GDPR: Prima sursă de informare – Portalul UE

 

AU MAI RĂMAS: 245 zile

GDPR Ready! este o inițiativă care își propune să ofere asigure un transfer deschis de know-how către toți cei interesați de obținerea compatibilității cu Regulamentul Uniunii Europene 679/ 2016, care va intra in vigoare pe 25 mai 2018. Prin această inițiativă se dorește catalizarea eforturilor unui număr cât mai mare de organizații guvernamentale și private care oferă servicii de evaluare și consultanță tuturor celor care operează cu date personale.  

După un prim articol introductiv intitulat ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?” continuăm seria de materiale exploratorii referitoare la noul Regulament EU 2016/ 679 privitor la Protecția Datelor Personale. În articolul menționat, am făcut o scurtă analiză asupra  importanței și obiectivelor noului Regulament, o trecere în revistă a direcțiilor de acțiune și o prezentare generală a conținutului site-ului Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Vom continua acum cu prezentarea sursei de informare primară, Portalul General Data Protection Regulation administrat de Uniunea Europeană, care este gândit ca o pagină oficială a regulamentului UE 2016/ 679.

Puțină istorie

După patru ani de intense dezbateri și peste 3000 de amendamente, noul regulament GDPR intră în funcțiune pe 24 Mai 2016, la 20 de zile după aprobarea de către Parlamentul European, oferind tuturor țărilor un răgaz de aplicare de 2 ani, cu dată limită de asigurare a conformității pe 25 Mai 2018. Dar preocupările legislative privitoare la protecția datelor personale au o lungă istorie în Europa. Iată câteva repere în timp:

1981/ 2 Ianuarie – În cadrul Convenției 108 a Consiliului Europei se semnează primul tratat de protecție a cetățenilor europeni referitor la procesarea automată a datelor personale, care a intrat în vigoare pe 1 Octombrie 1985.

1995/ 24 Octombrie – Este creată Directiva 95/46/EC, prima directivă europeană privitoare la procesarea și protecția datelor personale și libera circulație a acestora, ca element esențial drepturilor personale ale cetățenilor europeni. Directiva devine valabilă în 13 Decembrie 1995 și le-a oferit statelor membre un răgaz de aplicare până la 24 Octombrie 1998.

2012/ 25 Ianuarie – Comisia Europeană propune o reformare comprehensivă a Directivei EC 95/46 pe linia progresului tehnologic și a globalizării care au afectat felul în care sunt colectate, accesate și folosite datele personale.

2012/ 23 Martie – Grupul de lucru intitulat ”Article 29 Data Protection” și-a publicat Opinia 01/ 2012 ca sinteză a discuțiilor și dezbaterilor legate de noile imperative legate de protecția datelor personale în noul context al unei politici europene unitare pentru o piață unică digitală.

2012/12 Aprilie – germanul Jan Philipp Albrecht, membru al Committee for Civil Liberties, Justice and Home Affairs (LIBE) este numit oficial ca Raportor al Parlamentului European pentru GDPR.

2016/ 2 Februarie – Grupul de Lucru ”Articolul 29” lansează un plan de acțiune pentru implementarea GDPR care reanalizează un mare număr de drepturi existente și stabilește unele noi la nivel individual, precum dreptul la portabilitatea datelor și dreptul ca datele personale să nu fie procesate în alte scopuri decât cele legale sau cele prevăzute printr-un contract.

2016/ 24 Mai – Noul Regulament UE 2016/ 679 înlocuiește vechea Directivă 95/46/EC și are ca menire armonizarea legislației privitoare la protecția datelor personale din întreaga Europă.

Care sunt principalele modificări

Iată o trecere în revistă a principalelor modificări ale vechii legislații, care poate fi citită pe Portalul GDPR: Principalul scop al noului Regulament de Protecție a Datelor Personale este de a oferi cetățenilor europeni cadrul modern legal necesar pentru protejarea datelor personale într-o economie tot mai dependentă de mobilitate și tehnologii digitale.

Aplicabilitatea extra-teritorială – una dintre cele mai importante modificări legislative se referă la extinderea jurisdicției GDPR, care devine aplicabil pentru toate companiile care procesează date personale ale cetățenilor care au reședința în Uniunea Europeană, indiferent de locația geografică a companiei. În versiunea precedentă, aplicabilitatea teritorială a directivei era ambiguă și se referea la procesarea datelor doar ”în contextul unei instituții”, ceea ce a generat o serie amplă de dezbateri și numeroase cazuri nerezolvate în justiție.

Amenzile – Penalizările financiare pentru nerespectarea prevederilor Regulamentului sunt copleșitor de mari, cu maxime ce se referă la 4% din cifra de afaceri globală anuală sau maximum 20 milioane de euro pentru situațiile în care operatorul de date nu are consimțământul clienților într-o proporție suficientă sau afectează elementele cheie de confidențialitate prin-o abordare eronată a conceptului. Cele mai puțin aspre penalități prevăd amenzi de 2% din cifra de afaceri anuală pentru o slabă gestionare a înregistrărilor referitoare la prelucrarea datelor (Articolul 28), pentru ne-notificarea autorității de supraveghere în situația apariției unei breșe, sau pentru neafectarea de evaluări de impact. De notat că aceste prevederi se aplică atât celor care gestionează datele, cât și celor care le procesează – ceea ce extinde obligativitatea GDPR și asupra companiilor care oferă servicii de hosting sau furnizorilor de Cloud.

Consimțământul – condițiile de obținere a unui consimțământ din partea clienților s-au înăsprit, iar companiile nu vor mai putea folosi termeni contractuali necompatibili GDPR sau în condiții greu de probat. Consimțământul trebuie să fie clar și liber de orice impunere și solicitat într-un format inteligibil și ușor de accesat, fiind însoțit de o explicare clară a scopului pentru care se procesează datele. Limbajul trebuie să fie simplu și clar, iar consimțământul trebuie să fie la fel de simplu de solicitat și de acordat.

Notificarea breșelor de securitate – devine obligatorie pentru toate țările membre ale comunității, unde prin breșă se înțelege ”orice incident de securitate care induce un risc pentru drepturile și libertățile individuale”. Orice incident trebuie comunicat către autoritățile de raportare într-un interval de maximum 72 de ore, de la momentul în care breșa a fost constatată. Procesatorii vor trebui de asemenea să își anunțe clienții, fără nici-o întârziere, imediat după ce s-a dovedit că incidentul de securitate a afectat datele personale ale acestora.

Dreptul la acces – parte din drepturile extinse ale cetățenilor în noul format al GDPR se referă la dreptul acestora de a solicita procesatorilor sau controlorilor de date confirmări legate de modul în care datele personale sunt procesate, unde și în ce scopuri. Mai mult, operatorii vor trebui să furnizeze gratuit o copie a datelor personale, într-un format electronic.

Dreptul de a fi uitat – cunoscut și ca ”dreptul de a fi șters”, asigură cetățenii de posibilitatea de a își asigura deplina confidențialitate prin ștergerea tuturor înregistrărilor cu caracter personal, chiar și în situațiile de diseminare de date sau folosirea potențială de către o terță parte. Condițiile de ștergere sunt prevăzute în Articolul 17, fiind valabile pentru situațiile în care datele devin irelevante pentru scopurile asumate inițial sau când posesorul datelor își retrage consimțământul. De notat aici, că există încă unele neclarități asupra moduli în care unii operatori de date pot considera aceste date de interes public, situații în care datele trebuie să rămână disponibile.

Portabilitatea datelorse referă la dreptul oricărui cetățean de a primi datele personale într-un format prestabilit, ușor de citit de către orice dispozitiv, care poate fi transmis la solicitarea posesorului unui alt procesator de date.

Confidențialitate prin design
– ”Privacy by design” este un concept care se folosește de mult, dar care abia acum devine parte din pachetul de cerințe GDPR.  În esență, acest concept constă în includerea instrumentelor de protecție a datelor încă de la început, de la proiectarea unui sistem informatic. Mai exact, un operator de date personale trebuie să adopte cerințele tehnice și operaționale într-o manieră efectivă, pentru a corespunde cerințelor regulamentului și a proteja datele personale ale clienților. Articolul 23 recomandă operatorilor să păstreze și să proceseze doar datele absolut necesare pentru îndeplinirea sarcinilor (minimizarea datelor), precum și să limiteze accesul celor interesați de prelucrarea datelor în alte scopuri.

Data Protection Officers (DPO) – în mod curent, operatorii de date erau obligați să notifice activitățile de procesare a datelor către diferite autorități, ceea ce a condus la generarea multor probleme birocratice, în special pentru companiile multinaționale, obligate să trimită multiple feluri de notificări către diferite autorități. Conform noului Regulament, nu va mai fi necesar ca o multinațională să trimită notificări către fiecare autoritate de supraveghere și nici nu va fi o cerință de notificare / obținere a aprobării transferurilor pe baza unui Model Contract Clauses (MCC). În schimb, vor exista cerințe interne de păstrare a înregistrărilor. Numirea unui responsabil Data Protection Offcier devine obligatorie doar pentru acei operatori care au ca activitate de bază operațiuni de procesare care necesită monitorizarea regulată și sistematică a datelor la scară largă, sau doar pentru anumite categorii de date legate de activitățile ce intră sub incidența legii.

 Numirea unui DPO se va face după un set riguros de criterii:

  • Alegerea DPO trebuie făcută pe baza unor calități profesionale foarte clare, ce în bună parte presupune și un nivel mediu de cunoaștere a legilor și practicilor de protecție a datelor.
  • Poate fi un angajat propriu sau un furnizor extern de servicii
  • Detaliile de contact trebuie furnizate autorității de supraveghere
  • Trebuie să raporteze direct, la cel mai înalt nivel de management
  • Nu trebuie să I se atribuie nicio altă sarcină care ar putea intra în conflict de interese cu protecția datelor personale.

Urmăriți viitoarele articole din categoria GDPR Ready!

INIȚIATIVA ”GDPR READY!”

Asigurarea conformității cu GDPR la nivel organizațional este o activitate extrem de complexă ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Inițiativa GDPR Ready! își propune să vă ofere accesul deschis la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în prctică sub cele mai bune auspicii.

Nevoia de inițiativă

Pornind de la importanța majoră a asigurării unei tranziții unitare, la scară națională, către îndeplinirea condițiilor de compatibilitate cu Regulamentul 679/ 2016 de către marea majoritate a companiilorf care operează cu date personale, a fost gândită lansarea unei inițiative ”GDPR Ready!”, care să susțină și să completeze eforturile de promovare și conștientizare depuse de Autoritate și alte instituții publice și private.

Această inițiativă își propune să catalizeze interesul celor implicați în acțiuni de asigurare a compatibilității cu Regulamentul 679/ 2016: organizații guvernamentale și private, asociații profesionale, companii de consultanță, instituții de cercetare și educație, furnizori de soluții și servicii IT&C, operatori de centre de date, case de software, reselleri și distribuitori, magazine online, și alții…

Ce trebuie să știe companile care operează cu date personale din România?

Mai este mai puțin de un an până la data de 25 mai 2018 și sunt încă foarte multe lucruri de făcut. Cu toate eforturile inițiate de ANSPDCP, comunitatea operatorilor de date resimte nevoia acută a unor acțiuni mai ample, care să ofere răspunsuri mai clare privitoare la ceea ce au efectiv de făcut. Din discuțiile avute cu membrii diferitelor comunități din industria IT&C, reiese că în piață există încă multe incertitudini. Mulți operatori de date nu știu încă ce au de făcut, iar furnizorii de servicii Internet și Cloud au și mai multe probleme legate de procesarea și guvernanța datelor.

Ce tipuri de acțiuni trebuie extinse și aprofundate la nivelul tuturor operatorilor de date? 

Comunitățile și industriile simt nevoia acută să cunoască mai bine ce au de făcut și să înceapă activitățile ce vor asigura premisele de obținere a conformității. De aceea toate activitățile care vor fi propuse și efectuate sub umbrela inițiativei ”GDPR Ready” vor avea ca obiectiv:

  • Conștientizarea importanței GDPR în contextul transformărilor digitale
  • Înțelegerea noilor prevederi ale GDPR
  • De ce e nevoie ca operatorii de date personale să devină compatibili cu noile reglementări
  • Care sunt sancțiunile
  • Care sunt problemele pe care le au de rezolvat operatorii de date personale ce oferă servicii online sau bazate pe Cloud
  • Care sunt problemele legale și administrative
  • Care sunt problemele operaționale
  • Care sunt problemele tehnice
  • Care sunt pașii pentru pregătirea și obținerea compatibilității
  • Cine ne consiliază
  • Cine ne certifică GDPR Ready?
  • Cui alocam responsabilitatile de DPO (Data Protection Officer)?

Ce acțiuni va iniția și susține cloud☁mania în cadrul inițiativei ”GDPR Ready!”

  • Articole și materiale de popularizare ale inițiativelor publice ANCPDCP, MCTI, asociatii guvernamentale si profesionale
  • Popularizarea inițiativelor private: vendori și furnizori IT&C, furnizori de servicii, consultanță și audit
  • Susținerea de prezentări și workshopuri la întrunirile asociațiilor profesionale și evenimente din industria IT
  • O atenție specială va fi acordată în mod firesc măsurilor pe care trebuie să le aibă în vedere furnizorii de servicii Cloud, operatorii telecom și data networking, providerii de servicii Internet, producătorii independenți de software, operatorii de servicii data center, procesatorii de plăți online, magazinele online, analiștii de date, companiile de data insurance, furnizorii de servicii de securitate, etc.
  • Alte proiecte vor fi demarate în parteneriat cu diferite entități și vor fi anunțate din timp.

Note:

  • Conținutul acestui landingpage reprezinta un blue-print si va fi îmbunătățit pe măsură ce alți particpanți își vor manifesta interesul pentru Inițiativa GDPR Ready.
  • Oricine este interesat ma poate contacta completand formularul online.

IDC Security Roadshow 2017; in Bucharest a Real Show!

 

Keeping the same direct dialogue style from announcing article “IDC Roadshow 2017 is coming in Bucharest”, I want to ask yesterday participants if all I promised was happen. Did you think my participation invitation arguments have not been confirmed by the event? Anyone is free to complain posting personal opinions on the comments area… What I want, and I consider it more important, is to show those who could not come, what they had to lose…

So, it was 2017 edition of IDC Roadshow, and Bucharest was the 10th location in CEE region. I don’t know what’s happening in other cities, but I can confirm in Bucharest it was a real show! And here are my key arguments:

First, through the new approach to IT security issues, a field where never-ending novelty is no longer new… We are in a multi-platform era and any CISO should think to data security challenges from duality perspective.  How to improve security posture and resource efficiency at the same time. Data protection is at the same time a management and an IT challenge, covering a lot of vulnerabilities points from access controls and privileged user management, to data encryption and prevention, to policy and compliance deploying, and development of an effective data security culture for the whole company.

Second, the Conference Agenda, which balanced and alternated in a natural way keynotes speeches and new security concepts (Mark Child – CEE Security Practice Lead IDC, Liviu Stoica – president Agency for Romanian Digital Agenda, Gabriel Nicolaescu – Novatech, Puiu Leontescu – Palo Alto Networks, Marian Gheorghe – Telekom)  with discussion panels (CISO perspective: CEC Bank, Omniasig VIG, Dacia Renault and Client and the Vendor: Urgent Targus, Novatech, Palo Alto Networks) , live demo  and two dedicated breakout sessions focusing on of hottest  subject of the moment: The WannaCry Impact for security industry and the new EU regulation 2016/ 679 concerning the personal data privacy (GDPR).

Third, the professional quality of the speakers and discussion panels participants. Personal, for me, it was a very nice surprise to hear and to meet top level professionals, with long-time and rich expertise in their activity areas like Gabriel Nicolaescu – BDM Novatech, Puiu Leontescu – System Engineer Palo Alto Networks, Cristina Metea – Legal Adviser Microsoft Romania, Catalina Dodu – Country Manager Atos Romania, Adrien Viaod – Field Application Engineer Kingston, Emil Gagala – Network and Security Architect VMware, and Alex Balan – Chief Security Researcher Bitdefender.

Fourth, and somewhat related to the previous one, was the active presence with presentations and especially comments on the personal experience of a very representative CISO & CIO pool, from all essential industries for protecting information, like banking (Razvan Grigorescu – Information Security Manager/ CISO CEC Bank, Cristian Goiceanu – CSO & Executive Director, BCR, and Andrei Vilcan – Head of Information Security, Banca Transilvania),  insurance (Adrian Baciu – CISO Omniasig VIG), manufacturing (Daniel Dinu – CISO Dacia Renault), utilities (Eusebiu Rotaru – IT Infrastructure Manager Electrica Distributie), telecom (Marian Gheorghe – Business Segment ICT and Sales Key Accounts Director Telekom) and logistic services (Marian Pletea – CIO Urgent Cargus), until to the governmental representatives (Liviu Stoica – President. Agency for the Romanian Digital Agenda).

Fifth, the professional involvement of IDC staf, which well managed a very difficult event. I know from my own experience the necessary efforts to better organize such international event. It was a nice surprise for me to note the professional infusion brought by the new team of  IDC Romania, active represented during all conference by Alina Georgescu – Country Manager and Razvan Savu – Senior Consultant & Senior Research Analyst. Besides the effervescence of the young team, a great value contribution to the event success was conferred by the presence of Mark Child, a regional information security expert with a rich experience in IDC’s research projects since 2004.

So, is not time and space to write here more details about the Roadshow presentations. This will be included in next articles. What I consider important to point here are three moments with large impact for all audience.

The hacking live demo sustained by Senior Information Security Consultants Gabriel Avramescu from Bucharest and Radu Stăneascu from Bruxelles show us how simple is for a hacker to penetrate our computers and to destroy/ steal critical data, by a simple access on a malicious site. It was a very simple technical live demo showing how easy is for any medium experienced hacker to penetrate our systems In the absence of elementary protection measures and cyber security culture.

Another interesting moment was the discussions panel moderated by Razvan Savu from IDC, dedicated to a real case: the business transformation process faced by Urgent Cargus, a former Romanian company acquired by Deutsche Post DHL in 2008.  Operational problems and the challenges caused by the lack of integration of the platforms and systems was the main discussion subjects, and in the same time, the challenging issues opened by Marian Pletea – CIO Urgent Cargus to Gabriel Nicolaescu from Novatech, and Puiu Leontescu from Palo Alto Networks. Both specialists offered their general strategy for the concrete case solving, commented and amended by the Urgent Cargus CIO.

Finally, a few words about a special panel session dedicated to GDPR, moderated by Andreea Lisievich – Data Privacy Lawyer and having as guests Cristina Metea from Microsoft, Catalina Dodu from Atos, and  Cristian Goiceanu – CSO & Executive Director at BCR. As I know it was one of the first UE regulation debate sustained by private company representants, included in a security conference. After a short introduction in the new GDPR regulation made by Andreea Lisievich, participants discussed the vital importance for any company to become compliant with this regulation. Special attention has been given to the new provisions of the regulation that will enter into force on May 25, 2018, and what attitude must be adopted by any company operating with personal data to comply with the new provisions. Other important issue discussed:

  • Errors of interpretation that may arise from the current Romanian translation of the Regulation
  • What are personal data involved
  • Who and How is processing personal data
  • Which are the situations a DPO role is necessary?
  • Which competencies should a DPO have?
  • How important are the data incidents announcements
  • When is necessary to announce the citizens about a possible personal data incident?
  • How should citizens react when they receive a possible incident notification?
  • Which are specific problems for a Cloud services provider?
GDPR is a big challenge for any personal data operating companies. There are a lot of unclear issues related to “What we have to do” action plan. Follow the actions proposed by the GDPR Ready initiative to get answers to the issues raised by personal data processing compliance in real time.

 

Concluding, IDC Security Roadshow, 2017 edition was something new. A new event concept for a very sensitive subject: information security. A well balanced and interesting Agenda. A very high professional level of participants. professional high level. A very representative presence of big companies CISO. A very important contribution to IDC organising team during all the event.

The Digital transformation hurricane is involving a lot of new technologies, opening the Pandora’s Box for a lot of new threats to cyber security. In order to prevent and to limit any vulnerability, important is to know this threat, to manage the associated risks, to develop a company culture for data protection, and to implement a business continuity strategy.  

IDC Security Roadshow 2017 is coming in Bucharest

Just one week until the new edition of IDC Security Roadshow, transforming Bucharest for one day in the Europen capital of cyber security. Reflecting the trend of recent years that attracted a multitude of border technologies in the hurricane of digital transformation, opening the Pandora’s Box for new threats of cyber security, this year edition of IDC Security Roadshow will focus on the information security issues in multi-platform era.

It is true, a lot of cyber security conferences were organised in the last period. And this is perfectly normal, thinking to the strategic importance of the field. If you still have doubts, if you are not yet clear that it is worth attending the IDC Roadshow, take a look at the event Agenda and you will see it worth it. The main security market trends in CEE will be analysed in the opening keynote ”Information Security in the Multi-Platform Era”, sustained by Mark Child, CEE Security Practice Lead at IDC CEMA. After that Gabriel Nicolăescu, Business Development Director at NOVATECH will conduct us in a CISO strange adventure in Alice (and Bob) In The New Wonderland. The misadventures of a CISO in the brave new world of…”

If I have not convinced you so far, maybe a hacking demonstration could be a good reason for you to postpone your business routines in another day and to come to the IDC Roadshow on June 8th. Come to assist two Senior Information Security Consultants Radu Stăneascu and Gabriel Avramescu in their “Live Demo Hacking.”

Are your organisations in a permanent search for solutions to consolidate your security infrastructure? See how Palo Alto Networks Next-Generation Security Platform, presented by Puiu Leontescu, can help you to address your company cutting costs with superior security solution and an effective TCO.

Okay, you might say: ”maybe it’s worth writing at least for the first part of the conference, and after that, I go back to my office to resolve my affairs.” Don’t rush …, look again on the agenda and you will see that the themes approached by the two parallel sessions in the second half of the program will make you regret that you can not split into two. In this case, the ideal solution is to convince a colleague to come to the IDC Roadshow. So you will be able to participate each one at one breakout session and then share the information. These sessions will cover two subjects with a strategic role in any CSO activity: End-point defence and Data-Centric Security.

Guerrilla fights with cyber criminals never end, and it’s enough to think of the nightmare weekend created by WannaCry, described by Eugene Kaspersky as ”a ransomware with a very low code quality, and a lot of bugs that gives victims a chance to restore data using free utilities for file recovery”… End-point defence session will cover ”The WannaCry Impact” analysed by Mark Child from IDC, a Novatech Case Study presented by Marius Marinescu, CTO at Novatech, the last development brief ”Bitdefender – Trademark For Innovation!” made by Alex Balan, Chief Security Researcher, and another Case Study presented by Eusebiu Rotaru, Manager IT Infrastructure at Electrica Distribution.

Regulations achievement and standards compliance could be other nightmare reasons for a CIO or a CSO. And speaking about the new EU regulation concerning the personal data privacy (GDPR), the issues become more critical. Of course, you can think that GDPR is not your problem, but the company’s administrators and lawyers. Don’t think like this because in the new European regulation there is an important amount of specifications that directly target the technological and operational components in any organisation is managing personal data. And this should interest you directly. Don’t forget: until the implementation of the new EU Regulation 679/2016 (25 May 2018), we have less than one year… IDC invited Alexei Proskura – Security Program Director at IDC CEE, Catalina Dodu – Country Manager Atos IT Solutions and Services, Cristina Metea – Legal Advisor at Microsoft Romania, and Andreea Lisievici – Data Privacy Lawyer to discuss a critical issue related to EU Regulation compliance for any company is processing personal data.

So, hoping I already convinced you, don’t forget we have just one week until the event. All you have to do is to sign up on the special page created by IDC at http://idcitsecurity.com/bucharest/registration

 

GDPR Ready? AMR 1 AN!

 

Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?

Nisipul din clepsidră se efilează ireversibil. Fix peste un an (fără câteva zile deja), pe 25 mai 2018, va intra in vigoare noul regulament privitor la protecția datelor personale propus de Uniunea Europeană. Votat de Parlamentul European în aprilie anul trecut, Regulamentul 679/ 2016 privind protecția datelor personale și libera circulație a acestor date este cunoscut sub denumirea generică de GDPR, adică mai pe înțelesul nostru Regulamentul General privind protecția Datelor Personale.

Parlamentul European a acordat procesatorilor de date personale un răgaz de 2 ani, suficient pentru a se pune la punct cu noile reglementări. Pentru a sublinia importanța acestui demers, au fost anunțate penalități usturătoare pentru cei care nu vor putea deveni compatibili. Mulți analiști spun că cifrele vehiculate ”sunt așa, doar de înfricoșare”, dar cine își poate permite să riște o amendă de 10 milioane de euro sau minim 2% din cifra de afaceri pe un an?

De ce este atât de important Regulamentul 679/2016?

În primul rând pentru că reprezintă o inițiativă europeană la care vor trebui să se alinieze atât operatorii de date personale din Uniunea Europeană, cât și toți ceilalți care sunt implicați în schimburi de date cu aceștia.

Regulamentul a apărut ca o reacție firească la stabilirea unor noi cadre de reglementare unitară, nu numai pentru viitorul digital al Europei, ci și pentru a corespunde unor modele de business online, proliferării serviciilor Cloud și rețelelor sociale. Toată această cavalcadă de digitalizare, globalizare și migrare în Cloud pune într-o nouă perspectivă siguranța datelor personale.

Apariția Directivei NIS (Rețeaua și Securitatea Informației) și noul GDPR, oferă noi perspective, dar și o foarte mare responsabilitate, tuturor organizațiilor procesatoare de date personale din UE, precum și întregului ecosistem de afaceri în care acestea sunt angrenate.

Care sunt obiectivele noului regulament?

Prin date cu caracter personal se înțeleg  orice informații privind o persoană fizică identificată sau identificabilă. O persoană fizică identificabilă este aceea care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume,un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice,culturale sau sociale.

În România, noul regulament înlocuiește Legea 667/ 2001. GDPR reprezintă o schimbare fundamentală în legislația UE în ceea ce privește datele și intimitatea personală. Regulamentul are doua obiective majore:

  • Actualizarea legislației privind protecția datelor pentru a reflecta noile comportamentele digitale și valorile societății;
  • Armonizarea regulilor privind protecția datelor la nivelul UE, deoarece vechea Directivă privind Protecția Datelor a fost abordată și implementată în maniere diferite de statele membre, adaptată la propriile culturi, nevoi și preferințe. Asta a influențat o inhibare a comerțului și activităților cross-border, acționând ca o frână în calea unei viitoare piețe unice digitale.

Care sunt activitățile asupra cărora GDPR va avea un impact major?

În primul rând sunt vizați toți operatorii de date. Mulți procesatori de date existenți vor trebui să își schimbe radical procedurile și garanțiile de prelucrare a datelor.

Apoi, orice organizație, indiferent de mărime și domeniu de activitate, care execută activități de procesare a datelor, pentru că noul regulament se aplică datelor personale ale cetățenilor UE, indiferent dacă cel care controlează sau datele are prezență fizică în UE sau nu.

Cine este vizat de noul regulament?

Iată doar câteva exemple de domenii unde există operatori de date personale:

  • financiar bancar: bănci, asiguratori, administratori ai fondurilor de pensii, companii de servicii financiare, societăți de leasing, etc.;
  • utilități: energie, gaze, apă, salubritate, transport public;
  • furnizori de produse și servicii IT: producători de software, furnizori de servicii de telecomunicații, Internet, cablu TV, rețele și servicii de hosting și Cloud, operatori de data centers, operatori de plăți online, magazine online, furnizori de soluții de Securitate HW și SW
  • organizații din sănătate: spitale, policlinici, case de asigurări, instituții de studii clinice, medici de familie, farmacii, etc.;
  • companii comerciale de retail, distribuție, magazine online;
  • organizații media, agenții de marketing și PR, agenții de publicitate, cabinete de consultanță tehnică, economică sau juridică, agenții de jocuri și concursuri, companii de training și cursuri de perfecționare;
  • autorități și instituții publice.

Care sunt direcțiile de acțiune ale operatorilor pentru a asigura implementarea noului regulament?

  • În primul rând elaborarea unui plan de asigurare a tuturor măsurilor necesare pentru îndeplinirea compatibilității;
  • pregătirea aplicării efective a Regulamentului;
  • obținerea resurselor financiare și umane adecvate pentru realizarea efectivă a competențelor solicitate;
  • elaborarea unui Studiu de impact – în cazul procesărilor de date care presupun un risc ridicat pentru viața privată a persoanelor, cum ar fi cele din sănătate;
  • înființarea funcției Data Protection Officer (DPO), ca persoană care răspunde de/ coordonează siguranța datelor personale la nivelul operatorului de date;
  • conștientizarea riscurilor asociate cu penalitățile extrem de severe anunțate pentru neconformare – 10 – 20 milioane de euro sau între 2% şi 4% din cifra de afaceri la nivel internațional.

Cum au evoluat preocupările legate de GDPR în România?

După febra inițială a anunțului legat de aprobarea Regulamentului 679/ 2016, trebuie să recunoaștem că a fost un prim an destul de liniștit. Ne-am fi așteptat la o mobilizare mai mare, încă din vara lui 2016. Cu puține excepții pe care le vom enumera mai jos, activitățile au fost destul de discrete, fără să se bucure de o reflectare adecvată în presă, pe grupurile de discuții sau în mediile sociale… Am discutat cu diferiți reprezentanți ai organismelor guvernamentale care ar trebui să manifeste o implicare mai activă în asigurarea unui bun climat pentru adoptarea noului regulament. Aproape de fiecare dată mi s-a explicat că problema e conștientizată și că va fi tratată cu toată considerația. Nici implicarea segmentului privat nu a fost prea dinamică în primul an. Puținele dezbateri publice din 2016 au vizat cu precădere discutarea textului de regulament și, foarte puțin, măsurile care s-ar impune.

Avem o Autoritate Națională

În România, organismul care coordonează problemele legate de securitatea datelor personale este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Citând din prezentarea generală a instituției și a obiectivului de activitate publicate pe site-ul Autorității http://www.dataprotection.ro/:

”Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în calitate de autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor personale, reprezintă garantul respectării drepturilor fundamentale la viaţă privată și la protecţia datelor personale, statuate cu precădere de art. 7 și 8 din Carta Drepturilor Fundamentale a Uniunii Europene, de art. 16 din Tratatul privind Funcționarea Uniunii Europene și de art. 8 din Convenția europeană pentru apărarea drepturilor omului și libertăților fundamentale.”

Din aceeași sursă reținem faptul că Autoritatea își asumă rolul extrem de important de catalizator al tuturor eforturilor de aplicare a prevederilor noului Regulament care implică ”o evaluare complexă a instrumentelor specifice asigurării protecției datelor personale, în scopul adaptării cadrului normativ național și pregătirii instituționale pentru aplicarea noilor reglementări europene, inclusiv sub aspectul realizării unei cooperării eficiente cu Comitetul european pentru protecția datelor și cu celelalte autorități în domeniu din Uniunea Europeană.”

Pe pagina de Web dedicată noului Regulament UE 679/ 2016 este publicat un abstract legat de noua legislație, cu referire specială la:

  • Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
  • Directiva (UE) 2016/680 referitoare la protecția datelor personale în cadrul activităţilor specifice desfășurate de autoritățile de aplicare a legii.

precum și linkuri către o serie de documente importante:

Toate documentele la care se face referire sunt redactate în limba română, pot fi consultate și descărcate online.

O altă secțiune importantă a paginii dedicate noilor reglementări europene se referă la activitatea Grupului de Lucru Articol 29. Acest grup de lucru a fost creat în temeiul Articolului 29 din Directiva 95/46/CE și este un organ consultativ european independent care se ocupă cu protecția și confidențialitatea datelor.

Art. 20 din Regulamentul General privind Protecția Datelor (GDPR) introduce un nou drept la portabilitatea datelor. Acest drept permite persoanelor vizate să primească datele cu caracter personal pe care le-au furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și să transmită respectivele date altui operator, fără obstacole.

Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate), precum și  celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 („WP29”) încurajează aceste eforturi voluntare.

Cele mai importante documente care reprezintă activitățile specifice acestui grup de lucru sunt o serie de Ghiduri destinate asigurării unei aplicări unitare, realizate prin consultări publice care au demarat în luna decembrie a anului trecut și au fost adoptate în cadrul Plenarei din luna aprilie 2017 a Grupului de Lucru Art. 29 :

E important de menționat că în cursul aceleiași Plenare, s-a adoptat Opinia nr. 1/2017 privind propunerea de Regulament a Comisiei Europene referitor la comunicațiile electronice – Regulament ePrivacy. Acest Regulament are menirea de a defini politicile de protecție a comunicațiilor și echipamentele terminale, care au caracteristici particulare care nu sunt adresate de GDPR.

În aceeași Plenară a fost adoptată și o Declarație a Grupului de Lucru Art. 29 pentru revizuirea Regulamentului 45/2001 ce viza protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organismele comunitare și libera circulație a acestor date.

Continuând descrierea conținutului paginii de Internet a ANSPDCP, foarte importantă este prezentarea – sub formă de comunicate de presă, a principalelor activități de popularizare a Regulamentului  la care Autoritatea a participat sau pe care le-a organizat începând cu vara anului 2016.

Dar despre aceste activități de promovare și ce alte tipuri de acțiuni sunt proiectate pentru perioada următoare vom scrie într-un viitor articol.

Ce alte tipuri de acțiuni ar mai fi utile pentru operatorii de date din România?

Mai este un an și sunt încă foarte multe lucruri de făcut. Cu toate eforturile inițiate de ANSPDCP, comunitatea operatorilor de date resimte nevoia acută a unor acțiuni mai ample, care să ofere răspunsuri mai clare privitoare la ceea ce au efectiv de făcut. Din discuțiile avute cu membrii diferitelor comunități din industria IT&C, reiese că în piață există încă multe incertitudini. Mulți operatori de date nu știu încă ce au de făcut, iar furnizorii de servicii Internet și Cloud au și mai multe probleme legate de natura transmiterii, prelucrării, stocării și procesării datelor.

INIȚIATIVA ”GDPR READY”

Pornind de la importanța majoră a asigurării unei tranziții unitare, la scară națională, către îndeplinirea condițiilor de compatibilitate cu Regulamentul 679/ 2016 de către marea majoritate a operatorilor de date personale, ne-am gândit la lansarea unei inițiative ”GDPR Ready”, care să susțină și să completeze eforturile de promovare și conștientizare depuse de Autoritate și alte instituții publice și private.

Această inițiativă își propune să catalizeze interesul celor implicați în acțiuni de asigurare a compatibilității cu Regulamentul 679/ 2016: organizații guvernamentale și private, asociații profesionale, companii de consultanță, instituții de cercetare și educație, furnizori de soluții și servicii IT&C, operatori de centre de date, case de software, reselleri și distribuitori, magazine online, și alții…

Ce tipuri de acțiuni trebuie extinse și aprofundate la nivelul tuturor operatorilor de date? 

Comunitățile și industriile simt nevoia acută să cunoască mai bine ce au de făcut și să înceapă activitățile ce vor asigura premisele de obținere a conformității. De aceea, principalele activități care vor fi propuse și efectuate sub umbrela inițiativei ”GDPR Ready” vor avea ca obiectiv:

  • Conștientizarea importanței GDPR în contextul transformărilor digitale
  • Înțelegerea noilor prevederi ale GDPR
  • De ce e nevoie ca operatorii de date personale să devină compatibili cu noile reglementări
  • Care sunt sancțiunile
  • Care sunt problemele pe care le au de rezolvat operatorii de date personale ce oferă servicii online sau bazate pe Cloud
  • Care sunt problemele legale și administrative
  • Care sunt problemele tehnice și operaționale
  • Care sunt pașii pentru pregătirea și obținerea compatibilității
  • Cine ne consiliază
  • Cine ne auditează

Ce acțiuni va iniția și susține cloud☁mania în cadrul inițiativei ”GDPR Ready”?

  • Articole și materiale de popularizare ale inițiativelor publice ANSPDCP, MCTI, ministere
  • Popularizarea inițiativelor private: vendori și furnizori IT&C, furnizori de servicii, consultanță și audit
  • Susținerea de prezentări și workshopuri la întrunirile asociațiilor profesionale și evenimente din industria IT
  • O atenție specială va fi acordată în mod firesc măsurilor speciale pe care trebuie să le aibă în vedere furnizorii de servicii Cloud, operatorii telecom și data networking, providerii de servicii Internet, producătorii independenți de software, operatorii de servicii data center, procesatorii de plăți online, magazinele online, analiștii de date, companiile de data insurance, furnizorii de servicii de securitate, etc

O serie de alte proiecte vor fi demarate în parteneriat cu diferite entități și vor fi anunțate din timp.

%d bloggers like this: