De ce e important să veniți la Smart City Alba Iulia 2018

Dezbaterea Smart City Alba Iulia 2018 va încerca să demonstreze că se poate. Se poate dezvolta în mod inteligent un oraș într-un timp foarte scurt. Peste 40 de companii își vor prezenta proiectele, inițiativele şi realizările. Un tur ghidat cu autobuzul ne va prezenta toate soluțiile smart city existente deja în Alba Iulia, așa cum funcționează ele. Demonstrații live vor avea loc în cetatea Alba Carolina.

Și toate acestea nu sunt întâmplătoare. Alba Iulia a fost primul oraș din România unde în urmă cu doi ani a fost inițiat un program ambițios de dezvoltare inteligentă. Au fost testate până acum peste 100 de soluții ale companiilor private, iar pe 8 şi 9 octombrie, în cadrul evenimentului Dezbatere Smart City Alba Iulia 2018, reprezentanții primăriilor, ai companiilor care oferă servicii către administrația publică și comunitate, ai mediului universitar și presă vor fi prezenți pentru a vedea rezultatele.

Mircea HAVA

„Pe termen scurt, primim oaspeți; pe termen lung, ne dorim să rămânem cu cât mai mulți parteneri şi proiecte puse în practică. Acesta este mesajul momentului, la foarte puțin timp distanță de prima reuniune a celor interesați să transforme ideile surprinzător de inovatoare în posibilități infinite. Alba Iulia este departe de a-şi fi împlinit destinul de a uni. Încă o face, într-un moment decisiv pentru cei care înțeleg că tehnologia, digitalizarea şi orientarea totală a administrațiilor în sensul acesta va însemna mai binele pe care ni-l dorim cu toții,” spune Mircea Hava, Primarul Municipiului Alba Iulia.

Diferența față de alte evenimente dedicate orașelor inteligente constă în faptul că participanții vor avea posibilitatea de a vedea în funcțiune, la fața locului, soluțiile smart city implementate la Alba Iulia: în oraș și în Cetatea Alba Carolina. Evenimentul va debuta cu vizitarea acestor soluții din domenii precum: administrație publică, mobilitate, mediu și utilități publice, educație, turism, sănătate, planificare urbană, inovație și afaceri locale. Apoi, vor urma două zile de dezbatere despre ceea ce s-a realizat la Alba Iulia și ce se poate face în continuare, ca un exemplu de urmat și pentru alte localități din România.

Marius BOSTAN

„În urmă cu doi ani și jumătate, împreună cu Mircea Hava am făcut o chemare către industrie să vină la Alba Iulia. Am plecat cu optimism și încredere în inteligența și patriotismul românilor, și așteptările noastre au fost mai mult decât împlinite. Deja peste 100 de soluții inteligente au făcut din Capitala de Suflet a Românilor și Capitala Inteligentă a Românilor”, spune Marius Bostan, Coordonator al Dezbaterii Naționale Smart City, inițiator al proiectului Alba Iulia Smart City.

Și-au anunțat participarea peste 30 de speakeri și multe companii dornice să-și prezinte realizările care au menirea de a transparentiza relația oamenilor cu administrația publică și de a aduce îmbunătățiri substanțiale în viaţa comunității. Dezbaterea Smart City Alba Iulia 2018 reprezintă o excelentă oportunitate pentru participanți de a vedea și testa servicii inovative de administrare inteligentă a orașelor, pentru afaceri, comunitate locală și turiști. Se vor promova soluții noi, îmbunătățite adaptate modelelor de business actuale și va fi creat cadrul oportun de relaționare și întâlnire a specialiștilor din domeniu. De asemenea, vor fi puse bazele unor parteneriate viitoare între reprezentanții companiilor și cei ai orașelor prezenți la eveniment.

Companiile prezente vor veni cu soluții noi şi vor demonstra cum un astfel de proiect dezvoltat pe bază de protocoale de colaborare public-private va conduce la integrarea lanțurilor valorice din diverse sectoare de activitate la nivel local și regional şi poate adapta cerințele și nevoile comunităților urbane, dar și cerințele actului administrativ. Totodată, în pauzele dintre sesiunile dezbaterii, partenerii din cadrul proiectului pilot Alba Iulia Smart City vor face demonstrații live cu echipamentele şi softurile pe care le testează în mediul real, în Alba Iulia.

Compania E.ON va prezenta preocupările sale constante privind depășirea graniței de furnizor tradițional de utilități pentru a oferi clienților soluții noi care să le facă viața mai ușoară. Contextul este dat de tendințele din noua lume a energiei, care înseamnă utilizarea tot mai frecventă a surselor regenerabile şi a rețelelor inteligente, a tehnologiei şi digitalizării pentru a lansa produse și servicii inovatoare. Conceptul E.ON Drive a fost lansat recent, prin  pachete de echipamente de încărcare a autovehiculelor electrice și servicii care răspund nevoilor specifice de pe piața de mobilitate electrică din România. „Lansarea acestui produs inovativ şi sustenabil, parte din noul concept E.ON Drive, este un pas important pentru E.ON şi se înscrie în strategia companiei de a oferi soluţii noi,  inovative, din afara zonei de utilităţi. Traseul inovării continuă cu dezvoltarea şi lansarea altor soluţii smart, prietenoase cu mediul şi adaptate nevoilor clienţilor noştri”, a declarat Andreea Ioniţă-Cirebea, Director Strategie, Pieţe şi Digitalizare E.ON România.

Clusterul Cluj IT, care s-a implicat cu peste 30 de soluții de Smart City pentru toți cei 12 piloni ai ecosistemului IT al orașului inteligent se poziționează ca unul dintre cei mai importanți parteneri de soluții Smart City ai Primăriei Alba Iulia. „Toate eforturile înglobate în toate aceste soluţii au fost, sunt şi vor fi direcţionate spre crearea unui ecosistem smart de soluţii conectate, configurabile astfel încât să poată adresa fiecare domeniu şi arie de activitate şi/sau vieţuire, de pe orice nivel din contextul ecosistemului urban”, a precizat Paulina Mitrea, coordonatorul Proiectului Smart City în cadrul Clusterului Cluj IT.

Cristian PAȚACHIA

Compania Orange va demonstra că la nivelul businessurilor, conceptul IoT – Internetul lucrurilor – promite să facă organizațiile mai agile și mai eficiente, ceea ce le permite să își crească capabilitățile de inovare, reinventând totodată relațiile acestora cu clienții. „Pentru orașe și comunități, acest lucru se traduce într-o nouă eră, cea «smart city», în care managementul serviciilor și resurselor publice va trece la un alt nivel. Orange a făcut deja pași importanți în această direcție, proiectul Alba Iulia Smart City fiind un exemplu relevant în acest sens. Ne vom concentra în continuare eforturile către oportunitățile de dezvoltare pe care soluțiile IoT le pot aduce”, a precizat Cristian Pațachia, Development & Innovation Manager, Orange Romania.

Valentina Frângu, CEE Lead Digital City, care va reprezenta Dell EMC România la acest eveniment, consideră că „gradul de digitalizare a unui oraș are o contribuție direct proporțională cu nivelul de fericire al cetățeanului de rând. Și în România, ralierea la tendințele europene de accelerare a folosirii tehnologiei în viața cetățenilor începe să producă efecte, chiar dacă încă la scară micro”.

Compania Telekom Romania, implicată în proiecte smart city destinate orașului Alba Iulia, dar și în alte orașe din țară, va fi reprezentată la Dezbaterea Smart City Alba Iulia 2018 și va propune administrațiilor publice soluții utile care să raspundă mai bine nevoilor specifice fiecarui oraș în parte. ”Expertiza avansata a grupului Deutsche Telekom în ceea ce privește alegerea și integrarea tehnologiilor Smart City, ne-a ajutat foarte mult în implementarea cu succes a multor proiecte. Am plecat, de asemenea, de la premisa că este responsabilitatea noastră să ne întălnim cu autoritățile locale și să le explicăm beneficiile pe care soluțiile inteligente le pot aduce la administrarea unui oraș.” a spus Dragoș Nedelea, Manager Dezvoltarea Afacerii ICT, Telekom Romania.

Microsoft România a implementat soluții smart pentru educație în Alba Iulia și va demonstra la Dezbaterea Smart City cum a venit în ajutorul elevilor și al profesorilor. „Microsoft Romania investește masiv în educație în acest an, atât în pregătirea profesorilor, cât și a elevilor, un exemplu relevant fiind programul Minecraft pentru Educație, prin intermediul căruia susține inițiativa Ministerului Educației Naționale de a introduce programarea într-un stadiu timpuriu al ciclului educațional”, a declarat Marilena Ionaşcu, Director Educație Microsoft România.

Înscrierile la eveniment se pot face pe website-ul www.smartcity.concordcom.ro, în limita locurilor disponibile.

Advertisements

INVITATIE DEZBATEREA NAŢIONALĂ SMART CITY – ALBA IULIA 2018

A VI-a ediție a evenimentului Dezbatere Natională Smart City va avea loc pe 8-9 Octombrie 2018 în Alba Iulia, la Hotelul Medieval din Cetatea Alba Carolina. Este un eveniment aniversar, dedicat Centenarului României Mari, cu ocazia căruia Primăria din Alba Iulia propune testarea a 100 de soluţii smart city. 

 

Spre deosebire de alte evenimente dedicate oraşelor inteligente, la Alba Iulia nu vom participa doar la seria de dezbateri și prezentări. Vom avea ocazia să vedem la lucru cele mai performante soluții tehnologice dedicate orașelor inteligente. Vom putea vedea cum funcționează soluțiile smart city de administrație publică, mobilitate, mediu și utilități publice, educație, turism, sănătate, planificare urbană, inovație și afaceri locale. Un tur al tuturor locațiilor unde sunt implementate soluțiile este organizat în prima zi în Cetatea Alba Carolina

  • Hot Spoturi WI-FI, Beaconi (Orange)
  • Questo Tour (Primaria Alba Iulia)
  • Vichi Farm
  • Smart Garden (Frontier Connect)
  • City Parking (Life is Hard)
  • Eco Mobilitate
  • Pony Car Sharing

Un tur de autobuz va asigura prezentarea obiectivelor smart city din orasul Alba Iulia:

  • Clasa digitala, WI-FI si Beaconi  (e-Alba Iulia) Colegiul Horia Closca si Crisan (  Orange)
  • Clasa de informatica, Scoala Generala Avram Iancu (Microsoft)
  • Iluminat public, Wi-Fi si Parcare inteligenta, Stadionul Unirii   (Intrarom)
  • Sistem solar termodinamic (Delphi Electric)
  • Catalogul electronic si smart classroom lighting, Scoala  Generala Mihai Eminescu (Telekom)
  • Box2M management energetic (Orange si Flash Lighting)

Sesiunile de prezentări se vor derula la hotelul Medieval din Cetatea Alba Carolina.

Pentru detalii legate de eveniment, agenda şi condiţiile de participare vizitați site-ul official al evenimentului:  https://smartcity.concordcom.ro/acasa/detalii-eveniment-alba-iulia/

Dacă doriți să vă înregistrați, nu trebuie decât să completați Formularul de Inscriere

Evenimentul este organizat de Agenția Concord Communication şi Fundația Națională a Tinerilor Manageri, cu sprijinul Primariei Municipiului Alba Iulia.

Cum putem reduce incidentele de securitate cu 60-70%

 

Protectia datelor personale este un proces continuu. Pastrarea unui nivel optim de conformitate GDPR presupune  o instruire temeinica a tuturor oamenilor din organizatie care au de-a face cu prelucrarea de date personale.

Statisticile arata ca intre 60-70% dintre vulnerabilitatile sistemelor informatice au cauze interne. Asta inseamna ca cea mai mare parte dintre pericole pot fi reduse. Sta in puterea noastra. Singura conditie este ca oamenii sa fie instruiti, sa stie ce au voie si ce nu au voie sa faca. V-ati educat oamenii in spiritul GDPR?

GDPR Ready ofera servicii de instruire la sediul clientilor, perfect adaptate cerintelor oricarei organizatii. 

Rolul și problemele departamentului IT în implementarea GDPR

 

 

Daniel SUCIU

Daniel SUCIU este specialist în managementul proceselor, managementul schimbării, managementul riscului, auditul intern, guvernanța și administrarea datelor, dezvoltarea de software, operarea și suportul IT, securitatea informațiilor dar și managementul proiectelor și al echipelor crossfunționale, cu rezultate măsurabile la intersecția sistemelor, tehnologiei, proceselor, oamenilor și datelor. 30 de ani de experiențe de lucru între IT / tehnologie si echipele de business, între clienți, parteneri / furnizori, angajați și conducere. Nu în ultimul rând, certificat ca ofițer cu protecția datelor, fiind implicat în conformarea la GDPR a mai multor organizații, din diferite domenii: învățământ, ONG, turism, medical, servicii IT, afaceri sau comerț online.

 

Probleme mai vechi, trecute cu vederea până acum, dar problematice în respectarea GDPR

Pentru toate sistemele IT trebuie să existe o documentație, atât tehnică, cât si un manual de utilizare. Problema este că oricum nu-l citește nimeni, ca și pe celelalte proceduri IT, deși toți se jură că l-au citit din scoarță în scoarță. Cum te poți aștepta să citească cineva procedurile IT referitoare la utilizarea calculatoarelor personale, sau a telefoanelor, sau Doamne ferește – a emailului sau navigarea pe Internet. Păi acasă până și cel mic știe să lucreze la calculator și să navigheze pe net.

O altă obișnuință în mediul românesc este exceptarea managementului de la respectarea regulilor. Adică cum să țină minte managementul o parolă complexă… și să o schimbe la fiecare 90 de zile? Sau culmea, că nu poate vedea filme online sau descărca jocuri pe calculatorul de serviciu? Ce contează că o mare parte a timpului în IT se rezolvă probleme ce nu ar fi trebuit să apară, iar „excepțiile” ajung sa fie regula.

Să vedem ce putem face din punct de vedere tehnic pentru a preveni, sau măcar pentru a monitoriza buna funcționare a echipamentelor și sistemelor IT. Păi toate acestea costă mult. Iar cele care nu costă au nevoie de mai mult timp/ mai mulți oameni pentru a fi configurate și folosite. De unde atâția bani? Nu s-au dat bani pentru servere? Asta a fost acum câțiva ani? Licențe, suport? Pentru ce, că de aia avem IT.

Totuși IT-ul nu lucrează numai cu regulile proprii. Exista nevoi și procese pe care alții le definesc, ei fiind doar o rotiță într-un angrenaj. Pentru a simplifica problema, să presupunem ca aceste procese au fost analizate, agreate si corect definite. Să luăm ca exemplu angajările noi sau plecările din organizație. Ce probleme ar mai putea avea IT-ul aici? Că se uită „uneori” să fie anunțat IT-ul de o nouă angajare? Că întreabă managerul de ce nu are omul lui calculator sau acces la aplicații? Nu a cerut nimeni? Cum ce drepturi să aibă în aplicații? Cele de care are nevoie. La plecare, nu a predat calculatorul de serviciu? Nu se șterg automat toate conturile si drepturile pe care le-a avut… în afară de cele ce mai pot fi necesare și nu le are altcineva? Nu? De ce?

Să zicem că problemele pe care tocmai le-am semnalat s-au rezolvat între timp și totul merge cum trebuie, fiind atins un punct de echilibru între teorie și practică, între așteptări şi posibilități.

O nouă provocare – GDPR-ul

Auzind despre iminența intrării in vigoare a GDPR-ului, s-a analizat operativ situația și IT-ul a fost identificat drept principalul responsabil de implementarea acestuia… pentru că e vorba de date. Eventual, poate beneficia de ajutorul neprecupețit al departamentului juridic şi are susținerea managementului. Dacă sunt foarte „norocoși” beneficiază și de asistența unei firma de consultanță.

Nu le rămâne decât să treacă la identificarea datelor cu caracter personal, a locului pe unde acestea „trăiesc, se înmulțesc și mor” și documentarea vieții acestora. Cu această ocazie IT-ul află că noțiunea de date cu caracter personal nu este ce-au crezut ei, adică datele de la HR, ci că în toate sistemele lor, serverele, ba chiar și routerele, colcăie puzderie de date personale, prin bazele de date, fișiere de configurare, ca să nu mai vorbim de log-uri. Că orice ID asociat unui utilizator (bașca IP-urile calculatoarelor sau adrese de email de serviciu) sunt date personale. Ca bonus, orice document electronic creat în organizație, chiar și gol, conține date personale în Proprietăți. Iar despre email nu are rost să vorbim.

Cum să spună ei managementului că le-ar fi mult mai ușor să documenteze unde NU există date cu caracter personal? Că au încercat să caute în toată rețeaua unde apare numele sau vreun ID al fostului admin, dar s-au plictisit după ce au văzut primele zece ecrane pline?

Ok, după o discuție clarificatoare s-a decis să se limiteze la cele mai evidente. Zis și făcut. Se stă peste program, se sapă în date și se documentează principalele tipuri de date și procesări, ba se mai acordă și ajutor celorlalte departamente, pentru care maparea datelor și procesărilor specifice într-un excel este un lucru foarte greu… nemaivorbind că oricum au treburi mai importante de făcut, că banii nu vin singuri. Între timp, IT-ul mai află că trebuie să discute cu toți furnizorii de echipamente și soluții să actualizeze contractele cu clauze specifice de data protection (pe care le vor primi mai târziu de la departamentul juridic).

În semn de deosebită apreciere pentru calitatea muncii lor, toate celelalte departamente și-au exprimat încrederea deplină în capacitatea IT-ului propriu, și mai au nevoie doar de un mic ajutor. În toate sistemele IT au nevoie de unu, două butoane mici (uneori pot fi si cinci), unul care să scoată toate datele din sistem pentru un utilizator (în funcție de orice criteriu de căutare) și unul să le șteargă. Parcă mai erau câteva variante, dar nu sunt urgente.

Pentru cele dezvoltate intern nu este o problemă. Nu? Este??? Cum adică cel ce le-a dezvoltat a plecat din organizație și nu sunt documentate? Păi de ce nu sunt documentate? Las’ că vă descurcați voi, că sunteți pricepuți. O săptămână ajunge? Nu? Bine, două săptămâni.

Să nu uitați să faceți un fișier, o pagină pe Intranet… cum știți voi, în care să se poată înregistra toate cererile venite de la clienți, foști angajați, parteneri, cum au fost tratate și când le-ați transmis datele personale. Şi, era să uit, am primit de la un consultant o listă de proceduri de IT pe care trebuie să le implementați și să instruiți personalul. Ceva cu securitate, incidente…. Poate mai au nevoie de două, trei modificări minore. Cum adică avem așa ceva? De ce nu ați spus? Vă descurcați voi, cum v-ați descurcat și până acum…

Și s-au descurcat, iar toată lumea a trăit fericită, iar managementul și-a mai acordat un bonus pentru rezolvarea unei probleme spinoase…

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 52-54. 

Cei șapte ani de-acasă în politica de Cookies

 

Tudor GALOS

Tudor Galoș a fost director de marketing pe consumer la Microsoft România vreme de șase ani și înainte de asta s-a ocupat de business-ul de Windows și Office pe România, Bulgaria și Europa de Sud-Est, fiind responsabil de lansări precum Windows Vista, Windows 7, Windows 10, Office 2003, Office 2007, Office 365 și multe alte produse și servicii. A lucrat cu firme mici, medii și mari din întreaga Europă. Din Septembrie 2017 coordonează propriul său business, Tudor Galos Consulting cu focus pe consultanța de business și management în zona start-up-urilor, a spin-off-urilor și a transformării digitale. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii – modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.

 

Am scris în articolul anterior din catalogul GDPR despre faptul că este obligatoriu ca orice proiect de aliniere la normele GDPR să aibă o abordare concentrată pe oameni. Omul este cel mai important element al oricărei inițiative de conformitate la un nou regulament, la un nou standard.

Omul este cel care conduce schimbarea, cel care face lucrurile să se întâmple, dar și cel care creează cele mai mari blocaje în implementări. Cele mai bune politici de conformitate se opresc în Dorei ce nu doresc schimbarea și care „știu ei mai bine” că „merge și-așa”, că „nu se prinde nimeni” și că „facem să fie bine ca să nu fie rău”. Dorel este și cel care spune fix ca în bancul cu românul la Zoo care când vede girafa își pune mâinile în șold supărat și zice „așa ceva nu există”.

Până de curând GDPR nu a existat pentru nimeni deși el „există” de peste doi ani. Lipsa comunicării, lipsa încrederii, convingerea că cineva va veni și va face magie și va suspenda aplicarea GDPR au dus la o situație în care (estimarea mea proprie și personală) peste 90% din firmele din România nu au făcut absolut nimic pentru a se alinia la normele GDPR. Este o estimare bazată pe conversațiile cu diverșii consultanți, firme de consultanță, clienți, etc.

Și matematica ne susține această cifră: în România sunt cam 700 – 800.000 de firme active. Dacă 10% ar fi început proiecte de aliniere la GDPR am fi vorbit de 80.000 de proiecte coordonate de minim 80.000 de oameni (dacă este să ne gândim că este nevoie de minim un om pe companie implicat într-un proiect de GDPR). Nu, dragilor, nu suntem atâția, ar fi gemut Facebook-ul de experți. Și deși pe Facebook au explodat ofertele de consultanță GDPR, nu apar niciunde 80.000 de proiecte. Închidem matematica aici și trecem la discuția pe zona digitală, unde lucrurile sunt mult mai interesante.

Site-urile reprezintă principalul punct de acces în organizații. Dacă pe vremuri vorbeam de cărțile de vizită ale managerilor dintr-o organizație ca fiind principalul vector de contact, astăzi site-ul este principalul vector de contact. Modul în care site-ul este organizat, optimizat, indexat, contribuie decisiv la succesul sau drumul spre mormânt al firmei. Peste 90% din tranzacțiile B2B sunt pornite printr-o căutare pe net, căutare care aterizează într-un site. Și totuși în aceste ultime zile site-urile au fost printre cele mai batjocorite din punct de vedere al conformității la GDPR.

Începem cu formularele de consimțământ. Au ajuns site-urile să îți ceară consimțământ pentru orice. O importantă linie aeriană românească cere consimțământ de prelucrare a datelor în momentul în care vrei să plătești biletul de avion online cu toate că are deja temeiul legal pentru prelucrarea acestor date. Și stai și te uiți și te întrebi cine o fi realizat acest frumos mecanism de pierdut click-uri, lead-uri și bani. Continuăm cu site-urile care cer consimțământ la consimțământ și care deja au devenit inutilizabile pentru simplul motiv că și-au luat ca și consultant GDPR un student la drept care a citit legea la o bere și care acum își dă cu părerea în zona de digital după ce a petrecut și el câteva ore pe la pariuri sportive (și ca să fiu cu totul și cu totul rău, așa se naște noua generație de „digital experts”).

Oameni buni, nu vă bateți joc de consumer journey (drumul cumpărătorului pe limba noastră dulce românească). Orice click în plus, orice pas în plus înseamnă mii de EUR pierdute (ok, pentru unii zeci de mii dar nu ne pierdem în zero-uri). Există modalități inteligente de a optimiza fluxul de date într-un site găsind temeiurile legale potrivite și cerând consimțământ doar acolo unde este strict nevoie (de exemplu pentru cookie-uri – vorbim mai jos de ele – sau pentru înscrierea la un newsletter).

Și că tot am ajuns la subiectul cookies, lacrimile au curs șiroaie zilele acestea pe site-uri în ceea ce privește cookie-urile. Aici digital super-gurus-super-experts-black-belt-ninjas s-au trezit în fața unei alegeri: lăsăm utilizatorul să aleagă dacă rulează sau nu cookie-urile (astfel fiind GDPR-compliant) și pierdem orice șansă de remarketing/ retargeting/ profilare sau îi băgăm pe gât cu forța cookie-urile pe principiul „mi-a sfințit preotul site-ul și nu vine autoritatea să mă verifice”.

Înainte de a trata subiectul cookie-urilor trebuie să înțelegem puțin principiul cheie al GDPR: „ce ție nu-ți place altuia nu-i face” (Give Data Proper Respect). Și de asemenea trebuie să înțelegem foarte bine ce înseamnă date cu caracter personal. Și mai trebuie să luăm în calcul poziția IAB, Internet Advertising Bureau, o asociație care stabilește normele și ghidurile de bune practici în ceea ce înseamnă publicitatea online.

„Ce ție nu-ți place” – toată lumea s-a șocat când a auzit de Facebook și Cambridge Analytica și de faptul că sunt milioane de alți jucători ce fac chestii similare la o scară mai mică sau chiar mai mare. Unul din instrumentele folosite pentru profilarea utilizatorilor poate fi chiar cookieul. Un cookie este un fișier text pe care un site îl trimite browserului să-l stocheze pe dispozitiv pentru a reţine informații despre utilizator: informații de conectare, preferințe de limbă dar și pentru a urmări utilizatorul pe unde se „plimbă” pentru a-i oferi conținut și reclame mai re levante. Practic pentru a-l profila, mai bine sau mai prost. Cookie-ul poate să nici nu fie neapărat al site-ului ci al unei părți terțe iar tu ca utilizator să nici nu știi că cineva te urmărește.

Dar cum să știe că tu ești, să zicem, Ion Popescu din Dragomirești-Deal? Și aici vine noțiunea de „date cu caracter personal”. Spre diferență de PII – personal identifiable information – datele cu caracter personal reprezintă orice informații sau seturi de informații ce pot duce la identificarea unei persoane direct sau indirect. Adică nu trebuie tu să știi că un cookie este al lui Ion Popescu ci o mașină să fie în stare să îl identifice pe Ion Popescu doar pe baza comportamentului său online. Sau legând efectiv diverse informații despre un anumit IP sau alt identificator online. Mulți dintre clienții mei s-au șocat să vadă ce a fost în stare să determine de exemplu Google despre ei doar pe baza comportamentului lor online (și Google este unul dintre jucătorii foarte transparenți!).

Ce zice IAB? IAB a publicat un framework, un set de bune practici denumit Transparency Consent Framework – dezbaterea, prezentările și modurile de implementare le regăsiți la http://advertisingconsent.eu/ . Dincolo de prezentarea framework-ului IAB-ul dă trei seturi de recomandări pentru consimțământul asupra cookie-urilor:

  • consimțământ/ respingere pentru TOATE cookie-urile ne-necesare site-ului (cele de care nu depinde funcționarea siteului, cum ar fi cele statistice și de marketing),
  • consimțământ/respingere pentru SCOPUL cookie-urilor (de marketing, de statistică etc),
  • consimțământ/respingere pentru VENDOR-ul cookie-urilor (Google, Taboola etc). Implicit cookie-urile ne-necesare trebuie să fie oprite, cu excepția cazului în care există un TEMEI LEGAL ca ele să fie pornite.

Și aici vine de fapt inspirația și creativitatea departamentelor de marketing în a găsi temeiul legal pentru care poți urmări utilizatorii (de exemplu interesul legitim al operatorului când acesta prevalează asupra drepturilor și libertăților persoanelor vizate – dar este genul de temei legal ușor contestabil deci ai trebuie să decizi dacă merită sau nu riscul).

Oricum se recomandă instalarea unui Cookie Consent Tool care de obicei îți oferă modalități granulare de consimțământ. Cu această ocazie de obicei clienții mei descoperă o tonă de cookie-uri de care nu mai au nevoie, uitate prin diverse colțuri ale site-ului. Și se face curățenia generală. Însă contează mult să îți dai seama exact ce vrei exact cu cookieurile tale, de ce ai nevoie de ele. Pentru că doar așa îți dai seama dacă este business-critical să menții un cookie, să fii sigur că datele personale ce pleacă prin acel cookie la un terț sunt bine protejate și nu sunt folosite în alte scopuri și să îți convingi utilizatorii să creadă în cookie-urile tale și în site-ul tău.

Și, ghici ce, asta ține fix de „ce ție nu-ți place…”. Ține de cei șapte ani de acasă…

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 55-57. 

AM UN IMM: CUM MA POT ALINIA LA GDPR?

DEDICAȚIE

Închin acest articol unui prieten bun care de peste 25 de ani s-a dedicat promovării tehnologiei informației. Imaginea lui Romi Maier se suprapune practic cu istoria presei de IT din Romania. O presă de calitate, fără de care nu s-ar fi vorbit de o industrie IT în România. O pierdere inegalabilă pentru familie, pentru prieteni, pentru presă și pentru industrie. Drum bun, Romi, și pacea fie cu tine…


De la bun început mulți considerau IMM-urile ca victime sigure ale GDPR, prin lipsa posibilităților de investiții în softuri sofisticate de criptare și de protecție sau în ore scumpe pentru servicii de audit și consultanță… Dar ceea ce mulți nu au luat în considerare, este că de multe ori ca IMM ne putem descurca mult mai bine într-un proiect de reorganizare, investiții și aliniere.

Mărimea nu mai contează…

Regulamentul are ca principală menire schimbarea modului în care orice organizație obține și administrează datele personale. Chiar dacă majoritatea articolelor și procedurilor din Regulament au în vizor modul în care marile companii administrează datele prelucrate, micile organizații precum micro-întreprinderile sau persoanele fizice sunt obligate în egală măsură să dovedească respect pentru prelucrarea datelor personale.

GDPR se aplică organizațiilor de orice dimensiune, în cazul în care prelucrarea datelor are loc în mod regulat sau dacă procesarea include categorii speciale de date definite în articolul 9 din GDPR. Acest lucru reiese chiar din definițiile Operatorului și Procesatorului de date personale.

Conform GDPR, Art.4.7. “Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile şi mijloacele de prelucrare a datelor cu caracter personal;

Conform Art.4.8. “Procesator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele Operatorului;

Chiar și un consultant sau o persoană fizică autorizată care procesează în mod constant și regulat date personale și date personale cu caracter special poate avea rol de operator de date personale sau de procesator, în funcție de tipul de activitate executată. Dacă există tipuri de servicii în care se stabilesc scopul și mijloacele, specialistul individual poate avea rol de operator asociat în relațiile cu clienții săi. Dacă există tipuri de activități în care specialistul individual execute doar operațiuni solicitate de clienții săi, în acest caz are rol de procesator de date personale, cu toate răspunderile care revin unei asemenea poziții.

Prelucrăm date personale? Deci nu avem încotro…

Chiar dacă nu dispunem de fondurile celor mari, ca manageri ai unei companii mici, suntem direct răspunzători de continuitatea afacerii și implicit suntem dispuși să și investim.  Într-o companie mică, ca întreprinzător suntem și sponsor și șef de proiect. Și sunt mai capabil și mai interesat să îmi aleg cea mai bună și mai eficientă echipă, care de multe ori îi include pe toți ceilalți angajați.

Sunt mai expuse companiile mici la atacuri cibernetice decât cele mijlocii sau mari? Teoretic așa ar trebui să fie, pentru că nu dispunem de infrastructura la care ceilalți au acces. Un studiu Juniper Research apreciază că peste jumătate din IMM-urile din țările UE consideră că sunt în siguranță față de atacurile cibernetice, dar jumătate din acestea au suferit o încălcare a datelor. În acest context, necesitatea de a proteja mai eficient datele cu caracter personal nu a fost niciodată mai evidentă, chiar și la nivel de IMM.

GDPR consolidează protecția informațiilor personale. Indiferent de mărime, toate companiile care își desfășoară activitatea în UE au acum obligația să colecteze, să stocheze și să utilizeze informațiile cu caracter personal într-un mod mai sigur. Deși există puține domenii în care IMM-urile sunt recunoscute ca având mai puține resurse și capacități decât întreprinderile mai mari, întreprinderile mici pot să se bucure de o anumită marjă de manevră în ceea ce privește documentația și păstrarea înregistrărilor. Gradul de libertate în acest stadiu este încă incert.

Guvernul britanic estima recent că doar 40% dintre întreprinderile cu mai puțin de 50 de angajați și doar 66% dintre firmele  cu 50-249 de persoane au fost conștiente de importanța GDPR.

 

5 motive serioase pentru aliniere

Iată cinci motive serioase pentru care IMM-urile trebuie să înțeleagă urgent acest regulament și să-și alinieze procesele cu acesta:

1. GDPR vine cu noi drepturi, deci noi obligații – În primul rând, GDPR oferă persoanelor noi drepturi asupra datelor lor personale. Teoretic, acum putem merge la o bancă sau la un supermarket ca să le cerem să ne șteargă datele din sistemele lor.  Teoretic, pentru că practice vom obține asta peste cel puțin 10 ani…

A, un drept real este acela de a cere mutarea datelor de la un furnizor de servicii la altul. Asta chiar se poate. De exemplu, mutarea dosarului de la un furnizor telco la altul. Dar asta nu înseamnă că vechiul furnizor ne va șterge datele.

2. Furnizorii sunt acum sub microscop – GDPR vine și cu noi responsabilități asupra procesatorilor de date. Dacă procesăm date în numele unui operator, trebuie să păstrăm instrucțiunile acestuia pentru a fi aliniați GDPR. Dacă fac o greșeală ca procesator, o fac pe barba mea și pot fi tras direct la răspundere.

3. Avem sau nu nevoie de DPO? – la nivel de IMM, evident că nu. Asta nu exclude recomandarea de a numi o echipa de proiect și un responsabil de proiect cu rol de coordonator. Sunt sarcini permanente, chiar și într-un IMM, precum ținerea evidențelor de procesare, consimțământ sau breșe, pe lângă ingrata sarcină de a prelua asimilarea politicilor interne în toate departamentele.

4. Angajații ca verigă slabă – studiile arată că cel puțin o treime din vulnerabilitățile datelor personale se datorează erorii personalului. Nu există nici un substitut pentru instruirea angajaților cu privire la responsabilitățile lor de bază în cadrul GDPR. În plus, asigurați-vă că specialiștii companiei dvs., cum ar fi comercianții, reprezentanții HR și membrii consiliului, primesc o instruire specifică referitoare la rolurile lor despre ceea ce trebuie să facă pentru a se conforma GDPR.

5. Trebuie să le spunem clienților ce facem cu datele lor – conform GDPR, clienții au dreptul de a fi informați – într-un limbaj clar – cu privire la ceea ce facem cu datele lor personale. Politica noastră de confidențialitate online trebuie să fie scrisă în limbaj simplu, spunând clienților despre locul unde obținem datele, ce facem cu ele și cu cine le împărțim. Dacă avem o pagină web pentru afacerea noastră, e musai să punem crezul nostru privind confidențialitatea pe site, în pagina Confidențialitate date personale.

Companiile mici sau specialiștii individuali care își asigură conformitatea GDPR beneficiază nu numai de procese de afaceri mai sigure și mai profesionale, ci și de un cert avantaj competitiv față de concurenții care nu au dat mare importanță prevederilor noului regulament. Conformitatea GDPR este o etichetă de încredere, loialitate și respect față de clienți și parteneri și față de datele personale pe care aceștia ni le încredințează.

Parte din acest conținut poate fi regăsit în articolul ”Am un IMM: cum pot deveni compatibil GDPR? ” publicat pe 16 iulie pe site-ul ittrends.ro și în revista IT Trends din iulie 2018.

Despre GDPR și respectul pentru interlocutor

 

 

Anca CRAHMALIUC

Anca Crahmaliuc este expert în domeniul Corporate Affairs, PR și Marketing B2B, cu experiență exhaustivă in coordonarea de activități și echipe Marketing & Communications în organizații multinaționale. Este absolventă a programului MBA dezvoltat de Tiffin University în parteneriat cu Universitatea București.

 

 

Mai există viață în marketingul B2B după 25 mai 2018?

Cu siguranță. Intrarea în funcțiune a regulamentului european referitor la protecția datelor personale nu numai că nu diminuează valoarea acțiunilor de marketing, ci o crește semnificativ din punct de vedere calitativ. Cum? Prin credibilizare și eficientizare.

Este evident că, mai ales în ultimul deceniu, evoluția amețitoare a mijloacelor electronice de comunicare a condus la o creștere exponențială a mesajelor de marketing. Multe, tot mai multe. Le citește cineva? Nu știm și nu contează. Să fie cât mai multe, adresate cât mai multor persoane. Sunt aceste persoane în grupul nostru țintă? Nu prea știm și nici nu prea contează.

Dacă sunt mulți, poate s-or și nimeri destui care să fie între cei care ne-ar putea fi potențiali clienți. Nu cumva îi spamăm? N-au decât să-și pună filtre… Și dacă nu știu să facă asta? Atunci să șteargă mesajele și gata…

Am consemnat o succesiune de posibile întrebări și răspunsuri schimbate în ultimii ani între oamenii din departamentele de vânzări și marketing dintr-o organizație din orice industrie. Vânzările sunt esențiale pentru supraviețuirea companiei. Deci, să facem cât mai multe vânzări. Eventuale obiecții ridicate timid pot fi interpretate ca o lipsă de interes pentru soarta firmei…deci nu le mai ridicăm. Și totuși….ce șanse sunt ca o persoană complet neinteresată de produsele noastre să le și cumpere? Nu cumva agresând-o cu informații nesolicitate vom genera chiar o reacție de adversitate?

Prevederile GDPR se aplică în orice situație sunt prelucrate „date cu caracter personal”. Acest lucru înseamnă că ele includ toate persoanele identificate în mod direct sau indirect, și chiar dacă ele au alocări profesionale declarate. Pe scurt, dacă dețineți numele și un număr de telefon și/sau o adresă de email ale unui contact de business, ele intră sub incidența regulilor GDPR.

Este nevoie ca orice acțiune de marketing B2B să se bazeze pe consimțământ?

Nu chiar totdeauna. Consimțământul este o bază legală pentru procesarea datelor, dar pot exista situații în care acțiuni de marketing B2B să fie justificate de „interese legitime”. Chiar și în acest caz însă, uneori, e nevoie de consimțământ pentru a respecta prevederile Privacy and Electronic Communications Regulations cunoscut și ca ePrivacy.

Când ne putem baza în acțiunile de marketing B2B pe interesul legitim?

Interesul legitim poate justifica activități de marketing B2B dacă puteți arăta că modul în care folosiți datele personale este proporționat, are impact minim asupra intimității oamenilor, iar probabilitatea ca adresanții mesajelor de marketing să fie surprinși de acțiunile dv sau chiar să obiecteze față de acestea să fie minimă – dar numai cu condiția să nu intrați sub incidența ePrivacy. GDPR nu înlocuiește ePrivacy – trebuie să respectați prevederile ambelor prevederi legislative în activitățile dv. de marketing B2B.

UE este pe cale să înlocuiască actuala lege privind ePrivacy cu noua ePrivacy Regulation (ePR). Cu toate acestea, noul ePR nu este încă aprobat și, în consecință, continuă să se aplice actualele reguli ePrivacy (cu o nouă definiție pentru consimțământ) până când noul ePR va fi finalizat.

Consimțământul implică punerea la dispoziția persoanelor a unor mijloace reale de alegere și control. Un consimțământ autentic responsabilizează persoana care îl oferă, construiește o relație bazată pe încredere și angajament și vă consolidează reputația. Oferirea consimțământului trebuie să fie evidentă și necesită o acțiune pozitivă, manifestată prin opt-in. Solicitarea consimțământului trebuie să fie proeminentă, neîngrădită de alți termeni sau condiționări, formulate concis, ușor de înțeles și utilizat de către adresant. Operatorul care cere consimțământul trebuie să-și comunice numele, scopurile și tipurile de activități de prelucrare a datelor cu caracter personal. Nu în ultimul rând, celui care a oferit consimțământul trebuie să i se garanteze posibilitatea de a-l retrage ușor, în orice moment dorește acest lucru.

Cum și cui trimitem mesaje de marketing B2B?

Comercianții individuali și unii parteneri sunt tratați ca persoane fizice așa că puteți să le trimiteți mesaje de marketing numai pe bază de consimțământ exprimat explicit sau dacă au cumpărat un produs similar de la dv în trecut și nu au activat opțiunea opt-out când le-ați oferit această posibilitate. Trebuie totuși să includeți în mesaj opțiunile de „opt-out” sau „unsubscribe”.

Puteți transmite mesaje de marketing către orice instituție publică sau privată (de exemplu pe adrese de mail de tip office@organizatie.xxx). Este, totuși, recomandabil și uzual în sensul bunelor practici de business să aveți o listă de tip „nu trimite mesaj” cuprinzând organizațiile care obiectează sau își exprimă opțiunea de opt out, și să aveți grijă să verificați că nu se regăsește în nicio campanie de marketing pe care o desfășurați.

Atunci când trimiteți pe mail mesaje de marketing către angajații oricărei organizații care au adrese de business personale (de exemplu prenume.nume@organizație.xxx) se aplică toate prevederile GDPR.

Ce se întâmplă cu telemarketingul?

Puteți apela telefonic orice organizație de la care ați obținut consimțământul în acest sens, de exemplu prin bifarea opțiunii „opt in”. De asemenea, puteți telefona la orice organizație aflată pe liste publice, cu condiția ca acestea să nu se fi opus în trecut să le contactați. Și în acest caz se impune existența unei liste de tip „nu suna”.

Regulile privind apelurile automate sunt mai stricte. Utilizarea sistemelor de apelare automată, cu redarea unui mesaj înregistrat, nu se poate face în absența unui consimțământ explicit referitor la acest tip de abordare. Consimțământul general dat pentru acțiuni de marketing sau chiar pentru apeluri directe nu acoperă apelurile automate.

În mod evident, aceste prevederi sunt de mult bun simț în business. Ce valoare poate avea un mesaj nedorit sau, și mai grav, transmis împotriva dorinței adresantului? Cu siguranță, nu numai că nu ajută vânzările sau notorietatea companiei, ci le ruinează…

…dar cu newsletter-ele?

Trimiterea de newslettere și campaniile de emailing în general sunt asimilate acțiunilor generale de marketing B2B. În consecință, procesarea datelor cu caracter personal implicate necesită acordul explicit. Procesarea este permisă pe bază de consimțământ sau o justificare legală. De exemplu, o astfel de situație se întâlnește când între cei care trimit și cei care primesc mesajele de marketing exista o relație relevantă, proporționată. Comunicarea cu clienții existenți sau persoanele pentru care se prestează anumite servicii ar putea să se desfășoare fără consimțământ.

De asemenea, dacă o companie are un interes justificat pentru a se prezenta pentru prima data în fața unor potențiali clienți (cold acquisition) o poate face prin email marketing fără consimțământ. Aceștia din urmă își pot exprima opțiunea de a nu mai primi informații prin newsletter sau email, respectiv de a nu li se folosi datele pentru scopuri de marketing. Trebuie avut în vedere că prin coroborarea articolului 95 din GDPR cu articolul 13, paragraf 1 din directive ePrivacy 2002/58 reiese că în acest moment, emailingul nu se poate realiza decât pe bază de consimțământ.

Să recapitulăm

Trebuie să le spuneți oamenilor:

  • ce faceți cu datele lor,
  • care sunt scopurile pentru care procesați datele,
  • care este baza legală care permite procesarea informațiilor
  • cât timp doriți să păstrați datele cu caracter personal
  • cu cine partajați informațiile despre ei

Dacă faceți acțiuni de marketing direct în care vă bazați pe interesul legitim, adresanții au în mod absolut dreptul de a obiecta și sunteți obligați să opriți procesarea datelor care îi privesc.

Dacă acțiunile dv de marketing se desfășoară pe bază de consimțământ, persoanele care l-au oferit au dreptul să și-l retragă în orice moment. Atunci, trebuie să opriți procesarea. În fond, GDPR este despre modul în care trebuie să ne purtăm unii cu alții. Ce ție nu-ți place, altuia nu-i face… că aproape sigur nu-i place.

GDPR va implica unele costuri suplimentare și pe partea de marketing. Pe de-altă parte, vor fi mai bine folosiți banii irosiți în construirea de baze de date nerelevante și campanii gândite strict din perspective cantitative. Rata de răspuns infimă a campaniilor de emailing sau dialogurile tensionate purtate de operatorii de telemarketing spun fără echivoc același lucru: și marketingul B2B trebuie făcut cu respect pentru interlocutor.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 47-50. 

WORKSHOP GDPR PENTRU HR ȘI AGENȚII DE RECRUTARE

 

În urma succesului înregistrat în edițiile precedente, GDPR Ready ACADEMY și iBusinesss România orgnizează o nouă sesiune de workshopuri dedicate implicțiilor GDPR în ecosisremul Resurselor Umane.

 Astfel, pe 4 iulie vă invităm să participați la sesiunea de instruire: ” Provocări GDPR pentru departamentele de HR și Agențiile de Recrutare”.

Locație: Casa Filipescu – Cesianu, Calea Victoriei nr. 151 (colt cu str. Sevastopol, la 2 min. de stația de metrou Victoriei)

Durata: 6 ore

Preț 350 RON

Pentru înregistrare intrați pe site-ul:

https://ibusinessevents.ro/curs-gdpr-pentru-departamentele-de-resurse-umane-si-agentiile-de-recrutare/

 

De ce e nevoie să ne aliniem la GDPR în Recrutare și Resurse Umane?

Orice specialist angrenat în activități de recrutare și administrare a resurselor umane trebuie să înțeleagă importanța noului Regulament EU 2016/ 679 pentru activitățile curente și trebuie să adopte toate măsurile necesare pentru asigurarea alinierii serviciilor oferite cu prevederile GDPR. Tratarea superficială a acestor probleme poate genera situații nedorite prin care renumele organizației și credibilitatea în relațiile de business pot fi serios afectate, pe lângă posibilele sancțiuni de ordin financiar.

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. Există o serie de industrii în care operațiunile curente de prelucrare a  datelor cu caracter personal (financiar – bancar, asigurări, IT&C, telecom, media, etc.) necesită o cunoaștere aprofundată a prevederilor noului regulament.

În același timp, în cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Care este  obiectivul workshopului?

Cursul integrează elementele principale ale regimului juridic privind protecția datelor cu caracter personal, atât prin prisma legislației dreptului intern cât şi al dreptului UE, având în centrul său Regulamentul General UE privind protecția datelor cu numărul 679/2016 dar şi cu legislația specifică  activității de muncă (Codul Muncii).

Din perspectiva proceselor de business, orice companie poate să joace atât rol de operator, cât și de procesator de date personale. Indiferent de profilul activităților principale dintr-o companie, departamentul de resurse umane joacă întotdeauna un rol de operator prin funcția specifică de administrare a tuturor datelor personale ale angajaților, candidaților și foștilor angajați.

Cursul abordează toate activitățile specifice specialiștilor în recrutare de personal și de administrare a resurselor umane dintr-o organizație sau dintr-o agenție care deservește mai multe companii, analizate  din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate de situațiile reale.

Cui ne adresăm?

Acest pachet de instruire a fost gândit pentru specialiștii în recrutare de personal și administrare a resurselor umane din departamentele HR sau agenții specializate, precum și personalului care se ocupă de serviciile auxiliare legate de administrarea angajaților, precum specialiști în pontaje și plăți de salarii, evaluatori de bonificații, inspectori de protecția muncii și medicina muncii, cabinete medicale de întreprindere și administratori.

 Ce subiecte vom aborda

 Workshopul este structurat în 4 secțiuni cu o durată totală de 6 ore – inclusiv pauzele: 

  1. Efectul disruptiv al GDPR – 10 elemente cheie care diferențiază GDPR de legislația actuală – 1 oră
  2. GDPR pentru toți – aspecte esențiale ale GDPR care trebuie cunoscute de toți cei care sunt implicați în activități de prelucrare de date cu caracter personal. 5 ore
  3. Provocări specifice GDPR pentru activitățile de recrutare și resurse umane: ce facem cu CV-urile tuturor aplicaților la o poziție, care este relația recrutare – angajare, cum se procesează și administrează bazele de date ale angajaților și dosarele ce conțin documente pe suport de hârtie, cum pot fi minimizate și anonimizate datele angajaților, ce măsuri elementare de securitate trebuie să păstrăm pentru procesarea și salvarea fișierelor cu date personale, cum comunicăm în siguranță cu partenerii de procesare a datelor precum agențiile partenere, solicităm consimțământul angajaților pentru situațiile în care nu avem un alt temei legal, cum administrăm datele personale cu caracter special –  2 ore
  4. Discuții pe cazuri reale și autoevaluarea cunoștințelor acumulate laworkshop – 1 oră.

5 beneficii esențiale pentru participanți 

  1. Însușirea cunoștințelor esențiale despre GDPR
  2. Discutarea și înțelegerea problemelor cheie pentru specificul activităților de recrutare și administrare a resurselor umane
  3. Kit Materiale suport
  4. Diplomă participare workshop
  5. Self Assessment – Evaluare nivel de pregătire GDPR

PARTICIPAȚI LA WORKSHOPUL GDPR READY ACADEMY ȘI VEȚI PUTEA RĂSPUNDE CELOR MAI DIVERSE PROVOCĂRI RIDICATE DE PROBLEMA PROTECȚIEI DATELORR PERSONALE ÎN RECRUTARE ȘI RESURSE UMANE

 

A APĂRUT EDIȚIA A TREIA A CATALOGULUI GDPR

 

 

 

Trustul de presă AGORA Group și inițiativa publică GDPR READY anunță publicarea celei de-a treia ediții a Catalogului GDPR – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Actuala ediție a Catalogului GDPR este dedicată soluțiilor specific pentru diferite epartamentesau verticale industriale.

 

 

 

Ceea ce se întâmplă la aproape o lună după intrarea în vigoare a noului Regulament EU 2016/ 679 demonstrează că piața românească nu este încă pregătită pentru importanța momentului. Departamentele de HR nu sunt conștiente de rolul lor de operator de date senzitive. Oamenii de marketing nu știu ce să facă cu vechile baze de date. Forțele de vânzări nu sunt instruite pentru introducerea prospecților în CRM.  Foarte puține contracte conțin clauze explicite de confidențialitate a datelor personale. Majoritatea site-urilor comerciale condiționează consimțământul clienților de accesul la conținut. Firmele mici habar nu au ce e de făcut.

Câteva constatări după momentul 25 mai:

  • Inexistența unei Politici elementare de IT la nivelul unor organizații mijlocii și mari. Chiar și acolo unde există niște norme interne, acestea nu se aplica.
  • O mare harababură privind procesarea, păstrarea și transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților.
  • Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază și se aplică șabloane culese de pe site-uri, fără a se înțelege esența principiilor GDPR.
  • Lipsa de interes a unor manageri de departamente – altele decât HR, FINANCIAR, Juridic, IT – care cred ca ei nu au nicio responsabilitate și că e treaba altora să își bata capul cu asta…
  • Inexistența unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea și transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele lor în business, închistați fiind de necunoaștere, neînțelegere si preluarea inadecvată a unor “sfaturi de bine”. ”GDPR nu e pentru noi”, ”Nimeni nu e fericit cu GDPR-ul acesta” sau ”Suntem prea mici ca să ni se întâmple ceva” sunt expresii des întâlnite în piață.

Prin ”GHIDUL GDPR PE VERTICALE” vrem să vă oferim câteva elemente despre activitățile concrete pe care trebuie să le abordăm în funcție de problemele specifice și provocările cu care se confruntă departamentele cheie dintr-o companie, precum resursele umane, marketingul și vânzările,  de la maparea proceselor de business și a datelor, la analizele de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație.

>> CITIȚI AICI CATALOGUL GDPR ONLINE!

Printre subiectele abordate în cadrul acestui Ghid sub forma a 25 de întrebări și răspunsuri despre B2B, IMM, HR, Marketing, Data Centere, Distribuție, ISO 27001 și Cultura GDPR pot fi menționate:

  • Ce înseamnă GDPR pentru B2B
  • Ce trebuie să facă o companie IMM pentru asigurarea conformității
  • Importanța GDPR pentru resursele umane și administrarea relațiilor cu angajații
  • Care sunt fluxurile de date în ecosistemele HR
  • Provocări pentru marketingul direct sub GDPR
  • Elemente de referință pentru o nouă strategie de marketing
  • Cum scăpăm de miturile legate de obligativitatea consimțământului
  • Impactul GDPR asupra furnizorilor de servicii datacenter și Cloud
  • Cum ne ajută standardul ISO27001 la implementarea mai ușoară a GDPR
  • Care sunt noile reguli privitoare la supravegherea video
  • Cultura GDPR și importanța pentru păstrarea conformității pe termen lung.

Ca și la edițiile anterioare, Ghidul este însoțit de recomandările unor specialiști din diferite domenii, care în actualul ghid vorbesc despre:

  • Dana Cristina MATACHE –”Aplicarea GDPR pentru departamentele de resurse umane și recrutare”
  • Tudor GALOS -”Cei 7 ani de acasă în politica de Cookies
  • Anca CRAHMALIUC –”Despre GDPR și respectul pentru interlocutor
  • Iulian MATACHE –”Provocări aduse de datele cu caracter personal in industria telecom
  • Dan Cristian MATEI –”ISO 27001 – un sprijin real pentru conformitatea  GDPR/RGPD
  • Daniel SUCIU –”Rolul și problemele departamentului IT în implementarea GDPR
  • Ion IORDACHE –”Australia, o țară non-UE conștientizează impactul GDPR asupra mediului său de afaceri

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de tehnologia informației.

Le mulțumim partenerilor de la AXIS Communications, BENTO, BINBOX, High Tech Systems & Software, Romsym Data, Star Storage, Tryamm, Veritas și Zitec pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate în secțiunea GDPR Ready de pe site-ul cloud☁mania
  • Ghidul de orientare rapidădin Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPRdin Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Readype LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

Ca o concluzie la o lună după 25 mai, aș puncta faptul ca dincolo de inexistenta unor tehnologii adecvate care pot rezolva o bună parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frână în adopția GDPR sunt oamenii, care nu sunt învățați sa respecte niște norme și proceduri elementare. Și plecând de la aceasta, nu atingerea unor condiții de conformitate GDPR va fi principala problemă în orice companie, ci păstrarea acestora pe termen lung…

 

WORKSHOPURI GDPR SPECIALIZATE PENTRU HR ȘI MARKETING

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. În cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Plecând de la cerințele pieței, am inițiat un Program  de Cursuri de formare profesională organizate pe model workshop care se focalizează pe principalele provocări GDPR pentru activități/ departamente/ organizații cu expunere mai ridicată.

Pentru început, GDPR READY ACADEMY vă oferă două categorii de workshopuri dedicate activităților de

  • Resurse Umane & Recrutare
  • Marketing & Vânzări

În zilele de 23 și 24 mai, GDPR Ready ACADEMY și iBusinesss România orgnizează workshopurile tematice:

Provocări GDPR pentru departamentele de HR și Agențiile de Recrutare,  în data de Miercuri, 23 Mai, la DoubleTree by HiltonStrada Nerva Traian nr.3 A, Sector 3, București, 4 secțiuni în 6 ore, pauzele de cafea și masa de prânz incluse, preț – 350 lei, înregistrarea se face la:

https://ibusinessevents.ro/curs-gdpr-pentru-departamentele-de-resurse-umane-si-agentiile-de-recrutare/

Provocări GDPR în Marketing și Vânzări, va avea loc Joi, 24 Mai, aceeași locație, 4 secțiuni în 6 ore, pauzele de cafea si masa de prânz incluse, preț – 350 lei, înregistrarea se face la: https://ibusinessevents.ro/curs-gdpr-in-marketing-vanzari/

Participând la curs, veți înțelege și rezolva toate problemele cheie pentru activitățile specifice departamentelor aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, analizate  din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate din situații reale.

ANGAJAȚII CEL MAI PREȚIOS ASSET AL UNEI COMPANII: HAIDEȚI SĂ LE PROTEJĂM MAI BINE DATELE PERSONALE!

De ce e nevoie să ne aliniem la GDPR în Recrutare și Resurse Umane?

Orice specialist angrenat în activități de recrutare și administrare a resurselor umane trebuie să înțeleagă importanța noului Regulament EU 2016/ 679 pentru activitățile curente și trebuie să adopte toate măsurile necesare pentru asigurarea alinierii serviciilor oferite cu prevederile GDPR. Tratarea superficială a acestor probleme poate genera situații nedorite prin care renumele organizației și credibilitatea în relațiile de business pot fi serios afectate, pe lângă posibilele sancțiuni de ordin financiar.

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. Există o serie de industrii în care operațiunile curente de prelucrare a  datelor cu caracter personal (financiar – bancar, asigurări, IT&C, telecom, media, etc.) necesită o cunoaștere aprofundată a prevederilor noului regulament.

În același timp, în cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Care este  obiectivul workshopului?

Cursul integrează elementele principale ale regimului juridic privind protecția datelor cu caracter personal, atât prin prisma legislației dreptului intern cât şi al dreptului UE, având în centrul său Regulamentul General UE privind protecția datelor cu numărul 679/2016 dar şi cu legislația specifică  activității de muncă (Codul Muncii).

Din perspectiva proceselor de business, orice companie poate să joace atât rol de operator, cât și de procesator de date personale. Indiferent de profilul activităților principale dintr-o companie, departamentul de resurse umane joacă întotdeauna un rol de operator prin funcția specifică de administrare a tuturor datelor personale ale angajaților, candidaților și foștilor angajați.

Cursul abordează toate activitățile specifice specialiștilor în recrutare de personal și de administrare a resurselor umane dintr-o organizație sau dintr-o agenție care deservește mai multe companii, analizate  din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate de situațiile reale.

Cui ne adresăm?

Acest pachet de instruire a fost gândit pentru specialiștii în recrutare de personal și administrare a resurselor umane din departamentele HR sau agenții specializate, precum și personalului care se ocupă de serviciile auxiliare legate de administrarea angajaților, precum specialiști în pontaje și plăți de salarii, evaluatori de bonificații, inspectori de protecția muncii și medicina muncii, cabinete medicale de întreprindere și administratori.

 Ce subiecte vom aborda

 Workshopul este structurat în 4 secțiuni cu o durată totală de 6 ore – inclusiv pauzele: 

  1. Efectul disruptiv al GDPR – 10 elemente cheie care diferențiază GDPR de legislația actuală – 1 oră
  2. GDPR pentru toți – aspect esențiale ale GDPR care trebuie cunoscute de toți cei care sunt implicați în activități de prelucrare de date cu caracter personal. 5 ore
  3. Provocări specifice GDPR pentru activitățile de recrutare și resurse umane: ce facem cu CV-urile tuturor aplicaților la o poziție, care este relația recrutare – angajare, cum se procesează și administrează bazele de date ale angajaților și dosarele ce conțin documente pe suport de hârtie, cum pot fi minimizate și anonimizate datele angajaților, ce măsuri elementare de securitate trebuie să păstrăm pentru procesarea și salvarea fișierelor cu date personale, cum comunicăm în siguranță cu partenerii de procesare a datelor precum agențiile partenere, solicităm consimțământul angajaților pentru situațiile în care nu avem un alt temei legal, cum administrăm datele personale cu caracter special –  2 ore
  4. Discuții pe cazuri reale și autoevaluarea cunoștințelor acumulate la workshop – 1 oră.

Care sunt cele 5 beneficii ale participanților 

  1. Însușirea cunoștințelor esențiale despre GDPR
  2. Discutarea și înțelegerea problemelor cheie pentru specificul activităților de recrutare și administrare a resurselor umane
  3. Kit Materiale suport
  4. Diplomă participare workshop
  5. Self Assessment – Evaluare nivel de pregătire GDPR

PARTICIPAȚI LA WORKSHOPUL GDPR READY ACADEMY ȘI VEȚI PUTEA RĂSPUNDE CELOR MAI DIVERSE PROVOCĂRI RIDICATE DE PROBLEMA PROTECȚIEI DATELORR PERSONALE ÎN RECRUTARE ȘI RESURSE UMANE

 

EXISTĂ MARKETING ȘI DUPĂ GDPR: SERVICII DE ÎNCREDERE ȘI DE CALITATE CRESCUTĂ

De ce e nevoie să ne aliniem la GDPR în marketing și vânzări

Orice agenție sau departament de marketing și vânzări trebuie să înțeleagă importanța noului Regulament 2016/ 679 pentru activitățile curente și trebuie să adopte toate măsurile necesare pentru asigurarea alinierii serviciilor oferite cu prevederile GDPR. Tratarea superficială a acestor probleme poate genera situații nedorite prin care renumele organizației și credibilitatea în relațiile de business pot fi serios afectate, pe lângă posibilele sancțiuni de ordin financiar.

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. Există o serie de industrii în care operațiunile curente de prelucrare a  datelor cu caracter personal (financiar – bancar, asigurări, IT&C, telecom, media, etc.) necesită o cunoaștere aprofundată a prevederilor noului regulament.

În același timp, în cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Care este  obiectivul workshopului?

Cursul integrează elementele principale ale regimului juridic privind protecția datelor cu caracter personal, atât prin prisma legislației dreptului intern cât şi al dreptului UE, având în centrul său Regulamentul General UE privind protecția datelor cu numărul 679/2016 dar şi o legislație specială, care trebuie privită ca un sistem interdependent cunoscută sub numele de ePrivacy.

Cursul abordează toate activitățile specifice departamentelor  de marketing – vânzări din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate de situațiile reale.

Cui ne adresăm?

Acest pachet de instruire a fost gândit pentru specialiștii cu funcții manageriale în departamentele de marketing și vânzări: directori de vânzări, account manageri, agenți de teren, directori de marketing, manageri de comunicare, specialiști în relații publice, administratori site-uri comerț electronic, manageri de produs, manageri pentru relația cu partenerii, manageri de servicii de relații cu clienții, etc.

Ce subiecte vom aborda?

 Workshopul este structurat în 4 secțiuni cu o durată totală de 6 ore – inclusiv pauzele:

 Efectul disruptiv al GDPR – 10 elemente cheie care diferențiază GDPR de legislația actuală – 1 oră

  1. GDPR pentru toți – aspect esențiale ale GDPR care trebuie cunoscute de toți cei care sunt implicați în activități de prelucrare de date cu caracter personal. 5 ore
  2. Provocări specifice GDPR pentru departamentele de marketing și vânzări: ce facem cu vechile baze de date de clienți, ce trebuie să conțină notele de confidențialitate de pe paginile Web, portaluri pentru parteneri și clienți, cum putem asigura punerea în practică a principiilor GDPR, cum putem derula campanii media și activități de marketing direct, care sunt limitările asociate transferului internațional de date personale, cum putem realiza liste de prospecți și cum putem actualiza conturile vechi, asemănări și contradicții între GDPR și ePrivacy – 2 ore
  3. Discuții pe cazuri reale și autoevaluarea cunoștințelor acumulate la workshop – 1 oră.

5 beneficii ale participanților 

  1. Însușirea cunoștințelor esențiale despre GDPR
  2. Discutarea și înțelegerea problemelor cheie pentru specificul activităților de marketing și vânzări
  3. Kit Materiale suport
  4. Diplomă participare workshop
  5. Self Assessment – Evaluare nivel de pregătire GDPR

PARTICIPAȚI LA WORKSHOPUL GDPR READY ACADEMY ȘI VEȚI PUTEA RĂSPUNDE CELOR MAI DIVERSE PROVOCĂRI RIDICATE DE PROBLEMA PROTECȚIEI DATELOR PERSONALE ÎN MARKETING ȘI VÂNZĂRI

PARIUL CELOR 100 DE ZILE

Au mai rămas fix 100 de zile până la intrarea în vigoare a noului Regulament european privitor la prelucrarea datelor personale. Să fie 25 Mai 2018 data la care detonează bomba? N-ar trebui să privim așa. Trebuie să ne gândim că este un deadline pentru terminarea și predarea unui proiect. În mod firesc urmează consolidarea și susținerea acestuia.

Mulți apreciază că cele mai mari companii nu au cum să fie gata până atunci. Sunt speculații că ar apărea niște termene de grație. Cât despre companiile mici și mijlocii, proorocii zic că multe or să dispară. Povești. Cu cât o companie este mai mica, și procesele de business sunt mai simple, iar fluxurile de date mai ușor de mapat și implicit datele mai simplu de protejat. Tot ce trebuie să facă un IMM este să cunoască foarte bine prevederile GDPR și să mențină o serie de proceduri obligatorii pentru sănătatea în business. Da, lucrurile nu sunt simple și nu oricine are răbdare să citească cele 99 de articole și 173 de considerații din textul GDPR. Dar pentru asta sunt specialiștii și consultanții. Și mai sunt și diferitele ghiduri elaborate din inițiativele autorităților sau comunității private.

 

Europa are nevoie de firul Ariadnei în labirintul către GDPR

Se cuvine să amintim aici recentul Ghid online  lansat de Comisia Europeană la sfârșitul lunii ianuarie, care conține întrebări și răspunsuri esențiale pentru cetățeni și organizații, în special cele din zona IMM. Important pentru companiile mici și mijlocii din țara noastră este că au la dispoziție și o versiune de conținut a Ghidului în limba română.

Pe această pagină putem găsi un document foarte important pentru analiza procesului de adopție GDPR și în special pentru activitățile care urmează să se desfășoare în sprijinul autorităților locale și al cetățenilor. Este vorba de o ”Comunicare a Comisiei către Parlamentul European și Consiliul Europei” prin care se trec în revistă Orientările Comisiei privind aplicarea directă a Regulamentului general privind protecția datelor de la 25 mai 2018. Documentul recapitulează principalele inovații și oportunități oferite de noua legislație a UE privind protecția datelor, face bilanțul activităților pregătitoare efectuate până în prezent la nivelul UE, evidențiază ceea ce ar trebui să facă în continuare Comisia Europeană, autoritățile naționale pentru protecția datelor și administrațiile naționale pentru finalizarea cu succes a etapei de pregătire, stabilind totodată măsurile pe care Comisia intenționează să le adopte în următoarele luni.

Tot în acest document găsim o evidență a activității Grupului de lucru Articolul 29 – cunoscut sub abrevierea WP29, care reunește toate autoritățile naționale pentru protecția datelor, inclusiv Autoritatea Europeană pentru Protecția Datelor. WP29 joacă un rol esențial în pregătirea punerii în aplicare a regulamentului, prin publicarea de orientări pentru întreprinderi și pentru alte părți interesate. Iată o listă complete a diferitelor ghiduri și recomandări elaborate de Grupul de lucru sau aflate în curs de procesare:

 

Dreptul la portabilitatea datelor Adoptat la 4-5 aprilie 2017
Responsabili cu protecția datelor
Desemnarea autorității de supraveghere principale
Evaluarea impactului asupra protecției datelor Adoptat la 3-4 octombrie 2017
Amenzi administrative Adoptat la 3-4 octombrie 2017
Crearea de profiluri Activitate în curs
Încălcarea securității datelor Activitate în curs
Consimțământul Activitate în curs
Transparența Activitate în curs
Certificarea și acreditarea Activitate în curs
Criterii de referință privind adecvarea Activitate în curs
Reguli corporatiste obligatorii pentru operatori Activitate în curs
Reguli corporatiste obligatorii pentru persoanele împuternicite de către operatori Activitate în curs

Întrucât este esențial ca operatorii să dispună de un set unic și coerent de orientări, ghidurile actuale realizate din inițiative naționale trebuie aduse în conformitate cu cele adoptate de WP29 cu privire la același subiect.

Aceste ghiduri nu sunt bătute în cuie, ci se actualizează prin procese consultative permanente și pe baza celor mai bune practici. Fiecare ghid de recomandări trebuie să fie supus unei consultări publice înainte de a fi finalizat. Responsabilitatea finală pentru aceste orientări revine grupului de lucru instituit prin articolul 29 și viitorului Comitet european pentru protecția datelor. Pentru a crea posibilitatea modificării orientărilor în lumina evoluțiilor și a practicilor, este esențial ca autoritățile pentru protecția datelor să promoveze o cultură a dialogului cu toate părțile interesate, inclusiv cu organizațiile. Este de reținut că în momentul în care apar neclarități referitoare la interpretarea și aplicarea regulamentului, instanțele de la nivel național și de la nivelul UE sunt cele care vor furniza interpretarea definitivă a acestuia. Citiți cu atenție textul Comunicării. Cu siguranță veți mai găsi multe aspect de interes pentru etapele care urmează.

Norme pentru companii și organizații

Ce mai găsim în Ghidul online al Comisiei Europene? În primul rând o serie de întrebări și răspunsuri fundamentale, menite să expliciteze normele aplicabile organizațiilor care procesează date personale. Iată o trecere în revistă a acestora:

Aplicarea regulamentului: ● Cui i se aplică Regulamentul privind protecția datelor? ● Se aplică normele în cazul IMM-urilor? ● Normele de protecție a datelor se aplică datelor referitoare la societăți?

Principiile GDPR: ● Ce date pot fi prelucrate și în ce condiții? ● Scopul prelucrării datelor ●  Cât de multe date se pot colecta? ● Cât timp pot fi păstrate datele și se impune actualizarea lor? ● Ce informații trebuie să le oferim persoanelor ale căror date sunt colectate? ● Privire generală asupra principiilor r

Administrațiile publice și protecția datelor: ● Care sunt principalele aspecte ale Regulamentului general privind protecția datelor (RGPD) pe care ar trebui să le cunoască o administrație publică? ●Cum tratăm solicitările din partea persoanelor fizice? ●Ce se întâmplă dacă o administrație publică nu respectă normele privind protecția datelor?

Temeiul juridic al prelucrării datelor: ●  Motivele prelucrării ●Date sensibile ● Există garanții specifice pentru datele referitoare la copii? ● Pot fi folosite pentru marketing datele primite de un terț?

Obligații: ● Operator/persoana împuternicită de operator ● Sunt identice obligațiile indiferent de volumul de date pe care îl gestionează societatea/organizația mea? ● Ce înseamnă asigurarea protecției datelor „începând cu momentul conceperii” și „în mod implicit”? ● Ce este o încălcare a securității datelor și ce trebuie făcut în cazul unei asemenea încălcări? ● Când este necesară o evaluare a impactului asupra protecției datelor (DPIA)? ● Responsabilii cu protecția datelor ● Ce norme se aplică dacă organizația mea transferă date în afara UE? ● Cum pot demonstra că organizația mea se conformează la GDPR?

Relațiile cu cetățenii: ● Cum trebuie tratate solicitările din partea persoanelor fizice care își exercită drepturile privind protecția datelor? ● Ce date și informații cu caracter personal poate accesa o persoană fizică la cerere? ● Suntem obligați întotdeauna să ștergem datele cu caracter personal dacă o persoană ne cere acest lucru? ● Ce se întâmplă dacă cineva se opune la prelucrarea datelor sale cu caracter personal de către societatea mea? ● Pot persoanele fizice să solicite transferarea datelor lor la o altă organizație? ● Există restricții privind utilizarea proceselor decizionale automate?

Aplicarea legii și sancțiuni: ● Aplicarea legii ● Sancțiuni

Ghilotina amenzilor uriașe

Ce se mai întâmplă în România?  GDPR a ajuns în sfârșit un subiect pe burtierele emisiunilor de știri și un cuvânt cheie în titlurile mari de prin ziare. S-au înmulțit evenimentele de popularizare și conștientizare a noului regulament, ceea ce e bine pentru că GDPR trebuie să ajungă la mase. Personal am mari îndoieli legate de eficiența unora dintre evenimente care își propun să facă awareness, dar percep taxe de participare de peste 100 de euro…

Cu toate astea, mai de frică, mai de spaimă, lucrurile au început să se miște. E bună și spaima, dacă în cele din urmă te convingi că lucrurile sunt serioase și e timpul să faci ceva pentru afacerea ta acum. O bună parte din presiunea care s-a pus pe orice are legătură cu GDPR e legată de ghilotina amenzilor uriașe. Majoritatea covârșitoare a articolelor, prezentărilor și materialelor de popularizare pe care le-am văzut încep cu triada:

  1. Mai ai de trăit până pe 25 mai 2018
  2. Oricând riști o amendă de 20 de milioane de euro
  3. Vin-o la noi și îți arătăm calea…

În acest context, de salutat inițiativa Autorității Naționale de Supraveghere pentru Prelucrarea Datelor cu Caracter Personal (ANSPDCP) de a face puțină lumină în discuțiile legate de amenzile cu care vine GDPR. Într-un Comunicat de presă de la începutul acestei luni Autoritatea explică persoanelor vizate că au posibilitatea de ași exercita drepturile privitoare la protecția datelor personale în mod gratuit, și tot gratuite sunt și plângerile adresate operatorilor sau autorității. Dacă plângerea este admisibilă, aceasta va putea fi urmată de o investigație la operatorul de date reclamat.

Măsurile corective pe care Autoritatea de Supraveghere le va putea dispune în temeiul Noului Regulament General privind Protecția Datelor Personale se referă la: dispunerea unei avertizări în atenția unui operator, acordarea unei mustrări, obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecției datelor, impunerea unei limitări temporare sau definitive, inclusiv o interdicție asupra prelucrării, rectificarea sau ștergerea datelor sau restricționarea prelucrării, etc.” se arată în comunicatul Autorității.

Mai departe se face clarificarea cazurilor în care e nevoie să se aplice sancțiuni cu amendă. Acestea nu vor fi aplicate fără a avea la bază o analiză temeinică, în funcție de circumstanțele fiecărui caz în parte.” Și totuși, ”atunci când se va lua decizia dacă să se impună o amendă administrativă, precum și valoarea acesteia în fiecare caz în parte, se va acorda atenția cuvenită criteriilor prevăzute de Regulamentul General privind Protecția Datelor, astfel încât să se asigure principiul proporționalității,” se specifică în comunicat.

În fine, propunându-și susținerea creșterii nivelului de conștientizare, Autoritatea de Supraveghere se delimitează de opiniile lansate tot mai des în spațiul public, care induc în mod greșit ideea că sancțiunile cu amenzi la nivel maxim sunt singurele măsuri corective la care se poate recurge”. Totodată, Autoritatea se delimitează și respinge publicitatea agresivă a unor terțe părți în încercarea de monetizare a prevederilor Regulamentului General privind Protecția Datelor, prin mediatizarea ”perspectivei de a se aplica amenda maximă de 4% din cifra de afaceri” și acreditarea ideii false că aplicarea amenzii maxime ar fi principalul obiectiv al Regulamentului.

 În toate discuțiile pe care le am cu diferitele organizații și în luările mele publice de cuvânt pledez pentru o atitudine optimist-constructivă în relația cu GDPR, pe care trebuie să îl abordăm cu toată responsabilitatea. Oricine parcurge procedurile și procesele esențiale din proiectul de implementare a conformității GDPR face un mare pas înainte pentru că își pune ordine în toate datele cu care operează, nu numai în datele personale. Odată parcurse niște etape, cele mai multe asimilabile cu un proces de implementare a unui standard de calitate, capeți o încredere mai mare în oportunitățile tale și, ce e cel mai important oferi încredere clienților, partenerilor și angajaților.

Realitatea Augmentată vine cu aplicabilitate nelimitată în industria producătoare

Augmented Reality (AR) este una dintre tehnologiile viitorului care a ieșit deja din sfera cercetărilor aplicative și din interfața platformelor de jocuri și își face drum cu pași siguri către aplicațiile industriale. Realitatea Augmentată este un concept în care lumea reală și modelele virtuale se suprapun într-o unică imagine.

Au devenit virale filmulețele de pe YouTube în care pasagerilor dintr-o stație de autobuz li se induce iluzia unor creaturi fioroase care se îndreaptă către ei. Iluzia este perfectă, iar reacțiile participanților la aceste experimente sunt cât se poate de reale.

Tocmai aceste valențe ale proiectării unor imagini virtuale peste o realitate existentă au început să fie preluate în diferite industrii. Aria de aplicabilitate este practic nelimitată, cu atât mai mult cu cât orice dispozitiv mobil poate fi utilizat pentru rularea aplicațiilor de vizualizare.

Valoarea extinsă oferită de Realitatea Augmentată în procesele digitale de producție

Realitatea Augmentată (AR) ajută inovatorii și dezvoltatorii să construiască experiențe imersive care transformă modul în care utilizatorii creează, operează și livrează produse în lumea inteligentă și conectată a producției digitale.

În noua industrie digitală, AR suprapune lumea digitală și cea fizică, având puterea de a schimba fundamental modul în care oamenii interacționează în fluxul de producție. Atunci când sunt asociate cu datele furnizate de sisteme IoT, aplicațiile AR pot deveni experiențe cu adevărat transformative, determinând multe întreprinderi să-și reconsidere complet modul în care își proiectează, produc, vând, exploatează și deservesc produsele.

Prin includerea AR în strategia IoT, companiile producătoare din întreaga lume oferă claritate și eficiență unei varietăți de inițiative din diverse industrii. Iată câteva exemple de activități în care tehnologia AR poate fi folosită în procesele de producție:

Scheme și Instrucțiuni de lucru – participanții la procesele de fabricație sau specialiștii atelierele de service din pot vizualiza detalii despre produsele aflate pe bandă sau asamblarea diferitelor componente. Beneficiile imediate sunt optimizarea proceselor de fabricație, scurtarea timpului de asamblare, creșterea preciziei și îmbunătățirea considerabilă a performanței.

Proiectare pe baza unui model unic digital – tehnologia AR facilitează colaborarea dintre ingineri și designeri prin facilitățile de vizualizare a prototipurilor virtuale. Folosind procedee de simulare și vizualizare AR echipele de designeri pot modifica în timp real parametrii produselor, obținând versiunea dorită printr-un număr minim de iterații, cu economi considerabile de timp și materiale asociate etapelor de testare.

Instruire specifică fiecărui loc de muncă – procesul educațional bazat pe tehnologii AR poate beneficia de instrumente de vizualizare 3D interactivă a desenelor de prototipuri sau schemelor tehnice, care facilitează etapele de învățare într-o manieră aplicativă.

Marketarea produselor – se știe că în marketingul industrial, o imagine bună vinde marfa. Echipele de marketing și vânzări pot beneficia și ele de avantajele tehnologiilor AR prin facilitarea organizării de demonstrații interactive, vizualizări și showroom-uri digitale unde clienții pot testa în mod virtual performanțele îmbunătățite ale produselor, chiar înainte de lansarea lor pe piață.

Îmbunătățirea eficienței în lanțul valoric prin vizualizarea digitală a produselor

În studiul publicat recent intitulat ”AR: Îmbunătățirea eficienței în lanțul valoric cu vizualizarea digitală a produselor”, compania de cercetare ABI Research explorează beneficiile tehnologiilor AR pentru dezvoltarea, producția și vânzarea produselor. Revizuirea designului și demonstrațiile virtuale au devenit din ce în ce mai importante pentru dezvoltarea și vânzarea produselor. Cu toate acestea, ABI Research a identificat o serie de obstacole care pot împiedica o companie să își valorifice pe deplin potențialul produsului.

Compania de cercetare a ales pentru explorare modul în care Realitatea Augmentată  îmbunătățește dezvoltarea produselor și vânzările în trei domenii cheie:

  • Vizualizarea și interacțiunea produsului: asigură reducerea timpului necesar pentru proiectarea, testarea și vânzarea produselor;
  • Colaborarea în timp real și serviciul la distanță: asigură reducerea costurilor de călătorie prin intermediul comunicațiilor de imagini AR;
  • Ghid de flux de lucru: determină creșterea eficienței lucrătorilor și reducerea ratelor de eroare.

ThingWorx Studio o soluție ce reunește tehnologii AR de vârf pentru mediile de lucru industriale

Unul dintre studiile de caz menționate de ABI Research în studiul amintit este soluția ThingWorx Studio dezvoltată de compania PTC. Soluția combină tehnologii de vârf pentru a crea rapid experiențe AR la o scară care permite adoptarea în fluxurile de producție ale companiilor industriale. ThingWorx Studio conectează spațiile de lucru fizice și digitale și îi ajută pe oameni să lucreze mai inteligent, mai rapid și mai sigur.

ThingWorx Studio oferă o soluție completă pentru clienți, combinând mediul de creație fără coduri, cu mediul UI, cu marcaje de identificare unice numite ThingMarks și o aplicație de vizualizare la nivel de întreprindere numită ThingWorx View. Ca parte a platformei ThingWorx mai mari, ThingWorx Studio oferă tot ceea ce este necesar pentru orice creator de conținut să conecteze rapid “lucrurile” specifice cu informații contextualizate în timp real și să furnizeze mai multe experiențe imersive și semnificative pentru utilizatorii finali din cadrul întreprinderii.

Folosind ThingWorx Studio, creatorii de conținut pot:

  • beneficia de colaborarea la distanță și publicarea experiențelor de design în câteva minute, fără a fi nevoie de scrierea de coduri;
  • Dezvoltatarea de experiențe AR de pregătire pentru producție, folosind Microsoft Hololens
  • Crearea cu ușurință a imaginilor augmentate de înaltă definiție, cu suport pentru Apple ARKit și Google ARCore;
  • Utilizarea conținutului 3D existent pentru a reduce costurile și complexitatea creării de conținut;
  • Simplificarea schimbului de experiență între companiile producătoare, folosind o singură aplicație de vizualizare universală;
  • Importul rapid de imagini vizuale;
  • Îmbunătățirea experiențelor în domeniul Internetului și a sistemelor de business prin intermediul platformei ThingWorx.

Componentele platformei ThingWorx:

ThingWorx Studio – un mediu rapid și eficient din punct de vederea al costurilor ce permite crearea de experiențe AR fără a scrie măcar un cod.

Experience Service –  instrument de administrare a experiențelor AR, oferind informații relevante, contextualizate și analiză pentru fiecare obiect unic identificabil.

ThingWorx View – aplicație pentru un singur utilizator, ce oferă o bogată experiență 3D pentru telefoanele inteligente, tablete sau altfel de dispozitive mobile, ușor de partajat la nivelul unei companii industriale.

ThingMark – Un ThingMark este o imagine unică, plasată pe un obiect fizic, care identifică și declanșează experiențele relevante pentru ThingWorx View.

Photos source: www.ptc.com

Sunteți pregătiți pentru GDPR? Noi suntem pregătiți să vă ajutăm

Acest articol a fost publicat de compania Omega Trust îCatalogul GDPR Ready, Octombrie 2017

Ce este GDPR? Regulamentul European privind Protecția Datelor (GDPR) stabilește principii și măsuri de protecție a datelor cu caracter personal ale cetăţenilor Uniunii Europene pentru companiile și instituțiile care procesează astfel de date. GDPR reprezintă challenge-ul companiilor publice și private din următoarele 12 luni și este prima reglementare completă cu privire la protecția datelor emisă în ultimii 20 de ani care înlocuiește cadrul legislativ actual (Directiva 95/46/CE).

Pentru cine se aplică? Orice activitate instituțională desfășurată la nivelul Uniunii Europene ce procesează date cu caracter personal cu privire la angajați, clienți sau oricare alte entități cu care interacționează trebuie să se alinieze la cerințele GDPR.

Așadar, orice instituție publică sau privată de pe teritoriul Uniunii Europene sau din afara teritoriului Uniunii Europene (dacă manipulează date cu caracter personal ale unor cetățeni ai Uniunii Europene) care colectează, prelucrează și/sau stochează date cu caracter personal trebuie să răspundă prevederilor GDPR.

Ce reglementări aduce GDPR? Dreptul de a fi uitat și dreptul la portabilitatea datelor sunt printre principalele noi drepturi introduse ce vor impune prestatorilor de servicii să știe exact unde se află datele în sistemele lor și să ia măsuri privind ștergerea acestor date dacă este solicitat.

Nevoia de responsabil pentru protecția datelor GDPR mandatează ca toate organismele din sectorul public și cele implicate în monitorizarea sistematică și regulată a persoanelor vizate la scară largă sau în prelucrarea categoriilor speciale de date, vor trebui să angajeze un Responsabil cu Protecția Datelor (DPO).

Operatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

  • pseudonimizarea și criptarea datelor
  • capacitatea de a asigura confidențialitatea,
  • integritatea, disponibilitatea și rezistența sistemelor și serviciilor de prelucrare;
  • capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică;
  • un proces pentru testarea, evaluarea și aprecierea periodica a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării

Efectele neaplicării Neaplicarea prevederilor GDPR coroborată cu apariția unor incidente de securitate de natură să afecteze datele cu caracter personal poate atrage pentru instituții amenzi însemnate de până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală (în funcție de impactul incidentului produs).

Termen de implementare Regulamentul intră in vigoare la data de 25 mai 2018, dată până la care toate entitățile vizate de către GDPR trebuie să pună în aplicare prevederile specifice.

Cum putem sprijini procesul de aliniere la GDPR?

Oferim întregul suport necesar înțelegerii în primă etapă a prevederilor GDPR, a modului în care acestea trebuie transpuse și, ulterior, prin evaluarea modului în care se realizează prelucrarea datelor în companie și identificarea punctelor slabe, respectiv, prin asistarea selectării și implementării măsurilor tehnice și operaționale în cadrul organizației.

Serviciile noastre de consultanță pentru alinierea la GDPR se concentrează în jurul următoarelor module principale:

  • Modulul 1 – Cursuri de introducere și instruire, al căror scop este acela de a prezenta organizației și personalului component cerințele GDPR și modalitatea în care aceste cerințe trebuie puse în aplicare.
  • Modulul 2 – Analiza gap, al cărei scop este realizarea unei evaluari asupra conformității organizației și a sistemului de controale implementat în prezent în raport cu cerințele tehnice și operaționale specifice GDPR în urma căreia se va elabora un plan de acțiuni detaliat pentru corectarea acestor diferențe și, implicit, alinierea organizației la GDPR.
  • Modulul 3 – Analiza modelului de date utiliza, în cadrul căreia se analizează în detaliu impactul GDPR asupra organizației prin identificarea și punerea în evidență a datelor cu caracter personal procesate de organizație. Ca parte a acestei analize, urmărim identificarea activităților, proceselor și fluxurilor operaționale care colectează, prelucrează și stochează datele cu caracter personal. La finalul acestei analize, vom putea contura o imagine asupra datelor cu caracter personal, a tipologiei acestora și a dispunerii lor în cadrul organizației pentru a asigura o implementare uniformă și eficientă a măsurilor tehnice și organizaționale ale GDPR.
  • Modulul 4 – Definirea politicii de prelucrare a datelor cu caracter personal. În cadrul acestei etape, avem în vedere elaborarea pe seama informațiilor colectate în etapele anterioare și a prevederilor GDPR, politica de prelucrare a datelor cu caracter personal în cadrul organizației.
  • Modulul 5 – Implementarea politicilor și procedurilor GDPR. Avem în vedere suportul pentru implementarea într-o manieră uniformă și eficientă a politicilor și procedurilor privind managementul datelor cu caracter personal în cadrul organizației pentru o corectă aliniere la cerințele GDPR.
  • Modulul 6 – Implementarea sistemelor IT de securitate necesare. Putem răspunde necesităților organizației cu privire la sistemele IT de securitate (de exemplu: sisteme de detecție și prevenție a intruziunilor, sisteme de prevenire a scurgerii datelor etc.) prin furnizarea și implementarea unor soluții IT eficiente și potrivite pentru dimensiunea și particularitățile organizației.
  • Modulul 7 – Asigurarea poziției de Responsabil cu Protecția Datelor. Asigurăm experți calificați cu competențe în domeniul protecției datelor pentru îndeplinirea rolului de Responsabil cu Protecția Datelor și execuția responsabilităților specifice în cadrul organizației.

Date de contact: Cosmin Măcăneață, Managing Partner,

 cosmin.macaneata@omega-trust.ro, 0722812812

 

GDPR deschide mari oportunități în distribuția IT

Alinierea la GDPR vine cu multe teme de îngrijorare pentru companiile dintr-un ecosistem de distribuție, dar și cu un imens potențial de vânzare a soluțiilor din portofoliu. Noul Regulament european privitor la protecția datelor poate avea un efect de bumerang. A apărut din nevoia de aliniere a drepturilor cetățeanului european la evoluția tehnologică a mijloacelor de recoltare, comunicare, procesare și stocare a datelor personale.

Deși cauza poate fi privită ca tehnologică prin excelență, punerea în aplicare a GDPR este un proces esențialmente de business, care prin implicații poate fi asimilat cu un mare pas înainte în procesul ireversibil de transformare digitală. Poate avea tandemul business-tehnologie un rol de perpetuum mobile? Cu siguranță, atâta timp cât în centrul oricărei politici de dezvoltare stă individul și drepturile sale fundamentale.

Keep Calm and Prepare for GDPR

Nu vă pierdeți cu firea. Totul trebuie privit cu optimism. Pentru o companie IT orice procedură și demers de obținere a unui nivel de confort echivalent cu conformitatea noului Regulament nu ar trebi să fie o problemă. La urma urmelor, implementarea GDPR este un proces de project management, similar cu procedurile de obținere a conformității cu diferite standarde.

Avantajul imens oferit de aderarea la GDPR reprezintă o uriașa oportunitate pentru companiile din IT. Demonstrați clienților că sunteți GDPR Ready și veți câștiga în fața concurenței. Ajutați clienții să își rezolve gap-urile tehnologice recomandându-le soluțiile voastre. GDPR vă facilitează accesul la o imensă piață. Deveniți partenerii clienților voștri și veți avea șansa  să vă promovați soluțiile din portofoliu.

Canalul de distribuție ca ecosistem de informații

Tipologia ecosistemului ce caracterizează o rețea de distribuție e foarte complexă: distribuitori, wholeselleri, reselleri, VAR-i, integratori de sistem, firme de servicii și consultanță, retaileri, showroom-uri, magazine online, precum și o complicată subrețea de furnizori de servicii de logistică, depozite, curierat, transporturi, case de credite și de asigurări, și altele. Și nu în cele din urmă, clienții.

Să luăm de exemplu un distribuitor de dimensiuni medii, care are contracte teritoriale de distribuție pentru 15-20 de branduri, cu proveniență din diferite zone ale lumii. Într-un proces clasic de distribuție rolul unui astfel de distribuitor este cel de procesator – sau intermediar, verigă într-un flux de date care vine dinspre cei care lucrează direct cu utilizatorul final, și merge către un vendor, care în majoritatea cazurilor are și rolul de operator de date.

Colectarea datelor personale este paralelă cu procesul de vânzare, multe dintre soluțiile distribuite având asociată obligativitatea furnizării de date despre utilizatorul final, fie elemente de identificare asociate cu licențele software perpetue, fie identificatori de logare – în cazul soluțiilor Cloud, fie date asociate documentelor de garanție și mentenanță specifice echipamentelor hardware.

Din punctul de vedere al atribuțiilor  GDPR, un distribuitor este în marea majoritate a cazurilor procesator de date, cu subordonare de business în relație cu vendorii, care au rolul de operatori. Păstrând această perspectivă, un reseller va avea întotdeauna o poziție de sub-procesator față de fiecare dintre distribuitorii cu care lucrează. De multe ori vendorii nu sunt nici ei beneficiari direcți ai datelor personale, având tot o poziționare de procesator în relațiile de distribuție cu alte entități.

Pe de altă parte, apare des situația în care un distribuitor sau un reseller poate fi chiar el operator de date. Să ne gândim doar la departamentele de resurse umane care gestionează relațiile cu angajații sau la cele de marketing, unde sunt generate campanii direct către clienții finali sau către rețelele de parteneri.

5 oportunități oferite de GDPR pentru canalele de distribuție

Iată câteva idei care ar trebui să stea la baza unei strategii de ofertare a celor mai adecvate soluții de aliniere la conformitatea GDPR:

Piața – un sondaj recent arată că 69% dintre companiile europene  nu numai că vor investi în tehnologii de securitate ca rezultat al GDPR, ci și în domenii precum partajarea, stocarea, arhivarea sau recuperarea datelor. Estimările IDC indică o oportunitate de piață de 3,5 miliarde de dolari pentru furnizorii de securitate și stocare și pentru partenerii lor.

Tehnologia – GDPR nu prescrie tehnologii de protecție a datelor – precum un anumit algoritm de criptare, de exemplu – și, prin urmare, nu le exclude automat pe altele. În schimb, se fac recomandări și se prescriu procese, ceea ce oferă mai multă libertate de a alege dintr-o paletă de soluții provenite de la o varietate de furnizori.

Depozite comune de date – nevoia de operativitate și eliminarea duplicatelor ridică oportunitatea consolidării unor depozite comune, unice de date, la care să aibă acces pe bază de protocoale securizate toți jucătorii din sistem, inclusiv posesorii datelor personale.

Marketing și PR – devine vitală pentru creșterea gradului de conștientizare a reglementărilor. Resellerii proactivi se pot adresa clienților înainte de termenul limită, prezentându-le riscurile  și promovându-și propria compatibilitate.

Încrederea  – demonstrați-vă vitalitatea GDPR și veți câștiga în primul rând încrederea clienților. Ajutații să înțeleagă că orice investiție în tehnologie nu îi va ajuta doar la reducerea riscului de, dar și să își asigure continuitatea în business.

Intrarea în vigoare a noului Regulament european poate fi o mare oportunitate pentru companiile din IT. Demonstrați clienților că sunteți GDPR Ready și veți câștiga în fața concurenței. Ajutați clienții să își rezolve handicapurile operaționale și tehnologice recomandându-le soluțiile voastre. GDPR vă facilitează accesul la o imensă piață. Deveniți partenerii clienților voștri și veți avea șansa  să vă promovați soluțiile din portofoliu.

What cloud providers need to focus on for GDPR compliance

Bart van BUITENEN

Bart van BUITENEN – GDPR, DPO, data protection, CISO, ISO27k – is managing partner of White Wire. Bart is very active in the fascinating world of data protection and privacy, specialized in guiding GDPR implementation projects, GDPR audits, DPIAs, ISO27001 implementations and all things data protection and privacy. White Wire is a boutique consultancy firm specialized in assisting healthcare organizations, SMEs and technology firms all over the EU with their data protection needs.

 

 

If you are a cloud provider, whether or not based in the EU, it is very likely you are processing personal data on European soil or concerning EU-based persons which means the GDPR applies to you. There is even a specific term to indicate a provider that processes personal data on behalf of an organization: the processor.

A lot of the focus has been put on the role of the ‘controller’, the organization responsible for determining the means and purposes for processing, and not enough emphasis is put on the role of the processor. And yet the GDPR changes many things for processors compared to previous data protection legislation, for example with regards to liability, responsibility and several new obligations. Below you will find what I believe to be the most important aspects for cloud providers (assuming they are indeed processors) to work on for GDPR compliance by the 25th of May 2018.

1 Data processing agreements

Controllers provide specific instructions to processors, and such instructions need to be documented in so-called “data processing agreements”. Such agreements are not new: they were also required under the previous European data protection legislation (Directive 95/46, and consequently the applicable member state law) but in practice correct and complete processing agreements are rare finds indeed.

Most organizations were not aware of the requirement for processing agreements, and for cloud providers, this usually meant more work and responsibilities while getting little in return. This has changed in the GDPR: article 28 specifically mentions data processing agreements and details what they should include. Unlike before, cloud providers now have a clear incentive to create processing agreements: the agreement should include the instructions for the cloud provider, and as such will become a very important part in determining liability. (Art. 82(2)).

Tip:

  • be proactive, don’t wait for the controller to mention the agreement first! This way you have an opportunity to propose your own template and at the same time show to your client that you are on top of this GDPR thing.

2 Subcontractors

Data processing agreements need to be in place for your clients, but cloud providers will often have their own subcontractors. In the world of IT, the use of subcontractors is prevalent and many subcontractors will indeed be processors for the cloud provider. From the perspective of the clients using the cloud (the controllers), these subcontractors are then sub-processors. A cloud provider needs to ask the permission of the controller to use sub-processors, something that should be addressed in your processing agreement (see section 1.). Working with sub-processors can be handled in a generic permission or a specific permission per sub-processor. The processor remains liable, so rock-solid agreements with sub-processors should be high on any cloud provider’s list.

Tip:

  • Asking specific permission can be a hassle, ask for a generic permission and offer clients the opportunity to consult (and object to) a complete list of sub-processors at any time, e.g. by providing that list on a specific web page on your site.

3 Record of processing activities

Every controller should maintain a record of processing activities: a tool or document that details the different personal data processing activities within the organization. A lighter version also needs to be maintained by the processor and should involve all the processing activities carried out for its clients.

Tips:

  • Creating such a record or processing activities will provide valuable insight in finding which data you process and should be one of the first actions in a GDPR implementation plan.
  • Organizations sometimes lose themselves in the details, keep in mind GDPR does not require you to map every single data field, and it’s about processing activities which often map very closely with the services being offered to clients.
  • Don’t keep a register per client, just make sure you can link clients to processing activities by including the services you offer per client in your CRM or client database.

4 Transfers outside the EU

When EU personal data is transferred to countries outside the EU, it is important that the data receives the same protections and safeguards as within EU borders. To ensure this, the GDPR includes several mechanisms that make this possible, of which the most prevalent ones are:

  • Adequacy decisions: when the EU has determined that a country outside the EU (or a specific agreement with such a country, e.g. Privacy Shield with the US) offers adequate protection it will take an adequacy decision. Link to current adequacy decisions: http://ec.europa.eu/justice/data-protection/internationaltransfers/adequacy/index_en.htm
  • Binding Corporate Rules (BCR): many multinationals will have establishments in countries outside the EU. BCR document which measures an organization takes to ensure that a transfer of personal data outside the EU, but within the same organization, still offers adequate protection. Data Protection Authorities need to validate BCR before they can be applied
  • Standard Contractual Clauses (SCC): template contracts, validated by the European Commission, that once again contain safeguards that should guarantee adequate protection when personal data are transferred outside the EU. Link to SCC:

http://ec.europa.eu/justice/data-protection/internationaltransfers/transfer/index_en.htm

Tip:

  • Privacy Shield and SCC are under scrutiny and may well be invalidated in the not too distant future. If at all possible, keep data within the EU.

5 Information Security vs data protection

Information security and the protection are not the same. Information security concerns all information, which includes personal data. Data protection concerns all aspects regarding the processing of personal data, which includes securing the information. So there is a clear overlap, but also a significant difference.

That being said, securing the information against unauthorized access, loss or destruction is a very important aspect within GDPR. In short, this aspect of the GDPR can be summarized as maintaining the confidentiality, integrity and availability (also known as CIA) of personal data that a cloud provider processes. Keep in mind that any violation of these CIA principles (e.g. data breaches) will need to result in a notification to the controller, who in turn may need to notify data protection authorities and data subjects if the potential risks of the breach are high enough.

Tip:

  • Align GDPR initiatives to information security governance. For example, the ISO27001 norm can be combined with data protection principles to provide a framework that addresses both information security and data protection.
  • Think about and document a notification procedure BEFORE you actually need it.
  • Review your need to apply a data protection officer (DPO). Even when clients individually don’t need to appoint one, a cloud provider may still need to appoint one.

6 Obligation to assist and notify

Processors are obliged to assist or notify controllers when they have information that a controller needs to fulfil GDPR requirements, such as performing DPIA’s or the before mentioned data breach notifications.

Tip:

  • Document (e.g. in the processing agreement or another contract) how the assistance should take place: how should a request be made, within what timeframe will the cloud provider respond, are there any costs associated with the assistance…?

7 Every processor is also a controller

Keep in mind, it is extremely likely that cloud providers are controllers in their own right. Processes in departments such as HR, Suppliers, Clients all include the processing of personal data and will need to follow GDPR principles.

Tip:

  • Keep separate records of processing activities (see section 3) for controller and processor activities.

Romanian version of this article is part of first GDPR Ready catalogue published in Romania in October 2017. You can view the online version of the catalogue HERE. GDPR Ready Catalogue, pag. 50-53, Agora Group & cloud☁mania, Bucharest, October 2017,

 

GDPR Explicitat (11) : Un personaj important – Data Protection Officer (DPO)

Una dintre noutățile cu care a venit GDPR este obligativitatea numirii unui ofițer responsabil cu protecția datelor (DPO – Data Protection Offcier) al cărui rol principal este coordonare și supraveghere a implementării condițiilor de conformitate GDPR, precum și ca persoană de legătură între organizație și autoritatea de supraveghere.

Deși condițiile numirii unui DPO, sarcinile și competențele acestuia sunt stipulate destul de clar în Articolele 37 – 39 din noul Regulament, importanța strategică a acestei poziții face ca subiectul să fie în centrul atenției în toate discuțiile și recomandările legate de GDPR. În acest articol vom prezenta elementele esențiale legate de numirea DPO și vom încerca să lămurim câteva dintre aspectele cele mai controversate.

Când suntem obligați să numim un ofițer de protecție a datelor?

Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află toate autoritățile și organismele publice, indiferent de tipul datelor prelucrate, precum și  celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 („WP29”) încurajează aceste eforturi voluntare.

În conformitate cu Articolul 37, Aliniat 1 din GDPR, trebuie să desemnați un ofițer de protecție a datelor (DPO) dacă:

  • sunteți o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • efectuați o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online);
  • faceți o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiunile.

Există însă cazuri în care un grup de organizații, cum ar fi de exemplu partenerii dintr-un lanț de distribuție,  execută în mod frecvent activități comune care implică fluxuri de date ce pot fi controlate și monitorizate centralizat, la nivel de grup sau asociație de parteneri. În asemenea situații, puteți desemna un singur ofițer de protecție a datelor care să acționeze pentru un grup de organizații sau autorități publice, ținând cont de structura și dimensiunea acestora.

Alineatele 2 – 4 din Articolul 37: Desemnarea responsabilului cu protecţia datelor explicitează cele mai importante astfel de cazuri:

”(2) Un grup de organizații poate numi un responsabil cu protecţia datelor unic, cu condiţia ca responsabilul cu protecţia datelor să fie uşor accesibil din fiecare întreprindere.

(3) În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecţia datelor unic pentru mai multe dintre aceste autorităţi sau organisme, luând în considerare structura organizatorică şi dimensiunea acestora.

(4) În alte cazuri decât cele menţionate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecţia datelor. Responsabilul cu protecţia datelor poate să acţioneze în favoarea unor astfel de asociaţii şi alte organisme care reprezintă operatori sau persoane împuternicite de operatori.”

Potrivit aceluiași Articol 37, responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor experților privind legislația și practicile privind protecția datelor și capacitatea de a îndeplini sarcinile menționate la Articolul 39. În anumite situații, agentul responsabil cu protecția datelor poate fi membru al personalului operatorului sau prelucrătorului sau poate îndeplini sarcinile pe baza unui contract de servicii externalizate. Controlorul sau procesatorul trebuie să publice datele de contact ale responsabilului cu protecția datelor și să le comunice autorității de supraveghere.

Care este rolul funcției de DPO?

Prin natura funcției și a împuternicirilor de care dispune, un DPO deține o poziție centrală, cu rol strategic, într-o organizație. Particularitățile și noutatea acestei poziții nasc o serie de întrebări care parțial sunt clarificate prin textul GDPR. La altele vom încerca să găsim noi răspunsul.

Potrivit Articolului 38: Funcţia responsabilului cu protecţia datelor, noi ca operatori trebui să ne asigurăm că responsabilul cu protecţia datelor ”este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”. Mai mult de atât, avem datoria să acordăm DPO tot sprijinul pentru îndeplinirea sarcinilor menţionate la Articolul 39, asigurându-i toate resursele necesare pentru buna executare a acestor sarcini. Printre aceste resurse se numără accesul la datele cu caracter personal şi la operaţiunile de prelucrare a acestora, cât și facilitarea accesului la resursele de instruire, pentru menţinerea cunoştinţelor sale de specialitate.

Un aspect foarte important și deci și foarte comentat legat de poziția DPO în cadrul unei organizații este autonomia acestuia în problemele de siguranța a datelor. Așa cum zice Articolul 38, Alineatul 3: ”Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.” Cum spuneam, această poziție privilegiată a generat numeroase discuții și nelămuriri privitoare la poziționarea acestei funcții în relațiile cu structurile de management și celelalte linii de business.

Nedumeririle sunt și mai mult accentuate de prevederea regulamentului prin care un DPO nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator. Cele mai frcvente întrebări sunt legate de ce se întâmplă în situația în care sfaturile sau recomandările DPO sunt depășite sau eronate, ceea ce atrage vulnerabilități în privința rotecției datelor.  Un alt rol critic al DPO este acela de a prelua comunicarea cu persoanele vizate, în cazul în care acestea se prevalează de exercitarea drepturilor lor, în temeiul prezentului regulament.

Un alt punct important, în special în situația în care DPO își exercită activitățile ca extern, pentru una sau mai multe companii, este obligaţia de a respecta secretul și confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale. E clar că acest lucru trebuie reglementat printr-o secțiune specială a contractului individual de muncă sau a contractului de prestări de servicii. Astfel de reglementări trebuie să menționeze explicit care sunt categoriile de informații la care DPO are dreptul de acces, care este rolul său în prelucrarea efectivă a datelor și cum poate gira acesta condițiile asumate de organizație prin limitarea volumului de date procesate, siguranța comunicării sau a stocării.

Potrivit Alineatului 6 din Articolul 38: ”Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.” Dar înainte de alte comentarii, haideți să vede care sunt sarcinile de bază ale unui DPO.

Ce atribuții aveți în calitate de DPO?

Condițiile minime pe care trebuie să le asigurați dacă aveți funcția de DPO sunt definite în Articolul 39:

  • Să informați și să consiliați organizația și angajații cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor;
  • Să monitorizați respectarea GDPR și a altor legi privind protecția datelor, inclusiv gestionarea activităților interne de protecție a datelor;
  • Să consiliați activitățile organizației ce au legătură cu evaluările de impact privind protecția datelor;
  • Să instruiți personalul și să efectuați audituri interne;
  • Să fiți primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate (angajați, clienți etc.).

Dar poate cel mai important aspect al acestor atribuții este legat de faptul că, în îndeplinirea sarcinilor dvs. de DPO, trebuie să ţineți seama, în mod corespunzător (zice legea), dar cu maximă responsabilitate (zic cele mai bune practici) de riscul asociat operaţiunilor de prelucrare. Și aici trebuie să țineți seama atât de natura și de domeniul de aplicare, cât și de contextul şi scopurile prelucrării.

De ce calificare am nevoie pentru a deveni ofițer de protecție a datelor?

Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau certificare. Cu toate acestea, deținerea unei certificări  în conformitate cu GDPR este o modalitate eficientă de a demonstra cunoștințele experților. Conform GDPR, ca DPO trebuie să beneficiați de toate condițiile și tot suportul organizației pentru a avea acces la cele mai performante resurse de instruire.

Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că, în calitate de operator sau procesator, trebuie să numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate fi un rol cu ​​jumătate de normă sau combinat cu alte sarcini, însă, în îndeplinirea rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul ca, pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în domeniul protecției datelor cu “cunoștințe de specialitate privind legislația și practicile privind protecția datelor“.

Recomandările Grupului de lucru Articolul 29

Printre numeroasele informații, ghiduri, texte de lege și documente extrem de utile publicate pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate fi găsit și descărcat ”Ghidul privind Responsabilul cu protecția datelor (‘DPO’). Publicat de grupul de lucru Articolul 29  în decembrie 2016 și revizuit în aprilie 2017, acest ghid are menirea de a oferi tuturor operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor, precum și principalele atribuții ale acestora.

Cu toate că Directiva 95/46/CE3 (încă aflată în vigoare) nu impune niciunei organizații să numească un DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre. Anterior adoptării RGPD, grupul de lucru Articolul 29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a RGPD. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1). Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

Care sunt situațiile în care poate apărea conflictul de interese?

Iarăși un aspect important și mult discuta și comentat privitor la rolul și atribuțiile DPO în cadrul unei organizații. Iată câteva considerații privitoare la Conflictul de interese extrase din Ghidul menționat mai sus.

Articolul 38, Alineatul 6 din GDPR permite DPO „să îndeplinească și alte sarcini și atribuții”. Cu toate acestea, este nevoie ca organizația să se asigure că „niciuna dintre aceste sarcini și atribuții nu generează un conflict”. Absența conflictului de interese este strâns legată de obligația de a acționa în mod independent. Cu toate că îi este permis să aibă și alte funcții, acestuia îi pot fi încredințate alte sarcini și atribuții cu condiția ca acestea să nu dea naștere unor conflicte de interese.

Acest lucru se referă mai ales la faptul că rolul de DPO nu presupune și libertatea de a stabili scopurile și mijloacele de prelucrare a datelor cu caracter personal. Acest lucru trebuie luat în considerare de la caz la caz, ținându-se cont de structura organizațională specifică fiecărei organizații. Ca regulă generală, funcții din cadrul organizației cu care poate intra în conflict pot include funcții de conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

În plus, un conflict de interese poate apărea, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor. În funcție de activitățile, dimensiunea și structura organizației, o bună practică pentru operatori și persoanele împuternicite de operatori ar putea fi:

  • să identifice funcțiile ce ar fi incompatibile cu funcția de DPO;
  • să elaboreze norme interne pentru a evita conflictele de interese;
  • să includă o explicație mai generală cu privire la conflictele de interese;
  • să declare că DPO nu are niciun conflict de interese în ceea ce privește funcția sa;
  • să includă garanții în normele interne ale organizației și să se asigure că anunțul de post vacant pentru funcția de DPO sau contractul de prestări servicii este suficient de precis și detaliat pentru a evita conflictul de interese.

În acest context, trebuie avut în vedere faptul că respectivele conflicte de interese mai pot lua diverse forme în funcție de faptul dacă DPO este recrutat intern sau extern.

Concluzionând, indiferent de organizație, sunteți liberi să numiți DPO, cu condiția să dispuneți de resurse pentru această poziție, iar persoana desemnată să aibă abilități suficiente pentru a-și îndeplini obligațiile stipulate de GDPR. Deși legea spune clar care sunt cazurile în care trebuie obligatoriu numit un DPO, conform grupului de lucru Articolul 29, în cazul în care considerați necesar, este recomandabil să numiți un DPO, care să corespundă tuturor condițiilor discutate până acum.  Obligațiile GDPR sunt de așa natură încât o consiliere și un sprijin pe care le avem la îndemână, din partea unui specialist în protecția datelor, pot fi un pas esențial pentru gestionare a riscurilor.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready!  În următorul material ne vom ocupa de condițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

A APĂRUT PRIMUL CATALOG GDPR DIN ROMÂNIA

Trustul de presă AGORA Group și platforma de knowledge cloud☁mania anunță publicarea Catalogului GDPR Ready – primul proiect editorial din România dedicat prezentării ofertelor de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Ready face parte din seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 7-a ediție și este o componentă esențială a inițiativei ”GDPR Ready!”

Faceți click pe coperta pentru a citi Catalogul GDPR online!

Din mai 2016 când Parlamentul European a aprobat Regulamentul EU 2016 – 679, GDPR a devenit cuvântul de ordine în toate mediile de business, tehnologice și sociale. Noul Regulament reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem procesatori de date și toți ne vom supune acelorași reguli.

Deși este prin excelență tehnologică, industria IT este unul dintre domeniile în care realizarea conformității cu noul Regulament poate ridica cele mai mari probleme. Marea majoritate a companiilor sunt conștiente de importanța strategică a alinierii la prevederile GDPR, dar foarte puține sunt cu adevărat pregătite de acțiune. Ce au de făcut furnizorii de Cloud pentru a oferi servicii conforme cu GDPR? Dar operatorii de centre de date? Dar companiile de eCommerce și procesatorii de plăți online? Dar firmele de distribuție, canalele de reselleri și retailerii IT? Dar casele de software și ofertanții de servicii de call-center, consultanță, instruire și mentenanță? Există desigur multe lucruri comune pentru toate aceste domenii IT, dar și o multitudine de aspecte particulare.

Pe asta ne-am bazat când ne-am decis ca cea de-a 7 ediție a Catalogului Cloud Computing România să fie dedicată GDPR. Plecând de la vidul de cunoaștere și de coordonare din industria IT, am simțit nevoia editării unui Catalog GDPR Ready care să deservească și să ofere recomandări generale pentru operatorii de date din orice industrie. Catalogul GDPR Ready, este structurat în două părți:

  • Ghidul de orientare rapidă
  • Catalogul recomandărilor de soluții și servicii pentru asigurarea conformității GDPR.

”Ghidul de orientare rapidă” conține 60 de întrebări și răspunsuri structurate astfel încât să asigure o imagine de ansamblu asupra principalelor modificări prezentate de regulament, precum și a zonelor critice pe care trebuie să le cunoaștem în momentul pregătirii conformității, dar vine și cu o serie de recomandări oferite de experți internaționali, asociații guvernamentale și profesionale, precum și firme de analiză și cercetare.  Principalele Capitole acoperite de seria de întrebări despre conformitate se referă la:

  • Importanța GDPR
  • Scurt istoric al protecției datelor personale
  • Principiile GDPR
  • Drepturile persoanelor vizate
  • Protecția datelor personale
  • Evaluarea impactului
  • Transferul internațional de date
  • Asigurarea conformității
  • Notificarea breșelor de securitate și penalitățile aplicate

Ghidul este însoțit de recomandările unor experți care s-au referit la principalele direcții de acțiune pentru furnizorii de Cloud: Bart von Buitenen – managing partner White Wire, Ian Moyse – sales director Natterbox și Board member Cloud Industry Forum, Lucia Ștefan – manager consultant Archiva Ltd (UK) și Attle Skjekkeland – vicepreședinte AIIM Europe, precum și recomandările Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), CERT.RO, ANSII + câțiva dintre membrii săi și IDC Romania.

A doua secțiune este Catalogul recomandările concrete legate de asigurarea conformității GDPR oferite de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ALEF Distribution, Archiva Ltd., ASBIS, AxelSoft, Commvault, Info World, IXIA, Omega Trust, Provision, Relational, Romsym Data, RQM Certification, Star Storage, Tryamm și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire
  • Recomandări și consiliere companii de IT

GDPR zice că organizațiile trebuie să fie conforme chiar începând cu data 25 mai 2018. Dacă vă gândiți că până atunci mai este suficient tip pentru a demara activitățile de implementare a măsurilor necesare pentru asigurarea conformității GDPR, trebuie să țineți cont de faptul că durata medie a unui proces poate fi de PATRU – CINCI luni, în funcție de mărimea organizației și a tipului de date personale procesat. E TIMPUL SĂ TRECEM LA ACȚIUNE CHIAR ACUM! Au mai rămas 215 zile!

 

Un nou ghid orientativ publicat de ANSPDCP

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunțat acum câteva zile lansarea unui nou ghid practic destinat operatorilor de date.

Ghidul a fost anunțat și a fost postat pe site-ul Autorității cu ocazia unei Mese Rotunde, intitulată “Aplicarea Noului Regulament General privind Protecția Datelor în sectorul public – obligații și responsabilități”, organizată pe 22 septembrie 2017 la Palatul Parlamentului. Ghidul orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor poate fi consultat în cadrul secțiunii speciale dedicată Regulamentului General privind Protecția Datelor, pe site-ul ANSPDCP.

Acest Ghid este oferit ca un instrument util în activitatea tuturor operatorilor, pentru accelerarea eforturilor acestora de a atinge cele mai optime nivele de conformitate cu prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Noul regulament va intra în vigoare începând cu 25 mai 2018, dată la care se abrogă Directiva 95/46/CE (Regulamentul General privind Protecția Datelor) în toate statele membre ale Uniunii Europene.

Structura Ghidului orientativ de aplicare GDPR se axează pe prezentarea principalelor obligații care le revin operatorilor în contextual noului Regulament. Dintre aceste obligații se detașează:

  • Desemnarea unui responsabil cu protecția datelor
  • Rolul responsabilului cu protecţia datelor
  • Cartografierea prelucrărilor de date cu caracter personal
  • Ce trebuie să conțină evidenţa păstrată de operator
  • Prioritizarea acțiunilor de întreprins
  • Care sunt măsurile speciale de care trebuie să se țină cont
  • Gestionarea riscurilor
  • Organizarea procedurilor interne

Ca recomandare generală, Ghidul orientativ sugerează realizarea unei analize aprofundate a legislației privind protecția datelor și a cerințelor impuse de Regulamentul General privind Protecţia Datelor, pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în funcţie de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

În condițiile în care acest act normativ european aduce multiple elemente de noutate în peisajul juridic românesc și instituie noi obligații în sarcina operatorilor de date și/sau persoanelor împuternicite de operatori Autoritatea speră ca și acest ghid, împreună cu toate celelalte materiale informative postate pe site-ul Autorității Naționale de Supraveghere, să ajute operatorii în eforturile de conformare cu noile reguli de prelucrare a datelor personale.

Iată o listă succintă a materialelor care pot fi consultate și descărcate de pe site-ul Autorității:

Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

Drepturile persoanelor vizate – Extras din Regulamentul nr. 679/2016

Noul Regulament 2016/679 aplicabil din 25 mai 2018 – Elemente de noutate (pliant)

Noul Regulament 2016/679 aplicabil din 25 mai 2018 – Elemente de noutate (broșură)

Responsabilul cu protecția datelor

Ghidului orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor

Ghiduri finale ale Grupului de Lucru Art. 29

Informații complete pe site-ul ANSPDCP

 

Industry 4.0 motorul producției digitale

Într-o eră în care totul tinde să capete prefixul ”Smart”,  produsele inteligente fac parte deja din peisajul transformării digitale a industriei. Revoluția digitală modifică radical procesele tradiționale de fabricație. De la revoluția modelelor digitale din inginerie, la fabrici inteligente și la extinderea operațiunilor de vânzare la servicii pe întreg ciclul de viață al produselor, totul se referă la prototipuri virtuale, procese digitale de fabricație și mașini inteligente. Revoluția digitală în industria producătoare a devenit sinonimă cu conceptul Industry 4.0.

Ce este Industry 4.0?

Industry 4.0 este un concept larg adoptat ca driver de dezvoltare al industriei digitale. Acesta are la bază proiectul ”Industrie 4.0”, inițiat de un grup de cercetare industrială aplicativă, preluat și dezvoltat ulterior de guvernul german și anunțat în premieră în 2011, la Târgul Internațional de la Hanovra. Conform Industry 4.0, industria digitală se bazează pe produse personalizate, dezvoltate în medii flexibile de fabricație. [1]  Valoarea produselor inteligente va reuni caracteristicile fizice ale acestora cu experiența clienților și partenerilor de aprovizionare. Totul este integrat cu servicii de înaltă calitate, într-o nouă categorie de produse hibride.

Ce tehnologii drenează industria digitală?

Boston Consulting Group (BCG) a identificat o serie de tehnologii majore care guvernează conceptul Industry 4.0 [2]:

  • Serviciile Cloud – singura alternativă în procesarea, stocarea, monitorizarea și controlul datelor din proceselor industriale;
  • Internetul obiectelor (IoT) – reunește întregul ecosistem de comunicare între echipamente, dispozitive și senzori ce captează informații primare și generează răspunsuri în timp real;
  • Big Data și Analytics – datele generate de fiecare etapă de dezvoltare a producției, de la inginerie la proiectare, testare și lansare de producție sunt preluate și analizate generând decizii în timp real;
  • Simularea inginerească (CAE) – produsele scenariilor virtuale de modelare din fazele timpurii ale fluxului de lucru sunt vitale pentru atingerea performanțelor, scurtarea timpului de comercializare și reducerea costurilor de producție;
  • Imprimarea 3D și producția de aditivi – capacitatea Imprimantelor 3D industriale joacă deja un rol tot mai mare în producerea de mici piese și componente personalizate;
  • Realitatea augmentată (AR): sistemele bazate pe senzori și echipamente mobile de realitate augmentată vor juca un rol-cheie în creșterea productivității, instruirea și accelerarea proceselor de producție. .

De la IoT la la industria digitală

Într-o definiție Accenture, “Internetul obiectelor (IoT) este un concept și o paradigmă care consideră o prezență omniprezentă în mediul înconjurător a unei varietăți de obiecte, tehnologii convergente pentru medii inteligente și ecosisteme integrate” [3]. Aceeași sursă menționează că nucleul industriei digitale se bazează pe sisteme conectate extrem de inteligente, care creează un lanț de valori complet digital. Aceasta este cea de-a 4-a revoluție industrială activată de Industry IoT (IIoT).

Transformări esențiale aduse de industria digitală:

  • Procesele digitale asimilate în producție, în toate sectoarele, de la mașini de înaltă tehnologie la echipamente industriale;
  • Industrializarea digitală – companiile trebuie să integreze aceste tehnologii pentru a-și îmbunătăți lanțul valoric;
  • Optimizarea – procesele de producție digitale sunt esențiale pentru creșterea afacerii.
  • Produse inteligente pentru industria digitală 4.0

Produsele inteligente integrate în fluxurile de producție moderne sunt capabile să se auto-proceseze, să stocheze date, să comunice și să interacționeze cu ecosistemul industrial. Pornind de la sistemele inițiale bazate pe tehnologii RFID, capacitatea produselor de a furniza informații a evoluat. Produsele inteligente nu transmit doar identitatea lor, ci și maturitatea în istoricul ciclului de viață. Mașinile inteligente pot acționa autonom, luând singure decizii critice legate de oprirea unor procese sau înlocuirea unor componente, trimițând recomandări pentru operațiunile de întreținere viitoare [4].

Tezele de la Hechenberg la baza modelului digital

Un pas important în procesul de fabricare modern a fost adoptarea de modele digitale în fluxurile de producție. Pe baza planurilor inițiale de inginerie, schițate de designerul de produs, desenate de echipa de proiectare și prototipuri de către inginerul de testare, avantajele principale ale modelului digital sunt că acesta poate fi modificat în orice moment într-un proces de fabricare complet digital. Pe măsură ce colaborarea dintre aceste echipe se îmbunătățește, prototipul va fi asimilat rapid în producție, iar produsul finit va deveni mai rapid pe piață. Mai multe produse, mai bune, mai rapide și cu mai puține costuri de producție. Orice eroare poate fi detectată rapid, indiferent de faza î care a ajuns produsul, fără pierderi materiale adiționale.

Conceptul de model digital se regăsește pentru prima oară în ”Tezele din Hechenberg” – un set de 4 teze dezvoltate de un grup de specialiști în inginerie și software care în mai 2014 s-au adunat în satul bavarez cu acest nume:

  • Baza produselor inovatoare, “inteligente”, conectate, sunt modele digitale;
  • Modelul digital trebuie să conțină toate elementele mecanice, electrice, electronice și software și poate reflecta practic interacțiunea lor;
  • Modelele digitale fac posibilă dezvoltarea, producția și funcționarea produselor complexe;
  • Gestionarea integrată a modelelor de produse digitale de-a lungul întregului ciclu de viață este o condiție prealabilă importantă pentru Industry 4.0.

Consecința acestor teze a fost diversificarea soluțiilor software specializate în procesare inginerească, proiectare (CAD) și simulare (CAE), precum și a pachetelor integrate de aplicații Product Lifecycle Management (PLM). Conform unui raport al Research & Markets [5], piața globală de software pentru inginerie a fost de 20 miliarde dolari în 2014, cu o creștere preconizată de 12,4% pe an până în 2022. Driverele de dezvoltare sunt automatizarea proceselor industriale și cererea sporită de soluții integrate de analiză și proiectare. Platformele pentru aplicații inginerești au evoluat împreună cu întreaga industrie IT. Un impact dramatic în reducerea costurilor, îmbunătățirea calității și lansarea de noi produse a reprezentat migrarea aplicațiilor de proiectare și de simulare în Cloud. Soluțiile PLM sunt utilizate într-o varietate de procese de dezvoltare a produselor, în întregul ecosistem din industrie, de la produse de mari dimensiuni și procesare la furnizori de lanț de aprovizionare.

Ce urmează după transformarea digitală?

Greu de ghicit… După un val, vine altul… Ce va aduce noul val e greu de anticipat pentru că fenomenul ține de ampla transformare economică și socială care controlează asimilarea inovației în business și în viață. Ce se poate bănui deja, este faptul că transformarea digitală aduce organizațiile industriale în pragul unui alt trend perturbator: Convergența [7]

Industria IT, aflată în primele tranșee ale procesului de transformarea digitală, a ajuns la anumite limite. A atins granițele unui ecosistem în care diferențele dintre furnizorii tradiționali de hardware, dezvoltatorii de software, furnizorii de servicii IT și telecomunicații au dispărut. Furnizorii de tehnologie combină diferite componente IT în pachete de servicii ”pay-per-use”. Mulți vendori IT s-au lansat în afacerile non-IT. Plățile mobile, tehnologiile ”Near Field Communication (NFC)”, soluțiile de plată ”friend-to-friend” sau schimbul valutar P2P sunt câteva exemple de domenii în care companiile high-tech au început să se extindă pe o piață controlată până acum doar de industria financiară. Un studiu Accenture a arătat că 72% din populația născută după anul 2000 în America de Nord e mult mai deprinsă să genereze tranzacțiile financiare de la un operator de comunicații, dintr-un magazin high-tech sau de la o unitate poștală, decât de la sediul unei bănci.

Sunteți gata pentru Convergență?

Convergența care rezultă din valul de transformare digitală va afecta treptat și organizațiile din alte sectoare. Cu cât companiile devin mai digitale, granițele dintre industriile tradiționale se vor estompa. Așa cum industria IT a reușit să integreze diverse componente IT complexe într-un singur serviciu de Cloud, ce ar împiedica băncile digitale să ofere servicii de ipotecare, asigurări, utilități, Internet, televiziune digitală și securitate odată cu finanțarea pentru o casă – adică tot ce ai nevoie pentru o nouă locuință – într-un pachet unic de servicii ”pay-per-use” disponibil online? Dacă ne gândim bine, tehnologia și infrastructura pentru o astfel de convergență există deja…

Pe măsură ce tot mai multe servicii vor urca în Cloud și se vor acomoda cu multivalențele Convergenței, furnizorii vor trebui să își clădească propriile avantaje competitive prin relații digitale cu clienții. Un bun exemplu este evoluția Michelin [6]. Conectivitatea și echipamentele industriale inteligente au permis producătorului de anvelope să-și repoziționeze modelul de afaceri. Michelin nu se mai recomandă ca producător și vânzător de anvelope, ci ca furnizor de servicii de rulare… Cum asta? Prin funcții inteligente și senzori de bord, anvelopele sunt controlate și monitorizate permanent, generând servicii de mentenanța predictivă. În cazul Michelin, noul model de business asigură convergența modelului economic clasic – bazat pe vânzarea de produse, într-unul digital -axat pe furnizarea de servicii pe întreg ciclul de viață.

Transformarea digitală și Convergența vor continua să remodeleze industriile, societatea și viața noastră curentă. Asigurați-vă că organizația dumneavoastră e pregătită pentru această călătorie!

Referințe:

[1] “The new High-Tech Strategy Innovations for Germany”, Bundesministerium für Bildung und Forschung, 2014;

[2] BCG.perspective – ” Industry 4.0: The Future of Productivity and Growth in Manufacturing Industries”, 2015;

[3] Accenture – “Are you ready for Digital Industry 4.0?”, 2015;

[4] Schmidt R., Möhring M., Härting R.C., Reichstein C., Neumaier P., Jozinović P. – “Industry 4.0 – Potentials for Creating Smart Products: Empirical Research Results”, Springer, Iunie 2015;

[5] Research and Markets: ”Engineering Software (CAD, CAM, CAE, AEC, & EDA) Market – Global Industry Analysis, Size, Share, Growth, Trends and Forecast 2014 – 2022”, Business Wire, 2015

[6] ”L’industrie numérique 4.0 : un cas d’école pour une révolution industrielle”, L’UsineDigitale, 2014.

[7] Radu Crahmaliuc – ”30 de întrebări despre transformarea industriei digitale”, Catalog Cloud Computing, ediția a 5 –a Digital Industry, Iulie 2016.

 

GDPR explicitat (5): Dreptul de a fi informat si Ce informații trebuie trimise

 

AU MAI RĂMAS 300 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. 

Noul regulament pe care noi îl abordăm aici sub titulatura generica de GDPR vine cu unele drepturi noi pentru indivizi și consolidează unele dintre drepturile care existau deja in Legislația Europeana.

Astfel, GDPR oferă persoanelor fizice vizate de prelucrarea datelor cu caracter personal următoarele drepturi generale:

  1. Dreptul de a fi informat
  2. Dreptul de acces
  3. Dreptul la rectificare
  4. Dreptul de ștergere
  5. Dreptul de a restricționa procesarea
  6. Dreptul la portabilitatea datelor
  7. Dreptul la obiect
  8. Drepturi legate de luarea de decizii automatizate și de profilare

 

Dreptul de a fi informat

 

Ce este Dreptul de a fi informat?

Dreptul de a fi informat se refera la obligația  de a furniza “informații corecte de procesare”, de obicei printr-o notificare privind confidențialitatea. Acesta subliniază nevoia de transparență în ceea ce privește modul în care utilizați datele cu caracter personal.

 

Ce informații trebuie furnizate subiecților prelucrării?

Să presupunem că sunt un operator de date personale.  Prin dreptul de a fi informat, GDPR îmi stabilește informațiile pe care trebuie să le furnizez și când trebuie subiecții prelucrării datelor personale să fie informați de către mine ( în mod implicit, firma mea, prin persoana autorizată).

Principalul atribut al datelor ce trebuie furnizate este Transparența. Conform GDPR Articolul 12: ”Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, informațiile pe care trebuie sa le furnizez trebuie să fie:

  • Concise
  • Transparente,
  • Inteligibile
  • Accesibile;
  • Scrise într-un limbaj clar și simplu
  • În special dacă este mă adresez unui copil
  • Oferite gratuit

 Informațiile pe care le furnizez sunt dependente de modul în care am obținut datele personale pe care vreau să le prelucrez:

  • direct de la persoane fizice care fac obiectul prelucrării datelor personale
  • indirect, pentru cazurile în care informațiile mi-au venit din altă sursă.

O mare parte din informațiile pe care trebuie să le furnizăm sunt deja  în concordanță cu obligațiile mele actuale, conform legislației existente. Dar in plus,  au apărut și alte informații pe care trebuie să le furnizez  în mod explicit.

Ce informații trebuie furnizate?

Să vedem deci, care sunt principalele categorii de informații care trebuie furnizate în situația în care am obținut datele personale direct de la client. Conform Articolului 13: ”Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, Alineatul 1, trebuie să furnizez personai vizate următoarele infrmații:

  • identitatea şi datele mele de contact – ca operator, și după caz și ale mele personale – ca reprezentant al acestuia
  • datele mele de contact ca responsabil cu protecţia datelor, după caz ca ofițer de protecție a datelor personale (DPO);
  • scopurile în care vreau să prelucrez datele cu caracter personal, precum şi temeiul juridic al prelucrării (baza legală);
  • interesele legitime pe care le urmăresc (ca operator sau ca o terță parte) – cu excepțiile de la Articolul 6 alineatul (1) litera (f) – Legalitatea prelucrării;
  • care sunt destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
  • intenţia mea de a transfera date cu caracter personal către o ţară terţă și care sunt garanțiile pe care le ofer că acest transfer este perfect legal și nu lezează interesele persoanei vizate;

În plus, în momentul în care am obținut deja datele cu caracter personal, conform Articolului 13, Alineatul 2, eu ca operator trebuie să furnizez persoanei vizate o serie de informaţii suplimentare, necesare pentru a asigura transparența prelucrării:

  • perioada de reținere a datelor sau criteriile folosite pentru a stabili această perioadă;
  • dreptul la rectificare, ștergere, restricționare, obiecții;
  • dreptul la portabilitatea datelor;
  • dreptul de a retrage consimțământul în orice moment, dacă este cazul;
  • dreptul de a depune o plângere la o autoritate de supraveghere;
  • dacă solicitarea face parte dintr-o cerință sau obligație legală sau contractuală și posibilele consecințe ale nefurnizării;
  • existența unui proces automat de luare a deciziilor ( incluzând profilarea) și modul în care sunt luate deciziile, semnificația și consecințele acestora.

Dacă eu, ca operator vreau să prelucrez datele cu caracter personal și/ sau într-un alt scop decât cel pentru care acestea au fost colectate, atunci, înainte de orice prelucrare ulterioară, sunt obligat să furnizez persoanelor vizate toate informaţiile relevante prvitoare la scopul sau scopurile secundare.

Ce se întâmplă în sitația în are datele personale nu ne-au fost furnizate în mod direct de către persoanele vizate?

În acest caz, conform Articolului 14, sunt obligat ca operator să furnizez persoanei vizate întregul set de informații descrise puțin mai sus, de la ambele Alineate ale Articolului 13, plus următoarele informații obligatorii doar pentru acest caz:

  • care sunt categoriile de date personale pe care le am la dispoziție
  • care e sursa publică de date cu caracter personal, după caz care provine de la surse accesibile publicului;

Pentru a ne descurca mai bine în acest labirint de informații, legi și paragrafe, am făcut o sinteză a informațiilor care trebuie funizate în ambele sitații discutate anterior:

 

Ce informații trebuie să dau Date venite direct de la subiect Date provenite din alte surse
Identitatea și datele de contact (operator + reprezentant)

DA

DA

Datele de contact DPO

DA

DA

Scopul în care se prelucrează datele

DA

DA

Interesele legitime urmărite

DA DA

Destinatarii sau categoriile de destinatari

DA

DA

Categoriile de date personale

NU

DA

Intențiile de transfer al datelor

DA

DA

Perioada de reținere a datelor

DA

DA

Dreptul la rectificare, ștergere, restricționare, obiecții

DA

DA

Dreptul la portabilitatea datelor

DA

DA

Dreptul de retragere a consimțământului

DA

DA

Dreptul la plângere/notificare

DA

DA

Care e sursa publică de date cu caracter personal

NU DA
Existența unei obligații legale sau contractuale

DA

NU

Existența unui proces automat de luare a deciziilor

DA

DA

  

Când trebuie furnizate informațiile?

O modificare importantă față de legislația anterioară este scurtarea perioadei în care sunt obligat să răspund solicității de informare primită de la persoana vizată. Conform Articolului 12, Alineatul 3:

  • Timpul maxim de răspuns s-a scurtat de la 40 de zile la 30 de zile. Deci eu, ca operator trebuie să furnizez persoanei vizate informaţii privind acţiunile întreprinse în urma une cereri fără întârzieri nejustificate şi în orice caz în cel mult o lună de la primirea cererii;
  • Atunci când e necesar, din motive legate de comlexitatea și volumul cererilor primate simultan, această perioadă poate fi prelungită până la două luni. Chiar și în aceste condiții de prelungire, trebuie să informez persoana vizată de această prelungire tot în intervalul de o lună;
  • Pentru cererile trimise în format electronic, informaţiile trebuie furnizate în format electronic – acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită informațiile într-un alt format.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material vom parcurge în continuare Drepturile persoanei vizate  – Capitolul IV din GDPR.

 

 

Articole anterioare:

Efectul disruptiv al GDPR

Intrarea în vigoare a noului regulament al protecției datelor personale pe 25 Mai 2018, se anunță deja ca un eveniment major al viitorului an. Va fi ”Ziua – Z”, cu efecte apocaliptice, pentru multe companii care nu vor avea resursele și timpul să adopte toate măsurile necesare pentru îndeplini cerințele GDPR… 

Vă mai amintiți de ”Virusul Anului 2000” sau ”Problema Mileniului”? A fost o mișcare strategică nemaipomenită de înnoire a infrastructurii și echipamentelor de calcul bazată pe o provocare tehnologică a extinderii numărului de digiți. Până la urmă au fost foarte puține întreruperi ale marilor sisteme de calcul, cu pierderi minore, dar toată lumea  avut de câștigat prin boomul investițiilor în noi echipamente și infrastructură…

Noul regulament EU 2016/ 679 vine cu o forță a schimbării fără precedent, care pentru multe organizații are toate șansele să aibă un efect disturbator mult mai mare decât valul digital de care tot vorbim de o vreme încoace. Geneza nu a fost ușoară. Gândit ca o actualizare absolut necesară a Directivei 95/46/EC, GDPR s-a consolidat după 4 ani de dezbateri și 3000 de amendamente. Peste 80 de noi cerințe au apărut față de vechea directivă. Multe companii vor fi nevoite să facă schimbări radicale în modele de business. Unii spun că vom fi nevoiți să reconsiderăm radical actualele procese de marketing. Potrivit Digital Clarity Group, “GDPR ar putea fi o amenințare de moarte pentru existența multor companii și obligă la adoptarea de decizii fundamentale cu privire la colectarea, prelucrarea și stocarea datelor în probleme cheie din strategia de afaceri.”

Noul regulament EU 2016/ 679 vine cu o forță a schimbării fără precedent, care pentru multe organizații are toate șansele să aibă un efect disturbator mult mai mare decât valul digital de care tot vorbim de o vreme încoace.

 

Un vectori esențial al noului regulament este aria de aplicabilitate. Înainte existau tratate regionale precum “Safe Harbor” care oferea companiilor americane confortul necesar în procesarea datelor clienților din Europa. Principiile de confidențialitate stipulate de Safe Harbor au fost anulate de către Curtea Europeană de Justiție pe 24 Octombrie 2015, după ce un client s-a plâns că datele sale de pe Facebook au fost insuficient protejate.  GDPR a devenit brusc o mare provocare pentru toate multinaționalele.

Alte prevederi majore ale noului regulament cu posibile efecte disruptive ar mai fi:

Amenzile – Penalizările sunt copleșitor de mari, cu maxime ce se referă la 4% din cifra de afaceri globală anuală. De notat că aceste prevederi se aplică atât celor care gestionează datele, cât și celor care le procesează – ceea ce extinde obligativitatea GDPR și asupra companiilor care oferă servicii de hosting sau furnizorilor de Cloud.

Consimțământul – companiile nu vor mai putea folosi termeni contractuali necompatibili GDPR sau cu clauze greu de probat. Consimțământul trebuie să fie clar și liber de orice impunere, iar solicitarea inteligibilă și cu o solidă argumentare a scopului în care se procesează datele. ​

Notificarea breșelor de securitate – devine obligatorie pentru toate țările membre ale comunității. Orice incident trebuie comunicat către autoritățile de raportare în maximum 72 de ore de când breșa a fost constatată. Procesatorii vor trebui să își anunțe și clienții, imediat după ce s-a dovedit că incidentul de securitate a afectat datele personale ale acestora.

Dreptul la acces – parte din drepturile extinse ale cetățenilor în noul format al GDPR se referă la dreptul acestora de a solicita procesatorilor sau controlorilor de date confirmări legate de modul în care datele personale sunt procesate, unde și în ce scop.

Dreptul de a fi uitat – cunoscut și ca ”dreptul de a fi șters”, asigură deplina confidențialitate prin ștergerea tuturor înregistrărilor cu caracter personal, chiar și în situațiile de diseminare de date sau folosirea potențială de către terți.

Portabilitatea datelor – se referă la dreptul oricărui cetățean de a primi datele personale într-un format prestabilit, ușor de citit de către orice dispozitiv, care poate fi transmis la solicitarea posesorului unui alt procesator de date.

Confidențialitate prin design – ”
Privacy by design” este un concept care se folosește de mult, dar care abia acum devine parte din pachetul de cerințe GDPR.  În esență, constă în includerea instrumentelor de protecție a datelor încă de la început, de la proiectarea unui sistem informatic.

Data Protection Officers (DPO) Un studiu IAPP estimează un necesar de peste 28000 de ofițeri DP în toată Europa. Deținătorul acestei poziții va fi mandatarul conformității GDPR, urmând să cumuleze expertiză legală, operațională și IT.

Sunt analiști care văd în GDPR o încercare benefică pentru business. Orice companie care a depus eforturi și a investit în măsuri de asigurare a conformității, a parcurs o bună etapă în transformarea sa digitală. 

AU MAI RĂMAS 316 zile

Urmariti articolele cu logo-ul GDPR Ready!  o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018.

 

Acest articol a fost publicat si in revista IT Trends din Iunie 2017 si poate fi citit si AICI

GDPR explicitat (2): Ce sunt datele personale?

AU MAI RĂMAS 324 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018.

 

După o serie de articole introductive intitulate ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?” și ”GDPR Prima sursa de informare Portalul UE”, am demarat publicarea unor conținuturi exploratorii în care analizăm și comentăm principalele prevederi ale noului regulament din perspectiva operatorilor de date personale.

În primul articol din această nouă serie am scris despre ”Cine și Unde se va supune noului regulament?”, prezentând definiții ale operatorilor și procesatorilor de date, precum și principalele elemente de noutate privitoare la extinderea ariei geografice de aplicare a prevederilor EU 2016/679. În continuare vom vedea care sunt datele personale care se supun prevederilor noului regulament și care sunt categoriile de date considerate sensibile.

Care sunt datele cu caracter personal?

Problema esențială a oricărei companii este felul în care se raportează la GDPR, iar prima întrebare logică în orice analiză internă este: care sunt datele cu caracter personal pe care le controlăm sau prelucrăm și în ce măsură trebuie să ne concentrăm pe aceste date.

În ”Art.2: Domeniul de aplicare material” se explicitează că ”Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidentă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidentă a datelor.”

Prima întrebare logică este ce înțelege UE prin ”date cu caracter personal”? Răspunsul îl găsim chiar la începutul ”Art.4: Definiții”: “date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă (“persoana vizată”)”. Adică, ”o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

Cu alte cuvinte, ”persoana vizată ” – poate fi definită ca elementul principal pe care este construit întregul mecanism GDPR. Este chiar persoana fizică ale căror date cu caracter personal sunt supuse prelucrării. Prin persoană fizică se înțelege orice individ în viață, care conform ”Art.1: Obiect și obiective” are dreptul la:

  • Protecția datelor cu caracter personal
  • Protecția prelucrării datelor cu caracter personal
  • Libera circulație nerestricționată a datelor cu caracter personal în cadrul UE

Mergând mai departe, putem extrage din contextul definiției de mai sus și o descriere a datelor cu caracter personal la care se face referire în Art.1: ”Date cu caracter personal” trebuie considerate acele informații despre o persoană identificabilă care se referă la nume, un număr de identificare (CNP, Card de Identitate, Certificat de Naștere, Pașaport, Permis de conducere, Card asigurări sociale, etc), date de localizare, un identificator online (o adresă IP de exemplu), sau unul sau mai multe elemente specifice, proprii identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Nu se specifică cu claritate, dar multe legislații europene sau din SUA consideră genul (bărbat, femeie) ca informație personală confidențială pe care nu ești obligat să o declari atunci când trebuie să completezi diferite chestionare sociale sau comerciale.

Care ar fi elementele de noutate față de legislația existentă? Făcând o comparație pe texte, în Legea 677/ 2001 Art.3 (a) definiția este puțin mai simplă: ”o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale”. Noua definiție extinde aria de acoperire a ”numărului de identificare”, definit acum ca ”element de identificare” și din care pot face parte ”un nume, un număr de identificare, date de localizare sau un identificator online”.

Așa cum se arată chiar de la primele două Specificații din textul Regulamentului EU 2016/679, nu trebuie să omitem faptul că toată filosofia GDPR este construită pe drepturile fundamentale ale omului. Art.8, alin.1 din ”Carta drepturilor fundamentale a Uniunii Europene” şi Art.16, alin.1 din ”Tratatul privind funcţionarea Uniunii Europene” prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o privesc. Mai mult de atât, principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetăţenia sau de locul de reşedinţă al persoanelor fizice, să respecte drepturile şi libertăţile fundamentale ale acestora, în special dreptul la protecţia datelor cu caracter personal.

”Prezentul regulament urmăreşte să contribuie la realizarea unui spaţiu de libertate, securitate şi justiţie şi a unei uniuni economice, la progresul economic şi social, la consolidarea şi convergenţa economiilor în cadrul pieţei interne şi la bunăstarea persoanelor fizice.”  Considerentul nr.2 din Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE

Am înțeles deci care pot fi datele considerate cu caracter personal care se supun GDPR. Și atunci, care sunt informațiile pentru care nu este necesară obținerea compatibilității cu noul regulament european? Tot în Art.2 ni se explică faptul că GDPR nu se aplică prelucrării datelor cu caracter personal în următoarele situații:

  • în cazul unei activități care nu intră sub incidența dreptului Uniunii Europene;
  • de către statele membre atunci când desfășoară activități care intră sub incidența Capitolului 2, Titlul V din Tratatul UE;
  • de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
  • de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice şi prevenirii acestora.

Mai rămâne să ne lămurim ce înseamnă ”prelucrarea datelor cu caracter personal”. ”Art.4 – Definiții” ne ajută și de această dată, explicându-ne: ”prelucrarea datelor înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.

GDPR se aplică atât datelor cu caracter personal automatizate, cât și sistemelor de arhivare manuală în care datele personale sunt accesibile conform unor criterii specifice. Aceasta este mai largă decât definiția din Legea 677/ 2001 și ar putea include seturi de înregistrări manuale cronologice care conțin date cu caracter personal. Datele personale care au fost pseudonime – de exemplu, codificate la cheie – pot intra sub incidența GDPR în funcție de dificultatea de a atribui pseudonimul unei anumite persoane.

Tot la capitolul de definiții putem vedea și ce se înțelege prin: “restricționarea prelucrării” – marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora, în timp ce “creare de profiluri” înseamnă orice formă de prelucrare automată care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanta la locul de muncă, situația economică, sănătatea, preferințele, personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.

Care sunt datele personale sensibile?

GDPR se referă la datele personale sensibile ca la “categorii speciale de date cu caracter personal“. De cele mai multe ori categoriile speciale includ în mod specific date genetice și date biometrice, în cazul în care sunt procesate pentru a identifica în mod unic o persoană. Este destul de comun faptul că datele sau categoriile de date sensibile sunt asociate unor excepții de la aplicarea GDPR sau a unor situații speciale.

În Art.9: ”Prelucrarea de categorii speciale de date cu caracter personal”, în primul alineat se spune că ”se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.”

O încadrare clară și concisă a situațiilor speciale. Totul se complică destul de mult când încep să fie enumerate excepțiile de la aceste interdicții, multe dependente de dreptul intern al statelor membre. Iată câteva dintre aceste excepții într-o trecere în revistă succintă:

  • operatorul are consimțământul explicit din partea persoanei vizate pentru unul sau mai multe scopuri specifice;
  • prelucrări autorizate în domeniul ocupării forţei de muncă, al securităţii sociale şi protecţiei sociale;
  • protejarea intereselor vitale atunci când persoana vizată se află în incapacitate fizică sau juridică de a-şi da consimţământul;
  • activităţi legitime şi garantate ale unor fundații sau asociaţii, dar numai pentru membrii organismului respectiv;
  • persoanele vizate fac publice în mod manifest date cu caracter personal;
  • constatarea, exercitarea sau apărarea unui drept în instanţă;
  • motive de interes public major;
  • scopuri legate de medicina muncii, stabilirea unui diagnostic medical, furnizarea de asistenţă medicală sau socială sau gestionarea sistemelor de sănătate sau asistenţă socială;
  • motive de interes public în domeniul sănătăţii publice;
  • scopuri de arhivare în interes public, cercetare ştiinţifică, istorică sau statistică.

O altă categorie specială de informații se referă la datele personale asociate unor condamnări penale, infracţiuni sau măsuri speciale de Securitate. Așa cum prevede Art.10: ”Prelucrarea de date cu caracter personal referitoare la condamnări penale şi infracţiuni” se face numai sub controlul unei autorităţi de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern și se aplică garanții suplimentare.

În fine, o precizare care ține de situații destul de întâlnite în realitate. În Considerentul 27 se specifică faptul că GDPR ”nu se aplică datelor cu caracter personal referitoare la persoane decedate.” Statele membre pot să prevadă norme speciale privitoare la această categorie de date.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul articol ne vom ocupa de Principiile GDPR.

Articole anterioare:

The Disruptive Effect of GDPR

The entry into force of the new Personal Data Protection Regulation on May 25th, 2018 is already perceived as one of the major critical events of the next year. It will be “Day – O”, with apocalyptic effects for many companies that will not have the resources and time to become GDPR compliant?

Do you remember “2000 Year Virus” or “Millennium Problem”? It was a tremendous strategic move to upgrade infrastructure and computer equipment based on a technological challenge of expanding the number of digits. In January 2000 1st, there was very few downtime in some legacy computing systems with minor losses, but everyone gained through the boom of investments in new equipment and infrastructure…

For many organisations, the new EU regulation 2016/679 comes with the force of an unprecedented change. It seems to have a much greater disturbing effect than the digital wave. GDPR genesis was not easy. Considered as an absolutely necessary update of Directive 95/46 / EC, GDPR consolidated after 4 years of debate and 3000 amendments. Over 80 new requirements have emerged from the old directive. Many companies will have to make radical changes in business models. Some analysts say we will have to radically rethink the current marketing processes. According to the Digital Clarity GroupThe GDPR could be a mortal threat to your company’s existence — and it makes fundamental decisions about data collection, processing, and storage into key strategic business issues.”

An essential vector of the new regulation is the worldwide applicability area. Previously there were regional treaties such as “Safe Harbour” that offered US companies the necessary comfort to process customer data in Europe. Safe Harbour’s privacy principles were abolished by the European Court of Justice on October 24, 2015, after a customer complained that their Facebook data was insufficiently protected. GDPR has suddenly become a major challenge for all multinationals.

Other major provisions of the new regulation with possible disruptive effects would be:

Fines – Penalties are overwhelmingly high, with a maximum of 4% of annual global turnover. Note that these provisions apply to both data handlers and processors – which extend the GDPR requirement to hosting companies or Cloud providers as well.

Consent – Companies will no longer be able to use GDPR incompatible contractual terms or hard-to-get clauses. Consent must be clear and free from any taxation, and intelligent request and a solid argumentation of the purpose of the data processing.

Notification of security breaches – becomes mandatory for all member countries of the community. Any incident must be communicated to the reporting authorities within 72 hours of the occurrence of the breach. Processors will also have to notify their customers as soon as it turns out that the security incident has affected their personal data.

Right to access – part of the extended rights of citizens in the new GDPR format refers to their right to require processors or data controllers to confirm the way personal data is processed, where and for what purpose.

Right to be forgotten – also known as “the right to be deleted“, ensures full confidentiality by deleting all personal records, even in situations of data dissemination or potential use by third parties.

Data portability – refers to the right of any citizen to receive personal data in a readable, readable format by any device that can be transmitted at the request of the owner of another data processor.

Privacy by Design – is a long-standing concept that is just now part of the GDPR requirements package. Essentially, it consists of including data protection tools from the very beginning, from designing a computer system.

Data Protection Officers (DPO) – An IAPP study estimates a need of more than 28,000 DP officers across Europe. The holder of this position will be the GDPR compliance trustee and will accumulate legal, operational and IT expertise.

There are also analysts who see GDPR as a business-friendly test. Any company that has made efforts and invested in compliance measures has gone a long way in its digital transformation.

Wand.education de la SIVECO: un exemplu de revoluție digitală în învățământul interactiv

Wand.education este o aplicație educațională online dezvoltată de specialiștii de la SIVECO, care oferă profesorilor întregul suport necesar pentru crearea simplă și rapidă de conținut digital interactiv de calitate.  

Dacă ați observat că elevii dvs. devin dezinteresați și plictisiți de procesul clasic de învățare, care nu ține cont de competențele individuale ale elevilor, merită să aruncați o privire pe facilitățile oferite de noua aplicație software interactivă. Wand.education înlocuiește lecțiile tradiționale cu metode de predare interactive, facilitate de lecții captivante și instrumente care permit monitorizarea continuă și eficientă a evoluției fiecărui elev.

Lansat în 2016, Wand.education este un produs deja confirmat pe plan internațional, fiind finalist la GESS Dubai, târg educațional de calibru în educația mondială. De asemenea, între 24-28 ianuarie 2017, Wand.education a fost prezent printr-un stand special și multiple demonstrații live la expoziția internațională BETT 2017  (British Education and Training Technology) de la London ExCel, considerată ca cel mai important eveniment în domeniul soluțiilor educaționale.

Accesibilă de acum și în România, platforma este deja disponibilă pe toate piețele europene care adoptă curriculum englez, inclusiv în Orientul Mijlociu. Platforma Wand.education este oferită în limbile română, engleză și arabă, iar noi adaptări lingvistice sunt prevăzute pentru anii următori. Conținutul educațional poate fi distribuit pe orice platformă, pe desktop sau mobil: iOS, Android, Mac OS, Windows, Chromebook.

“Sistemul eLearning a promis de ani de zile să schimbe în mod activ fața învățământului școlar, dar credem că acum tocmai începe să se conformeze promisiunii. Wand.education permite o abordare de 360º a educației în școli, reunind toți actorii-cheie: profesori, elevi, părinți și factori de decizie, într-un proces de învățare continuă, fără frontiere fizice “, spune Prof. Radu Jugureanu, senior expert Wand.education.

Cu Wand.education profesorii au acces la activitățile de învățare predefinite disponibile în aplicație, precum galerii de imagini, hot-spot, cuvinte încrucișate, diagrame și multe altele. De asemenea, profesorii au posibilitatea să livreze conținutul creat pe echipamente de calcul fixe (PC), sau mobile (tablete) și să evalueze performanțele elevilor de la distanță.

În plus, Wand.education le permite profesorilor să monitorizeze progresul înregistrat de elevi prin rapoarte inteligente, detaliate. Pe scurt, pentru fiecare lecție livrată elevilor, profesorii primesc informații agregate sau individuale care îi ajută în înțelegerea mai clară a progresului elevilor. Aplicația îi sprijină, de asemenea, pe profesori în dezvoltarea activităților de evaluare formativă, în corectarea concepțiilor greșite, precum și în consolidarea cunoștințelor de bază.

“Profesorii nu sunt doar consumatori de resurse digitale, sunt co-autori și doresc să-și creeze propriile lecții digitale, adaptate nevoilor studenților lor. Cu Wand.education credem că am dezvoltat o platformă care va permite profesorilor să creeze experiențe de învățare semnificative și autentice în doar câteva minute “, spune Marius PRODANA, manager de produs Wand.education.

Wand.education oferă un larg set de instrumente care simplifică întregul proces educațional, de la crearea lecțiilor, până la prezentarea acestora și la monitorizarea rezultatelor.

Există o pagină dedicată lecțiilor, care include informațiile-cheie (titlu, subiect, an, dimensiune etc.) și unde acestea pot fi editate, previzualizate, duplicate sau distribuite. Cu ajutorul editorului pot fi create lecții noi sau pot fi editate cele existente. Biblioteca multimedia integrează peste 1000 de fotografii, ilustrații, fișiere audio și video, 3D, animații și forme. În curând vor fi adăugate până la 150.000 de fotografii și fișiere video.

Nu în ultimul rând, platforma conține și o colecție de lecții create de alți profesori, care pot fi căutate după cuvinte-cheie, previzualizate, adăugate la lista deja existentă a fiecărui profesor. Toate lecțiile pot fi ajustate în funcție de competențele elevilor sau de feedback-ul primit din partea lor.

Platforma Wand.education a fost prezentată și la conferința internațională eduVision 2020, unul dintre evenimentele speciale organizate la Londra în cadrul BETT 2017, parte a Forumului Educațional Mondial. În cadrul conferinței, Dan BUCKLEY – CEO la South East Cornwall Multi Academy Regional Trust a prezentat primele experiențe realizate cu Wand.education în școlile de limbă engleză și care este impactul platformei eLearning în transformarea digitală a proceselor tradiționale de predare și învățare. “Am fost impresionat de gama de instrumente oferite și de ușurința cu care puteam să lucrez cum să le folosesc intuitiv“, spune Dan BUCKLEY.

Citiți și articolul:

”With Wand.education Learning Becomes Magic”

Sursa ilustrațiilor:

SIVECO Romania

Cum ne alegem furnizorul de Cloud Hybrid? 6 criterii esențiale

Decizia de a selecta un furnizor de soluții Cloud hibrid este crucială pentru orice business și presupune o clară înțelegere a modului de utilizare a resurselor. În același timp, migrarea la un mediu hibrid enterprise necesită o nouă modalitate de a percepe transformarea digitală la nivelul întregii organizații. Și asta ține în primul rând de încrederea în Cloud.

Reacțiile pieței arată foarte clar că, atunci când este vorba despre implementări de nivel enterprise, o soluție nu poate răspunde tuturor cerințelor reale. Ceea ce piața solicită este consistența asigurată de platforme Cloud echilibrate. Cerințele de business, condițiile de securitate, poziționarea geografică și regulamentele specifice unor anumite industrii solicită un mix între soluțiile publice și private de Cloud, în care procentele de partajare între cele două modele diferă de la o situație la alta.

Forrester a chestionat peste 1000 de decidenți din SUA și Europa cu privire la adopția soluțiilor hibride de Cloud. Rezultatele studiului arată că în următoarele 12 luni 38% dintre respondenți intenționează să implementeze soluții de Cloud privat, 32% investesc în  Cloud public, iar 59% sunt deciși să adopte un model hibrid.

Principalele avantaje asigurate de un model hibrid sunt legate de posibilitatea de a beneficia de utilizarea optimă a resurselor, abilitatea de a comuta între cele două structuri de Cloud, precum și de a utiliza soluții de top precum: integrare Cloud, management în Cloud, securitate în Cloud, automatizare, networking și consultanță.

Pentru orice divizie de IT este nevoie în primul rând ca strategia de adopție a Cloudului hibrid să fie bine orchestrată, pentru a asigura mai buna colaborare și comunicare între echipele de specialiști. Guvernarea unei migrări de succes la un Cloud hibrid este condiționată de schimbarea de percepție și încrederea pe care o companie le investește în elaborarea unei strategii.

Echipele de dezvoltatori au nevoie de acces la instrumentele oferite de Cloudul public pentru eficientizarea metodologiei de deployment, implementare și adopție a aplicațiilor dezvoltate pentru medii hibride, beneficiind în același timp de securitatea și controlul oferite de centrele de date private. Cu resursele de elasticitate oferite de Cloudul public, organizația IT poate extinde rapid, simplu și cu costuri mult mai reduse puterea conferită de resursele din centrele de date, în timp real, în funcție de cerințele de business.

Iată principalele 6 întrebări pe care trebuie să le adresați furnizorilor de servicii Cloud la adopția unui model hibrid :

Management – ce instrumente și ce aplicații de management sunt disponibile pentru a controla datele, aplicațiile și procesele prin acces la distanță de pe desktopurile utilizatorilor finali; Cum pot fi acestea integrate cu sistemele de management existente?

Securitate – cum se asigură conformitatea pentru standarde precum PCI-DSS sau GAAP și cum afectează acestea standardul de securitate a informației ISO27002 ce guvernează centrele de date ale companiilor?

Redundanța și portabilitatea – poate furnizorul de servicii hibride să ofere o redundanță credibilă ce elimină punctele singulare de cădere precum conectivitățile de rețea? Ce interfețe open API sunt disponibile?

Întârzieri – deși transferul datelor poate fi cu ușurință controlat, aplicațiile pot fi sensibile la orice fel de întârzieri. Nu fiți siguri că veți putea rula aplicații sensibile la întârzieri într-un mediu de Cloud hibrid. Va trebui să faceți asta pe aceeași platformă.

Cum sunt definite contractele de service (SLA)? – disponibilitatea generală și întârzierile sunt factorii tipici, dar un contract de furnizări de servicii pentru aplicațiile critice de business este mult mai important. Ce tip de compensare este oferită pentru neasigurarea acestor baremuri oficiale?

Prețuri – principiul de bază al oricărui serviciu Cloud este ”plătesc pentru cât folosesc”. Dar modul în care se calculează utilizarea, fie că este vorba despre o subscripție lunară cu valoare fixă, modul în care contractul SLA definește suportul sau modul de evaluare a costului total de proprietate TCO trebuie evaluate cu mare atenție, urmărite continuu și comparate cu valoarea de business care se obține pentru a asigura balanța de eficiență financiară.

Articol realizat pe baza ghidului editorial publicat în Catalogul Cloud Computing – ediția a 6-a, soluții de Hybrid Cloud

Articol publicat in Revista IT Trends Nr5/ 2017, cu titlul: ”6 criterii esențiale la alegerea celui mai potrivit furnizor de Cloud hibrid”

%d bloggers like this: