte legate de intimitate, securitate, anonimitate, responsabilitate, fiabilitate și supraveghere guvernamentală. Acestea ne conferă dimensiunea problemei cu care ne confruntăm.

Dacă dorim să ne asigurăm că politicile aferente fiecăruia din aceste aspecte se află sub un control adecvat și pot fi duse la îndeplinire, atunci avem nevoie de o bază solidă de gestionare a datelor. Aceasta va trebui să includă gestionarea păstrării, expirării, dispunerii, separării și localizării datelor.

În timp ce organizațiile aliniază practicile de management al datelor cu cerințele de gestionare a afacerii și demonstrează că respectă politicile, acestea trebuie, de asemenea, să păstreze integritatea datelor și să controleze costul și complexitatea sistemelor IT.

Sursa: Commvault

Automatizarea bazată pe politici

Ceea ce va fi surprinzător pentru mulți profesioniști din domeniul IT și al afacerilor deopotrivă, este modul în care metodologiile de backup și arhivare pot constitui baza pentru abordarea acestor provocări, în chiar zona în care acestea au rate foarte ridicate de creștere a datelor – fișierele, e-mailurile, videoclipurile, postările sociale și alt gen de conținut de date nestructurate.

Folosind soluția Commvault de automatizare bazată pe politici ca bază a unei strategii sănătoase de gestionare a datelor, costurile și complexitatea pot fi controlate, în timp ce aspectele legate de politica de date, cum ar fi păstrarea, separarea și localizarea datelor, pot fi gestionate ca parte a operațiunilor automatizate. Este de la sine înțeles că, în calitate de lider în domeniul back-up-ului și a recuperării de date corporative, software-ul Commvault reprezintă o alegere excelentă pentru a asigura integritatea datelor.

În ceea ce privește modul în care sunt create și gestionate politicile, acestea se pot baza pe orice criterii relevante, cum ar fi numele fișierului, tipul, etichetele, cuvintele cheie și conținutul. Clasificarea bazată pe conținut poate fi utilizată pentru a identifica datele personale care pot constitui subiectul unor reglementări. Datele pot fi căutate pe baza acelorași criterii, pe baza rolurilor din fișierele directoare, în timp ce seturile de rezultate pot fi clarificate și selectate în scopul remiterii către terți, cu asigurarea deplină a acurateței, validității și integrității lor. Înlăturarea duplicatelor ne asigură de faptul că o singură copie a fiecărui obiect poate fi urmărită și gestionată, ceea ce este vital atât pentru controlul costurilor, cât și pentru gestionarea eficientă a datelor în funcție de politici.

Securitatea, o componentă cheie în politicile aplicate

Având în vedere caracterul dinamic al IT-ului modern, în special în Cloud, este esențial să fie surprinse toate schimbările din industrie. Auto-identificarea și monitorizarea asigură faptul că modificările – cum ar fi adăugarea unui nou centru virtual (VM) – sunt detectate și pot fi acționate fie automat, fie evidențiate. O verificare de audit și o raportare bogată permit verificarea completă a îndeplinirii politicilor.

Securitatea reprezintă o componentă importantă în cadrul politicilor aplicate, iar soluția Commvault extinde securitatea, de la comunicarea internă dintre componentele software la datele gestionate în tranzit sau stocate. Securitatea datelor deținute pe laptop-uri poate fi asigurată prin capacitatea de a determina amplasamentul lor și de a șterge datele din laptopurile pierdute, în timp ce datele nepotrivite pot fi identificate în scopul conformării – aceasta va fi semnificativă în gestionarea regulamentelor GDPR, care se aplică datelor tuturor cetățenilor UE, oriunde ar fi acestea stocate.

În concluzie, Cloud, Big Data și noul regulament european de confidențialitate vor aduce reglementarea și buna guvernanță în prim-planul gândirii IT. Problemele legate de confidențialitate, securitate, anonimitate, responsabilitate, fiabilitate și supraveghere guvernamentală trebuie soluționate într-un mod eficient din punct de vedere al costurilor. Această tendință asigură un viitor remarcabil pentru automatizarea bazată pe politici a soluției Commvault, ca bază pentru gestionarea eficientă a datelor și a informațiilor, în întreaga organizație.

Acest articol a fost publicat de Commvault în Catalogul GDPR Ready, Octombrie 2017. Date de contact: Sergiu Costin, Territory Manager Commvault, scostin@commvault.com

Image Sources: commvault.com

THE FIRST GDPR READY CATALOGUE PUBLISHED IN ROMANIA

AGORA Press Group and cloud☁mania – knowledge platform for Cloud & Business Transformation, announces the publication of the GDPR Ready Catalogue – the first editorial project in Romania dedicated to service and solutions offerings to ensure compliance with the GDPR provisions. The GDPR Ready catalogue is part of the 7th edition of the Catalog of Cloud Computing Romania guides and is an essential component of the “GDPR Ready!” Initiative. 

Click the cover to see it online!

 

Since May 2016, when the European Parliament approved EU Regulation 2016-679, GDPR became the keyword in all business, technological and social environments. The new Regulation is the most important change to the legislation on personal data protection in the EU and globally. 2018 will be a year of much agitation, with major implications not only for the IT area but also for governmental organizations and data operators in any industry. For, after all, we are all data processors, and we will all be subject to the same rules.

Although it is technologically advanced, the IT industry is one of the areas where compliance with the new regulation can raise the biggest problems. The vast majority of companies are aware of the strategic importance of alignment with GDPR provisions, but very few are really prepared to act. What do Cloud providers do to provide GDPR compliant services? But data centre operators? But eCommerce companies and online payment processors? But distribution companies, reseller channels and IT retailers? But software houses and call-centre service providers, consulting, training and maintenance? Of course, there are many things common to all of these IT domains, but also a multitude of particular aspects.

Quick Guide

This was the reason we decided the 7th Edition of the Cloud Computing Romania Catalogue should be dedicated to GDPR. Starting from the knowledge and coordination gap in the IT industry, we felt the need to edit a GDPR Ready Catalog that would serve and provide general recommendations for data operators in any industry. The GDPR Ready Catalog is structured in two parts:

  • Quick Guide
  • GDPR Compliance and Service Recommendations Catalog.

The “Quick Guide” contains 60 questions and responses structured so as to provide an overview of the main changes introduced by the Regulation as well as the critical areas that we need to know when preparing compliance. It also comes with a series of recommendations from international experts, governmental and professional associations, and analysis & research firms. The main chapters covered by the compliance questions series relate to:

  • The Importance of GDPR
  • Brief history of personal data protection
  • GDPR Principles
  • Rights of the data subjects
  • Personal data protection
  • Impact assessment
  • International data transfer
  • Ensuring compliance
  • Notification of security breaches and penalties.

The guide is accompanied by the recommendations of experts who have referred to the main directions for Cloud providers: Bart von Buitenen – managing partner White Wire, Ian MoyseIan Moyse, Sales Director Natterbox,  Cloud Industry Forum, Lucia Ştefan – Archiva consultant manager Ltd (UK) and Attle Skjekkeland – Vice President AIIM Europe, as well as the recommendations of the National Supervisory Authority for Personal Data Processing (ANSPDCP), CERT.RO, ANSII + some of its members and IDC Romania.

GDPR Compliance Conformance Guidelines

The second section is the GDPR Compliance Conformance Guidelines offered by vendors, integrators and resellers of information security solutions and services, service packs provided by law firms, consulting companies, and training and certification firms. We thank the partners from ALEF Distribution, Archiva Ltd., ASBIS, AxelSoft, Commvault, Info World, IXIA, Omega Trust, Providence, Relational, Romsym Data, RQM Certification, Star Storage, Tryamm and Zitec for participating with us at this project.

GDPR Ready Initiative

Publication of the GDPR Catalog is part of the GDPR Ready Initiative, which brings together a wide variety of projects and activities designed to help data operators and processors in Romania:

  • GDPR Explicit Articles – 15 articles published on the cloud☁mania website
  • Quick Guideline in the GDPR Catalog
  • Brochures and eBooks
  • Market studies and analyzes
  • Media Partnerships
  • Organizing GDPR Events
  • Moderate GDPR panels
  • Training sessions
  • Recommendations and advice to IT companies

The GDPR says that organizations must be in compliance as early as May 25, 2018. If you think that until then there is enough time for you to start implementing the necessary measures to ensure GDPR compliance, you have to keep in mind that the average duration of a trial may be FOUR – FIVE months, depending on the size of the organization and the type of processed personal data.

TIME TO GO TO ACTION IS NOW!

There are 209 days left!

What cloud providers need to focus on for GDPR compliance

Bart van BUITENEN

Bart van BUITENEN – GDPR, DPO, data protection, CISO, ISO27k – is managing partner of White Wire. Bart is very active in the fascinating world of data protection and privacy, specialized in guiding GDPR implementation projects, GDPR audits, DPIAs, ISO27001 implementations and all things data protection and privacy. White Wire is a boutique consultancy firm specialized in assisting healthcare organizations, SMEs and technology firms all over the EU with their data protection needs.

 

 

If you are a cloud provider, whether or not based in the EU, it is very likely you are processing personal data on European soil or concerning EU-based persons which means the GDPR applies to you. There is even a specific term to indicate a provider that processes personal data on behalf of an organization: the processor.

A lot of the focus has been put on the role of the ‘controller’, the organization responsible for determining the means and purposes for processing, and not enough emphasis is put on the role of the processor. And yet the GDPR changes many things for processors compared to previous data protection legislation, for example with regards to liability, responsibility and several new obligations. Below you will find what I believe to be the most important aspects for cloud providers (assuming they are indeed processors) to work on for GDPR compliance by the 25th of May 2018.

1 Data processing agreements

Controllers provide specific instructions to processors, and such instructions need to be documented in so-called “data processing agreements”. Such agreements are not new: they were also required under the previous European data protection legislation (Directive 95/46, and consequently the applicable member state law) but in practice correct and complete processing agreements are rare finds indeed.

Most organizations were not aware of the requirement for processing agreements, and for cloud providers, this usually meant more work and responsibilities while getting little in return. This has changed in the GDPR: article 28 specifically mentions data processing agreements and details what they should include. Unlike before, cloud providers now have a clear incentive to create processing agreements: the agreement should include the instructions for the cloud provider, and as such will become a very important part in determining liability. (Art. 82(2)).

Tip:

  • be proactive, don’t wait for the controller to mention the agreement first! This way you have an opportunity to propose your own template and at the same time show to your client that you are on top of this GDPR thing.

2 Subcontractors

Data processing agreements need to be in place for your clients, but cloud providers will often have their own subcontractors. In the world of IT, the use of subcontractors is prevalent and many subcontractors will indeed be processors for the cloud provider. From the perspective of the clients using the cloud (the controllers), these subcontractors are then sub-processors. A cloud provider needs to ask the permission of the controller to use sub-processors, something that should be addressed in your processing agreement (see section 1.). Working with sub-processors can be handled in a generic permission or a specific permission per sub-processor. The processor remains liable, so rock-solid agreements with sub-processors should be high on any cloud provider’s list.

Tip:

  • Asking specific permission can be a hassle, ask for a generic permission and offer clients the opportunity to consult (and object to) a complete list of sub-processors at any time, e.g. by providing that list on a specific web page on your site.

3 Record of processing activities

Every controller should maintain a record of processing activities: a tool or document that details the different personal data processing activities within the organization. A lighter version also needs to be maintained by the processor and should involve all the processing activities carried out for its clients.

Tips:

  • Creating such a record or processing activities will provide valuable insight in finding which data you process and should be one of the first actions in a GDPR implementation plan.
  • Organizations sometimes lose themselves in the details, keep in mind GDPR does not require you to map every single data field, and it’s about processing activities which often map very closely with the services being offered to clients.
  • Don’t keep a register per client, just make sure you can link clients to processing activities by including the services you offer per client in your CRM or client database.

4 Transfers outside the EU

When EU personal data is transferred to countries outside the EU, it is important that the data receives the same protections and safeguards as within EU borders. To ensure this, the GDPR includes several mechanisms that make this possible, of which the most prevalent ones are:

  • Adequacy decisions: when the EU has determined that a country outside the EU (or a specific agreement with such a country, e.g. Privacy Shield with the US) offers adequate protection it will take an adequacy decision. Link to current adequacy decisions: http://ec.europa.eu/justice/data-protection/internationaltransfers/adequacy/index_en.htm
  • Binding Corporate Rules (BCR): many multinationals will have establishments in countries outside the EU. BCR document which measures an organization takes to ensure that a transfer of personal data outside the EU, but within the same organization, still offers adequate protection. Data Protection Authorities need to validate BCR before they can be applied
  • Standard Contractual Clauses (SCC): template contracts, validated by the European Commission, that once again contain safeguards that should guarantee adequate protection when personal data are transferred outside the EU. Link to SCC:

http://ec.europa.eu/justice/data-protection/internationaltransfers/transfer/index_en.htm

Tip:

  • Privacy Shield and SCC are under scrutiny and may well be invalidated in the not too distant future. If at all possible, keep data within the EU.

5 Information Security vs data protection

Information security and the protection are not the same. Information security concerns all information, which includes personal data. Data protection concerns all aspects regarding the processing of personal data, which includes securing the information. So there is a clear overlap, but also a significant difference.

That being said, securing the information against unauthorized access, loss or destruction is a very important aspect within GDPR. In short, this aspect of the GDPR can be summarized as maintaining the confidentiality, integrity and availability (also known as CIA) of personal data that a cloud provider processes. Keep in mind that any violation of these CIA principles (e.g. data breaches) will need to result in a notification to the controller, who in turn may need to notify data protection authorities and data subjects if the potential risks of the breach are high enough.

Tip:

  • Align GDPR initiatives to information security governance. For example, the ISO27001 norm can be combined with data protection principles to provide a framework that addresses both information security and data protection.
  • Think about and document a notification procedure BEFORE you actually need it.
  • Review your need to apply a data protection officer (DPO). Even when clients individually don’t need to appoint one, a cloud provider may still need to appoint one.

6 Obligation to assist and notify

Processors are obliged to assist or notify controllers when they have information that a controller needs to fulfil GDPR requirements, such as performing DPIA’s or the before mentioned data breach notifications.

Tip:

  • Document (e.g. in the processing agreement or another contract) how the assistance should take place: how should a request be made, within what timeframe will the cloud provider respond, are there any costs associated with the assistance…?

7 Every processor is also a controller

Keep in mind, it is extremely likely that cloud providers are controllers in their own right. Processes in departments such as HR, Suppliers, Clients all include the processing of personal data and will need to follow GDPR principles.

Tip:

  • Keep separate records of processing activities (see section 3) for controller and processor activities.

Romanian version of this article is part of first GDPR Ready catalogue published in Romania in October 2017. You can view the online version of the catalogue HERE. GDPR Ready Catalogue, pag. 50-53, Agora Group & cloud☁mania, Bucharest, October 2017,

 

Maraton de  soluții  pentru viitoarele orașe inteligente ale României la Dezbaterea Națională ”Different City – Smart City”

 

Revoluția digitală antrenează după sine o avalanșă de soluții pentru o viață economică și socială cât mai bună. Trăim și muncim în mediul pe care îl îngrijim, în spațiile pe care le întreținem, în orașe cât mai inteligente, unde toate facilitățile tehnologice sunt la îndemâna tuturor. Sunt gata orașele din România pentru amplul proces de transformare în orașe inteligente? Orașele sunt și au fost întotdeauna gata, important este ca ofertanții de soluții să se adapteze la nevoile concrete ale acestora, în condițiile impuse de specificitățile țării noastre.

Aceasta a fost principala concluzie în urma evenimentului maraton ”Different City-Smart City. Dezbatere Națională 2017-2020” organizat pe 24 și 25 octombrie 2017 în București. Așa cu reiese chiar din titlu, evenimentul a fost gândit ca un prilej de dezbatere națională, la care au luat parte peste 150 de invitați, dintre care 50 de primari și reprezentanți ai primăriilor și comunităților locale din întreaga țară, manageri și specialiști în servicii publice, precum și experți în români și internaționali în soluții pentru o administrarea modernă a orașelor.   

Știm cu toții că orice oraș din România are probleme cu infrastructura, cu fluidizarea traficului, cu parcările, cu iluminatul, cu securitatea publică, cu costurile supraîncărcate ale serviciilor utilitare sau cu reducerea poluării. Pe de altă parte, orașele nu sunt numai cartiere de blocuri sau zone rezidențiale. Pot fi și hub-uri pentru business, campusuri academice, centre culturale sau nuclee de știință. Pe măsura dezvoltării urbane e nevoie de redimensionarea serviciilor, estimarea dinamicii și controlul costurilor.

Aflată la a doua ediție, Dezbaterea și-a propus să ofere cadrul necesar promovării conceptului de Smart City și să contribuie la accelerarea fluxului de inovare la nivelul administrațiilor publice și a mediului de afaceri din România. Așa cum a reieșit din opiniile primarilor, putem constata că este o continuă nevoie de un parteneriat public-privat eficient, capabil să genereze, să coordoneze și să finalizeze proiecte Smart City, care să asigure o reală creștere a calității vieții în comunitățile urbane.

Prezență la nivel înalt

Evenimentul Dezbatere de la București a fost susținut de Ambasada Olandei, reprezentată de doamna ambasador Stella Ronner- Grubačić și a fost moderat de Marius Bostan, strategic advisor FNTM și fost Ministru al Comunicațiilor și Societății Informaționale. Importanța evenimentului a fost marcată de prezența actualului ministru al MCSI, domnul Lucian Șova, care a felicitat organizatorii pentru inițiativa acestei dezbateri, exprimându-și speranța că ”multe dintre problemele urbane aflate pe masa de lucru a primăriilor pot fi rezolvate prin adoptarea tehnologiilor și soluțiilor Smart City”.

În cuvântul său de deschidere, Marius Bostan s-a referit la principalele obiective ale Dezbaterii naționale printre care: accelerarea deciziilor autorităților publice pentru adoptarea soluțiilor smart în beneficiul cetățenilor și mediului de afaceri, promovarea soluțiilor inteligente pentru administrarea și funcționarea orașului și transformarea lui în Smart City cu ajutorul unor platforme și soluții specifice, precum și identificarea domeniilor de interes comun pentru viitoarele implementări și parteneriate.

„E timpul ca un public cât mai larg să afle că orașele pot fi inteligente sau ar trebui să fie. Primarii, manageri municipali, ar trebui să fie informați despre soluțiile existente care îi vor duce în rândul orașelor inteligente. Există și în România orașe care au intrat serios pe acest trend și care sunt exemplu de știut, de urmat. Apoi, cetățenii fiind informați, vor ști ce să ceară edililor și cum să participe și ei la acest efort. În acest mod vor putea grăbi adoptarea soluțiilor pentru Smart City”, a declarat Marius Bostan. ”Acum 2 ani în cadrul MCSI a fost elaborat un Ghidul Smart City pentru România. Ar fi deosebit de util ca acest Ghid să fie completat și actualizat conform nevoilor actuale ale primăriilor.”

Ambasada Olandei la București, reprezentată la eveniment prin chiar doamna ambasador Stella Ronner- Grubačić, este implicată activ în susținerea unor proiecte de dezvoltare a comunităților urbane, facilitând accesul administrației publice locale la informații despre soluții și tehnologii folosite cu succes în marile orașe din Olanda. ”În anul 2016, locuitorii din Amsterdam și-au alimentat vehiculele electrice cu energia echivalentă parcurgerii unei distanțe de 25 de milioane de km,” a afirmat doamna ambasador Ronner- Grubačić, subliniind importanța folosirii surselor de energie alternative pentru păstrarea unui mediu curat. Referindu-se la schimbul de experiență cu reprezentanții municipalităților din România, doamna ambasador a anunțat demararea unui program susținut de Guvernul olandez, prin care un grup de cca 10 primari din România să poată vizita câteva dintre cele mai importante orașe ale Olandei care beneficiază deja de facilități Smart City.

Administrație inteligentă – Cetățeni mulțumiți

Prima secțiune a Dezbaterii a avut ca tematică principală discutarea soluțiilor care pot facilita interacțiunea cetățenilor cu administrația publică, punându-se accentul pe soluții de eliminare a birocrației, digitizare a serviciilor publice, servicii de educație, sănătate și turism.

Moderatorul acestei secțiuni a fost Valentin Voinica, Manager Proiect la Primăria Alba Iulia, care a prezentat succint stadiul actual de dezvoltare al celui mai amplu proiect al municipal de tip Smart City al momentului. Cetățenii din Alba Iulia au în acest moment la dispoziție 62 de soluții în diferite stadii de implementare, iar numărul acestora sporește pe măsură ce noi facilități sunt adăugate la infrastructura de comunicare a orașului. Coloana vertebrală a sistemului Smart City este rețeaua de Internet în bandă largă, 4G/4G+, Wi-Fi și LoRaWAN. Rețeaua Wi-Fi include peste 228 puncte de acces în cetate și oraș și 15 puncte de acces în mijloace de transport în comun. Rețeaua dedicată obiectelor conectate la internet (IoT), LoRaWAN, acoperă prin 6 gateway-uri întregul oraș și conectează 150 de senzori de iluminat și apă. Această infrastructură deschisă are la bază o platformă open data prin intermediul căreia aplicațiile dezvoltate de start-up-urile partenere conectează autoritățile locale, localnicii, turiștii, precum și antreprenorii din Alba Iulia. În acest mod, infrastructura digitală a orașului facilitează noi oportunități, precum și o optimizare a resurselor locale. Se dorește ca anul viitor pe 1 decembrie, când vom aniversa cu toții 100 de Românie modernă, orașul digital Alba Iuia să dispună de peste 100 de soluții inteligente funcționale.

Manon Jutte, corporate strategist Alliander NV, Olanda

Principala prezentare a panelului a fost susținută de Manon Jutte, corporate strategist la Alliander NV, Olanda care s-a referit la studiul de caz al digitalizării orașului Amsterdam și la importanța pe care o au comunitățile locale în identificarea problemelor și generarea soluțiilor inteligente. Conceptul de bază care a servit la dezvoltarea digitală a orașului Amsterdam este focalizarea pe Democracy by Design. Încă de acum câțiva ani, primăria orașului Amsterdam a avut inițiativa înființării unui Smart Citizens Lab, instituție public-privată unde cele mai importante aspecte ale vieții civice sunt propuse și coordonate chiar de cetățeni. Împreună cu arhitecți, peisagiști, cercetători, locuitorii din Amsterdam participă direct la proiecte de purificare a aerului și a apei, limitare a zgomotului și reducerea poluării prin intermediul unor inițiative dedicate precum: cele mai bune canale pentru înot, cele mai pure trasee de parcurgere a orașului, sau care este cel mai liniștit cartier.

În cadrul aceleiași secțiuni,  Dell EMC – partener principal al evenimentului, reprezentat prin Valentina Frângu – Sales Team Leader Mid Market Division DELL EMC Romania, a prezentat o platformă deschisă de date, menită să ofere cetățenilor și organizațiilor o perspectivă de acces la datele administrației publice, precum informații despre poluarea mediului sau fluxurile de trafic. Orașele inteligente au nevoie de o infrastructură IT puternică și flexibilă. Prin toate companiile care sunt integrate grupului Dell la ora actuală, producătorul american este capabil să furnizeze întreaga gamă de soluții Edge, Fog și Cloud, care asigură buna administrare a platformei de date.

George Anghel, director general al Digitax a abordat problemele ridicate de transformarea digitală, precum și o noutate de ultim moment care rezolvă una dintre principalele probleme existente în administrarea publică: lipsa de interconectivitate între diferitele sisteme informatice, construite pe diferite platforme, în diferite stadii tehnologice. Bazată pe aplicații ce rulează în Cloud, platforma Digitax se bazează pe o interfață de front-end precum Ghiseul.ro, care permite tuturor instituțiilor publice dintr-o municipalitate să acționeze într-un mod ușor, rapid și interconectat.

Iuliana Leon, avocat senior la casa de avocatură Țucă, Zbârcea și Asociații a avut o expunere extrem de interesantă legată de utilizarea parteneriatelor de tip public-privat (PPP) pentru realizarea proiectelor Smart City.  Investitorii și finanțatori din România au salutat adoptarea legislației privitoare la parteneriatul public-privat. Legea 233/ 2016, cunoscută și ca Legea PPP a venit cu o serie de noutăți ce pot genera efecte importante în mediul economic, inclusiv asigurarea resurselor tehnice și financiare pentru proiecte de tip Smart City.

În încheierea prezentărilor din prima secțiune, Adrian Ilie, managing partner la Synergetics Corporation a prezentat o aplicație GIS pentru gestiunea datelor urbane și automatizarea serviciilor de urbanism. În acest moment birourile de urbanism din primăriile marilor orașe din România folosesc extrem de puțin soluțiile moderne de urbanism care oferă avantajul unei dezvoltări coerente pe termen mediu și lung, precum și realizarea unor proiecții ale diferitelor faze de dezvoltare a arealului municipal.

Smart Connectivity, Smart Citizens

A doua sesiune a evenimentului a fost dedicată soluțiilor de conectivitate, fără de care nu poate fi construită o infrastructură urbană inteligentă. Moderatorul Marius Bostan a subliniat importanța acestor categorii de soluții. Principalul invitat Adri Wischmann, specialist la compania IoT din Olanda, a apreciat că un oraș inteligent trebuie să se bazeze pe o mulțime de dispozitive inteligente interconectate și s-a referit la comunitatea internațională a utilizatorilor de rețele LoRaWAN. The Things Network reprezintă o inițiativă internațională, membră a comunității de dezvoltatori LoRaWAN care și-a propus crearea unei rețele a tuturor obiectelor conectate la Internet fără a avea nevoie de conexiuni 3G sau WiFi. Comunitatea The Things Network Bucharest și-a propus crearea unei infrastructuri pentru viitorul București Smart City, pornind de la un nucleu de bază, prin adăugarea a cel puțin unui gateway pentru fiecare membru al acestui nucleu și extinderea rețelei pentru sensibilizarea autorităților publice locale. În acest moment, comunitatea are 2 gatewayuri în București și unul în Popești Leordeni și 17 contributori. Amănunte pe site.

Adri Wischmann, Owner/ CTO IoT, Olanda

Prezentările acestei secțiuni au inclus o serie de soluții interesante, aplicabile și replicabile. Astfel, Șerban Țîr, vicepreședintele Different Angle Cluster a prezentat aplicația S3 City Guide App dezvoltată împreună cu Primăria Sectorului 3 a Capitalei. Disponibilă pentru moment doar pentru utilizatorii iPhone, aplicația oferă locuitorilor Sectorului 3 o serie de informații și instrumente de interes practic legate de relația cu autoritățile publice din acest sector. Radu Munteanu, director IT la Sectorul 3 a făcut o scurtă prezentare a utilității unei astfel de aplicații și la principalele elemente necesare pentru implementare.

Alexandru Nen – solution architect la Telekom România a prezentat al doilea proiect pilot derulat de operatorul de telefonie în Municipiul Constanța, într-un spațiu public situat în zona Sălii Sporturilor. La fel ca proiectul precedent realizat în 2016 împreună cu Primăria Sectorului 4 din București, locuitorii Constanței au la dispoziție soluții inteligente pentru identificarea și rezervarea unui loc de parcare, spoturi wi-fi, iluminat inteligent, camere de supraveghere a spațiului public, un sistem de alimentare a vehiculelor electrice, precum și un sistem de monitorizare a calității mediului. Nu s-a găsit încă o soluție optimă pentru a integra și funcțiile de plată a parcării prin telefonul mobil, dar există studii pentru rezolvarea acestei probleme.

Echipa Low Power Smart City Italia

Low Power Smart City Italia în parteneriat cu Universitatea Tor Vergata din Roma, ENEA (Institutul Național pentru Tehnologii Noi, Energie și pentru dezvoltare economică durabilă) și cu Centrul Național de Cercetare pentru Dezvoltare (CNR), au prezentat rezultatul cercetărilor de crearea a unor noi modalități de comunicare în domeniul eficienței energetice. Andrea Rodini, Simone Massimiani și Liliana Manea, specialiști la Low Power Smart City Italia au prezentat soluția Smart City: the future is connected with you. Firma italiană este specializată în construirea de dispozitive ce facilitează conexiunea, precum camere de supraveghere, spoturi wi-fi, panouri de informare pentru infrastructura de drumuri cu telecomandare de la distanță, echipamente inteligente pentru coordonarea traficului și puncte de încărcare pentru vehiculele electrice. Larga aplicabilitate a produselor fabricate de Low Power Smart City le recomandă pentru o multitudine de aplicații.

Bogdan Răduță, Chief Technology Officer Qualitance

De un interes deosebit  s-a bucurat prezentarea lui Bogdan Răduță, Chief Technology Officer la compania Qualitance, care a arătat două soluții Smart Building implementate deja în două orașe mari: o soluție de monitorizare a dispozitivelor medicale dintr-un spital din Chicago, precum și o soluție de rezervare a spațiilor utilitare din interiorul unui hub de business din Londra. Ambele soluții sunt bazate pe interconectarea și monitorizarea unor dispozitive IoT, rezultatele sistemelor de monitorizare implementate fiind extrem de favorabile pentru asigurarea economiilor de materiale și mijloace fixe și pentru o cât mai bună coordonare în spațiile comune. Lucrul de acasă și de la distanță creează premisele utilizării tot mai eficiente a unor astfel de incubatoare de business, care oferă întregul set de facilități absolut necesare pentru asigurarea eficienței și colaborării.

O prezență inedită la finalul secțiunii a 2-a a dezbaterii a avut-o Constantin Toma, primarul Municipiului Buzău care s-a referit la situația reală existentă în majoritatea primăriilor din țară și care poate să afecteze buna derulare a unor proiecte de tip Smart City. Conform opiniei domnului primar, totul pleacă de la prezența oamenilor în funcțiile cheie și de la calitatea profesională a acestora. Multe dintre primăriile locale se confruntă cu probleme administrative și birocratice, iar inițiativele locale sun lipsite de resurse umane și finanțare. Soluția optimă este ca furnizorii de soluții inteligente să meargă direct la sediile primăriilor și să studieze nevoile reale ale acestora, pentru a putea veni cu servicii localizate. Foarte importantă în acest demers este și susținerea comunităților locale, principalele beneficiare ale unor soluții inteligente.

Smart Street Lighting

Constantin Toma, primarul Municipiului Buzău

A treia sesiune a evenimentului dezbatere s-a concentrat pe soluțiile de iluminat inteligent. Secțiunea l-a avut ca moderator pe Adrian Ilie, managing partner la compania Synergetics. Autoritățile publice preocupate de iluminatul stradal eficient, adaptat nevoilor specifice au la dispoziție  multitudine de soluții. Compania TVILIGHT BV din Olanda împreună cu firmele românești Total Strada și Cybernetics  International, au prezentat  soluții de iluminat public inteligent, care permit adaptarea automată a intensității luminoase în funcție de trafic și monitorizarea în timp real. Participări interesante la acest panel au mai avut Paulina Mitrea, Coordonatorul grupului Brained City din cadrul Cluster Cluj IT, viceprimarul Sectorului 2 Cristian Dan și City Managerul municipiului Călărași, Valentin Deculescu.

Soluții verzi pentru un mediu curat

A patra secțiune a evenimentului a fost dedicată soluțiilor de protecție a mediului, a căror importanță a fost susținută de Leon Smet, secretar Royal Anthos, Olanda, care s-a referit la valoarea adăugată indusă de tehnologiile green în proiectele urbane. Una dintre cele mai acute probleme ale municipalităților este reciclarea deșeurilor rezultate din activitățile casnice și industriale. Una dintre soluțiile din domeniul managementului deșeurilor a fost prezentată de Anda Stancu de la Green Group, care a vorbit despre SIGUREC, o soluție inteligentă pentru colectare selectivă a deșeurilor reciclabile. Una dintre problemele asociate acestui domeniu este gestionarea eficientă a recipientelor de colectare a gunoaielor. Mădălina Smochină de la  Arctos Innovation a prezentat un sistem inteligent de cântărire și identificare a pubelelor utilizate în cadrul unei comunități. Interesantă prezentarea susținută de Dragoș Bâlcu, Business Development Manager la Intrarom, care s-a referit la transformarea de la inteligent la genial, într-o abordare holistică a conceptul de Smart City.

O altă problemă de care se lovesc în mod frecvent toate proiectele comunitare este asigurarea finanțării. În condițiile în care accesul la proiectele europene este destul de anevoios, e permanentă nevoie de alte surse, care ar putea fi eventual susținute prin diferențe de la bugetele locale. Compania Avisso reprezenată la evenimntul dezbatere de Mirabela Miron, CEO Avisso e specializată în servicii de consultanță financiară pentru proiecte comunitare, fiind gata să ofere celor interesați soluții de susținere financiară a proiectelor Smart City.

A doua zi a Dezbaterii a fost dedicată unor întâlniri bilaterale de afaceri, într-un spațiu organizat, oferind participanților ocazia de a discuta chestiuni concrete despre soluțiile prezentate în cadrul evenimentului, care să ajute la demararea și accelerarea proceselor de implementare a soluțiilor Smart City. Întâlnirile bilaterale sau pe grupuri de interese au constituit totodată un bun prilej pentru stabilirea de noi conexiuni, dar și un punct de plecare pentru viitoare parteneriate.

Cei interesați de alte detalii despre eveniment, agendă, vorbitori și companiile participante pot accesa pagina oficială a Dezbaterii: https://concordcom.ro/evenimente/smart-city-2/. Dezbaterile au fost transmise LIVE pe pagina de Facebook Calea Europeană, iar pe siteul www.caleaeuropeana.ro pot fi urmărite înregistrările video le celor 4 secțiuni principale

Dezbaterea a beneficiat de suportul direct al Ambasadei Olandei la București și a avut ca Partener Principal compania Dell EMC.

Parteneri Silver: Telekom România, Digitax, Low Power Smart City Italia, Green Grup, Arctos, TVILIGHT Olanda, Cybernetics International, Aedillia Olanda, Synergetics Corporation, Avisso.

Parteneri: Țucă Zbârcea și Asociații, Intrarom, VMB Partners

Organizatori: Concord Communication, Different Angle Cluster, Fundația Națională a Tinerilor Manageri

Concluzionând, România are un potențial urban promițător și este o piață extraordinară pentru soluțiile și serviciile Smart City. Dar să nu uităm că  ”Smart City” nu este numai o etichetă pe care o poate afișa orice primărie care a demarat un proiect de modernizare. Smart City este o atestare a faptului că o comunitate urbană a reușit să facă pași importanți în procesul de transformare digitală. Un oraș inteligent este reprezentat în primul rând de comunitățile inteligente care locuiesc și muncesc într-un areal urban. Haideți să capacităm toate forțele interesate și să cristalizăm comunitățile inteligente. Proiectele și soluțiile vor veni după aceea în mod natural…

Sursă fotografii: Concord Communication

Mușat & Asociații se implică activ în conștientizarea GDPR

Evenimentul de GDPR care s-a bucurat de cel mai mare impact în ultima perioadă a fost dezbaterea “Noua ordine europeană pentru protecția datelor personale” care a beneficiat de implicarea activă  a casei de avocatură Mușat & Asociații. Pe lângă găzduirea efectivă a evenimentului, avocații de la Mușat & Asociații au susținut o serie de prezentări cu impact major pentru conștientizarea importanței GDPR, care au alternat cu descrierile de soluții tehnologice și răspunsurile la un mare număr de întrebări.

Forța componentei legislative

Alături de tehnologie și operațional, componenta legală are o contribuție esențială în triada vectorilor care cumulează esența unui proiect de conformitate GDPR. Rolul conștientizării importanței noului regulament este genetic legat de esența legislativă. GDPR reprezintă o schimbare fundamentală în legislația UE în ceea ce privește datele și intimitatea personală. Regulamentul are două obiective majore:

  • Actualizarea legislației privind protecția datelor pentru a reflecta noile comportamente digitale și valorile societății;
  • Armonizarea regulilor privind protecția datelor la nivelul UE, deoarece vechea Directivă privind Protecția Datelor a fost abordată și implementată în maniere diferite de statele membre, adaptată la propriile culturi, nevoi și preferințe. Asta a influențat o inhibare a comerțului și activităților cross-border, acționând ca o frână în calea unei viitoare piețe unice digitale.

De aici, orice proces de implementare a măsurilor care asigură conformitatea cu GDPR trebuie să înceapă cu înțelegerea cadrului legal: structură, importanță, elemente de noutate, noile obligații, și mai ales, noile penalități. Punerea în aplicare a procedurilor de obținere a complianței intră în sfera operațională și evident ajunge sub incidența tehnologiilor de  asigurare a protecției datelor personale, dar fiecare etapă și procedură a acestui proces trebuie să fie în concordanță cu dispozițiile și cu spiritul Regulamentului. Ofițerul cu protecția datelor personale sau persoana desemnată să acționeze potrivit acestui rol are datoria de a coordona și de a face recomandări în spiritul legii. Potrivit Articolului 39, printre principalele atribuții ale unui DPO se numără:

  • Informarea și consilierea organizației și angajaților cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor;
  • Monitorizarea respectării GDPR și a altor legi privind protecția datelor;
  • Primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate.

Rolul ghidurilor de bune practici în succesul unui proiect GDPR

Avocat Bogdan Mihai, Partener Muşat & Asociații.

Pentru a veni în sprijinul celor interesați de procesul de obținere a conformității, reprezentanții casei de avocatură Mușat & Asociații au realizat un Ghid practic de implementare a măsurilor de conformitate GDPR  în care sunt explicate cerințele principale ale GDPR-ului, aplicate tuturor companiilor care prelucrează date personale, prezentat de avocatul Bogdan Mihai, Partener Muşat & Asociații.

Ghidul acoperă toate cerințele principale impuse de GDPR, de la temeiul juridic pentru controlul și prelucrarea datelor cu caracter personal, la scopul legitim pentru colectarea și prelucrarea acestora, documentarea activităților, evaluarea riscurilor, și până la notificarea autorității de supraveghere,  desemnarea responsabilului cu protecția datelor, actualizarea datelor inexacte și transferul datelor în afara UE.

O bună premisă pentru demararea unui proces de implementare GDPR presupune o bună cunoaștere a condițiilor introduse de Regulament, prin educația administratorilor și personalului, începând cu directorul executiv, echipa de conducere și personalul care se ocupă de prelucrarea datelor. Programul de instruire trebuie să coincidă cu crearea unui grup de lucru comun, din care va fi desemnat și care va susține responsabilul cu protecția datelor. Acest grup de acțiune trebuie să stabilească niște activități concrete legate de ce ar trebui să facă/ să nu facă angajații, precum și sarcinile și responsabilitățile în asigurarea protecției datelor.

Avocatul Bogdan Mihai a insistat pe importanța unei evaluări corecte a riscului de penalitate și ce ar însemna valoarea investiției în soluții care pot asigura conformitatea, în raport cu valoarea amenzilor preconizate. Foarte interesante au fost studiile de caz prezentate, privitoare la valoarea penalităților impuse unor organizații europene care nu au respectat actualele prevederi de protecție a datelor personale, precum o companie de televiziune din Spania sau o companie de telecomunicații din UK.

Ghidul realizat de Mușat & Asociații pune accentul pe importanța desfășurării unui inventar de tip end-to-end și a unui audit, precum și pe stabilirea unei baze legitime pentru fiecare prelucrare a datelor, ca de exemplu deținerea consimțământului persoanei vizate. O altă activitate recomandată este examinarea și actualizarea politicilor pentru protecția datelor, precum și exactitatea înregistrării oricăror activități de prelucrare.

Ca măsuri tehnice, Ghidul recomandă implementarea de instrumente automate pentru descoperirea, catalogarea și clasificarea datelor personale în întreaga organizație, soluțiilor de prevenire a pierderilor de date (DLP), criptarea datelor, adoptarea de măsuri de identificare, blocare și investigare a criminalității, precum și soluții pentru exportul de date.

Sancțiuni severe pentru nerespectarea GDPR

Una dintre cele mai importante schimbări cu care vine noul regulament este severitatea sancțiunilor care vor fi impuse celor care nu pot dovedi că au făcut tot ce le stătea în putință pentru prevenirea și limitarea consecințelor în cazurile în care au avut loc scurgeri sau pierderi de date, cu implicații pentru posesorii acestora.

Dar până la stabilirea și aplicarea sancțiunilor mai există o serie de prevederi ale GDPR mai puțin discutate și comentate public. În prezentarea sa referitoare la sancțiuni, avocatul Bogdan Mihai s-a referit la secțiunea privitoare la Remedii, răspundere și penalități. Potrivit Articolului 77: Dreptul de a depune o plângere la o autoritate de supraveghere – Fiecare persoană vizată are dreptul de a lansa o plângere la o autoritate de supraveghere, care din punct de vedere teritorial se află în statul membru de reședință obișnuită, în țara unde se află locul de muncă sau acolo unde s-a produs presupusa încălcare a protecției datelor personale. Autoritatea de supraveghere are obligația de a-l informa pe reclamant cu privire la progresele înregistrate, inclusiv posibilitatea recursului judiciar.

O altă problemă majoră o reprezintă răspunderea pe care o au operatorii și procesatorii de date. Operatorii sunt responsabili pentru daunele cauzate de prelucrarea care încalcă GDPR. Persoanele împuternicite de operator sunt responsabile atunci când nu au respectat obligațiile care le-au fost date in mod specific sau atunci când au acționat în afara sau contrar instrucțiunilor legale primate de la operatorul de date.

Este important de reținut că un operator poate fi exonerat de răspundere dacă dovedește ca nu este răspunzător în niciun fel pentru evenimentul care a cauzat prejudiciul. Dacă e vorba de mai mulți operatori implicați în aceeași operațiune de prelucrare, fiecare operator este răspunzător pentru întregul prejudiciu.

Pentru impunerea amenzilor administrative se iau în considerare următoarele aspecte:

  • Natura, gravitatea și durata încălcării
  • Intenția sau neglijența
  • Măsurile luate de contravenient pentru atenuarea sau prevenirea efectelor încălcării
  • Gradul de responsabilitate al operatorului
  • Eventualele încălcări anterioare relevante comise de operator
  • Gradul de cooperare cu autoritatea de supraveghere
  • Dacă operatorul a notificat încălcarea
  • Aderarea la coduri de conduită aprobate sau mecanisme de certificarea probate.

Autoritățile de protecție a datelor au puterea de a dispune unui operator de date să impună o interdicție temporară sau nedeterminată pe prelucrare, să suspende fluxurile de date către un destinatar dintr-o țară terță, să respecte solicitările persoanei vizate, să asigure conformitatea cu autorizațiile și consultările prealabile sau să dispună rectificarea, ștergerea sau distrugerea datelor.

Mai multe drepturi pentru noi, ca persoane fizice

Unul dintre cele mai importante aspecte prevăzute de GDPR este respectarea celor șase principii fundamentale de prelucrare a datelor personale, care îl responsabilizează pe operatorul sau procesatorul de date:

  • Legalitate, echitate și transparență;
  • Datele sunt colectate în scopuri determinate, explicite și legitime;
  • Reducerea la minim a datelor prelucrate;
  • Exactitate și menținerea actualității datelor;
  • Păstrarea datelor pe perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate;
  • Integritate și confidențialitate.

O altă noutate adusă de GDPR la care s-a făcut referire este dreptul persoanelor fizice de a cere companiilor ștergerea datelor personale – dreptul de a fi uitat. În multe situații posesorii datelor personale pot renunța la acordul dat într-o anumită conjunctură și au dreptul să solicite ștergerea informațiilor din toate bazele de date. Dificultăți pot apărea atunci când datele sunt stocate în Cloud și nu există garanția că pot fi șterse de pe toate serverele sau în cazul unor instituții speciale, precum cele bancare, care au nevoie de istoricul clienților în acțiunile de prevenirea a spălării banilor sau pentru alte clauze contractuale.

Drepturile angajaților în lumina GDPR

Alte aspecte deosebit de importante ridicate de noul regulament vizează reflectarea relațiilor dintre angajați și angajatori, prin prisma prevederilor din dreptul muncii. Anca Vătășoiu, avocat la Mușat & Asociații, s-a referit la noile obligații care pot sau nu să fie asociate cu răspunderea angajaților prin contractul de muncă. Primele departamente vizate de GDPR sunt cele de resurse umane, dar și angajații, în mod individual, prin prisma faptului că intră în contact, într-un fel sau altul, cu date personale. Angajații trebuie să fie foarte atenți la modul în care prelucrează datele, deși întreaga răspundere în fața legii este a angajatorului. Cu toate acestea, angajatorul se poate întoarce împotriva acestora pentru recuperarea prejudiciului.

Potrivit Articolului 247(2) din Codul Muncii, ”abaterea disciplinară este o faptă în legătură cu munca şi care constă într-o acţiune sau inacţiune săvârşită cu vinovăţie de către salariat, prin care acesta a încălcat normele legale, regulamentul intern, contractul individual de muncă sau contractul colectiv de muncă aplicabil, ordinele şi dispoziţiile legale ale conducătorilor ierarhici.”

Pentru protecția companiilor, primul pas în concepția av. Anca Vătășoiu, este ”identificarea persoanelor care jonglează zilnic cu date personale și o definire clară a atribuțiilor descrise în fișa postului și a contractului de muncă.” Pe lângă aceste lucruri este nevoie de o informare și o prelucrare a legislației, a obligațiilor și a mecanismelor pe care angajatorul trebuie să le implementeze cu salariații. În paralel, trebuie reglementate, foarte detaliat, regulile cu privire la protecția datelor într-un regulament intern, chiar într-o politică dedicată. Tot în regulamentul intern trebuie definite şi încadrate în mod expres abaterile pentru încălcările GDPR. Angajatorii pot instrui şi comunica salariaţilor toate masurile şi procedurile care trebuie respectate pentru a nu ajunge în situaţia de a răspunde disciplinar, administrativ sau patrimonial.

Avem dreptul să monitorizăm angajații la locul de muncă și în ce condiții?

Anca Vătășoiu, avocat Mușat & Asociații

Una dintre cele mai interesante și mai controversate probleme abordate de doamna avocat Anca Vătășoiu a fost cea legată de monitorizarea angajaților la locul de muncă. Aici politicile companiilor sunt destul de diferite. De cele mai multe ori monitorizarea fiind făcută în scopul eficientizării activității angajaților, prin limitarea sau eliminarea accesului la internet sau la anumite instrumente sau aplicații în alte scopuri decât cele personale. În lumina GDPR apare problema creșterii responsabilității angajatului implicat în prelucrarea de date personale. Orice politică restrictivă prost aplicată poate conduce la încălcarea drepturilor individuale.

S-a făcut referire la un caz concret, celebru deja în mediul juridic, în care un angajat a utilizat o platformă de comunicare cu clienții în scopuri personale. Pe baza monitorizării companiei angajatoare, s-au luat măsuri de punere în aplicare a regulamentului intern. Angajatul a contestat decizia de concediere a companiei, în mai multe instanțe din România, dar a obținut câștig de cauză la CEDO, după mai multe răsturnări de situație.

Concluziile acestui caz sunt destul de controversate, dar ceea ce este sigur este faptul că, în special în departamentele unde se operează cu date personale, e nevoie de politici de monitorizare cât mai detaliate, în condițiile în care statisticile arată că peste 70% dintre incidentele legate de pierderea sau alterarea datelor sunt de natură internă. Pentru eliminarea oricăror situații critice, se recomandă construirea unei culturi organizaționale pentru GDPR, prin care fiecare angajat, manager și departament să își cunoască cu exactitate atribuțiile. Acolo unde politica companiei include sisteme sau acțiuni de monitorizare a angajaților, este bine ca toți angajații implicați să cunoască necesitatea monitorizării, perioada de timp, scopul și mijloacele de efectuare a acestei supravegheri.  Una dintre condițiile esențiale pentru evitarea oricărei neplăceri este ca monitorizare să fie cât mai puțin intruzivă.

O descriere mai largă a evenimentului Noua ordine europeană pentru protecția datelor personale” organizat de Concord Communication pe data de 12 Octombrie 2017 la sediul Mușat & Asociații poate fi citită în articolul ”O amplă reuniune de forțe la cel mai important eveniment dezbatere dedicat GDPR”.

Sursă fotografii: Concord Communiction

GDPR Explicitat (11) : Un personaj important – Data Protection Officer (DPO)

Una dintre noutățile cu care a venit GDPR este obligativitatea numirii unui ofițer responsabil cu protecția datelor (DPO – Data Protection Offcier) al cărui rol principal este coordonare și supraveghere a implementării condițiilor de conformitate GDPR, precum și ca persoană de legătură între organizație și autoritatea de supraveghere.

Deși condițiile numirii unui DPO, sarcinile și competențele acestuia sunt stipulate destul de clar în Articolele 37 – 39 din noul Regulament, importanța strategică a acestei poziții face ca subiectul să fie în centrul atenției în toate discuțiile și recomandările legate de GDPR. În acest articol vom prezenta elementele esențiale legate de numirea DPO și vom încerca să lămurim câteva dintre aspectele cele mai controversate.

Când suntem obligați să numim un ofițer de protecție a datelor?

Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află toate autoritățile și organismele publice, indiferent de tipul datelor prelucrate, precum și  celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 („WP29”) încurajează aceste eforturi voluntare.

În conformitate cu Articolul 37, Aliniat 1 din GDPR, trebuie să desemnați un ofițer de protecție a datelor (DPO) dacă:

  • sunteți o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • efectuați o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online);
  • faceți o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiunile.

Există însă cazuri în care un grup de organizații, cum ar fi de exemplu partenerii dintr-un lanț de distribuție,  execută în mod frecvent activități comune care implică fluxuri de date ce pot fi controlate și monitorizate centralizat, la nivel de grup sau asociație de parteneri. În asemenea situații, puteți desemna un singur ofițer de protecție a datelor care să acționeze pentru un grup de organizații sau autorități publice, ținând cont de structura și dimensiunea acestora.

Alineatele 2 – 4 din Articolul 37: Desemnarea responsabilului cu protecţia datelor explicitează cele mai importante astfel de cazuri:

”(2) Un grup de organizații poate numi un responsabil cu protecţia datelor unic, cu condiţia ca responsabilul cu protecţia datelor să fie uşor accesibil din fiecare întreprindere.

(3) În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecţia datelor unic pentru mai multe dintre aceste autorităţi sau organisme, luând în considerare structura organizatorică şi dimensiunea acestora.

(4) În alte cazuri decât cele menţionate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecţia datelor. Responsabilul cu protecţia datelor poate să acţioneze în favoarea unor astfel de asociaţii şi alte organisme care reprezintă operatori sau persoane împuternicite de operatori.”

Potrivit aceluiași Articol 37, responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor experților privind legislația și practicile privind protecția datelor și capacitatea de a îndeplini sarcinile menționate la Articolul 39. În anumite situații, agentul responsabil cu protecția datelor poate fi membru al personalului operatorului sau prelucrătorului sau poate îndeplini sarcinile pe baza unui contract de servicii externalizate. Controlorul sau procesatorul trebuie să publice datele de contact ale responsabilului cu protecția datelor și să le comunice autorității de supraveghere.

Care este rolul funcției de DPO?

Prin natura funcției și a împuternicirilor de care dispune, un DPO deține o poziție centrală, cu rol strategic, într-o organizație. Particularitățile și noutatea acestei poziții nasc o serie de întrebări care parțial sunt clarificate prin textul GDPR. La altele vom încerca să găsim noi răspunsul.

Potrivit Articolului 38: Funcţia responsabilului cu protecţia datelor, noi ca operatori trebui să ne asigurăm că responsabilul cu protecţia datelor ”este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”. Mai mult de atât, avem datoria să acordăm DPO tot sprijinul pentru îndeplinirea sarcinilor menţionate la Articolul 39, asigurându-i toate resursele necesare pentru buna executare a acestor sarcini. Printre aceste resurse se numără accesul la datele cu caracter personal şi la operaţiunile de prelucrare a acestora, cât și facilitarea accesului la resursele de instruire, pentru menţinerea cunoştinţelor sale de specialitate.

Un aspect foarte important și deci și foarte comentat legat de poziția DPO în cadrul unei organizații este autonomia acestuia în problemele de siguranța a datelor. Așa cum zice Articolul 38, Alineatul 3: ”Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.” Cum spuneam, această poziție privilegiată a generat numeroase discuții și nelămuriri privitoare la poziționarea acestei funcții în relațiile cu structurile de management și celelalte linii de business.

Nedumeririle sunt și mai mult accentuate de prevederea regulamentului prin care un DPO nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator. Cele mai frcvente întrebări sunt legate de ce se întâmplă în situația în care sfaturile sau recomandările DPO sunt depășite sau eronate, ceea ce atrage vulnerabilități în privința rotecției datelor.  Un alt rol critic al DPO este acela de a prelua comunicarea cu persoanele vizate, în cazul în care acestea se prevalează de exercitarea drepturilor lor, în temeiul prezentului regulament.

Un alt punct important, în special în situația în care DPO își exercită activitățile ca extern, pentru una sau mai multe companii, este obligaţia de a respecta secretul și confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale. E clar că acest lucru trebuie reglementat printr-o secțiune specială a contractului individual de muncă sau a contractului de prestări de servicii. Astfel de reglementări trebuie să menționeze explicit care sunt categoriile de informații la care DPO are dreptul de acces, care este rolul său în prelucrarea efectivă a datelor și cum poate gira acesta condițiile asumate de organizație prin limitarea volumului de date procesate, siguranța comunicării sau a stocării.

Potrivit Alineatului 6 din Articolul 38: ”Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.” Dar înainte de alte comentarii, haideți să vede care sunt sarcinile de bază ale unui DPO.

Ce atribuții aveți în calitate de DPO?

Condițiile minime pe care trebuie să le asigurați dacă aveți funcția de DPO sunt definite în Articolul 39:

  • Să informați și să consiliați organizația și angajații cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor;
  • Să monitorizați respectarea GDPR și a altor legi privind protecția datelor, inclusiv gestionarea activităților interne de protecție a datelor;
  • Să consiliați activitățile organizației ce au legătură cu evaluările de impact privind protecția datelor;
  • Să instruiți personalul și să efectuați audituri interne;
  • Să fiți primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate (angajați, clienți etc.).

Dar poate cel mai important aspect al acestor atribuții este legat de faptul că, în îndeplinirea sarcinilor dvs. de DPO, trebuie să ţineți seama, în mod corespunzător (zice legea), dar cu maximă responsabilitate (zic cele mai bune practici) de riscul asociat operaţiunilor de prelucrare. Și aici trebuie să țineți seama atât de natura și de domeniul de aplicare, cât și de contextul şi scopurile prelucrării.

De ce calificare am nevoie pentru a deveni ofițer de protecție a datelor?

Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau certificare. Cu toate acestea, deținerea unei certificări  în conformitate cu GDPR este o modalitate eficientă de a demonstra cunoștințele experților. Conform GDPR, ca DPO trebuie să beneficiați de toate condițiile și tot suportul organizației pentru a avea acces la cele mai performante resurse de instruire.

Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că, în calitate de operator sau procesator, trebuie să numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate fi un rol cu ​​jumătate de normă sau combinat cu alte sarcini, însă, în îndeplinirea rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul ca, pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în domeniul protecției datelor cu “cunoștințe de specialitate privind legislația și practicile privind protecția datelor“.

Recomandările Grupului de lucru Articolul 29

Printre numeroasele informații, ghiduri, texte de lege și documente extrem de utile publicate pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate fi găsit și descărcat ”Ghidul privind Responsabilul cu protecția datelor (‘DPO’). Publicat de grupul de lucru Articolul 29  în decembrie 2016 și revizuit în aprilie 2017, acest ghid are menirea de a oferi tuturor operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor, precum și principalele atribuții ale acestora.

Cu toate că Directiva 95/46/CE3 (încă aflată în vigoare) nu impune niciunei organizații să numească un DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre. Anterior adoptării RGPD, grupul de lucru Articolul 29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a RGPD. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1). Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

Care sunt situațiile în care poate apărea conflictul de interese?

Iarăși un aspect important și mult discuta și comentat privitor la rolul și atribuțiile DPO în cadrul unei organizații. Iată câteva considerații privitoare la Conflictul de interese extrase din Ghidul menționat mai sus.

Articolul 38, Alineatul 6 din GDPR permite DPO „să îndeplinească și alte sarcini și atribuții”. Cu toate acestea, este nevoie ca organizația să se asigure că „niciuna dintre aceste sarcini și atribuții nu generează un conflict”. Absența conflictului de interese este strâns legată de obligația de a acționa în mod independent. Cu toate că îi este permis să aibă și alte funcții, acestuia îi pot fi încredințate alte sarcini și atribuții cu condiția ca acestea să nu dea naștere unor conflicte de interese.

Acest lucru se referă mai ales la faptul că rolul de DPO nu presupune și libertatea de a stabili scopurile și mijloacele de prelucrare a datelor cu caracter personal. Acest lucru trebuie luat în considerare de la caz la caz, ținându-se cont de structura organizațională specifică fiecărei organizații. Ca regulă generală, funcții din cadrul organizației cu care poate intra în conflict pot include funcții de conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

În plus, un conflict de interese poate apărea, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor. În funcție de activitățile, dimensiunea și structura organizației, o bună practică pentru operatori și persoanele împuternicite de operatori ar putea fi:

  • să identifice funcțiile ce ar fi incompatibile cu funcția de DPO;
  • să elaboreze norme interne pentru a evita conflictele de interese;
  • să includă o explicație mai generală cu privire la conflictele de interese;
  • să declare că DPO nu are niciun conflict de interese în ceea ce privește funcția sa;
  • să includă garanții în normele interne ale organizației și să se asigure că anunțul de post vacant pentru funcția de DPO sau contractul de prestări servicii este suficient de precis și detaliat pentru a evita conflictul de interese.

În acest context, trebuie avut în vedere faptul că respectivele conflicte de interese mai pot lua diverse forme în funcție de faptul dacă DPO este recrutat intern sau extern.

Concluzionând, indiferent de organizație, sunteți liberi să numiți DPO, cu condiția să dispuneți de resurse pentru această poziție, iar persoana desemnată să aibă abilități suficiente pentru a-și îndeplini obligațiile stipulate de GDPR. Deși legea spune clar care sunt cazurile în care trebuie obligatoriu numit un DPO, conform grupului de lucru Articolul 29, în cazul în care considerați necesar, este recomandabil să numiți un DPO, care să corespundă tuturor condițiilor discutate până acum.  Obligațiile GDPR sunt de așa natură încât o consiliere și un sprijin pe care le avem la îndemână, din partea unui specialist în protecția datelor, pot fi un pas esențial pentru gestionare a riscurilor.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready!  În următorul material ne vom ocupa de condițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

A APĂRUT PRIMUL CATALOG GDPR DIN ROMÂNIA

Trustul de presă AGORA Group și platforma de knowledge cloud☁mania anunță publicarea Catalogului GDPR Ready – primul proiect editorial din România dedicat prezentării ofertelor de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Ready face parte din seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 7-a ediție și este o componentă esențială a inițiativei ”GDPR Ready!”

Faceți click pe coperta pentru a citi Catalogul GDPR online!

Din mai 2016 când Parlamentul European a aprobat Regulamentul EU 2016 – 679, GDPR a devenit cuvântul de ordine în toate mediile de business, tehnologice și sociale. Noul Regulament reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem procesatori de date și toți ne vom supune acelorași reguli.

Deși este prin excelență tehnologică, industria IT este unul dintre domeniile în care realizarea conformității cu noul Regulament poate ridica cele mai mari probleme. Marea majoritate a companiilor sunt conștiente de importanța strategică a alinierii la prevederile GDPR, dar foarte puține sunt cu adevărat pregătite de acțiune. Ce au de făcut furnizorii de Cloud pentru a oferi servicii conforme cu GDPR? Dar operatorii de centre de date? Dar companiile de eCommerce și procesatorii de plăți online? Dar firmele de distribuție, canalele de reselleri și retailerii IT? Dar casele de software și ofertanții de servicii de call-center, consultanță, instruire și mentenanță? Există desigur multe lucruri comune pentru toate aceste domenii IT, dar și o multitudine de aspecte particulare.

Pe asta ne-am bazat când ne-am decis ca cea de-a 7 ediție a Catalogului Cloud Computing România să fie dedicată GDPR. Plecând de la vidul de cunoaștere și de coordonare din industria IT, am simțit nevoia editării unui Catalog GDPR Ready care să deservească și să ofere recomandări generale pentru operatorii de date din orice industrie. Catalogul GDPR Ready, este structurat în două părți:

  • Ghidul de orientare rapidă
  • Catalogul recomandărilor de soluții și servicii pentru asigurarea conformității GDPR.

”Ghidul de orientare rapidă” conține 60 de întrebări și răspunsuri structurate astfel încât să asigure o imagine de ansamblu asupra principalelor modificări prezentate de regulament, precum și a zonelor critice pe care trebuie să le cunoaștem în momentul pregătirii conformității, dar vine și cu o serie de recomandări oferite de experți internaționali, asociații guvernamentale și profesionale, precum și firme de analiză și cercetare.  Principalele Capitole acoperite de seria de întrebări despre conformitate se referă la:

  • Importanța GDPR
  • Scurt istoric al protecției datelor personale
  • Principiile GDPR
  • Drepturile persoanelor vizate
  • Protecția datelor personale
  • Evaluarea impactului
  • Transferul internațional de date
  • Asigurarea conformității
  • Notificarea breșelor de securitate și penalitățile aplicate

Ghidul este însoțit de recomandările unor experți care s-au referit la principalele direcții de acțiune pentru furnizorii de Cloud: Bart von Buitenen – managing partner White Wire, Ian Moyse – sales director Natterbox și Board member Cloud Industry Forum, Lucia Ștefan – manager consultant Archiva Ltd (UK) și Attle Skjekkeland – vicepreședinte AIIM Europe, precum și recomandările Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), CERT.RO, ANSII + câțiva dintre membrii săi și IDC Romania.

A doua secțiune este Catalogul recomandările concrete legate de asigurarea conformității GDPR oferite de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ALEF Distribution, Archiva Ltd., ASBIS, AxelSoft, Commvault, Info World, IXIA, Omega Trust, Provision, Relational, Romsym Data, RQM Certification, Star Storage, Tryamm și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire
  • Recomandări și consiliere companii de IT

GDPR zice că organizațiile trebuie să fie conforme chiar începând cu data 25 mai 2018. Dacă vă gândiți că până atunci mai este suficient tip pentru a demara activitățile de implementare a măsurilor necesare pentru asigurarea conformității GDPR, trebuie să țineți cont de faptul că durata medie a unui proces poate fi de PATRU – CINCI luni, în funcție de mărimea organizației și a tipului de date personale procesat. E TIMPUL SĂ TRECEM LA ACȚIUNE CHIAR ACUM! Au mai rămas 215 zile!

 

O amplă reuniune de forțe la cel mai important eveniment dezbatere dedicat GDPR

Evenimente, dezbateri, conferințe, webinarii, workshopuri, cursuri de certificare… Pe măsură ce ne apropiem de ”Ziua 0: 25 Mai 2018”,  o dată memorabilă pentru istoria modernă a proceselor de afaceri, se întețesc și de diversifică activitățile de sensibilizare a operatorilor și promovare a soluțiilor și serviciilor capabile să asigure conformitatea.  În peisajul local al activităților de acest gen, iese în evidență Evenimentul Dezbatere “Noua ordine europeană pentru protecția datelor personale” desfășurat în 12 Octombrie la sediul Muşat & Asociaţii din București.

”Suntem pregătiți pentru asigurarea conformității cu noul Regulament european?  Este o întrebare pe care o auzim tot mai des, în cele mai diferite medii, dar care din păcate este urmată destul de rar și de răspunsuri care să ne ofere o direcție de acțiune în acest amalgam de recomandări, articole și proceduri. Am început să înțelegem cu toții că obținerea conformității GDPR este un must, un lucru foarte serios pe care nu trebuie să îl trecem cu vederea, o abordare, pe care dacă nu o tratăm cu toată seriozitatea riscăm să pierdem enorm.

Un eveniment unicat pentru piața din România

Aflat deja la cea de-a treia ediție, evenimentul organizat de agenția de PR Concord Communication a beneficiat de suportul partenerilor principali: Mușat și Asociații, Clico Romania și Power Net Consulting și de participarea ANSSI (Asociația Națională pentru Securitatea Sistemelor Informatice). Prin ce iese în evidență acest eveniment față de alte acțiuni asemănătoare? În primul rând prin seriozitatea abordării A fost cu adevărat un eveniment dezbatere, unde participanții au avut posibilitatea să pună întrebări încă de la înregistrare și să și obțină răspunsurile dorite. Și s-a răspuns chiar la toate întrebările, atât la cele pre-adresate, cât și la cele spontane, din timpul evenimentului.

Un rol important în derularea coerentă a evenimentului l-a avut moderatorul Toma Cîmpeanu, CEO ANSSI, care a dirijat cu profesionalism și eleganță un adevărat maraton de prezentări și intervenții.  Căci evenimentul s-a făcut remarcat și prin larga concentrare de forțe a unor vectori, care deși acționează în zone diferite, s-u aliniat pe aceeași directoare, cu scopul declarat de a face mai mult decât o simplă sensibilizare a participanților. Reprezentanți guvernamentali, experți în legislație și probleme de securitate, avocați, furnizori de soluții IT, firme de consultanță și servicii de instruire, au contribuit la consolidarea unei agende din care n-au lipsit prezentările de ghiduri practice, aspecte legate de securitatea datelor cu caracter personal, obligațiile și responsabilitățile ofițerilor responsabili cu protecția datelor, transferurile de date, reguli corporative, date statistice și studii de piață, precum și oferte profesionale de instruire a viitorilor DPO.

Un alt aspect important: larga adresabilitate. Evenimentul “Noua ordine europeană pentru protecția datelor personale” s-a adresat companiilor și instituțiilor publice din cele mai diverse domenii, precum operatorii de utilități din energie, petrol și gaze, sau transport, sectorul financiar-bancar, sănătate, servicii publice, servicii Cloud computing, data center și eCommerce, motoare de căutare online, platforme de joburi, furnizori telecom, agenții de marketing sau operatori de turism.

Implicații juridice importante generate de noul regulament

Reprezentanții casei de avocatură Mușat & Asociații au avut un rol esențial în desfășurarea evenimentului, prin mai multe contribuții de valoare care au alterant prezentărilor de soluții tehnice. Astfel, avocatul Bogdan Mihai, Partener Mușat și Asociații a prezentat participanților un ghidul practic de implementare a măsurilor de conformitate GDPR,  în care sunt explicitate principalele cerințe ale noului Regulament și principalele obligații ale operatorilor și procesatorilor de date. O importanță majoră a noilor reglementări este operarea transferurilor de date personale către țări terțe sau organizații internaționale, care este supusă unor rigori suplimentare față de legislația precedentă.

Una dintre cele mai importante schimbări cu care vine noul regulament este severitatea sancțiunilor care vor fi impuse celor care nu pot dovedi că au făcut tot ce le stătea în putință pentru prevenirea și limitarea consecințelor în cazurile în care au avut loc scurgeri sau pierderi de date, cu implicații pentru posesorii acestora. Avocatul Bogdan Mihai a trecut în revistă care sunt principalele categorii de amenzi prevăzute și cele mai frecvente cauze care pot conduce la aplicarea acestora.

O altă noutate adusă de GDPR la care s-a făcut referire este dreptul persoanelor fizice de a cere companiilor ștergerea datelor personale – dreptul de a fi uitat. În multe situații posesorii datelor personale pot renunța la acordul dat într-o anumită conjunctură și au dreptul să solicite ștergerea informațiilor din toate bazele de date. Dificultăți pot apărea atunci când datele sunt stocate în Cloud și nu există garanția că pot fi șterse de pe toate serverele sau în cazul unor instituții speciale, precum cele bancare, care au nevoie de istoricul clienților în acțiunile de prevenirea a spălării banilor sau pentru alte clauze contractuale.

Alte aspecte deosebit de importante ridicate de noul regulament vizează reflectarea relațiilor dintre angajați și angajatori, prin prisma prevederilor din dreptul muncii. Anca Vătășoiu, avocat la Mușat & Asociații, s-a referit la noile obligații care pot sau nu să fie asociate cu răspunderea angajaților prin contractul de muncă. Există deja cazuri concrete în domeniul juridic, legate de monitorizarea și supravegherea angajaților la locul de muncă, în care încălcări clare ale regulamentelor interioare ale angajatorilor au fost contestate în spiritul drepturilor omului. Un alt aspect important discutat de doamna avocat Vătășoiu este răspunderea administrativă, disciplinară sau civilă a salariaților pentru încălcarea obligaților conferite de GDPR în România.

Cel mai titrat specialist GDPR din România

Un alt element cu totul special al evenimentului a fost prezența Comisarului Șef de Poliție Aurel Cătălin Giulescu, director împuternicit al Direcției de Evidență a Persoanelor și Administrarea Bazelor de Date, DPO certificat de EIPA, coordonatorul echipei MAI care a gestionat negocierile tehnice la nivel european, pentru elaborarea și adoptarea GDPR. Cu alte cuvinte, am avut onoarea să îl ascultăm și să discutăm cu cel mai titrat specialist GDPR din România, primul DPO cu atestare internațională și unul dintre cei mai mari experți în probleme de securitate a datelor personale.

Comisarul Șef Giulescu a făcut o expunere la obiect privitoare la numirea responsabilului cu protecția datelor, ce experiență trebuie să dețină și care sunt principalele atribuții. O atenție specială trebuie acordată unei bune înțelegeri a obligațiilor și responsabilităților pe care le are un DPO, care are rolul de liant între diferitele linii de business și compartimente ale unei organizații. De altfel, importanța acestui rol a fost subliniată și de faptul că majoritatea întrebărilor adresate a avut legătură cu poziția de DPO, iar ce e cel mai important, toate întrebările critice au primit răspuns.

Iată răspunsurile la cele două întrebări adresate de cloud☁mania, partener media al acestui eveniment:

I1: Există riscul ca un DPO să fie tras la răspundere în eventualitatea unui incident de pierdere a unor date, pasibil de expunere la penalități?

R1: Din perspectiva GDPR, un DPO nu poate fi tras la răspundere în mod direct și personal pentru incidente la nivelul unei organizații, ci organizația ca atare este cea penalizată. Evident, că există cazuri speciale în care un DPO care s-a dovedit clar ca ar fi principala sursă responsabilă de producerea unor pierderi de date, poate fi tras la răspundere potrivit regulamentelor și politicilor specifice organizației de care aparține.

I2: DPO este o persoană cu un rol special în cadrul unei organizații, care trebuie instruită și antrenată pentru a-și putea exercita cât mai eficient toate atribuțiile. Ce se întâmplă însă, în situațiile sau în perioadele în care DPO nu este disponibil pentru a-și exercita obligațiile, din diferite motive obiective sau subiective?

R2: Există recomandări în cadrul GDPR ca cel puțin pentru organizațiile mari și foarte mari să existe în permanență un ajutor de DPO sau cel puțin o persoană la fel de pregătită din cadrul echipei de coordonare, formată din reprezentanți ai tuturor departamentelor.  

Tehnologia ca sursă și ca panaceu al noilor riscuri

În condițiile în care actualizarea legislației privitoare la protecția datelor personale se datorează evoluției tehnologice, care diversifică substanțial poziția posesorului de date, tot tehnologiei îi revine rolul de a veni cu soluții care să rezolve noile probleme apărute. Astfel, noua prevedere legată de dreptul individual de solicitare a ștergerii datelor, ridică o serie de întrebări de natură tehnică: sunt șterse cu adevărat datele personale de pe un dispozitiv de stocare? Cum putem dovedi unui solicitant că datele sale au fost șterse de pe toate serverele unui sistem Cloud? Compania Tryamm Trading Consulting reprezentată de Cristian Aionesei, Managing Partner, a prezentat una dintre cele mai performante soluții de ștergere fizică și virtuală a datelor. Soluția Blancco Eraser asigură o ștergere permanentă a datelor, atestată de 18 organisme de certificare, atât în driverele unităților fizice de stocare, cât și în mediile virtuale și mobile.

Monitorizarea fluxului de date personale și securizarea acestora sunt două dintre cerințele de conformitate cu noul Regulament pentru protecția datelor personale.  Alina Pavel, Channel Manager Clico Romania a făcut o amplă trecere în revistă a soluțiilor se Securitate a datelor pe care compania le furnizează pe piața din România. Unul dintre cele mai cunoscute branduri reprezentate este PaloAlto Networks, care oferă o platformă ce îmbină soluții firewall de ultimă generație cu elemente de protecție la nivel de stație și analiză la nivel de Cloud a pericolelor cibernetice ce pot afecta o companie. ForcePoint este o soluție de ”data loss prevetion”, care protejează atât datele de pe sistemele fixe, cât și cele din rețea, din Cloud sau din bazele de date mobile.

Un alt brand reprezentat de Clico este Imperva, furnizor de soluții de securizare și auditarea a bazelor de date și aplicații Web care asigură funcționalități de securitate prin minimizarea datelor, limitarea accesului utilizatorilor, pseudonimizare, anonimizare sau transfer securizat. Soluția MobileIron este forte utilă pentru aplicare politicilor BYOD, separând datele personale de pe orice dispozitiv mobil, de cele folosite în scop profesional. Clico oferă consultanță, cursuri de training și soluții de pre si post vânzare pentru toate aceste soluții.

Puterea exemplului Cisco

Un alt moment important al evenimentului a fost conexiune de la distanță cu unul dintre specialiștii Cisco Systems implicați direct în procesul de implementare GDPR la nivel de corporație. Astfel, grație echipamentelor de videoconferință Cisco, am putut asculta povestea de succes prezentată de la Bruxelles de Lorena Marciano, DPO Cisco Systems Europe. În eforturile de implementare GDPR și susținere a ecosistemului de parteneri, Cisco a optat pentru o strategie bazată pe puterea exemplului. Ce garanție mai bună de compatibilitate pentru soluțiile oferite, decât faptul că sunt folosite pentru implementarea propriei conformități? În fine, plecând de la acest proces de best practices, Cisco vine pentru partenerii săi cu o serie de recomandări, care încep cu consolidarea unei echipe multidisciplinare, alegerea unui program cadru care să funcționeze pentru organizație, stabilirea obiectivelor și priorităților, inventarierea datelor și analiza de risc, evaluarea nivelului de maturitate al sistemelor de protecție a datelor, utilizarea facilităților existente și rezolvarea rapidă a lacunelor de securitate.

Studiile de piață arată că nu suntem pregătiți

Sursa: Power Net Consulting

În vara acestui an, compania Power Net Consulting a realizat un studiu printre directorii IT ai unor companii private din Romania. Scopul principal al studiului a fost realizarea unei radiografii a nivelului de pregătire a companiilor, pe baza unui eșantion reprezentativ. Studiul a fost axat pe câteva direcții principale de cercetare, fiecare direcție fiind însoțită de un set de întrebări. Principalele tematici vizate au fost:

  • Cât de informate sunt companiile cu privire la noile reglementări GDPR?
  • Există proceduri interne conforme?
  • Care sunt problemele majore de conformitate?
  • Ce soluții IT și-au propus companiile să implementeze?
  • Care este nivelul actual de pregătire al organizațiilor?

Iată câteva dintre cele mai relevante rezultate ale studiului prezentate de Emil Munteanu, Managing Partner Power Net Consulting: deși 79% dintre companiile chestionate pe tema pregătirii pentru implementarea Regulamentului UE 679/2016 sunt informate despre aceste subiect, doar 14% dintre acestea au persoane nominalizate pentru funcția de responsabil cu prelucrarea datelor personale. De asemenea, 57% dintre respondenți au recunoscut că până în prezent nu au revizuit sau nu au actualizat politicile de securitate existente, iar 50% nu au făcut încă o evaluare internă a datelor cu caracter personal prelucrate. Un alt aspect îngrijorător relevat de acest studiu este că doar 36% din respondenți au instruit GDPR personalul care se ocupă cu problemele de securitate, 18% au organizat traininguri GDPR interne și doar 11% au reevaluat contractele cu furnizorii. Dintre soluțiile IT pe care companiile și-au propus să le adopte în vederea conformității GDPR se numără: Data Loss Prevention (75%), Network Protection (68%) și Encription/ Tokenization/ Pseudonomization (61%).

Cum certificăm un DPO în România?

Compania RQM Certification, partener PECB pentru România, a oferit o prezentare a serviciilor de pregătire profesională pentru poziția de Certified Data Protection Officer. Această certificare permite specialiștilor desemnați să dobândească expertiza necesară pentru a înțelege riscurile care ar putea avea un impact negativ asupra organizației oferindu-le cunoștințele pentru a implementa strategia necesară, pe baza celor mai bune practici, cerințe și principii GDPR. Cursurile DPO beneficiază de certificarea PECB, un furnizor de certificări pentru standarde ISO cu recunoaștere internațională.  Prin parteneriatul cu PECB, compania RQM Certification poate asigura în România obținerea certificărilor pentru standardele ISO 9001, ISO/TS 16949, ISO 31000, ISO 14001 și ISO 27001.

 

Concluzionând, evenimentul “Noua ordine europeană pentru protecția datelor personale” marchează o certă maturizare  a preocupărilor legate de GDPR pe piața din România, cu o evidentă determinare în depășirea fazei de conștientizare, cu trecere la planificare  și acțiune concretă. Prezența celui mai titrat specialist GDPR din România care a răspuns la toate întrebările, implicarea casei de avocatura Mușat și Asociații, videoconferința cu DPO Cisco de la Bruxelles, prezentarea de soluții concrete de securizare a proceselor și a datelor, studiul de piață realizat de Power Net Consulting precum și cursurile de certificare DPO deja existente pe piață, au contribuit la succesul acestui eveniment. Felicitări tuturor celor implicați și în special organizatorului Concord Communication.  

Sursă fotografii: Concord Communiction

Invitație la Dezbaterea Națională ”Different City – Smart City”

Sunt orașele din România pregătite pentru transformarea digitală? Adică pentru o iluminare stradală făcută cu cap și acolo unde este nevoie? Pentru spații de parcare inteligente, unde să nu te trezești cu mașina zgâriată? Pentru soluții ecologice de management al deșeurilor, altceva decât simple containere de reciclare devenite focare de infecții? Pentru un transport în comun modernizat, care să sigure descongestionarea traficului din zonele centrale? Pentru sisteme de garare Park & Ride, conectate la transportul în comun, în toate punctele de intrare ale marilor orașe?

Puteți afla răspunsuri la aceste întrebări prin soluțiile și studiile de caz care vor fi discutate laDifferent City-Smart City. Dezbatere Națională 2017-2020” – eveniment care reunește primari, manageri și specialiști în servicii publice, precum și experți în soluții pentru o administrare modernă a orașelor –  care se va desfășura pe 24 și 25 octombrie la București, la hotelul Ramada Plaza, Sala Terra, cu începere de la ora 8:00.  

Aflată la a doua ediție, Dezbaterea își propune să asigure cadrul necesar promovării conceptului de Smart City și să contribuie la generarea unui real flux de inovare la nivelul administrațiilor publice și a mediului de afaceri. Realitatea demonstrează că este o continuă nevoie de un parteneriat public-privat eficient, capabil să genereze, să coordoneze și să finalizeze proiecte smart city, care să asigure o reală creștere a calității vieții în comunitățile urbane.

Printre principalele teme de dezbatere abordate în cadrul evenimentului se vor număra:

  • accelerarea deciziilor autorităților publice pentru adoptarea soluțiilor smart în beneficiul cetățenilor, mediului de afaceri, turiștilor și administrației,
  • promovarea soluțiilor inteligente pentru administrarea și funcționarea orașului și transformarea lui în Smart City cu ajutorul unor platforme și soluții specifice
  • Identificarea domeniilor de interes comun pentru viitoarele implementări și parteneriate în domeniul smart city.

Dar ”Smart City” nu este numai o etichetă pe care o poate afișa orice primărie care a demarat un proiect de modernizare. Smart City este o atestare a faptului că o comunitate urbană a reușit să facă pași importanți în procesul de transformare digitală. Un oraș inteligent este reprezentat în primul rând de comunitățile inteligente care locuiesc și muncesc într-un areal urban. Dezvoltarea urbană accelerată și suprapopularea orașelor sunt printre cele mai critice provocări pe care noul val de tehnologii digitale le are de rezolvat. Peste 50% din populația Globului trăiește azi în mediile urbane și contribuie cu peste 80% din GDP-ul mondial.

Știm că orice oraș are probleme cu infrastructura, cu fluidizarea traficului, cu parcările, cu iluminatul, cu securitatea publică sau cu reducerea poluării. Pe de altă parte orașele sunt hub-uri pentru business, campusuri academice, centre culturale sau nuclee de știință. Pe măsura dezvoltării urbane e nevoie de redimensionarea serviciilor, estimarea dinamicii și controlul costurilor.

Evenimentul Dezbatere de la București este susținut de Ambasada Olandei, reprezentată de doamna ambasador Stella Ronner- Grubačić și va fi moderat de Marius Bostan, fost ministru al comunicațiilor și pentru societatea informațională. Un mare număr de speakeri internaționali va fi prezent pentru a-și împărtăși experiențele de implementare a unor soluții inteligente.

Agenda evenimentului conține un bogat program de prezentări de soluții și tehnologii dedicate orașelor inteligente. Dell EMC – partener principal al evenimentului, va prezenta o platformă deschisă de date menită să ofere cetățenilor și întreprinderilor o perspectivă de acces la datele administrației publice, precum informații despre poluarea mediului sau fluxurile de trafic. Digitax va veni București cu o noutate de ultim moment, o platformă ce permite tuturor instituțiilor să acționeze într-un mod ușor, rapid și interconectat. Synergetics Corporation va prezenta o aplicație GIS pentru gestiunea datelor urbane și automatizarea serviciilor de urbanism.

Autoritățile publice preocupate de iluminatul stradal adaptat nevoilor specifice vor avea la alegere mai multe solutii. Compania TVILIGHT B.V din Olanda împreună cu firmele românești Total Strada și Cybernetics  International, vor prezenta  soluții de iluminat public inteligent, care permit adaptarea automată a intensității luminoase în funcție de trafic și monitorizarea în timp real. O soluție de iluminat inteligent va fi prezentată de Telekom Romania, în cadrul portofoliului său de produse smart city în care regăsim cele mai noi soluții de parcare și managementul mobilității, siguranță publică și supraveghere video.

Low Power Smart City Italia în parteneriat cu Universitatea Tor Vergata din Roma, ENEA (Institutul Național pentru Tehnologii Noi, Energie și pentru dezvoltare economică durabilă) și cu Centrul Național de Cercetare pentru Dezvoltare (CNR), va prezenta rezultatul cercetărilor de crearea a unor noi modalități de comunicare în domeniul eficienței energetice. În domeniul managementului deșeurilor, Green Group va prezenta SIGUREC, o soluție inteligentă pentru colectare selectivă a deșeurilor reciclabile, iar Arctos va prezenta un sistem inteligent de cântărire și identificare a pubelelor. Companiile VMB Partners și Avisso specializate în servicii de consultanță financiară, vor oferi celor interesați soluții de susținere financiară a proiectelor Smart City.

A doua zi a Dezbaterii este dedicată unor întâlniri bilaterale de afaceri, oferind participanților ocazia de a discuta aplicat despre accelerarea proceselor de implementare a soluțiilor Smart City, dar și un bun prilej pentru viitoare parteneriate.

Dacă sunteți interesați de Informații complete despre eveniment, agendă, vorbitori și companiile participante pot fi găsite pe pagina oficială a Dezbaterii.

Dacă doriți să participați, nu trebuie decât să accesați linkul către Formularul de înregistrare.  

Partener Principal: Dell EMC

Parteneri Silver: Telekom România, Digitax, Low Power Smart City Italia, Green Grup, Arctos, TVILIGHT Olanda, Cybernetics International, Aedillia Olanda, Synergetics Corporation, Avisso.

Parteneri: Țucă Zbârcea și Asociații, Intrarom, VMB Partners

Organizatori: Concord Communication, Different Angle Cluster, Fundația Națională a Tinerilor Manageri

GDPR în distribuția IT: Calamitate sau Oportunitate?

Noul Regulament european privitor la protecția datelor poate avea un efect de bumerang. A apărut din nevoia de aliniere a drepturilor cetățeanului european la evoluția tehnologică a mijloacelor de recoltare, comunicare, procesare și stocare a datelor personale.

Deși cauza poate fi privită ca tehnologică prin excelență, punerea în aplicare a GDPR este un proces esențialmente de business, care prin implicații poate fi asimilat cu un mare pas înainte în procesul ireversibil de transformare digitală. Poate avea tandemul business-tehnologie un rol de perpetuum mobile? Cu siguranță, atâta timp cât în centrul oricărei politici de dezvoltare stă individul și drepturile sale fundamentale.

Care sunt problemele specifice GDPR în distribuția IT?

Revenind cu picioarele pe Pământ, ne aflăm încă într-o fază în care, din lipsa unor bune practici,  analizăm GDPR din toate perspectivele în scopul identificării celor mai eficiente și sigure proceduri de obținere a conformității. Și pentru că industria IT este oarecum în miezul acestei vâltori stârnită de iminenta apropiere a datei de 25 Mai 2018, haideți să vedem care sunt implicațiile GDPR pentru una dintre cele mai dinamice zone: distribuția IT.

Canalele și politicile de distribuție ale vendorilor reprezintă o încrengătură foarte încurcată dar sunt totuși rădăcinile care alimentează esența pieței IT. Tipologia ecosistemului ce caracterizează o rețea de distribuție e foarte complexă: distribuitori, wholeselleri, reselleri, VAR-i, integratori de sistem, firme de servicii și consultanță, retaileri, showroom-uri, magazine online, precum și o complicată subrețea de furnizori de servicii de logistică, depozite, curierat, transporturi, case de credite și de asigurări, și altele. Schema fluxului de informații dintr-un astfel de ecosistem  nu poate fi decât super complexă. De aici și dificultatea oricărui demers de identificare și mapare a fluxurilor de date existente la nivelul unei rețele.

Dar cum regulile GDPR nu se aplică unei structuri de parteneriate, ci unor operatori de date individuali, orice proces de implementare a noului regulament trebuie pornit de la entitățile individuale. Dar nici aici lucrurile nu sunt simple. Să luăm de exemplu un distribuitor de dimensiuni medii, care are contracte teritoriale de distribuție pentru 15-20 de branduri, cu proveniență din diferite zone ale lumii. Într-un proces clasic de distribuție rolul unui astfel de distribuitor este cel de procesator – sau intermediar, verigă într-un flux de date care vine dinspre cei care lucrează direct cu utilizatorul final, și merge către un vendor, care în majoritatea cazurilor are și rolul de operator de date.

Colectarea datelor personală este paralelă cu procesul de vânzare, multe dintre soluțiile distribuite având asociată obligativitatea furnizării de date despre utilizatorul final, fie elemente de identificare asociate cu licențele software perpetue, fie identificatori de logare – în cazul soluțiilor Cloud, fie date asociate documentelor de garanție și mentenanță specifice echipamentelor hardware. Din punctul de vedere al atribuțiilor  GDPR, un distribuitor este în marea majoritate a cazurilor procesator de date, cu subordonare de business în relație cu vendorii, care au rolul de operatori. Păstrând această perspectivă, un reseller va avea întotdeauna o poziție de sub-procesor față de fiecare dintre distribuitorii cu care lucrează.

De multe ori vendorii nu sunt nici ei beneficiari direcți ai datelor personale, având tot o poziționare de procesator în relațiile de distribuție cu alte entități. Pe de altă parte, apare des situația în care un distribuitor sau un reseller poate fi chiar el operator de date. Să ne gândim doar la departamentele de resurse umane care gestionează relațiile cu angajații sau la cele de marketing, unde sunt generate campanii direct către clienții finali sau către rețelele de parteneri. Identificarea tuturor acestor scenarii e deosebit de importantă, pentru ca de aici pornește orice proiect de evaluare a fluxurilor de informații în vederea studierii implementării conformității cu GDPR.

Primul panel de GDPR organizat de o firmă de distribuție

După mai mult de 10 ani de experiență directă în business development și gestionarea canalelor de distribuție, am avut recent un bun prilej de a reintra în atmosfera rețelelor de distribuție și a discuta despre importanța înțelegerii corecte a cerințelor GDPR pentru aceste procese de business. Prilejul a fost oferit de ALEF Distribution, care după câte știu eu, este prima mare companie de distribuție care a organizat o discuție pe tema GDPR în cadrul evenimentului anual pentru parteneri, desfășurat între 5 și 7 octombrie.

Ca moderator al acestui panel dedicat soluțiilor de securitate și GDPR, pentru care am ales ca titlu generic ”GDPR, calamitate sau oportunitate?”, am focalizat de la început întrebările pe câteva direcții majore: cele mai mari provocări pe care eforturile de aliniere la cerințele GDPR le aduce la nivelul unui canal de distribuție, cum abordează vendorii această problemă și ce avantaje și instrumente oferă aceștia partenerilor din lanțul de distribuitori. Mesajul general transmis celor peste 150 de parteneri ai companiei ALEF care au participat la dezbaterile panelului a fost că adopția normelor GDPR nu trebuie să fie o piedică pentru orice companie, atâta vreme cât își face o autoevaluare obiectivă, stabilește riscurile și prioritățile, și parcurge riguros toate procedurile necesare.

Mai mult de atât, orice membru al unui ecosistem de distribuție trebuie să își ajute clienții să parcurgă aceiași pași importanți, oferindu-le cele mai adecvate soluții pentru asigurarea conformității GDPR și protecția datelor personale. Cu alte cuvinte, toți partenerii, de la vendori, la distribuitori și până la reseleri, au o imensă oportunitate de a face recomandări și a vinde cele mai avansate soluții.

Panelul de discuții  s-a bucurat de prezența unor reprezentanți ai unor importanți vendori, care derulează relații de distribuție cu compnia ALEF. Participanții la panel au fost: Florin ROȘIE – Territory Channel Manager SMB Microsoft Romania, Dan Găvojdea – Cyber Security Specialist Cisco Systems, Gabriel PAVEL – Balkan Sales Director Fujitsu, Iulian HARS – Pre-sale Engineer Kaspersky Lab Romania precum și un reprezentant al autorității publice, Nelu MUNTEANU, Director Tehnic CERT.RO.

Este pregătită România pentru GDPR?

A fost prima întrebare generală adresată peneliștilor, din dorința de a discuta percepția asupra nivelului național de conștientizare al importanței GDPR în rândul operatorilor de date. Nu întâmplător, primele comentarii legate de această întrebare au venit de la reprezentantul CERT.RO. Și am spus că nu întâmplător, datorită faptului că Centrul Național de Răspuns la Incidente de Securitate Cibernetică a avut o implicare majoră în campaniile de conștientizare, oferirea de ghiduri și recomandări,  divulgarea coordonată și responsabilă a vulnerabilităților și, nu în ultimul rând, asigurarea cadrului necesar schimbului de informații între producătorii de echipamente și soluții de securitate, autorități și utilizatori. De menționat că Octombrie este Luna europeană a securității cibernetice, iar CERT.RO este direct implicată într-o multitudine de activități de conștientizare a pericolelor care pândesc în mediile online.

Sunt pregătiți vendorii și partenerii lor de canal? 

A fost următoarea întrebare, absolut firească, adresată vendorilor. Și absolut firesc, toți vendorii reprezentați  în panel au confirmat comitmentul companiei de a fi GDPR compliant, dar și de a ajuta partenerii și clienții în acest proces cu informații și resurse.

Microsoft a fost unul dintre primii vendorii care și-a anunțat compatibilitatea GDPR pentru toată gama de produse, inclusiv tot ce ține de Azure și suita de Office în Cloud. Mai mult de atât, compania a făcut un pas înainte pentru parteneri, deschizând siteul dedicat GDPR, www.microsoft.com/gdpr unde orice partener are posibilitatea să acceseze un pachet de utilitare menit să îl asiste în evaluarea compatibilității  www.gdprbenchmark.com. Cum folosesc partenerii Microsoft din România aceste resurse? Asta rămâne de văzut.

Cisco a optat pentru altă strategie: puterea exemplului. Ce garanție mai bună de compatibilitate pentru soluțiile oferite, decât faptul că sunt folosite pentru implementarea propriei conformități? În fine, plecând de la acest proces de best practices, Cisco vine pentru partenerii săi cu o serie de recomandări, care încep cu consolidarea unei echipe multidisciplinare, alegerea unui program cadru care să funcționeze pentru organizație, stabilirea obiectivelor și priorităților, inventarierea datelor și analiza de risc, evaluarea nivelului de maturitate al sistemelor de protecție a datelor, utilizarea facilităților existente și rezolvarea rapidă a lacunelor.

La rândul său, Fujitsu a preferat să demareze procesul GDPR la nivelul propriei organizații, dorind să confere astfel partenerilor și clienților un nivel de încredere sporit în soluțiile companiei. Strategia Kaspersky este axată pe ideea de bază că GDPR trebuie abordat ca pe o oportunitate pentru ștergerea, administrarea și protejarea datelor personale. Acțiunea este comparată cu un proces de detoxfiere a datelor, ce va ajuta businessul să economisească, să devină mai competitive și să fie gata pentru provocările viitoare. Pe lângă propriile soluții de securitate a datelor oferite de Kaspersky Lab, compania mai recomandă ședințe de instruire pentru angajații din toate departamentele, pentru a controla și preveni incidentele și amenințările de securitate de natură internă. Pentru parteneri și clienți Kaspersky a postat online un chestionar de autoevaluare ”Ești pregătit pentru GDPR?” https://www.gdprkaspersky.com/

Transformarea GDPR într-o oportunitate

Iată câteva considerente care ar trebui să stea la baza unei strategii de ofertare a celor mai adecvate soluții de securitate a datelor, fără a mai include aici și alte tipuri de soluții precum cele de procesare, stocare și arhivare :

O mai mare libertate tehnologică – Un avantaj important al GDPR este că nu prescrie tehnologii specifice de protecție a datelor – cum ar fi un anumit algoritm de criptare, de exemplu – și, prin urmare, nu le exclude automat pe altele. În schimb, sunt prescrie procese, ceea ce înseamnă că partenerii ar avea mai multă libertate de a alege dintr-o paletă de soluții provenite de la o vareitate de furnizori.

Scenarii de pierdere a datelor și soluții recomandate – într-o viziune generală, există un număr relativ limitat de scenarii interne și de pericole externe de amenințare care pot conduce la apariția unui caz de pierdere a datelor personale :

  • Pierderi de date fără valoare, dacă sunt găsite – cu alte cuvinte, aplicarea metodele de criptare care păstrează datele în siguranță dacă un dispozitiv cu informații personale sau profesionale de identificare a acestuia este pierdut sau furat.
  • Distrugerea și ștergerea de la distanță – există soluții care elimină cu ușurință datele de pe dispozitivele pierdute sau furate și le fac inutilizabile.
  • Prevenirea pierderilor de date – Soluțiile DLP pot controla tipul și sensibilitatea datelor pe care utilizatorii le transferă în interiorul sau în afara organizației.
  • Blocarea aplicațiilor – soluții de control a tipurilor de aplicații care pot sau nu rula pe un computer terminal.
  • Virtual patching – ajută la stoparea exploatării de la distanță a vulnerabilităților
  • Detectarea încălcării – semnalarea rețelelor compromise permite utilizatorilor să blocheze tentativa de furt de date.

O piață în plină evoluție – un sondaj recent arată că 69% dintre companiile europene  nu numai că vor investi în tehnologii de securitate ca rezultat al GDPR, ci și în domenii precum partajarea fișierelor. Estimările IDC indică o oportunitate de piață de 3,5 miliarde de dolari pentru furnizorii de securitate și stocare și pentru partenerii lor.

Vom reveni în articolele viitoare cu discutarea oportunităților oferite de GDPR în activitatea de distribuție IT.

GDPR explicitat (10): Importanța evaluărilor de impact (DPIA)

 

AU MAI RĂMAS 227 de zile!

Una dintre practicile recomandate pentru evaluarea riscurilor și impactului pe care îl poate avea procesarea datelor personale în anumite condiții, este efectuarea unui studiu de impact asupra protecției sau confidențialității datelor, cunoscut sub denumirea generică de DPIA (Data Protection Impact Assessment) sau mai popular PIA (Privacy Impact Assessment).

Iată-ne ajunși la cel de-al 10-lea ”episod” din seria de articole GDPR Explicitat. După ce în articolul precedent am prezentat și comentat responsabilitatea și guvernanța în viziunea GDPR, în acest articolul ne ocupăm de evaluarea impactului pentru protecția datelor.

Ce este Data Protection Impact Assessment (DPIA)

Cum protecția datelor trebuie gândită acum ”by design”, fiind proiectată în mod implicit odată cu sistemele de procesare, pot apărea o multitudine de situații în care se recomandă evaluarea de impact asupra protecției datelor. O bună practică pentru noile tehnologii și procese este de a evalua dacă prelucrarea are un “risc ridicat”, dacă  aduce atingere drepturilor persoanelor vizate și dacă acest risc poate fi redus sau evitat, de exemplu prin pseudonimizare. Evaluările de impact sunt absolut necesare în cazul în care există o prelucrare automată și prelucrarea unor categorii speciale de date pe scară largă.

Evaluarea impactului privind protecția datelor (DPIA) – în versiunea mai populară mai des folosit ca Privacy Impact Assesment (PIA), reprezintă un instrument care poate ajuta organizațiile să identifice cea mai eficientă modalitate de a se conforma obligațiilor lor privind protecția datelor și de a răspunde așteptărilor individuale de confidențialitate. O evaluare de impact eficientă va permite organizațiilor să identifice și să remedieze problemele într-un stadiu incipient, reducând riscurile, costurile asociate și deteriorarea reputației, legată de apariția oricărui incident.

Evaluarea DPIA este parte integrantă a proiectării unei abordări privind confidențialitatea prin design. Punctele cheie ale unei astfel de evaluări sunt:

  • DPIA este un proces care ajută organizațiile să identifice și să minimizeze riscurile de confidențialitate ale proiectelor sau politicilor noi;
  • Efectuarea unei evaluări de impact implică lucrul cu oamenii din organizație, dar și cu partenerii, pentru a identifica și a reduce riscurile de confidențialitate;
  • Evaluarea vă ajuta la identificarea unor potențiale probleme într-un stadiu cât mai incipient, când remedierea poate să fie mai simplă și mai puțin costisitoare;
  • Realizarea unei evaluări de impact asupra confidențialității ajută organizațiile să elaboreze și să adopte cele mai bune politici de îmbunătățire a relațiilor dintre organizații și indivizi.

Când ar trebui să facem o evaluare DPIA?

În acord cu bunele practici, trebuie să efectuați o DPIA atunci când:

  • utilizarea noilor tehnologii impune asumarea unui anumit grad de risc;
  • prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor.

Procesarea care poate duce la un risc ridicat include, dar nu se limitează la acestea:

  • activități de prelucrare sistematice și extinse, inclusiv profilarea;
  • prelucrări în care deciziile care au efecte juridice – sau efecte similare, asupra persoanelor fizice;
  • prelucrarea pe scară largă a unor categorii speciale de date sau date cu caracter personal în legătură cu condamnările sau infracțiunile penale.

În general, trebuie avute în vedere orice activități care includ prelucrarea unor cantități considerabile de date cu caracter personal la nivel regional, național sau supranațional, care afectează un număr mare de indivizi și care  implică un risc ridicat pentru drepturi și libertăți.

Ce informații ar trebui să conțină DPIA?

Orice evaluare de impact trebuie să conțină:

  • descrierea operațiunilor de prelucrare și a scopurilor, inclusiv (dacă este cazul) a intereselor legitime urmărite de operator;
  • evaluarea necesității și proporționalității procesării în raport cu scopul;
  • evaluarea riscurilor pentru persoane fizice;
  • măsurile luate pentru a reduce riscul, inclusiv securitatea și pentru a demonstra că vă conformați;
  • numărul proiectelor similare care pot fi vizate de aceeași evaluare.

Beneficiile unei evaluări de impact asupra protecției datelor

Realizarea unei evacuări de impact pentru protecția datelor nu este o obligație a persoanei desemnate ca DPO. Acesta este o activitate de echipă, cu participanți din toate liniile de business. DPO poate coordona procesul de evaluare, poate face recomandări și trebuie să asigure alinierea la cerințele de conformitate. După elaborare, rolul DPO este acela de a ajuta organizația să folosească evaluarea de impact ca pe un instrument de conformare cu protecția datelor personale.

Chiar dacă efectuarea unui studiu de impact nu este o cerință legală, în anumite conjuncturi, autoritatea națională sau teritorială de supraveghere poate adresa o cerere oricărei organizații să realizeze o evaluare DPIA. Totodată, o evaluare de impact PIA, poate fi modul cel mai eficient pentru o organizație de a demonstra autorității de supraveghere modul în care prelucrarea datelor personale respectă cerințele de securitate și confidențialitate. În același timp, posesorii datelor personale pot fi asigurați că organizațiile care procesează informațiile lor urmează cele mai bune practici de securitate și confidențialitate. Un proiect care a fost supus unei evaluări PIA ar trebui să fie garantat ca un proces care are cele mai puțin ridicate riscuri de afectare intruzivă a datelor personale.

Un al doilea beneficiu pentru persoanele fizice este acela că PIA ar trebui să se asigure transparența în procesul de comunicare și de cunoaștere a modului în care sunt utilizate informațiile personale. Realizarea și publicarea unui raport de evaluare PIA va ajuta orice organizație să construiască relații de încredere cu oamenii care folosesc serviciile lor. Acțiunile întreprinse în timpul și după ce procesul de evaluare pot îmbunătăți experiența organizațiilor în relațiile de înțelegere cu clienții lor.

Nu trebuie desconsiderate beneficiile financiare pe care le poate aduce efectuarea unei evaluări de impact. Orice identificarea a unei probleme, într-o fază cât mai timpurie, va necesita o soluție mai puțin costisitoare. O evaluare de impact poate reduce, de asemenea, costurile unui proiect, prin minimizarea cantității de informații colectate, procesate și stocate.

În general, utilizarea consistentă a unei evaluări de impact va spori gradul de conștientizare a problemelor de confidențialitate și de protecție a datelor în cadrul unei organizații. Asta ne asigură că toți cei implicați în procesul de prelucrare sunt conștienți de importanța înțelegerii și păstrării acestor norme, încă din primele etape ale unui proiect.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready!  În următorul material ne vom ocupa de condițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

Star Storage’s annual B2B event: a real Digital Innovation Fest

The autumn events season started last week with a true technology innovation festival organized by Star Storage, the global provider of modern information protection and management solutions for top public and private organizations.

 Organised in the very inspirational location from Stejarii Country Club, the Digital Innovation Fest event brought together technology professionals, various business lines specialists and international analysts interested in the most relevant topics of the moment, like digital transformation, regulation compliance – including GDPR, and associated risk management.

Addressing company’s customers from the most powerful industries like financial services, utilities, telecoms, manufacturing, and also the public sector, Digital Innovation Fest 2017 was a well-received event, changing the perspective we are looking to innovative technologies and putting us in the position of the main engine of the digital transformation process.

Digital Innovation Fest participants had the opportunity to meet and discuss with global leaders in information management, enriching their knowledge and experience, and exploring new digital ways to make the difference in their industry. International speakers delivered key answers to hottest topics of the moment, showing most efficient ways to solve the specific problems.

The DIF opening keynote was sustained by Catalin Paunescu, CEO Star Storage, which presented company’s credentials, based on a continuous innovative process in business solutions design. Star Storage’s solution and services portfolio is creating value for individuals, using digital technologies with a positive impact on their work and private lives.

The company’s key achievements are related to top technologies adoption, providing to the clients:

  • increased compliance & risk reduction through unified information governance;
  • appreciable cost savings and time to market acceleration by rethinking operations and processes;
  • customer loyalty increasing and revenue growth through improved customer experience;
  • new revenue streams and new business models to reach new markets;
  • the art to do more with less.

All these achievements was sustained by an ambitious Go To Market Strategy in the international markets with most dynamic average growth like Enterprise Information Archiving (EIA) with US$ 3 billion Market size 2018, Enterprise Document and Data Capture (US$2.6 billion in 2018), or  Electronic Medical Records (EMR  – US$17.43 billion in 2018 market size). Star Storage international expansion is based on more than 100 global alliance partners, powerful system integrators, consulting and regional partners.

“We have now a solutions portfolio that meets the real challenges of the business environment and can make a difference both at the level of organizations and at the level of each individual and society, said Catalin Paunescu, CEO Star Storage during his opening keynote. “ We strongly believe that technology is not only aimed at increasing business efficiency, the technology is designed to help people – from work efficiency to office to contributing to a healthier life through effective healthcare management and effective communication with healthcare staff through telemedicine”.

One of the most appreciated presentation from opening session was keynote intervention sustained by Atle Skjekkeland, Senior Vice President at AIIM (The Association for Information and Image Management). Atle is an experienced technologist, educator, and innovator. His interest in the future of information management with social, mobile, Cloud and big data has made him a frequent keynoter and workshop facilitator at events across the world. Atle is also the architect behind AIIM’s training programs with close to 30,000 students.

During his presentation in Bucharest, Atle discussed the main issues opened by digital transformation to enterprise-sized organizations, presenting the most important 4 ways to improve productivity and ensure compliance in the new digital era.

According to a Forrester survey of business executives, the very significant business problems impact on Enterprise IT level is related to:

  • High Cost of Ownership (91% of survey participants)
  • Difficult Upgrades (87%)
  • Poor Cross-Functional Processes (86%)
  • What the Apps Deliver Doesn’t Match Business Requirements (80%)
  • Inflexibility Limits Process Change (75%).

The 4 ways enterprises could improve productivity and ensure compliance in the new digital era are related to:

  • Enterprise level engagement – opening mobile access to ECM systems, facilitating the mobile capture, content creation and commenting, and adoption of mobile interaction processes.
  • Automating business processes – increasing business productivity by removing paper-based
  • Facilitating insight actions – by process optimization, access improvement to vital data and applications, and a radical change in employees’ behaviour.
  • Adopting effective control policies, based on assumed risks, and GDPR compliance.

Another very interesting and well-documented keynote was the presentation of The top 10 strategic technologies, trends & predictions for 2017-2018, sustained by Lukas Erben, Vendor Executive Manager at KPC – a Gartner Group covering Czech Republic’s, Slovakian, and Romanian territory.  Lukas is a Gartner specialist with more than 20 years of professional IT and tech writing, consulting and publishing background. As Vendor Executive Manager, Lukas is helping CEOs, CTOs and other executives to maximize the value of their investment in Gartner, in key areas like strategic development or product and service innovation.

According to Gartner’s research, the top technologies trends are related to three essential fields which involve specific technologies like:

  • Intelligent: Advanced Machine Learning & AI, Intelligent Apps, and Intelligent Things;
  • Digital: Augmented & Virtual Reality, Digital Twin, and Blockchain & Distributed Ledger
  • Mesh: Mesh App & Service Architecture, Digital Technology Platforms, and Adaptive Security Architecture.

Let’s summarize few of the Intelligent Digital Mesh trends until 2020:

  • AI (Artificial Intelligence) will be a primary battleground for service providers;
  • 20% of enterprises will employ dedicated people to train neural networks;
  • 46% of the customer-perceived value proposition of products and services will be digital;
  • 30% of Web browsing sessions will be without a screen;
  • Algorithms will positively alter the behaviour of Billions of global workers;
  • IoT Will Increase Data Center Storage Demand by Less Than 3%;
  • Most IoT-generated data will not be stored or retained.

 

According to a Gartner survey named “The 2017 CIO Agenda: Seize the Digital Ecosystem Opportunity”, the key technologies having the most potential to change the organization over the next five years are:

  • 81% Advanced Analytics
  • 48% Internet of Things
  • 43% Digital Security
  • 40% Business Algorithms
  • 22% Machine Learning
  • 19% Virtual Customer Assistants
  • 13% Augmented Reality
  • 10% Blockchain
  • 7% Autonomous Vehicles
  • 6% Smart Robots

 

A very good example of digital adoption in real life was the story presented by Alex Padureanu, CEO of Hospices of Hope, showing how innovative technologies could contribute with a very high impact on patients in the field of palliative care. The Hospices of Hope is a project that aims to radically improve patient services through patient-to-patient communication with mobile devices and advanced technologies like virtual reality.

Hospices of Hope is one of the most important networks developing palliative care in Eastern Europe. Based in the United Kingdom, Alex is responsible to coordinate the activity of the local team and the organization in the US, having a non-executive role in the country partner organizations (Romania, Serbia, and Moldova). To ensure that as many patients as possible receive palliative care Hospices of Hope concentrate on two areas of work:

  • direct support and treatment for patients and their families;
  • increasing the awareness and availability of palliative care through training.

 

One of the most important healthcare project from Romania in the last period is the implementation of STATUS Healthcare Hub to Casa Sperantei, a communication platform developed by Star Storage that enables doctors and medical services providers to interact with their patients and exchange information in a secure and friendly environment. Main STATUS ability is to provide efficient management of EMR (Electronic Medical Records) offering data mobility and accessibility to complete medical files based on data coming from medical systems, from field doctors, and from patients. The files are containing a recording of medication and assistance for correct drug administration, being able to provide easy and instant access from anywhere and anytime to complete patient records.

STATUS Healthcare Hub is offering also the transparent promotion of medical services by keeping up to date doctor profile relating healthcare specialities training and medical expertise. The solution is based on a safe environment for storage and transfer of medical data. Once fully implemented at Casa Sperantei, STATUS can increase the number of consultations with up to 50% offering better communication and interactivity. As recognition of the value of STATUS Healthcare Hub implementation, Star Storage’s solution received “Best Cloud services for vertical market” award during EuroCloud Awards 2015 contest.

About Star Storage 

Star Storage is a global technology provider developing and delivering state-of-the-art information protection and management solutions for top private and public organizations. With more than 17 years of experience, own Intellectual Property and a portfolio of 500 customers on 4 continents, with strong expertise in top industries such as banking, insurance, telecom, manufacturing, utilities and public administration, the company play a key role in the digital transformation, mobile and cloud journey of any size organization.

Images Source: Star Storage

%d bloggers like this: