Why we need to build a GDPR Corporate Culture?

 

Many times the alignment with GDPR requirements is perceived as a compliance challenge only.  What few realize from the very beginning is that GDPR does not involve a push-up effort, after which the relaxation is coming. It’s not an IT project, nor any simple modification of privacy policy on an e-commerce site. GDPR is the beginning of a process that should become irreversible, and for this, it needs a source of energy to keep it moving. The energy source for maintaining GDPR compliance for the entire lifecycle of a business is the organization’s internal capacity to maintain compatibility. And this is called Company Culture.

We are talking about GDPR more and more. And this is good because we still need awareness. Unfortunately, most of the messages are focused on the punitive value of the regulation. And that’s right, because the fines announced are scary, even for a bigger company. For the vast majority, however, a penalty of € 10,000,000 actually means getting out of business. Those who will have what they pay will face a big black spot of reputation, which will affect the trust of their clients, which creates the premises of a threat even bigger than the fines themselves.

These threats should generate a big concern at the executive levels first. Here are no longer only quick steps to modify few web pages and ad-hoc staff training. Organizations need to change their mentality and decision-makers must be an example. The success of a long-term GDPR project is based on the building of an organization-wide culture where people first think about how they would like their personal information to be processed. Companies must adopt this attitude when handling the personal data of customers, employees, and other subjects. It’s not just about the threat of financial penalties. It’s a business continuity and building a trusting attitude.

Individuals need to trust the companies to whom they provide their personal information and need to trust that these data operators have the ability to manage this information properly and safely. One of the GDPR’s novelties is the introduction of the accountability principle. The concept is not new. But for the first time, it becomes an explicitly free principle. The GDPR accountability goes beyond compliance with data protection principles, as it involves a change of culture. Any data controller or data processor has to prove not only that they are responsible for personal data protection but also to prove that they can support this responsibility. In order for this extended responsibility to be assimilated into our organization, we need a cultural and organizational change.

To create a GDPR culture, companies need to adopt a proactive, methodical and responsible approach to compliance, a privacy culture for personal data protection. If you want people to change their behaviour, you have to motivate them to want to do this; they have to understand why it is important. This change is a challenge if they cannot connect privacy risks to their own roles and private lives. Personalized training for roles or characters and the use of relevant examples is, therefore, a good practice. To effectively educate your staff, work closely with and connect with internal teams – people from HR, accounting, logistics, technical teams, but especially from internal communication teams.

Now that you have built the data privacy culture, you need to embed and support it. To do this, you will need to:

  • Define clear periodic and point assignments;
  • Create regular campaigns;
  • Build awareness of privacy in new business environments or new employees.

If it has not already been made, compliance with GDPR should be a key priority for all organizations, regardless of size, industry, or geographic location.

Advertisements

GDPR Explicitat (15): Penalitățile cu care vine GDPR

Iată-ne ajunși la finalul serialului de articole GDPR Explicitat. A fost o încercare de analiză și parcurgere pe orizontală a celor mai importante articole din GDPR care au egală importanță pentru toți operatorii și procesatorii de date personale. Desigur se mai pot povesti și comenta multe despre toate subiectele abordate. Vom mai avea ocazia să le reluăm când vom face analizele pe verticale, pe grupe de companii sau pe anumite industrii.

Când se dau amenzile administrative?

Orice încălcare a noului regulament este supusă unui regim de sancțiuni financiare cu amenzi de până la 4% din cifra de afaceri globală anuală sau de 20 milioane EUR, oricare dintre acestea este mai mare. La stabilirea nivelului amenzii, autoritatea de supraveghere trebuie să ia în considerare o serie de factori, inclusiv gravitatea încălcării, dacă încălcarea a fost intenționată sau rezultatul neglijenței și orice măsuri luate pentru a atenua încălcarea. În plus, persoanele pot da în judecată organizațiile pentru compensare pentru a acoperi atât pagubele materiale, cât și cele nemateriale (de exemplu, suferință).

Având în vedere magnitudinea eventualelor amenzi, drepturile persoanelor fizice de a introduce cazuri și cererea de despăgubiri, precum și prevalența și eficacitatea criminalității cibernetice, riscul unei încălcări a datelor ar trebui să treacă direct în registrul de risc al consiliului, cu respectarea înaltă a ordinii de zi a conducerii superioare.

Conform Articolului 83 – ”Condiții generale de impunere a amenzilor administrative”, aplicarea penalităților va fi, în fiecare caz, eficace, proporțională și disuasivă (descurajantă). Amenzile administrative se acordă în funcție de:

  • Natura, gravitatea și durata încălcării;
  • Caracterul intenționat sau neglijent al încălcării;
  • Orice acțiune întreprinsă de operator sau de procesator pentru a diminua daunele suferite de persoanele vizate;
  • Gradul de responsabilitate al operatorului sau al procesatorului, ținând cont de măsurile tehnice și organizatorice implementate de aceștia;
  • Orice încălcări anterioare relevante;
  • Gradul de cooperare;
  • Categoriile de date cu caracter personal afectate de încălcare;
  • Modul în care încălcarea a devenit cunoscută;
  • Existența unor cazuri anterioare în care au fost ordonate competențe corective împotriva operatorului sau a procesatorului;
  • Respectarea codurilor de conduită aprobate sau a mecanismelor de certificare aprobate;
  • Existența unor alți factori agravanți sau atenuanți.

Care sunt situațiile în care amenda e de 2% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 10 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 2% din exercițiul financiar precedent (oricare dintre acestea este mai mare) în situațiile în care autoritatea de supraveghere constată încălcarea următoarelor Articole:

  • Obligațiile operatorului și ale procesatorului de date stabilite în Articolele 8, 11, 25 la 39, 42 și 43;
  • Obligațiile corpului de certificare conforme cu Articolele 42 și 43;
  • Obligațiile corpului de monitorizare aferente Articolului 41 (Alineat 4)

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

  • 8: Consimțământul copilului
  • 11: Prelucrarea care nu necesită identificare
  • 25: Protecția datelor prin design și implicit
  • 26: Operatori comuni
  • 27: Reprezentanți ai operatorilor care nu sunt stabiliți în UE
  • 26, 29 & 30: Prelucrarea
  • 31: Cooperarea cu autoritatea de supraveghere
  • 32: Securitatea datelor
  • 33: Notificarea încălcărilor autorității de supraveghere
  • 34: Comunicarea încălcărilor la persoanele vizate
  • 35: Evaluarea impactului protecției datelor
  • 36: Consultare prealabilă
  • 37-39: Protecția datelor
  • 41 (4): Monitorizarea codurilor de conduită aprobate
  • 42: Certificare
  • 43: Organisme de certificare

Care sunt situațiile în care amenda e de 4% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 20 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 4% în exercițiul financiar precedent (oricare dintre acestea este mai mare) în următoarele condiții de încălcare:

  • Principiile de bază ale procesării, incluzând condițiile pentru consimțământ, aferente Articolelor 5, 6, 7 și 9;
  • Drepturile subiecților aferente Articolelor de la 12 la 22;
  • Transferul datelor personale către un recipient dintr-o țară terță sau o organizație internațională, aferent Articolelor de la 44 la 49.

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

  • 5: Principii privind prelucrarea datelor cu caracter personal;
  • 6: Legalizarea procesării;
  • 7: Condiții pentru consimțământ;
  • 9: Prelucrarea categoriilor speciale de date cu caracter personal (adică date personale sensibile);
  • 12 -22: Dreptul la informație, accesul, rectificarea, ștergerea, restricționarea procesării, transferabilitatea datelor, obiectul, profilul;
  • 44 -49: Transferuri către țări terțe;
  • 58 alineatul (1): cerința de a oferi acces la autoritatea de supraveghere;
  • 58 (2): Comenzi / limitări privind prelucrarea sau suspendarea fluxurilor de date.

Norme privind sancțiunile impuse de fiecare stat membru

În Articolul 83, Alineatul 7 se mai specifică faptul că ”Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv.”

Mai departe se prevede că exercitarea de către autoritatea de supraveghere a competenţelor sale în temeiul Art.83 are loc cu condiţia existenţei unor garanţii procedurale adecvate în conformitate cu dreptul Uniunii şi cu dreptul intern, inclusiv căi de atac judiciare eficiente şi dreptul la un proces echitabil.

Dar acestea nu sunt toate sancțiunile prevăzute de GDPR. În Articolul 84: ”Sancţiuni”, Alineatul 1  se specifică faptul că statele membre au dreptul de a stabili normele privind alte sancţiuni aplicabile în caz de încălcare a Regulamentului, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul Articolului 83, şi iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancţiunile respective trebuie să fie eficace, proporţionale şi disuasive. Totodată, până la 25 mai 2018 fiecare stat membru trebuie să informeze Comisia cu privire la dispoziţiile de drept intern pe care le adoptă în temeiul alineatului (1), precum şi, fără întârziere, cu privire la orice modificare ulterioară a acestora.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 14) ale seriei GDPR Explicitat:

 

Realitatea Augmentată vine cu aplicabilitate nelimitată în industria producătoare

Augmented Reality (AR) este una dintre tehnologiile viitorului care a ieșit deja din sfera cercetărilor aplicative și din interfața platformelor de jocuri și își face drum cu pași siguri către aplicațiile industriale. Realitatea Augmentată este un concept în care lumea reală și modelele virtuale se suprapun într-o unică imagine.

Au devenit virale filmulețele de pe YouTube în care pasagerilor dintr-o stație de autobuz li se induce iluzia unor creaturi fioroase care se îndreaptă către ei. Iluzia este perfectă, iar reacțiile participanților la aceste experimente sunt cât se poate de reale.

Tocmai aceste valențe ale proiectării unor imagini virtuale peste o realitate existentă au început să fie preluate în diferite industrii. Aria de aplicabilitate este practic nelimitată, cu atât mai mult cu cât orice dispozitiv mobil poate fi utilizat pentru rularea aplicațiilor de vizualizare.

Valoarea extinsă oferită de Realitatea Augmentată în procesele digitale de producție

Realitatea Augmentată (AR) ajută inovatorii și dezvoltatorii să construiască experiențe imersive care transformă modul în care utilizatorii creează, operează și livrează produse în lumea inteligentă și conectată a producției digitale.

În noua industrie digitală, AR suprapune lumea digitală și cea fizică, având puterea de a schimba fundamental modul în care oamenii interacționează în fluxul de producție. Atunci când sunt asociate cu datele furnizate de sisteme IoT, aplicațiile AR pot deveni experiențe cu adevărat transformative, determinând multe întreprinderi să-și reconsidere complet modul în care își proiectează, produc, vând, exploatează și deservesc produsele.

Prin includerea AR în strategia IoT, companiile producătoare din întreaga lume oferă claritate și eficiență unei varietăți de inițiative din diverse industrii. Iată câteva exemple de activități în care tehnologia AR poate fi folosită în procesele de producție:

Scheme și Instrucțiuni de lucru – participanții la procesele de fabricație sau specialiștii atelierele de service din pot vizualiza detalii despre produsele aflate pe bandă sau asamblarea diferitelor componente. Beneficiile imediate sunt optimizarea proceselor de fabricație, scurtarea timpului de asamblare, creșterea preciziei și îmbunătățirea considerabilă a performanței.

Proiectare pe baza unui model unic digital – tehnologia AR facilitează colaborarea dintre ingineri și designeri prin facilitățile de vizualizare a prototipurilor virtuale. Folosind procedee de simulare și vizualizare AR echipele de designeri pot modifica în timp real parametrii produselor, obținând versiunea dorită printr-un număr minim de iterații, cu economi considerabile de timp și materiale asociate etapelor de testare.

Instruire specifică fiecărui loc de muncă – procesul educațional bazat pe tehnologii AR poate beneficia de instrumente de vizualizare 3D interactivă a desenelor de prototipuri sau schemelor tehnice, care facilitează etapele de învățare într-o manieră aplicativă.

Marketarea produselor – se știe că în marketingul industrial, o imagine bună vinde marfa. Echipele de marketing și vânzări pot beneficia și ele de avantajele tehnologiilor AR prin facilitarea organizării de demonstrații interactive, vizualizări și showroom-uri digitale unde clienții pot testa în mod virtual performanțele îmbunătățite ale produselor, chiar înainte de lansarea lor pe piață.

Îmbunătățirea eficienței în lanțul valoric prin vizualizarea digitală a produselor

În studiul publicat recent intitulat ”AR: Îmbunătățirea eficienței în lanțul valoric cu vizualizarea digitală a produselor”, compania de cercetare ABI Research explorează beneficiile tehnologiilor AR pentru dezvoltarea, producția și vânzarea produselor. Revizuirea designului și demonstrațiile virtuale au devenit din ce în ce mai importante pentru dezvoltarea și vânzarea produselor. Cu toate acestea, ABI Research a identificat o serie de obstacole care pot împiedica o companie să își valorifice pe deplin potențialul produsului.

Compania de cercetare a ales pentru explorare modul în care Realitatea Augmentată  îmbunătățește dezvoltarea produselor și vânzările în trei domenii cheie:

  • Vizualizarea și interacțiunea produsului: asigură reducerea timpului necesar pentru proiectarea, testarea și vânzarea produselor;
  • Colaborarea în timp real și serviciul la distanță: asigură reducerea costurilor de călătorie prin intermediul comunicațiilor de imagini AR;
  • Ghid de flux de lucru: determină creșterea eficienței lucrătorilor și reducerea ratelor de eroare.

ThingWorx Studio o soluție ce reunește tehnologii AR de vârf pentru mediile de lucru industriale

Unul dintre studiile de caz menționate de ABI Research în studiul amintit este soluția ThingWorx Studio dezvoltată de compania PTC. Soluția combină tehnologii de vârf pentru a crea rapid experiențe AR la o scară care permite adoptarea în fluxurile de producție ale companiilor industriale. ThingWorx Studio conectează spațiile de lucru fizice și digitale și îi ajută pe oameni să lucreze mai inteligent, mai rapid și mai sigur.

ThingWorx Studio oferă o soluție completă pentru clienți, combinând mediul de creație fără coduri, cu mediul UI, cu marcaje de identificare unice numite ThingMarks și o aplicație de vizualizare la nivel de întreprindere numită ThingWorx View. Ca parte a platformei ThingWorx mai mari, ThingWorx Studio oferă tot ceea ce este necesar pentru orice creator de conținut să conecteze rapid “lucrurile” specifice cu informații contextualizate în timp real și să furnizeze mai multe experiențe imersive și semnificative pentru utilizatorii finali din cadrul întreprinderii.

Folosind ThingWorx Studio, creatorii de conținut pot:

  • beneficia de colaborarea la distanță și publicarea experiențelor de design în câteva minute, fără a fi nevoie de scrierea de coduri;
  • Dezvoltatarea de experiențe AR de pregătire pentru producție, folosind Microsoft Hololens
  • Crearea cu ușurință a imaginilor augmentate de înaltă definiție, cu suport pentru Apple ARKit și Google ARCore;
  • Utilizarea conținutului 3D existent pentru a reduce costurile și complexitatea creării de conținut;
  • Simplificarea schimbului de experiență între companiile producătoare, folosind o singură aplicație de vizualizare universală;
  • Importul rapid de imagini vizuale;
  • Îmbunătățirea experiențelor în domeniul Internetului și a sistemelor de business prin intermediul platformei ThingWorx.

Componentele platformei ThingWorx:

ThingWorx Studio – un mediu rapid și eficient din punct de vederea al costurilor ce permite crearea de experiențe AR fără a scrie măcar un cod.

Experience Service –  instrument de administrare a experiențelor AR, oferind informații relevante, contextualizate și analiză pentru fiecare obiect unic identificabil.

ThingWorx View – aplicație pentru un singur utilizator, ce oferă o bogată experiență 3D pentru telefoanele inteligente, tablete sau altfel de dispozitive mobile, ușor de partajat la nivelul unei companii industriale.

ThingMark – Un ThingMark este o imagine unică, plasată pe un obiect fizic, care identifică și declanșează experiențele relevante pentru ThingWorx View.

Photos source: www.ptc.com

GDPR Explicitat (14): Coduri de Conduită și Mecanisme de Certificare

GDPR recomandă utilizarea Codurilor de Conduită și a Mecanismelor de certificare pentru a demonstra că vă conformați. Trebuie luate în considerare nevoile specifice ale microîntreprinderilor, întreprinderilor mici și mijlocii.

Înscrierea pentru adoptarea unui Cod de Conduită sau la o schemă de certificare nu este obligatorie. Dar, dacă sunteți dispuși să adoptați un Cod de Conduită aprobat sau o schemă de certificare care să acopere activitatea dvs. de prelucrare, vă recomandăm să luați în considerare acest demers ca o modalitate de a demonstra conformitatea.

Respectarea Codurilor de Conduită și a schemelor de certificare aduce mai multe beneficii în plus pentru a demonstra că vă conformați. Prin adoptarea unui cod de conduită și a unui mecanism de certificare puteți să obțineți următoarele beneficii:

  • îmbunătățirea transparenței și responsabilității – care poate spori încrederea ca organizație ce îndeplinește cerințele legii și în care procesarea și păstrarea datelor personale este de încredere;
  • asigurarea de circumstanțe în situația în care ar putea exista incidente urmate de măsuri de executare;
  • îmbunătățirea standardelor de organizație prin stabilirea celor mai bune practici;
  • un criteriu de calitate și încredere în procesul de contractare a terților sau a procesatorilor.

Care sunt Codurile de Conduită recomandate?

Conform Articolului 40: ”Coduri de conduită”, Alineatul 2,”Asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot pregăti coduri de conduită sau le pot modifica sau extinde pe cele existente”, în ceea ce priveşte:

  • prelucrarea în mod echitabil şi transparent;
  • interesele legitime urmărite de operatori în contexte specifice;
  • colectarea datelor cu caracter personal;
  • pseudonimizarea datelor cu caracter personal;
  • informarea publicului şi a persoanelor vizate;
  • exercitarea drepturilor persoanelor vizate;
  • informarea şi protejarea copiilor şi modalitatea în care trebuie obţinut consimţământul titularilor răspunderii părinteşti asupra copiilor;
  • măsurile şi procedurile menţionate la articolele 24 şi 25 şi măsurile de asigurare a securităţii prelucrării, menţionate la articolul 32;
  • notificarea autorităţilor de supraveghere cu privire la încălcările securităţii datelor cu caracter personal şi informarea persoanelor vizate cu privire la aceste încălcări;
  • transferul de date cu caracter personal către ţări terţe sau organizaţii internaţionale;
  • proceduri extrajudiciare şi alte proceduri de soluţionare a litigiilor.

Cine proiectează și monitorizează un Cod de Conduită?

Guvernele și autoritățile de reglementare pot încuraja elaborarea de Coduri de Conduită. Acestea pot fi create de asociații profesionale sau de organisme reprezentative. Codurile ar trebui elaborate prin consultare cu părțile interesate relevante, inclusiv cu persoanele vizate (GDPR – Considerentul 99).

Codurile trebuie aprobate de autoritatea de supraveghere competentă și în cazul în care prelucrarea este transfrontalieră, de Comitetul european pentru protecția datelor (EDPB). Codurile existente pot fi modificate sau extinse pentru a se conforma cerințelor din GDPR.

Potrivit Articolului 41: ”Monitorizarea codurilor de conduită aprobate”, Alineatul 1, monitorizarea respectării unui cod de conduită poate fi realizată de un organism care dispune de un nivel adecvat de expertiză în legătură cu obiectul codului şi care este acreditat în acest scop de autoritatea de supraveghere competentă.

Un astfel de organism poate fi acreditat pentru monitorizarea respectării unui Cod de Conduită dacă:

  • Demonstrează autorităţii de supraveghere competente independenţa şi expertiza sa în legătură cu obiectul Codului;
  • Are proceduri care îi permit să evalueze eligibilitatea operatorilor şi a procesatorilor în vederea aplicării Codului, să monitorizeze respectarea de către aceştia a dispoziţiilor Codului şi să revizuiască periodic funcţionarea acestuia;
  • Vine cu proceduri pentru tratarea plângerilor privind încălcări ale Codului sau privind modul în care Codul a fost sau este pus în aplicare, precum şi pentru asigurarea transparenţei acestor proceduri pentru persoanele vizate şi pentru public;
  • Demonstrează autorităţii de supraveghere că sarcinile şi atribuţiile sale nu creează conflicte de interese.

Care sunt implicațiile practice ale adoptării unui Cod de Conduită?

Dacă vă înscrieți în regulile statuate printr-un Cod de Conduită, veți fi supus unei monitorizări obligatorii de către un organism acreditat de autoritatea de supraveghere. Dacă încălcați cerințele codului de practică, puteți fi suspendat sau exclus și autoritatea de supraveghere va fi informată. De asemenea, riscați să fiți supus unei amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală. Pe de altă parte, aderarea la un Cod de Conduită poate servi drept factor atenuant atunci când o autoritate de supraveghere are în vedere o acțiune de executare printr-o amendă administrativă.

De reținut faptul că la Codurile de Conduită specifice unei anumite industrii verticale pot adera organizații care nu se află pe teritoriul UE în scopul de a oferi garanţii adecvate în cadrul transferurilor de date cu caracter personal către ţări terţe sau organizaţii internaţionale în condiţiile menţionate la Articolul 46. Aceşti operatori sau procesatori îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicării garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

Ce sunt mecanismele de certificare?

Statele membre, autoritățile naționale de supraveghere, forul de supraveghere european sau Comisia Europeană trebuie să încurajeze instituirea unor mecanisme de certificare pentru a spori transparența și conformitatea cu regulamentul. Certificarea va fi emisă de autoritățile de supraveghere sau de organismele de certificare acreditate.

Potrivit Articolului 42: ”Certificare”, Alineatul 2, Mecanismele de certificare din domeniul protecţiei datelor, sigiliile sau mărcile sunt instituite nu numai pentru a fi respectate de operatorii și procesatorii care fac obiectul GDPR, ci şi pentru a demonstra existenţa unor garanţii adecvate oferite de operatorii sau procesatorii care nu fac obiectul prezentului regulament, în cadrul transferurilor de date cu caracter personal către ţări terţe sau organizaţii internaţionale. Aceştia  îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicării garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

Care este scopul unui mecanism de certificare?

Un mecanism de certificare este o modalitate prin care demonstrați că respectați, și în special că ați pus în aplicare măsuri tehnice și organizatorice. De asemenea, poate fi instituit un mecanism de certificare care să demonstreze existența unor garanții legate de caracterul adecvat al transferurilor de date. Acestea sunt destinate să permită persoanelor fizice să evalueze rapid nivelul de protecție a datelor pentru un anumit produs sau serviciu.

Iată câteva dintre implicațiile practice ale aplicării unor mecanisme de certificare:

  • Certificarea nu vă reduce responsabilitățile legate de protecția datelor;
  • Certificarea este voluntară şi disponibilă prin intermediul unui proces transparent;
  • Trebuie să furnizați organismului de certificare toate informațiile necesare și accesul la activitățile dvs. de procesare, pentru a putea efectua procedura de certificare;
  • Orice certificare va fi valabilă pentru maximum trei ani;
  • În cazul în care nu mai sunt îndeplinite cerinţele, certificarea vă poate fi retrasă de organismele de certificare sau de autoritatea de supraveghere competentă;

Care sunt organismele care ne pot atesta o Certificare?

Conform Articolului 43: Organisme de certificare,  organismele de certificare care dispun de un nivel adecvat de competenţă în domeniul protecţiei datelor pot informa o autoritatea de supraveghere pentru a-i permite să îşi exercite competenţele de emitere și reînoire a unei Certificări, în temeiul Articolului 58.2.h. Statele membre trebuie să se asigură că aceste organisme de certificare sunt acreditate de către una sau amândouă dintre următoarele entităţi:

  • autoritatea de supraveghere care este competentă în temeiul Articolului 55 sau 56;
  • organismul naţional de acreditare desemnat în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European în conformitate cu standardul ENISO/ IEC 17065/2012 şi cu cerinţele suplimentare stabilite de autoritatea de supraveghere competentă.

Un organism de certificare poate fi acreditat numai dacă:

  • a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, independenţa şi expertiza sa în legătură cu obiectul certificării;
  • s-a angajat să respecte criteriile menţionate la Articolul 42;
  • a instituit proceduri pentru emiterea, revizuirea periodică şi retragerea certificării, a sigiliilor
  • şi mărcilor din domeniul protecţiei datelor;
  • a instituit proceduri şi structuri pentru tratarea plângerilor privind încălcări ale certificării
  • sau privind modul în care certificarea a fost sau este pusă în aplicare de un operator sau un procesator, precum şi pentru asigurarea transparenţei acestor proceduri şi structuri pentru persoanele vizate şi pentru public;
  • a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, că sarcinile
  • şi atribuţiile sale nu creează conflicte de interese.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 12) ale seriei GDPR Explicitat:

GDPR Explicitat (13): Notificarea breșelor de securitate

Continuăm seria de articole dedicate analizei orizontale a prevederilor GDPR cu o problematică esențială pentru GDPR. Am constatat sau am fost anunțați că în sistemul nostru în care deținem date cu caracter personal a apărut o breșă de securitate. Ce avem de făcut mai întâi și mai întâi? Pe cine trebuie să anunțăm, când și cum? Ce măsuri trebuie să luam pentru limitarea eventualelor daune?

Sunt câteva întrebări foarte importante pentru luarea primelor măsuri. Haideți să vedem despre ce e vorba.

 Cum notificăm apariția unei breșe de securitate?

Creșterea numărului mare de atacuri cibernetice se reflectă în obligațiile sporite privind securitatea datelor în regulament și în obligațiile paralele, precum cele conținute de Directiva privind securitatea rețelelor informatice și a datelor (Networks and Information Security – NIS).

Conform Articolului 33 din GDPR va fi obligatoriu ca o organizație cu rol de operator să raporteze autorității sale de supraveghere orice breșă de securitate a datelor personale în termen de 72 de ore de la conștientizarea acesteia. Dacă această cerință nu este îndeplinită, raportul final trebuie însoțit de o explicație a întârzierii. Notificarea trebuie să includă informații specifice, inclusiv o descriere a măsurilor luate pentru a soluționa breșa și pentru a atenua posibilele efecte secundare.

În cazul în care breșa poate avea ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice, indivizii înșiși trebuie să fie contactați „fără întârzieri nejustificate”. Acest contact nu va fi necesar dacă există măsuri de protecție adecvate – în esență, criptare – pentru a elimina pericolul pentru persoanele vizate.

În Articolul 33 – Notificarea unei încălcări a datelor cu caracter personal către autoritatea de supraveghere, se specifică foarte clar că:

  • Raportarea în situația apariției unor breșe de securitate este obligatorie pentru orice operator de date personale;
  • Operatorii trebuie să raporteze către autorităților de supraveghere competente orice încălcare a condițiilor de siguranță fără întârzieri nejustificate;
  • Dacă este posibil, nu mai târziu de 72 de ore de la prima conștientizare;
  • Dacă raportarea nu este făcută în termen de 72 de ore, trebuie furnizată o justificare a întârzierii;
  • Nu este necesară notificarea cazurilor în care încălcarea este «puțin probabil să ducă la un risc pentru drepturile și libertățile» persoanelor vizate;
  • Dacă breșa de securitate este constatată de către un procesator de date, acesta trebuie să notifice operatorul cu care colaborează fără întârzieri nejustificate.

Ce informații trebuie să conțină notificarea unei breșe de securitate?

Elementele esențiale care trebuie să se regăsească într-o notificare se referă la:

  • natura încălcării datelor cu caracter personal;
  • categoriile și numărul aproximativ al persoanelor implicate;
  • categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
  • numele și datele de contact ale responsabilului cu protecția datelor (în cazul în care organizația dvs. dispune de unul) sau orice alt punct de contact de unde pot fi obținute mai multe informații;
  • descriere a consecințelor probabile ale încălcării datelor cu caracter personal;
  • descriere a măsurilor luate sau propuse a fi luate pentru a face față încălcării datelor cu caracter personal dacă este cazul, o descriere a măsurilor luate pentru a atenua eventualele efecte adverse.

Ce trebuie să pregătim pentru raportarea breșelor?

Nimeni nu își dorește asta, dar o bună pregătire pentru situațiile de urgență implică și stabilirea clară a responsabilităților și procedurilor de urmat. Cum vă puteți pregăti mai bine pentru raportarea încălcărilor de securitate?

  • În primul rând ar trebui să vă asigurați că personalul dvs. înțelege ce reprezintă o încălcare a datelor și că aceasta este mai mult decât o pierdere de date cu caracter personal;
  • Apoi, ar trebui să vă asigurați că aveți o procedură de raportare internă a breșelor. Acest lucru va facilita luarea deciziilor cu privire la necesitatea notificării autorității de supraveghere sau a persoanelor vizate;
  • Nu în ultimul rând, având în vedere perioadele scurte de timp pentru raportarea unei breșe, este important să existe proceduri robuste de detectare a incidentului, investigații și proceduri de raportare internă.

Când nu suntem obligați să notificăm persoanele vizate?

În Articolul 34: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal, Alineatul 3 regulamentul stipulează că informarea persoanei vizate nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:

  • operatorul a implementat măsuri de protecţie tehnice şi organizatorice adecvate, iar acestea au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
  • operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile şi libertățile persoanelor vizate nu mai este susceptibil să se materializeze;
  • informarea ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

Ghidul recomandărilor legate de anunțarea breșelor de Securitate

De pe site-ul oficial al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate fi descărcat Ghidul privind notificarea încălcărilor de securitate”, un instrument deosebit de util în implementarea condițiilor impuse de GDPR elaborate de Grupul de Lucru Articolul 29.

Tot de pe site-ul Autorității Naționale pot fi accesate și consultate formularele utilizate deja în notificarea breșelor de securitate conform legislației actuale.

Dacă nu este soluţionată la timp şi într-un mod adecvat, o încălcare a securităţii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 12) ale seriei GDPR Explicitat:

GDPR Explicitat (12): Transferul internațional de date

După o pauză mai mare de o lună în care s-au întâmplat fel de fel de lucruri legate de evenimente, cursuri, preluări de articole apărute în Catalogul GDPR Ready, reiau seria de articole dedicate analizei orizontale a prevederilor GDPR.

Mai sunt câteva lucruri de discutat la modul general, precum Transferul internațional de date, notificarea breșelor de Securitate, aplicabilitatea regulilor corporative și demitizarea unei amenințări cu care mulți încearcă să vă sperie: penalitățile care se aplică pentru nerespectarea regulilor GDPR. Pentru început, să aruncăm o privire către ce înseamnă transferul internațional de date.

Ce spune principiul transferului de date?

GDPR impune restricții privind transferul de date cu caracter personal în afara Uniunii Europene, țărilor terțe sau organizațiilor internaționale. Aceste restricții sunt în vigoare pentru a se asigura că nivelul de protecție a persoanelor acordat de GDPR nu este subminat.

În Articolul 44 – ”Principiul general al transferurilor” se specifică faptul că: „Orice transfer de date cu caracter personal care sunt supuse procesării sau care sunt destinate prelucrării după transferul într-o țară terță sau într-o organizație internațională are loc numai dacă, sub rezerva celorlalte dispoziții din prezentul regulament, sunt respectate condițiile stabilite de către operator și de către procesator, inclusiv pentru transferurile ulterioare de date cu caracter personal din țara terță sau de la o organizație internațională către o altă țară terță sau la o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.”

Ce este important să reținem este că orice transfer internațional de date cu caracter personal de către un operator sau un procesator are loc numai dacă sunt îndeplinite anumite condiții:

  • Transferuri pe baza adecvării;
  • Transferuri supuse garanțiilor adecvate
  • Aplicabilitatea unor reguli corporative obligatorii.

Toate prevederile vor fi aplicate pentru a asigura faptul că protecția persoanelor fizice nu este subminată.

Când se poate face transferul de date în afara Uniunii Europene?

Regulamentul interzice transferul de date cu caracter personal în afara UE într-o țară terță care nu dispune de o protecție adecvată a datelor. Comisia Europeană are competența de a aproba anumite țări pentru a asigura un nivel adecvat de protecție a datelor, luând în considerare legislația privind protecția datelor în vigoare în țara respective și angajamentele internaționale ale acesteia.

În Articolul 45 – ”Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecţie”, Alineatul 1 se spune că: ”Transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională se poate realiza atunci când Comisia a decis că ţara terţă, un teritoriu ori unul sau mai multe sectoare specificate din acea ţară terţă sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesită autorizări speciale.”

Conform Considerentului 103 din GDPR, Comisia poate decide că o ţară terţă oferă un nivel adecvat de protecţie a datelor, asigurând astfel securitate juridică şi uniformitate în Uniune în ceea ce priveşte ţara terţă sau organizaţia internaţională care este considerată a furniza un astfel de nivel de protecţie. În aceste cazuri, transferurile de date cu caracter personal către ţara terţă sau organizaţia internaţională respectivă pot avea loc fără a fi necesar să se obţină autorizări suplimentare.

În prezent, pe listă țărilor considerate de UE că pot oferi un nivel adecvat de protecție a datelor personale putem întâlni următoarele 11 state, clasificate pe zone geografice.

  • Europa: Andora, Elveția, Insulele Feroe, Guernsey, Insula Man, Jersey
  • Orientul Mijlociu: Israel
  • America de Nord: Canada
  • America de Sud: Argentina și Uruguay
  • Asia-Pacific: Noua Zeelandă.

Sursa: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

Pentru transferurile de date dintre UE și Statele Unite există acordul internațional bine cunoscut sub denumirea de EU-US Privacy Shield. Un acord de cooperare cunoscut ca EU-US Safe Harbor exista încă din anul 2000. După o evoluție destul de controversată, cu o scurtă perioadă de întrerupere datorată unor litigii internaționale, în 12 iulie 2016 Comisia Europeană recunoaște caracterul adecvat de protecție asigurat de acest acord prin Decizia 1250/ 2016.

Dar ce ne facem cu transferurile de date către orice țară care nu este pe listă? În principiu, fiecare transfer de date către o țară care nu beneficiază în mod explicit de aprobarea UE pe bază de acorduri internaționale sau condiții de adecvare se poate realiza numai după solicitarea acordului pentru transfer. Ţara terţă ar trebui să ofere garanții care să asigure un nivel adecvat de protecţie, echivalent cu cel asigurat în cadrul Uniunii. Țara terţă ar trebui să asigure o supraveghere efectivă independentă în materie de protecţie a datelor şi să prevadă mecanisme de cooperare cu autoritățile statelor membre, iar persoanele vizate ar trebui să beneficieze de drepturi efective şi opozabile şi de reparaţii efective pe cale administrativă şi judiciară.

Conform Considerentului 108 din GDPR: ”În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, operatorul sau procesatorul ar trebui să adopte măsuri pentru a compensa lipsa protecţiei datelor într-o ţară terţă prin intermediul unor garanţii adecvate pentru persoana vizată. Astfel de garanţii adecvate pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecţie a datelor adoptate de Comisie, a clauzelor standard de protecţie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garanţii ar trebui să asigure respectarea cerinţelor în materie de protecţie a datelor şi drepturi ale persoanelor vizate corespunzătoare prelucrării în interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate şi a unor căi de atac eficiente, printre care dreptul de acces la reparaţii efective pe cale administrativă sau judiciară şi dreptul de a solicita despăgubiri, în Uniune sau într-o ţară terţă. Acestea ar trebui să se refere în special la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protecţiei datelor începând cu momentul conceperii şi principiul protecţiei implicite a datelor.”

Care sunt condițiile unui transfer în siguranță?

Conform Articolului 46 ”Transferuri în baza unor garanții adecvate” puteți transfera date cu caracter personal în cazul în care organizația care primește datele personale a furnizat garanții de siguranță adecvate. Drepturile persoanelor trebuie să fie executorii și ca urmare a transferului trebuie să fie disponibile căi de atac efective pentru persoanele fizice.

Se pot asigura garanții adecvate prin:

  • un instrument obligatoriu din punct de vedere juridic şi executoriu între autorităţile sau organismele publice;
  • reguli corporatiste obligatorii în conformitate cu articolul 47;
  • clauze standard de protecţie a datelor adoptate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
  • clauze standard de protecţie a datelor adoptate de o autoritate de supraveghere şi aprobate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
  • un cod de conduită aprobat în conformitate cu articolul 40, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate;
  • un mecanism de certificare aprobat în conformitate cu articolul 42, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate.

Sub rezerva autorizării din partea autorităţii de supraveghere competente, garanţiile adecvate menţionate la Alineatul (1) pot fi furnizate de asemenea, în special, prin:

  • clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din ţara terţă sau organizaţia internaţională;
  • dispoziţii care urmează să fie incluse în acordurile administrative dintre autorităţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate.

Ce se întâmplă cu transferurile bazate pe evaluarea unei organizații privind adecvarea protecției? GDPR vă limitează capacitatea de a transfera date cu caracter personal în afara UE, în cazul în care aceasta se bazează numai pe propria evaluare a caracterului adecvat al protecției acordate datelor cu caracter personal. Conform Articolului 84.5.c orice altă încercare de transfer, care nu se încadrează în prevederile Articolelor 44-49 este pasibilă de pedeapsa administrativa maximă.

Care sunt excepțiile aprobate?

Dar ne-am obișnuit ca orice reglementare strictă să vină și cu o serie de excepții. Care sunt excepțiile acceptate pentru transferul internațional de date? Potrivit Articolului 49 ”Derogări pentru situații specifice”, se poate efectua un transfer sau un set de transferuri în cazul în care transferul este:

  • făcut cu consimțământul informat al persoanei;
  • necesar pentru îndeplinirea unui contract între individ și organizație sau pentru măsurile precontractuale luate la cererea persoanei;
  • necesare pentru executarea unui contract încheiat în interesul persoanei fizice între operator și o altă persoană;
  • necesare din motive importante de interes public;
  • necesare pentru stabilirea, exercitarea sau apărarea revendicărilor legale;
  • necesare pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul;
  • făcut dintr-un registru care are drept scop furnizarea de informații publicului

De reținut că primele trei derogări nu sunt valabile pentru activitățile autorităților publice în exercitarea puterilor lor publice.

În fine, în cazul transferurilor de date neautorizate de dreptul Uniunii Europene, Articolul 48 din GDPR specifică faptul că orice hotărâre a unei instanţe sau a unui tribunal şi orice decizie a unei autorităţi administrative a unei ţări terţe care impun unui operator sau procesator de operator să transfere sau să divulge date cu caracter personal ”poate fi recunoscută sau executată în orice fel numai dacă se bazează pe un acord internaţional, cum ar fi un tratat de asistenţă judiciară reciprocă în vigoare între ţara terţă solicitantă şi Uniune sau un stat membru”.

Celor care nu le-au citit încă, le recomand precedentele articole ale seriei GDPR Explicitat:

ondițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

%d bloggers like this: