FORMATI-VA CA DPO LA CURSUL RINA SIMTEX

În perioada 20-22 Noiembrie 2018, RINA SIMTEX – important organism internaționale de certificare va organiza o nouă serie a cursului de formare DATA PROTECTION OFFICER (DPO), unul dintre cele mai căutate joburi ale momentului.

Durata cursului: 3 zile

Locație: Sediul RINA SIMTEX, Splaiul Independentei Nr.179, Bucharest (Romania) de la 06.11.2018 până 08.11.2018

La cerere: cursul poate fi organizat în oricare dintre sediile RINA SIMTEX din țară.

Instuctor: Certificat ca Formator de ANC

Una dintre cel mai importante noutăți ale Regulamentului UE 679/ 2016 este obligativitatea numirii unui ofițer responsabil cu protecția datelor (DPO – Data Protection Officer) al cărui rol principal este coordonare și supraveghere a implementării condițiilor de conformitate GDPR, precum și ca persoană de legătură între organizație și autoritatea de supraveghere.

În plus, Articolul 4 din Legea 190/ 2018 stipulează ca orice Operator sau Procesator de date personale care prelucrează date cu caracter special precum numerele de identificare națională (serie Card Identitate, CNP, serie Pașaport, serie Permis Conducere, serie Card Sănătate) și are ca temei legal Legitimul interes, e obligat să numească un DPO, pe lângă alte condiții speciale.

Mai mult de atât, peste 75% dintre organizațiile care nu sunt obligate să numească un DPO, prin natura activității și volumul de date personale prelucrate li se recomandă numirea unui responsabil cu asigurarea condițiilor de conformitate. Indiferent de funcția și experiența acestui responsabil este recomandat ca acesta să cunoască tot ceea ce trebuie să știe un DPO.

Cursul organizat de RINA SIMTEX pregătește un candidat DPO pentru cele mai importante atribuții, oferind o însușire temeinică a legislației în vigoare, cunoașterea obligațiilor operatorilor și procesatorilor (împuterniciților), precum și instrumente și proceduri specifice managementului de proiect. În plus, participanții la curs vor beneficia de o bogată expertiză acumulată în proiecte locale de implementare GDPR și modalități eficiente de rezolvare a celor mai dificile provocări, pe baza unor situații reale.

Cursul se adresează atât celor care profesează deja în domeniul datelor cu caracter personal și care doresc sa-și îmbunătățească cunoștințele și metodele de lucru, cât și celor care doresc sa devină DPO și nu posedă calificarea necesară ducerii la îndeplinire a sarcinilor specifice unui Responsabil cu Protecția Datelor cu Caracter Personal.

CARE SUNT CELE MAI IMPORTANTE BENEFICII ALE PARTICIPANȚILOR

  1. Suport de curs atestat internațional
  2. Instructor cu experiență în proiecte locale ce oferă recomandări bazate pe situații reale
  3. Oportunități unice de angajare ca DPO în orice țară din Uniunea Europeană
  4. Diplomă participare atestată internațional
  5. Kit substanțial de resurse pentru suport

PENTRU ÎNSCRIERE ACCESAȚI PAGINA DEDICATĂ DE PE SITE-UL RINA SIMTEX:

RINA SIMTEX oferă servicii de certificare sisteme de management (ISO 9001, ISO 14001, OHSAS, ISO 22000, ISO 27001, ISO 20000 etc), servicii de certificare produse în domeniul construcțiilor și instruire pentru formare auditori, servicii de clasificare, inspectii si testare.

PARTICIPAȚI LA CURSUL DE INSTRUIRE DPO ORGANIZAT DE RINA SIMTEX ȘI VEȚI FI PREGĂTIȚI PENTRU CEA MAI CĂUTATĂ MESERIE A ANULUI 2018 ȘI CELE MAI IMPORTANTE PROVOCĂRI ALE ALINIERII LA GDPR!

 

REȚINEȚI:

20 – 22 Noiembrie 2018

Sediul RINA SIMTEX București, str. Leonte Anastasievici, No 4D

(intrare din Splaiul Independentei Nr.179)

 

Advertisements

ANALIZĂ GDPR (1):  CUM POT DEVENI DPO ÎN ROMANIA

Cum îl numim, cum îl pregătim și ce îl punem să facă pe DPO. Sunt cele mai discutate subiecte din ultimul an. După o primă serie de 15 articole GDPR Explicitat care au acoperit cele mai importante aspecte ale noului regulament, reluăm Inițiativa GDPR Ready cu un nou proiect public: ANALIZA GDPR, în care aducem sub lupă tematici esențiale dintr-o perspectivă mai aprofundată. Și ce subiect de analiză mai potrivit puteam alege pentru primul articol din noua serie? Controversata poziție de DPO.  

Unul dintre cele mai discutate subiecte legate de protecția datelor personale, încă de acum doi ani când s-a anunțat aprobarea finală a Parlamentului European, a fost cel legat de un personaj cheie, despre care nu se mai discutase până atunci: Ofițerul de protecția datelor personale sau așa cum îl știe toată lumea: DPO. A fost și este încă un subiect controversat și de aceea e bine să venim cu o serie de lămuriri.

ASPECTE NECLARE ASOCIATE POZIȚIEI DE DPO

Orice operator de date personale cu peste 250 de angajați este obligat să numească/ angajeze un DPO – o informație falsă care a circulat multă vreme în virtutea faptului că într-una dintre versiunile intermediare ale Regulamentului UE 679/2016 era prevăzută acest diferențiator, asociat cu granița dintre companiile de mărime medie și cele mari.

Deși obligativitatea numirii unui DPO este acum foarte clară prin conținutul Art.37, Alin.1, se mențin încă neclarități generate de ambiguitatea definirii unor termeni precum ”monitorizare sistematică” sau ”scară largă”, care apare menționat aici de două ori.

Articolul 37, Aliniat 1 din GDPR, zice că trebuie desemnat un ofițer de protecție a datelor (DPO) pentru:

  • o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • organizații care fac o monitorizare sistematică, la scară largă, a persoanelor;
  • organizații care fac o prelucrare la scară largă a unor categorii speciale de date.

GDPR nu definește ce înseamnă „autoritate publică sau organism public”. Grupul de Lucru Articolul 29 – pe care îl vom numi în continuare WP29 –  consideră că o asemenea noțiune trebuie stabilită în conformitate cu dreptul intern. În consecință, autoritățile și organismele publice includ autoritățile naționale, regionale și locale, dar conceptul, în conformitate cu legislația națională aplicabilă, include, de asemenea, o serie de alte organisme guvernate de legislația în domeniul public. În astfel de cazuri, desemnarea unui DPO este obligatorie.

”Monitorizarea periodică și sistematică” – Noțiunea de monitorizare periodică și sistematică a persoanelor vizate nu este definită în GDPR, dar conceptul de „monitorizare a comportamentului persoanelor vizate” este menționat în Considerentul 24 și include toate formele de urmărire și profilarea pe Internet, inclusiv în scop de publicitate comportamentală. Cu toate acestea, noțiunea de monitorizare nu este restricționată în mediul online, iar urmărirea online ar trebui să fie considerată doar ca un exemplu de monitorizare a comportamentului persoanelor vizate.

WP29 interpretează „periodic” ca însemnând una sau mai multe din următoarele:

  • în curs de desfășurare sau care apare la anumite intervale într-o anumită perioadă
  • recurente sau repetate la perioade fixe
  • constante sau care au loc periodic WP29 interpretează „sistematic” ca însemnând una sau mai multe din următoarele:
  • apărut conform sistemului pre-aranjat, organizat sau metodic
  • luând loc ca parte a unui plan general de colectare a datelor
  • efectuat ca parte a unei strategii

Exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate: operarea unei rețele de telecomunicații; furnizarea de servicii de telecomunicații; e-mail de direcționare repetată; activități de marketing bazate pe date; profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor); urmărirea locației, spre exemplu, prin aplicații mobile; programe de loialitate; publicitate comportamentală; monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile; televiziune cu circuit închis; dispozitive conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.

”Pe scară largă”: Potrivit Considerentului 91, ar putea fi incluse aici „operațiunile de prelucrare pe scară largă care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional și care ar putea afecta un număr mare de persoane vizate și care sunt susceptibile de a genera un risc ridicat”. Pe de altă parte, considerentul prevede în mod expres că „prelucrarea datelor cu caracter personal nu ar trebui considerată a fi la scară largă în cazul în care prelucrarea se referă la date cu caracter personal de la pacienți sau clienți ai unui anumit medic sau un alt profesionist în domeniul sănătății sau un avocat”. Este important să se ia în considerare faptul că, în timp ce considerentul oferă exemple aflate la extremele scalei (prelucrare efectuată de un medic în comparație cu prelucrarea datelor dintr-o țară întreagă sau din Europa), există o zonă mare gri între aceste extreme. În plus, trebuie amintit faptul că acest considerent se referă la evaluările impactului asupra protecției datelor. Acest lucru implică faptul că unele elemente pot fi specifice în acest context și nu se aplică neapărat la desemnarea DPO în același mod.

În orice caz, WP29 recomandă ca următorii factori să fie luați în considerare atunci când se stabilește dacă prelucrarea este efectuată pe o scară largă:

  • numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă
  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare
  • durata sau permanența activității de prelucrare a datelor
  • aria geografică acoperită de activitatea de prelucrare

Aprobarea și publicarea Legii 190/ 2018 în luna iunie a indus un nou val de confuzii prin Articolul 4 care se ocupă de prelucrarea unui număr de identificare național și care vine cu obligativitatea angajării unui DPO pentru toți operatorii care au ca principal temei legal Legitimul Interes. Confuziile sunt evident generate de faptul că dintre toate cele 6 temeiuri legale enunțate prin Articolul 6 – Legalitatea prelucrării, Legitimul Interes este cel mai dificil de stabilit prin prisma echilibrului ce trebuie menținut cu interesele private ale persoanei vizate și a unor seturi de analize menite să probeze valabilitatea ca temei legal într-o sumedenie de situații particulare. Mai multe pe această temă într-un articol Analiza GDPR dedicat Legitimului Interes.

Legea 190/ 2018 prin Art.4 stipulează ca orice Operator de date personale care prelucrează date cu caracter special precum numerele de identificare națională (serie Card Identitate, CNP, serie Pașaport, serie Permis Conducere, serie Card Sănătate) și are ca temei legal Legitimul interes e obligat să numească un DPO, pe lângă alte condiții speciale.

Art. 4: Prelucrarea unui număr de identificare național

(1)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, se poate efectua în situaţiile prevăzute de art. 6 alin. (1) din Regulamentul general privind protecţia datelor.

(2)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, în scopul prevăzut la art. 6 alin. (1) lit.f) din Regulamentul general privind protecţia datelor, respectiv al realizării intereselor legitime urmărite de operator sau de o parte terţă, se efectuează

cu instituirea de către operator a următoarelor garanţii:

a)punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal, conform dispoziţiilor art. 32 din Regulamentul general privind protecţia datelor;

b)numirea unui responsabil pentru protecţia datelor, în conformitate cu prevederile art. 10 din prezenta lege;

c)stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;

d)instruirea periodică cu privire la obligaţiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

Multe discuții și nelămuriri au avut ca temă autonomia DPO în problemele de siguranță a datelor, mai ales aspectele ce țin de poziționarea acestei funcții în relațiile cu structurile de management și celelalte linii de business. Așa cum zice Articolul 38, Alineatul 3: ”Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.” Mai mult de atât, operatorii au datoria de a acorda DPO tot sprijinul pentru îndeplinirea sarcinilor menţionate la Articolul 39, asigurându-i toate resursele necesare pentru buna executare a acestor sarcini. Printre aceste resurse se numără accesul la datele cu caracter personal şi la operaţiunile de prelucrare a acestora, cât și facilitarea accesului la resursele de instruire, pentru menţinerea cunoştinţelor sale de specialitate.

În fine, alte discuții controversate se referă la pregătirea optimă a unui DPO și din ce departament ar trebui recrutat: HR, legal, operațional sau IT? Aici există o multitudine de recomandări ce oferă o plajă largă de soluții, precum constituirea unui grup de acțiune cu reprezentanți ai tuturor departamentelor implicate care să susțină în permanență – și la o adică să poată să suplinească, rolul unui DPO. La limita extremă este apelarea la serviciile unui DPO super-specializat, care eventual poate consilia mai multe organizații, la limita conflictului de interese. Și aici fiecare poate să aleagă soluția cea mai convenabilă.

Destul de neclare sunt și situațiile în care numirea unui DPO intern ar putea genera un conflict de interese. Potrivit Alineatului 6 din Articolul 38: ”Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.”

Ca recomandare practică, este de dorit ca un DPO să nu îndeplinească în același timp și orice altă funcție implică accesul și prelucrarea de date personale. Adică nu putem avea un DPO care este în același timp șef de resurse umane, financiar-contabilitate, vânzări sau servicii IT. Asta nu înseamnă că nu putem aloca responsabilități DPO oricărui angajat din aceste departamente care este degrevat de vechea funcție și urmează să activeze în condiții de deplină neutralitate, conform fișei postului.

CARE SUNT AȘTEPTĂRILE DE LA UN DPO

Prin natura funcției și a împuternicirilor de care dispune, un DPO deține o poziție centrală, cu rol strategic, într-o organizație.

Potrivit Articolului 38: Funcţia responsabilului cu protecţia datelor, operatorii trebuie să se asigure că responsabilul cu protecţia datelor ”este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”.

Regulamentul prevede că un DPO nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.

Un alt rol critic al DPO este acela de a prelua comunicarea cu persoanele vizate, în cazul în care acestea se prevalează de exercitarea drepturilor lor, în temeiul prezentului regulament.

Un alt punct important, în special în situația în care DPO își exercită activitățile ca extern, pentru una sau mai multe companii, este obligaţia de a respecta secretul și confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale, ceea ce trebuie reglementat printr-o secțiune specială a contractului individual de muncă sau a contractului de prestări de servicii.

Astfel de reglementări trebuie să menționeze explicit care sunt categoriile de informații la care DPO are dreptul de acces, care este rolul său în prelucrarea efectivă a datelor și cum poate gira acesta condițiile asumate de organizație prin limitarea volumului de date procesate, siguranța comunicării sau a stocării.

Este important ca DPO sau echipa sa, să fie implicat, cât mai devreme posibil, în toate aspectele legate de protecția datelor. DPO trebuie privit ca un partener de discuție în cadrul organizației și trebuie inclus în grupurile de lucru relevante care se ocupă cu activități de prelucrare a datelor din cadrul organizației. În consecință, organizația ar trebui să se asigure că:

  • DPO este invitat să participe în mod regulat la ședințele conducerii la nivel înalt și la nivel mediu.
  • Prezența DPO este recomandată în cazul în care se iau decizii cu implicații asupra protecției datelor. Toate informațiile relevante trebuie să fie transmise DPO în timp util pentru a permite ca acesta să ofere o consiliere corespunzătoare.
  • Avizului DPO trebuie să i se acorde întotdeauna o importanță deosebită. În caz de dezacord, WP29 recomandă, ca bună practică, documentarea motivelor pentru care nu a fost urmat avizul DPO.
  • DPO trebuie să fie consultat cu promptitudine imediat ce a avut loc o încălcare a securității datelor sau un alt incident. Atunci când este cazul, operatorul sau persoana împuternicită de operator ar putea elabora ghiduri privind protecția datelor sau proceduri care stabilesc situații când DPO trebuie să fie consultat.

CE EXPERIENȚĂ TREBUIE SĂ AIBĂ UN DPO

Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau certificare. Cu toate acestea, deținerea unei certificări  în conformitate cu GDPR este o modalitate eficientă de a demonstra cunoștințele experților.

În Articolul 39, Alineatul 1 din GDPR ni se spune care sunt sarcinile care îi revin unui DPO. Să vedem cam ce experiență necesită fiecare:

  • informarea şi consilierea companiei şi personalului care se ocupă de prelucrare cu privire la obligaţiile GDPR, dar și altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor – impune aptitudini clare pe parte legislativă și procedurală;
  • monitorizarea respectării GDPR, a altor dispoziţii de drept referitoare la protecţia datelor şi a politicilor de protecţie a datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente – în plus față de abiltățile legislative se recomandă aptitudini manageriale de alocare a responsabilităților, sensibilizare și de formare a personalului, precum și experiență de auditare;
  • furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 – aici e clar că e nevoie de cineva familiarizat cu evaluarea riscurilor și a impactului asupra protecției datelor;
  • cooperarea cu autoritatea de supraveghere; – aici practic e doar o chestiune de reprezentare, DPO acționând ca persoana de contact;
  • punct de contact pentru autoritatea de supraveghere – la fel ca mai sus.

Din ce avem până acum, reiese că un DPO trebuie să aibă cunoștințe temeinice de legislație internă și europeană, să aibă un bun spirit managerial, să fie capabil să facă o analiză de risc și să fie un bun comunicator.

Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că, în calitate de operator sau procesator, trebuie să numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate fi un rol cu ​​jumătate de normă sau combinat cu alte sarcini, însă, în îndeplinirea rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul ca, pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în domeniul protecției datelor cu “cunoștințe de specialitate privind legislația și practicile privind protecția datelor“.

Dacă ne uităm însă la recomandările unor organisme de certificare cu recunoaștere internațională precum IAPP sau PECB, vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în protecția datelor personale. De aici reiese că un candidat serios la poziția de DPO trebuie să fi avut un rol cu certe competențe tehnologice și operaționale, oameni cu experiență în project management, data quality, baze de date, managementul riscurilor, securitatea sau protecția datelor. Diferitele statistici arată că în prezent e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de ceva mai mult timp pentru pregătirea poziției de DPO.

RECOMANDĂRILE WP29

”Ghidul privind Responsabilul cu protecția datelor (‘DPO’) publicat de grupul de lucru Articolul 29  în decembrie 2016 și revizuit în aprilie 2017, oferă operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor, precum și principalele atribuții ale acestora. Anterior adoptării GDPR, WP29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

DPO trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini sarcinile. Nivelul de expertiză necesar ar trebui determinat pe baza operațiunilor de prelucrare efectuate și a protecției necesare pentru datele cu caracter personal prelucrate. De exemplu, în situația în care o operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.

Aptitudinile și expertiza relevante includ:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere complexă a RGPD
  • înțelegerea operațiunilor de prelucrare efectuate
  • înțelegerea tehnologiilor de informații și de securitate a datelor
  • cunoașterea sectorului de afaceri și a organizației · abilitatea de a promova protecția datelor în cadrul organizației

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a GDPR. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1).

Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

 

CUM ȘI UNDE NE PREGĂTIM DPO ÎN ROMÂNIA

Am scris mult pe această temă în ultimul an. O simplă cercetare de piață pe ofertele actuale de cursuri DPO relevă o mare varietate de opțiuni care merg de la simple cursuri de formare profesională cu durata de o zi, până la cursuri de certificare DPO acreditate internațional cu durata de 5 zile.

De la bun început am discutat în toate articolele mele despre lipsa unor reglementări care să certifice competențele celor care susțin cursurile de instruire și nivelul profesional de certificare garantat de diploma obținută. În lipsa unor standarde de certificare se merge pe principiul că piața aduce experiența, care ajută la formarea experților. În țările cu tradiție, un rol important îl au asociațiile profesionale și mediile academice.

O încercare de reglementare la nivel național s-a realizat în martie 2018, când la inițiativa unei echipe de specialiști de la PWC Audit srl și D&B David și Baiaș s-a depus la ANC (Autoritatea Națională de Certificări) o propunere de Standard ocupațional pentru educație și formare profesională pe baza Codului COR 242231.  ANC a aprobat acest standard ocupațional prin decizia  nr.74 din 19 martie 2018 dar la vremea respectivă s-a discutat că propunerea de standard ocupațional nu a primit și aprobarea de la ministerele muncii și educației. Codul COR 242231 privitor la meseria de ”Responsabil cu protecția datelor personale cu caracter personal” fusese acceptat de către Ministerul Muncii și Justiției Sociale și Institutul Național de Statistică încă de anul trecut prin Ordinul 1786/2017, pe o listă de 26 de noi ocupații, printre care cele de bonă, preot, catehet, prezentator TV, diacon, depanator telefoane mobile inteligente, inspector patriarhal sau paracliser…

În fine din septembrie 2018 o serie de companii care susțin cursuri au anunțat începerea unor programe de instruire bazate pe COR 242231 care sunt acreditate de cele două ministere și au ca finalitate o diplomă ce poartă girul ANC. Nici un anunț oficial legat de la cele 2 ministere, ANC sau ANSPDCP nu a apărut încă în mod public. Conform Standardului ocupațional enunțat, stadiul de pregătire pentru un DPO este de 180 de ore, dintre care 60 de ore de teorie și 120 de ore de practică realizate sub autoritatea unui Formator autorizat ANC. Interesant este faptul că Formatorul trebuie să aibă o experiență minima de 3 ani în domeniul protecției datelor cu caracter personal, iar Evaluatorul din comisia de examinare o experiență similară de minimum 5 ani…

Concluzionând, la ora actuală există 4 categorii de cursuri DPO oferite pe piața din România, diferențiate prin durată, nivel și diplomă de certificare și, evident, prin preț:

  • cursuri de formare profesională de 1-3 zile, cu diploma de participare
  • cursuri online, cu acces la material filmat de cca. 4-6 ore, examen online
  • cursuri de specializare cu acreditarea unor organizații internaționale și certificare DPO, durata 4-5 zile
  • cursuri de specializare bundle cu examen IAPP, cu un pachet de beneficii si diplome CIPP-E și CIPM acreditate de IAPP, durata 4-5 zile
  • cursuri acreditate ANC, cu durata de 180 de ore.

Care dintre aceste forme de curs este cea mai potrivită pentru companiile interesate să își formeze un DPO? Asta depinde de fiecare. Oferta de cursuri a apărut și s-a diversificat pe baza cererii. Important este să rețineți că GDPR nu condiționează în niciun fel numirea unui DPO de existența unei diplome, ci doar de experiența pe care o deține.

Puteți începe demersurile de aliniere la GDPR și fără DPO. Este suficient să fiți conștienți de responsabilitatea dvs. ca operatori sau procesatori de date personale și să demarați câțiva pași simpli, precum analiza fluxurilor de date, redactarea și gestionarea registrelor de evidență obligatorii, stabilirea politicilor interne, inventarierea contratelor cu partenerii și clienții, actualizarea politicilor publice și notificărilor către persoanele vizate, precum și instruirea tuturor angajaților implicați în procesele de prelucrare a datelor personale.

Oricare dintre membri echipei de coordonare poate fi numit DPO, în oricare dintre aceste faze. În plus, oricând puteți apela la un DPO extern. Important este să începeți.

Important este să înțelegeți că este responsabilitatea voastră a tuturor și că se poate. Trebuie să înțelegeți. Sigur că se poate.

Vă interesează o recomandare pentru cursuri DPO? Completați formularul de mai jos și veți fi contactați.

Nota Confidențialitate: Completând acest formular vă dați acordul pentru a fi contactați în scopul discutării ofertelor de cursuri DPO. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar în scopul pentru care au fost încredințate. Citiți mai mult în Politica de Confidentialitate.

 

ISO 27001 – un sprijin real pentru conformitatea GDPR/RGPD

Dan Cristian MATEI

Dan Cristian MATEI este Lead auditor ISO 9001, 27001 al organismului de certificare RINA. Este absolvent al Universității Politehnica București și al unui program de masterat în domeniul managementului calității. A fost implicat în implementarea unui proiect complex legat de monitorizarea rețelei de emițători radio TV aparținând SN Radiocomunicații. Ulterior, a ocupat funcția de Technical Quality Coordinator al Departamentului Technology din ORANGE Romania, apoi QEHS Manager al Huawei Technologies Romania pentru toate operațiunile şi proiectele locale. Având peste 16 ani de experiență în industria telecom, aria sa de expertiză include redesign şi optimizare de procese, eTOM framework, conformitate SOX, TL9000, GDPR, implementarea și dezvoltarea de proiecte de infrastructură complexe, cloud computing, cybersecurity, IT governance, security și audit. Opiniile prezentate în acest articol reprezintă recomandările personale, în calitate de auditor ISO27001 şi nu reflectă în nici o circumstanță poziția oficială a RINA.

 

Organizațiile care au studiat prevederile GDPR şi sunt în plin proces de intrare în conformitate cu cerințele acestuia sunt deja conștiente de faptul că standardele de bună practică sunt un motor al dezvoltării. Inclusiv Regulamentul sugerează pe termen mediu elaborarea codurilor de conduită, aplicabile unor diferite industrii.

Deși aparent cadrul de reglementare a rămas în urma dezvoltării tehnologiei societății informaționale, în opinia mea activitatea de standardizare tehnică, în plină desfășurare la acest moment pe diferite verticale (exemplu cloud, tranzacții distribuite, etc) va acoperi şi sprijini în viitorul apropiat necesitățile de dezvoltare a diferitelor industrii precum şi dezvoltarea susținută a unor noi tehnologii.

Standardul internațional de securitate a informațiilor EN ISO/IEC 27001 este un standard care ajută companiile să se conformeze unor modele internaționale de bune practici. Standardul acoperă trei componente cheie ale securității datelor – persoane, procese și tehnologie. Atunci când se iau măsuri pentru protejarea informației considerând aceste trei axe, companiile sunt mai bine pregătite pentru a proteja informațiile, pentru a diminua riscurile și pentru a își îmbunătăți constant procesele interne. Ca atare, se menține tendința ultimilor ani din sectorul corporativ de a considera implementarea şi certificarea EN ISO/IEC 27001 drept o decizie strategică care a adus beneficii certe.

Un Sistem de Management implementat conform EN ISO/IEC 27001 asigură punerea în aplicare a cerințele GDPR relevante, prin implementarea măsurilor tehnice adecvate pentru diminuarea riscurilor legate de securitatea informației. Prin abordarea sa cuprinzătoare, un Sistem de Management al Securității Informației – SMSI certificat EN ISO/IEC 27001 poate ajuta o organizație să-și protejeze toate resursele informaționale, inclusiv asupra atacurilor cibernetice şi nu doar datele cu caracter personal. Conformitatea ISO 27001 înseamnă că o companie a luat măsuri pentru a își gestiona în mod continuu riscurile de securitate a datelor. În acest fel, este capabil să țină pasul cu amenințările în continuă evoluție ale securității datelor.

Cum ne poate ajuta EN ISO/IEC 27001 în demersul de conformare? Valoarea adăugată este certă:

A. Dacă standardul a fost deja implementat de către o companie, compania respectivă are deja asigurată conformitatea cu o mare parte din cerințele Regulamentului, mai precis la nivel de articole (în ordinea relevanţei): 32, 25, 5, 19, 33, 34, 24, 2, 1, 3. Având în vedere că există domenii din Regulament care nu sunt acoperite în totalitate de EN ISO/IEC 27001 şi aici ne referim de exemplu la dreptul la portabilitatea datelor, dreptul de a fi uitat; în vederea implementării tuturor cerințelor RGPD, o companie care deține un SMSI certificat ISO 27001 ar trebui să parcurgă o analiză a decalajelor (GAP) față de cerințele Regulamentului.

B. Pentru o companie care nu are deja implementat un SMSI conform EN ISO/IEC 27001, implementarea acestuia va oferi un cadru pe care se poate construi structura cerută de Regulament, începând de la alocarea responsabilităților şi a demonstrării aderenţei la Principiile legate de prelucrarea datelor cu caracter personal, o desfășurare integrată a cartografierii proceselor şi datelor prelucrate, evaluării riscurilor, s.a.m.d.

Deoarece în Regulament singurele referiri la măsurile tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate sunt criptarea și pseudonimizarea, în lipsa unor alte precizări standardul EN ISO/IEC 27001 precum şi alte standarde înrudite pot ajuta la identificarea „stadiului tehnicii” precum şi celor mai bune practici.

De un real ajutor pot fi EN ISO/IEC 27002 – Cod de bună practică pentru tehnici de securitate, aplicabil tuturor industriilor, ISO/IEC 29151 Cod de buna practica pentru protecția informațiilor de identificare personală (PII), iar în contextul orientării spre serviciile din cloud, revizia unor standarde tehnice din familia ISO27000 cum ar fi ISO/IEC 27018 asigur-a alinierea organizațiilor la ultimele cerințe.

Trebuie avut însă în vedere că fără un program cuprinzător de securitate a informațiilor care să ia în considerare așa cum s-a menționat mai sus şi factorul uman, nivelul de securitate şi gradul de protecție vor scădea. Procesele de business nemenținute în parametrii planificați, lipsa unui angajament pentru securitatea informațiilor în întreaga organizație precum și problemele legate de personal se numără printre cele mai frecvente cauze ale incidentelor legate de securitatea datelor.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 63-65.

De ce e important să veniți la Smart City Alba Iulia 2018

Dezbaterea Smart City Alba Iulia 2018 va încerca să demonstreze că se poate. Se poate dezvolta în mod inteligent un oraș într-un timp foarte scurt. Peste 40 de companii își vor prezenta proiectele, inițiativele şi realizările. Un tur ghidat cu autobuzul ne va prezenta toate soluțiile smart city existente deja în Alba Iulia, așa cum funcționează ele. Demonstrații live vor avea loc în cetatea Alba Carolina.

Și toate acestea nu sunt întâmplătoare. Alba Iulia a fost primul oraș din România unde în urmă cu doi ani a fost inițiat un program ambițios de dezvoltare inteligentă. Au fost testate până acum peste 100 de soluții ale companiilor private, iar pe 8 şi 9 octombrie, în cadrul evenimentului Dezbatere Smart City Alba Iulia 2018, reprezentanții primăriilor, ai companiilor care oferă servicii către administrația publică și comunitate, ai mediului universitar și presă vor fi prezenți pentru a vedea rezultatele.

Mircea HAVA

„Pe termen scurt, primim oaspeți; pe termen lung, ne dorim să rămânem cu cât mai mulți parteneri şi proiecte puse în practică. Acesta este mesajul momentului, la foarte puțin timp distanță de prima reuniune a celor interesați să transforme ideile surprinzător de inovatoare în posibilități infinite. Alba Iulia este departe de a-şi fi împlinit destinul de a uni. Încă o face, într-un moment decisiv pentru cei care înțeleg că tehnologia, digitalizarea şi orientarea totală a administrațiilor în sensul acesta va însemna mai binele pe care ni-l dorim cu toții,” spune Mircea Hava, Primarul Municipiului Alba Iulia.

Diferența față de alte evenimente dedicate orașelor inteligente constă în faptul că participanții vor avea posibilitatea de a vedea în funcțiune, la fața locului, soluțiile smart city implementate la Alba Iulia: în oraș și în Cetatea Alba Carolina. Evenimentul va debuta cu vizitarea acestor soluții din domenii precum: administrație publică, mobilitate, mediu și utilități publice, educație, turism, sănătate, planificare urbană, inovație și afaceri locale. Apoi, vor urma două zile de dezbatere despre ceea ce s-a realizat la Alba Iulia și ce se poate face în continuare, ca un exemplu de urmat și pentru alte localități din România.

Marius BOSTAN

„În urmă cu doi ani și jumătate, împreună cu Mircea Hava am făcut o chemare către industrie să vină la Alba Iulia. Am plecat cu optimism și încredere în inteligența și patriotismul românilor, și așteptările noastre au fost mai mult decât împlinite. Deja peste 100 de soluții inteligente au făcut din Capitala de Suflet a Românilor și Capitala Inteligentă a Românilor”, spune Marius Bostan, Coordonator al Dezbaterii Naționale Smart City, inițiator al proiectului Alba Iulia Smart City.

Și-au anunțat participarea peste 30 de speakeri și multe companii dornice să-și prezinte realizările care au menirea de a transparentiza relația oamenilor cu administrația publică și de a aduce îmbunătățiri substanțiale în viaţa comunității. Dezbaterea Smart City Alba Iulia 2018 reprezintă o excelentă oportunitate pentru participanți de a vedea și testa servicii inovative de administrare inteligentă a orașelor, pentru afaceri, comunitate locală și turiști. Se vor promova soluții noi, îmbunătățite adaptate modelelor de business actuale și va fi creat cadrul oportun de relaționare și întâlnire a specialiștilor din domeniu. De asemenea, vor fi puse bazele unor parteneriate viitoare între reprezentanții companiilor și cei ai orașelor prezenți la eveniment.

Companiile prezente vor veni cu soluții noi şi vor demonstra cum un astfel de proiect dezvoltat pe bază de protocoale de colaborare public-private va conduce la integrarea lanțurilor valorice din diverse sectoare de activitate la nivel local și regional şi poate adapta cerințele și nevoile comunităților urbane, dar și cerințele actului administrativ. Totodată, în pauzele dintre sesiunile dezbaterii, partenerii din cadrul proiectului pilot Alba Iulia Smart City vor face demonstrații live cu echipamentele şi softurile pe care le testează în mediul real, în Alba Iulia.

Compania E.ON va prezenta preocupările sale constante privind depășirea graniței de furnizor tradițional de utilități pentru a oferi clienților soluții noi care să le facă viața mai ușoară. Contextul este dat de tendințele din noua lume a energiei, care înseamnă utilizarea tot mai frecventă a surselor regenerabile şi a rețelelor inteligente, a tehnologiei şi digitalizării pentru a lansa produse și servicii inovatoare. Conceptul E.ON Drive a fost lansat recent, prin  pachete de echipamente de încărcare a autovehiculelor electrice și servicii care răspund nevoilor specifice de pe piața de mobilitate electrică din România. „Lansarea acestui produs inovativ şi sustenabil, parte din noul concept E.ON Drive, este un pas important pentru E.ON şi se înscrie în strategia companiei de a oferi soluţii noi,  inovative, din afara zonei de utilităţi. Traseul inovării continuă cu dezvoltarea şi lansarea altor soluţii smart, prietenoase cu mediul şi adaptate nevoilor clienţilor noştri”, a declarat Andreea Ioniţă-Cirebea, Director Strategie, Pieţe şi Digitalizare E.ON România.

Clusterul Cluj IT, care s-a implicat cu peste 30 de soluții de Smart City pentru toți cei 12 piloni ai ecosistemului IT al orașului inteligent se poziționează ca unul dintre cei mai importanți parteneri de soluții Smart City ai Primăriei Alba Iulia. „Toate eforturile înglobate în toate aceste soluţii au fost, sunt şi vor fi direcţionate spre crearea unui ecosistem smart de soluţii conectate, configurabile astfel încât să poată adresa fiecare domeniu şi arie de activitate şi/sau vieţuire, de pe orice nivel din contextul ecosistemului urban”, a precizat Paulina Mitrea, coordonatorul Proiectului Smart City în cadrul Clusterului Cluj IT.

Cristian PAȚACHIA

Compania Orange va demonstra că la nivelul businessurilor, conceptul IoT – Internetul lucrurilor – promite să facă organizațiile mai agile și mai eficiente, ceea ce le permite să își crească capabilitățile de inovare, reinventând totodată relațiile acestora cu clienții. „Pentru orașe și comunități, acest lucru se traduce într-o nouă eră, cea «smart city», în care managementul serviciilor și resurselor publice va trece la un alt nivel. Orange a făcut deja pași importanți în această direcție, proiectul Alba Iulia Smart City fiind un exemplu relevant în acest sens. Ne vom concentra în continuare eforturile către oportunitățile de dezvoltare pe care soluțiile IoT le pot aduce”, a precizat Cristian Pațachia, Development & Innovation Manager, Orange Romania.

Valentina Frângu, CEE Lead Digital City, care va reprezenta Dell EMC România la acest eveniment, consideră că „gradul de digitalizare a unui oraș are o contribuție direct proporțională cu nivelul de fericire al cetățeanului de rând. Și în România, ralierea la tendințele europene de accelerare a folosirii tehnologiei în viața cetățenilor începe să producă efecte, chiar dacă încă la scară micro”.

Compania Telekom Romania, implicată în proiecte smart city destinate orașului Alba Iulia, dar și în alte orașe din țară, va fi reprezentată la Dezbaterea Smart City Alba Iulia 2018 și va propune administrațiilor publice soluții utile care să raspundă mai bine nevoilor specifice fiecarui oraș în parte. ”Expertiza avansata a grupului Deutsche Telekom în ceea ce privește alegerea și integrarea tehnologiilor Smart City, ne-a ajutat foarte mult în implementarea cu succes a multor proiecte. Am plecat, de asemenea, de la premisa că este responsabilitatea noastră să ne întălnim cu autoritățile locale și să le explicăm beneficiile pe care soluțiile inteligente le pot aduce la administrarea unui oraș.” a spus Dragoș Nedelea, Manager Dezvoltarea Afacerii ICT, Telekom Romania.

Microsoft România a implementat soluții smart pentru educație în Alba Iulia și va demonstra la Dezbaterea Smart City cum a venit în ajutorul elevilor și al profesorilor. „Microsoft Romania investește masiv în educație în acest an, atât în pregătirea profesorilor, cât și a elevilor, un exemplu relevant fiind programul Minecraft pentru Educație, prin intermediul căruia susține inițiativa Ministerului Educației Naționale de a introduce programarea într-un stadiu timpuriu al ciclului educațional”, a declarat Marilena Ionaşcu, Director Educație Microsoft România.

Înscrierile la eveniment se pot face pe website-ul www.smartcity.concordcom.ro, în limita locurilor disponibile.

INVITATIE DEZBATEREA NAŢIONALĂ SMART CITY – ALBA IULIA 2018

A VI-a ediție a evenimentului Dezbatere Natională Smart City va avea loc pe 8-9 Octombrie 2018 în Alba Iulia, la Hotelul Medieval din Cetatea Alba Carolina. Este un eveniment aniversar, dedicat Centenarului României Mari, cu ocazia căruia Primăria din Alba Iulia propune testarea a 100 de soluţii smart city. 

 

Spre deosebire de alte evenimente dedicate oraşelor inteligente, la Alba Iulia nu vom participa doar la seria de dezbateri și prezentări. Vom avea ocazia să vedem la lucru cele mai performante soluții tehnologice dedicate orașelor inteligente. Vom putea vedea cum funcționează soluțiile smart city de administrație publică, mobilitate, mediu și utilități publice, educație, turism, sănătate, planificare urbană, inovație și afaceri locale. Un tur al tuturor locațiilor unde sunt implementate soluțiile este organizat în prima zi în Cetatea Alba Carolina

  • Hot Spoturi WI-FI, Beaconi (Orange)
  • Questo Tour (Primaria Alba Iulia)
  • Vichi Farm
  • Smart Garden (Frontier Connect)
  • City Parking (Life is Hard)
  • Eco Mobilitate
  • Pony Car Sharing

Un tur de autobuz va asigura prezentarea obiectivelor smart city din orasul Alba Iulia:

  • Clasa digitala, WI-FI si Beaconi  (e-Alba Iulia) Colegiul Horia Closca si Crisan (  Orange)
  • Clasa de informatica, Scoala Generala Avram Iancu (Microsoft)
  • Iluminat public, Wi-Fi si Parcare inteligenta, Stadionul Unirii   (Intrarom)
  • Sistem solar termodinamic (Delphi Electric)
  • Catalogul electronic si smart classroom lighting, Scoala  Generala Mihai Eminescu (Telekom)
  • Box2M management energetic (Orange si Flash Lighting)

Sesiunile de prezentări se vor derula la hotelul Medieval din Cetatea Alba Carolina.

Pentru detalii legate de eveniment, agenda şi condiţiile de participare vizitați site-ul official al evenimentului:  https://smartcity.concordcom.ro/acasa/detalii-eveniment-alba-iulia/

Dacă doriți să vă înregistrați, nu trebuie decât să completați Formularul de Inscriere

Evenimentul este organizat de Agenția Concord Communication şi Fundația Națională a Tinerilor Manageri, cu sprijinul Primariei Municipiului Alba Iulia.

Cum putem reduce incidentele de securitate cu 60-70%

 

Protectia datelor personale este un proces continuu. Pastrarea unui nivel optim de conformitate GDPR presupune  o instruire temeinica a tuturor oamenilor din organizatie care au de-a face cu prelucrarea de date personale.

Statisticile arata ca intre 60-70% dintre vulnerabilitatile sistemelor informatice au cauze interne. Asta inseamna ca cea mai mare parte dintre pericole pot fi reduse. Sta in puterea noastra. Singura conditie este ca oamenii sa fie instruiti, sa stie ce au voie si ce nu au voie sa faca. V-ati educat oamenii in spiritul GDPR?

GDPR Ready ofera servicii de instruire la sediul clientilor, perfect adaptate cerintelor oricarei organizatii. 

%d bloggers like this: