GDPR Explicitat (12): Transferul internațional de date

După o pauză mai mare de o lună în care s-au întâmplat fel de fel de lucruri legate de evenimente, cursuri, preluări de articole apărute în Catalogul GDPR Ready, reiau seria de articole dedicate analizei orizontale a prevederilor GDPR.

Mai sunt câteva lucruri de discutat la modul general, precum Transferul internațional de date, notificarea breșelor de Securitate, aplicabilitatea regulilor corporative și demitizarea unei amenințări cu care mulți încearcă să vă sperie: penalitățile care se aplică pentru nerespectarea regulilor GDPR. Pentru început, să aruncăm o privire către ce înseamnă transferul internațional de date.

Ce spune principiul transferului de date?

GDPR impune restricții privind transferul de date cu caracter personal în afara Uniunii Europene, țărilor terțe sau organizațiilor internaționale. Aceste restricții sunt în vigoare pentru a se asigura că nivelul de protecție a persoanelor acordat de GDPR nu este subminat.

În Articolul 44 – ”Principiul general al transferurilor” se specifică faptul că: „Orice transfer de date cu caracter personal care sunt supuse procesării sau care sunt destinate prelucrării după transferul într-o țară terță sau într-o organizație internațională are loc numai dacă, sub rezerva celorlalte dispoziții din prezentul regulament, sunt respectate condițiile stabilite de către operator și de către procesator, inclusiv pentru transferurile ulterioare de date cu caracter personal din țara terță sau de la o organizație internațională către o altă țară terță sau la o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.”

Ce este important să reținem este că orice transfer internațional de date cu caracter personal de către un operator sau un procesator are loc numai dacă sunt îndeplinite anumite condiții:

  • Transferuri pe baza adecvării;
  • Transferuri supuse garanțiilor adecvate
  • Aplicabilitatea unor reguli corporative obligatorii.

Toate prevederile vor fi aplicate pentru a asigura faptul că protecția persoanelor fizice nu este subminată.

Când se poate face transferul de date în afara Uniunii Europene?

Regulamentul interzice transferul de date cu caracter personal în afara UE într-o țară terță care nu dispune de o protecție adecvată a datelor. Comisia Europeană are competența de a aproba anumite țări pentru a asigura un nivel adecvat de protecție a datelor, luând în considerare legislația privind protecția datelor în vigoare în țara respective și angajamentele internaționale ale acesteia.

În Articolul 45 – ”Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecţie”, Alineatul 1 se spune că: ”Transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională se poate realiza atunci când Comisia a decis că ţara terţă, un teritoriu ori unul sau mai multe sectoare specificate din acea ţară terţă sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesită autorizări speciale.”

Conform Considerentului 103 din GDPR, Comisia poate decide că o ţară terţă oferă un nivel adecvat de protecţie a datelor, asigurând astfel securitate juridică şi uniformitate în Uniune în ceea ce priveşte ţara terţă sau organizaţia internaţională care este considerată a furniza un astfel de nivel de protecţie. În aceste cazuri, transferurile de date cu caracter personal către ţara terţă sau organizaţia internaţională respectivă pot avea loc fără a fi necesar să se obţină autorizări suplimentare.

În prezent, pe listă țărilor considerate de UE că pot oferi un nivel adecvat de protecție a datelor personale putem întâlni următoarele 11 state, clasificate pe zone geografice.

  • Europa: Andora, Elveția, Insulele Feroe, Guernsey, Insula Man, Jersey
  • Orientul Mijlociu: Israel
  • America de Nord: Canada
  • America de Sud: Argentina și Uruguay
  • Asia-Pacific: Noua Zeelandă.

Sursa: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

Pentru transferurile de date dintre UE și Statele Unite există acordul internațional bine cunoscut sub denumirea de EU-US Privacy Shield. Un acord de cooperare cunoscut ca EU-US Safe Harbor exista încă din anul 2000. După o evoluție destul de controversată, cu o scurtă perioadă de întrerupere datorată unor litigii internaționale, în 12 iulie 2016 Comisia Europeană recunoaște caracterul adecvat de protecție asigurat de acest acord prin Decizia 1250/ 2016.

Dar ce ne facem cu transferurile de date către orice țară care nu este pe listă? În principiu, fiecare transfer de date către o țară care nu beneficiază în mod explicit de aprobarea UE pe bază de acorduri internaționale sau condiții de adecvare se poate realiza numai după solicitarea acordului pentru transfer. Ţara terţă ar trebui să ofere garanții care să asigure un nivel adecvat de protecţie, echivalent cu cel asigurat în cadrul Uniunii. Țara terţă ar trebui să asigure o supraveghere efectivă independentă în materie de protecţie a datelor şi să prevadă mecanisme de cooperare cu autoritățile statelor membre, iar persoanele vizate ar trebui să beneficieze de drepturi efective şi opozabile şi de reparaţii efective pe cale administrativă şi judiciară.

Conform Considerentului 108 din GDPR: ”În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, operatorul sau procesatorul ar trebui să adopte măsuri pentru a compensa lipsa protecţiei datelor într-o ţară terţă prin intermediul unor garanţii adecvate pentru persoana vizată. Astfel de garanţii adecvate pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecţie a datelor adoptate de Comisie, a clauzelor standard de protecţie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garanţii ar trebui să asigure respectarea cerinţelor în materie de protecţie a datelor şi drepturi ale persoanelor vizate corespunzătoare prelucrării în interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate şi a unor căi de atac eficiente, printre care dreptul de acces la reparaţii efective pe cale administrativă sau judiciară şi dreptul de a solicita despăgubiri, în Uniune sau într-o ţară terţă. Acestea ar trebui să se refere în special la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protecţiei datelor începând cu momentul conceperii şi principiul protecţiei implicite a datelor.”

Care sunt condițiile unui transfer în siguranță?

Conform Articolului 46 ”Transferuri în baza unor garanții adecvate” puteți transfera date cu caracter personal în cazul în care organizația care primește datele personale a furnizat garanții de siguranță adecvate. Drepturile persoanelor trebuie să fie executorii și ca urmare a transferului trebuie să fie disponibile căi de atac efective pentru persoanele fizice.

Se pot asigura garanții adecvate prin:

  • un instrument obligatoriu din punct de vedere juridic şi executoriu între autorităţile sau organismele publice;
  • reguli corporatiste obligatorii în conformitate cu articolul 47;
  • clauze standard de protecţie a datelor adoptate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
  • clauze standard de protecţie a datelor adoptate de o autoritate de supraveghere şi aprobate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
  • un cod de conduită aprobat în conformitate cu articolul 40, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate;
  • un mecanism de certificare aprobat în conformitate cu articolul 42, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate.

Sub rezerva autorizării din partea autorităţii de supraveghere competente, garanţiile adecvate menţionate la Alineatul (1) pot fi furnizate de asemenea, în special, prin:

  • clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din ţara terţă sau organizaţia internaţională;
  • dispoziţii care urmează să fie incluse în acordurile administrative dintre autorităţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate.

Ce se întâmplă cu transferurile bazate pe evaluarea unei organizații privind adecvarea protecției? GDPR vă limitează capacitatea de a transfera date cu caracter personal în afara UE, în cazul în care aceasta se bazează numai pe propria evaluare a caracterului adecvat al protecției acordate datelor cu caracter personal. Conform Articolului 84.5.c orice altă încercare de transfer, care nu se încadrează în prevederile Articolelor 44-49 este pasibilă de pedeapsa administrativa maximă.

Care sunt excepțiile aprobate?

Dar ne-am obișnuit ca orice reglementare strictă să vină și cu o serie de excepții. Care sunt excepțiile acceptate pentru transferul internațional de date? Potrivit Articolului 49 ”Derogări pentru situații specifice”, se poate efectua un transfer sau un set de transferuri în cazul în care transferul este:

  • făcut cu consimțământul informat al persoanei;
  • necesar pentru îndeplinirea unui contract între individ și organizație sau pentru măsurile precontractuale luate la cererea persoanei;
  • necesare pentru executarea unui contract încheiat în interesul persoanei fizice între operator și o altă persoană;
  • necesare din motive importante de interes public;
  • necesare pentru stabilirea, exercitarea sau apărarea revendicărilor legale;
  • necesare pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul;
  • făcut dintr-un registru care are drept scop furnizarea de informații publicului

De reținut că primele trei derogări nu sunt valabile pentru activitățile autorităților publice în exercitarea puterilor lor publice.

În fine, în cazul transferurilor de date neautorizate de dreptul Uniunii Europene, Articolul 48 din GDPR specifică faptul că orice hotărâre a unei instanţe sau a unui tribunal şi orice decizie a unei autorităţi administrative a unei ţări terţe care impun unui operator sau procesator de operator să transfere sau să divulge date cu caracter personal ”poate fi recunoscută sau executată în orice fel numai dacă se bazează pe un acord internaţional, cum ar fi un tratat de asistenţă judiciară reciprocă în vigoare între ţara terţă solicitantă şi Uniune sau un stat membru”.

Celor care nu le-au citit încă, le recomand precedentele articole ale seriei GDPR Explicitat:

ondițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

Advertisements

RoCS 2.0 – Tehnologii fără vârstă și fără frontiere

 

Pe 23 Noiembrie, la sediul DB Global Technology din București, a avut loc a 23-a ediție a RoCS, cel mai longeviv eveniment din industria IT. Tematica abordată în acest an a fost ”Reinventing IT: Technologies Without Borders and Beyond Ages”. Partenerii acestei ediții: DB Global Technology – partener principal, IBM, INFOWORLD, ABBYY și ESRI.

Din suflet, de suflet despre RoCS

Iată că a mai trecut un an. Cum am observat asta? Păi am mai participat la o ediție RoCS… Am fost la RoCS 2017 și am constatat cu bucurie că spiritual RoCS-ului nu s-a pierdut, desi industria este într-o continuă transformare. Marele merit al RoCS-ului, la venerabila vârstă de 23 de ani, este că a știut să se reinventeze, să se adapteze continuu la ce e nou, dar și să își păstreze, în același timp, esența. RoCS-ul a fost întotdeauna un loc unde oamenii au venit cu plăcere, să vadă ce mai e nou în IT, dar mai ales să discute despre integrarea acestor noutăți în viața de zi cu zi. Dar să nu uităm că RoCS-ul nu ar fi posibil fără implicarea unui grup inimos de organizatori, oameni cu experiență în industria de media din zona IT din grupurile iBusiness România și Agora Media, coordonate de carismatica și implicata organizatoare Mihaela GORODCOV, fondator și organizator al tuturor celor 23 de ediții. La multe RoCS-uri inainte, Mihaela!

Subiecte de avangardă, atmosfera colocvială

Marian Popa – General Manager DB Global Technology

Ediția din acest an nu s-a dezmințit. Leitmotivul prezentărilor a fost continua diversificare, reinventarea, transformarea, schimbarea… Parteneriatul special cu DB Global Technology s-a resimțit nu numai la buna organizare – o sală superbă, cu dotare de ultimă oră, dar care conferă participanților o atmosferă colocvială, de amfiteatru academic, ci și prin caracterul de interes al prezentărilor. În sesiunea plenară, domnul Marian Popa – General Manager DB Global Technology și un veteran al comunității de business IT din România, s-a referit la bankingul fără frontiere, un subiect de larg interes în contextul globalizării și al provocărilor tehnologice legate de asigurarea unor servicii cu largă acoperire geografică. Alte prezențe DB apreciate au fost prezentările susținute de Răzvan Cioc – Information Security Specialist la DB Global Technology, care a discutat despre provocările de Securitate în contextual procesului ireversibil de a oferi Totul-ca-și-serviciu și Robert Grozea – Technology Manager la DB Global Technology, care a vorbit despre importanța adoptării tehnologiilor Cloud în sectorul bancar, din perspectiva condițiilor speciale de Securitate și a garanților de confidențialitate specifice pentru această zonă.

Ca invitați speciali din zona guvernamentală au participat domnii Robert Rucăreanu – Consilier de Stat în Guvernul României, specialist cu ani buni de experiență în industria de soluții de telecom, networking și securitatea datelor și Mihail Cazacu – Director de Cabinet în cadrul CIO Office de pe lângă Guvernul României. Ambele discursuri au vizat importanța strategică a domeniului IT&C și provocările la cae va trebui să rasundem, atât prin evoluția tehnologică, cât și în calitate de membrii ai Uniunii Europene.

Sesiunea plenară a RoCS-ului a mai conținut două prezentări de mare interes, legate de dezvoltarea pieței din România. Eugen Schwab-Chesaru, vicepreședinte CEE la PAC a susținut o analiză generală a schimbărilor intervenite pe piața de IT&C din România, unde tehnologiile asociate cu comunicațiile mobile, IoT și transformarea digital prezintă cele mai spectaculoase perspective, în timp ce Cloudul și creșterea maturității în business se mențin pe un trend optimist, în ciuda unor ponderi considerabile ale factorilor de risc, iar standardizarea este cea mai puțin accelerate tendință adoptată.  A doua prezentare a avut ca temă un studiu al evoluției sectorului IT&C din România din perspectiva contribuției la PIB-ul României, realizat de Direcția de modelare și prognoze macroeconomice din cadrul BNR. Contribuția cumulată a sectoarelor radio-tv, telco și IT pentru prima jumătate a anului 2017, reprezintă 6% din PIB-ul nominal al României. Principalii factori care au contribuie la această realitate sunt volumul și buna pregătire a forței de muncă, calitatea infrastructurii și apartenența la UE. Peste 10000 de noi angajați au fost înregistrați anual în perioada ultimilor 5 ani. Într-o proiecție până în anul 2025, bazată pe o modelare de analiză și prognoză pe termen mediu, reiese că sectorul IT&C va avea o pondere de 12,1% din PIB – dacă se păstrează ritmul de creștere din 2016, respectiv 9,6% în alte două scenarii în care se ia în calcul media pe ultimii 5 ani, respectiv ultimii 10 ani.

Alte două intervenții au întregit sesiunea plenară din cadrul RoCS 2017: Dragoș Mateescu – consultant de business, un alt veteran al industriei de IT din România, s-a referit la importanța impactului schimbărilor din tehnologie și, implicit, modul în care inovația tehnologică acționează asupra evoluției indivizilor. O altă prezentare interesantă, care ne trimite la viitorul tehnologic nu prea îndepărtat a fost susținută de Răzvan Popescu – senior manager E&Y, care  s-a referit la tendința în continua creștere de  asimilare a roboților, atât în industrie, cât și in domenii ce țin de zona de consumer. Cum trebuie să privim folosirea roboților software: ca pe o oportunitate sau ca pe o amenințare?

Despre protecția datelor personale

Tematica GDPR nu putea să lipsească de la RoCS, fiindu-i dedicată o sesiune specială care a conținut patru prezentări. În prima intervenție, intitulată ”10 elemente distruptive aduse de GDPR”, am ales ca temă de discuții importanța momentului GDPR văzută prin prisma efectului disruptiv pe care îl are asupra tuturor organizațiilor care prelucrează date cu caracter personal, indiferent de mărime și domeniul de activitate. Căci noul regulament EU 2016/ 679 vine cu o forță  schimbării fără precedent, care va produce mutații majore, continue și ireversibile pentru multe companii. GDPR nu este un simplu proiect IT. Este un amplu proces de business. După trecerea în revistă a principalelor elemente de noutate cu care vine GDPR, am încheiat expunerea cu un mesaj optimist, legat de beneficiile majore pe care îndeplinirea condițiilor de performanță stipulate de GDPR le va avea asupra eficientizării proceselor de afaceri. Căci GDPR nu trebuie privit doar ca pe o obligație birocratică sau un simplu proiect de upgrade a soluțiilor de siguranță a datelor. GDPR ne oferă marea oportunitate să parcurgem cea mai grea etapă din amplul proces de transformare digitală.

Ca o continuare firească a tematicii abordate, Fernanda Velter – GDPR Readiness Coordinator în cadrul IBM Client Innovation Centers Europe, a prezentat provocările cu care se confruntă furnizori de IT în implementarea EUGDPR. Puțini știu că IBM a demarat încă de acum 10 ani un program de protecție și siguranță a datelor, care fundamenta cele mai importante prevederi ale GDPR, dar la nivelul întregului proces de business. Astăzi IBM este conștient de importanța GDPR și derulează o serie de activități care vin în sprijinul comunităților de parteneri și de clienți, pentru continuitatea și eficientizarea proceselor de business.

Aceeași sesiune a găzduit o altă prezentare cu o tematică extrem de sensibilă în conjunctura GDPR. Daniel Nistor – CEO Infoworld a vorbit despre importanța păstrării echilibrului între intimitate și securitate în sistemele de eHealth. Infoworld este printre puținele companii din România specializată în soluții pentru domeniul medical, unde deține o vastă experiență în proiecte europene sau chiar în implementări în Statele Unite. Companie este membru al organizației HL7 Internațional și fondator al Asociației Naționale HL7 Romania.

O altă prezentare specializată a fost susținută de Bogdan Chevereșan – Business Development Manager la ESRI România care a discutat despre importanța activităților de observare ale terrei, ca unul dintre vectorii dezvoltării smart city și a unei societăți sigure și inteligente. Prezentarea a fost însoțită de ample discuții și comentarii referitoare la lipsa de interes pentru soluțiile geospațiale la nivelul multor organizații publice locale, confruntate cu probleme serioase legate de coordonatele diferitelor parcele sau chiar de hărțile digitale ale localităților care nu conțin adresele reale.

RoCS-ul în sine este cel mai bun exemplu de continuă adaptare și transformare, într-o industrie care evoluează nebunește. La RoCS puțini sunt cei care vin să vândă. Rar vezi o prezentare stereotipă de corporație. Fiecare ediție a reprezentat o reinventare, prin alegerea subiectelor de cea mai fierbinte actualitate. Așa cum scriam și într-un articol de anul trecut (vezi referințele din final) la RoCS se vorbește pe bune despre fiecare subiect. Pe bune, cu bune și cu rele. Oamenii se regăsesc în aceste subiecte și participă spontan la discuții.

Articole cu tematică asemănătoare:

”RoCS 2016: pe bune despre transformarea digitală a României”

”Despre RoCS din fața, dar mai ales din spatele cortinei”

 

Conferința de Cloud – o dovadă incontestabilă a maturizării pieței de Cloud din România

 

Una dintre primele impresii de la Conferința de Cloud a fost: ”Iată, în sfârșit un eveniment dedicat 100% Cloudului. Nu numai tehnologiilor Cloud, ci și implicațiilor de business pe care le generează”. Căci astăzi, Cloudul înseamnă tot mai mult pentru toți, fie că ne dăm seama de asta sau nu.

Contemporani cu evoluția Cloudului

Istoricul meu profesional este strâns împletit cu evoluția Cloudului. Am scris despre Cloud, despre beneficiile sale pentru business, dar și despre punctele sale critice de câțiva ani buni. Am făcut campanii de marketing și am vorbit cu oamenii la telefon despre beneficiile de a avea la dispoziție resurse 24 de ore/ 24. Am inițiat primele vânzări, timide, de Cloud într-o vreme în care nimeni nu se pricepea la asta, iar utilizatorii nu se simțeau prea confortabil cu stocarea datelor ”într-un loc al nimănui”… În fine, de peste 4 ani CloudMania s-a transformat dintr-un hobby într-o platformă de knowledge și servicii oferind celor care au nevoie informații și recomandări despre adoptarea, migrarea sau dezvoltarea soluțiilor Cloud.

În toată această perioadă, poziționarea Microsoft față de Cloud a evoluat de la primii pași timizi de susținere a produsului Business Productivity Online Suite, la strategia gândită de Satya Nadella, prin care se redefinește modul în care companiile fac afaceri în Cloud. M-am bucurat să regăsesc la Conferința de Cloud o comunitate românească de parteneri care dezvoltată și promovează soluțiile Microsoft pentru Cloud.

Mihai Tătăran – Azure MVP și CEO Avaelgo

Efectul disturbator generat de tehnologiile Cloud computing a ajutat multe companii să-și transforme practicile IT în ultimii ani. Experții sunt de acord că piața se pregătește pentru al doilea val de dezvoltare, odată cu adoptarea tot mai intensivă a serviciilor Cloud publice, private și hibride. Un sondaj Forrester Research relevă că 38% dintre factorii de decizie declară că mizează pe soluții Private Cloud, în timp ce 32% adoptă servicii de Cloud Public, iar restul planificând să pună în aplicare o formă de tehnologie Cloud în acest an. Soluțiile de Cloud Hybrid se bucură de cea mai spectaculoasă dinamică de evoluție, oferind o alternative care este pe placul tuturor. Conform Forrester, piața globală de Cloud Public va ajunge în 2018 la peste 178 miliarde de dolari, cu o creștere anuală de peste 22%, în timp ce platformele de Cloud Public vor genera în 2018 peste 44 miliarde de dolari.

Un eveniment făcut de profesioniști pentru profesioniști

Revenind la Conferința de Cloud, organizată de compania Avaelgo și partenerii săi în București pe 23 Noiembrie, a fost un eveniment al comunității Azure din România, făcut de profesioniști IT cu o mare experiență de piață, pentru profesioniști interesați de integrarea avantajelor oferite de Cloud în procesele lor de afaceri. Văzând entuziasmul speakerilor și concentrarea celor prezenți, mi-am amintit primele evenimente în care, în calitate de partener Silver, prezentam pentru prima oară soluțiile Cloud de la Microsoft, într-o perioadă de maximă glorie a soluțiilor dezvoltate on-premises. Și nu sunt prea mulți ani de atunci…

Am apreciat modul de abordare gândit de organizatori, care au grupat auditoriul în două secțiuni paralele, una de business și cealaltă tehnică. Trebuie să mărturisesc, că deși la început am fost interesat cu precădere de sesiunile de business am schimbat de mai multe ori cele două secțiuni, care au reunit 13 sesiuni, susținute de 16 experți, dintre care 4 Microsoft Most Valuable Professionals (MVPs).

După cum era și firesc, în zona de business s-a vorbit cu precădere despre adopția accelerată a soluțiilor Cloud și monitorizarea consumului acestora, definirea strategiilor de migrare a soluțiilor și a organizațiilor în Azure, migrarea soluțiilor în Microsoft Azure cu Lift & Shift, Microsoft Azure ca și soluție pentru Disaster Recovery, precum și meridianele Cloud – Rețele virtuale și compozite. O remarcă specială pentru prezentarea profesională a avantajelor migrării la platforma Azure, abordată în prezentările susținute de Mihai Tătăran – Azure MVP și CEO Avaelgo, Daniel Popescu – Senior Cloud Architect la Avaelgo și Alex Ricoban – Information Security Manager la Fortech. S-a vorbit aici despre situațiile în care Cloud-ul are sens, care sunt lucrurile la care trebuie să te gândești când se alege migrarea unei soluții în Cloud sau despre cum putem defini o strategie Cloud la nivel de organizație. Migrarea cu succes a proceselor de afaceri către Cloud este total diferită pentru fiecare companie. Aici nu există rețete de copiat. Sunt companii care preferă migrarea spre Cloud cu abordarea Lift and Shift, adică urcarea soluțiilor existente în Cloud, fără a le schimba arhitectura. O altă soluție este oferită de Microsoft 365, care asigură optimizarea managementului IT-ului prin creșterea eficienței globale și reducerea forței de muncă aferente.

O altă valență oferită de infrastructura Microsoft Azure pentru clienți este folosirea ca soluție pentru Backup și Disaster Recovery. Tudor Damian de la Avaelgo a susținut o pledoarie pentru ceea ce înseamnă cu adevărat continuitatea afacerii și recuperarea în caz de catastrofe. Continuitatea în business este o cerință critică esențială, în special în contextual noului regulament European pentru protecția datelor personale.

Invitații panelului GDPR

De altfel, tematica GDPR a devenit extrem de fierbinte, în special în industria de Cloud. Sesizând importanța subiectului și a momentului, Conferința de Cloud a avut două sesiuni dedicate acestei tematici. Prima a fost un Open Panel moderat de Tudor Damian – Cloud and Datacenter Management MVP & CIO  la Avaelgo la care au participat Cristiana Fernbach – Avocat cu specializare în IT și protecția datelor, Oana Terteleac – Enterprise Channel Manager și GDPR Advisor la Microsoft și Tudor Galoș senior consultant. Invitații prezenți la panelul “Pregătiți pentru GDPR” au prezentat o imagine de ansamblu, atât pe parte juridică și de securitate cibernetică, cât și pe parte operațională, prin abordarea schimbărilor necesare în cadrul companiilor pe parte de procese, proceduri și instrumente interne.

A doua, a abordat tematica GDPR și principalele provocări identificate de PwC, prezentate de Robert Stoicescu – Manager Servicii Securitate Informatică în cadrul PwC România.  Conform companiei de consultanță, cele mai multe provocări, cu care se confruntă marea majoritate a companiilor din România sunt legate de lipsa unor concepte teoretice de bună practică, care să poată fi puse în aplicare prin procese și funcționalități. Una dintre marile provocări ale adoptării GDPR în România va fi conștientizarea angajaților în privința răspunderii lor la procesarea datelor personale, și la implementarea unor coduri de conduită bazate pe regulile de bază din securitatea informațiilor.

Brian Kainec – Global Head Presales, COMPAREX

În contextual amplelor transformări pe care trebuie să le parcurgem, o altă prezentare interesantă din secțiunea de business a fost expunerea susținută de Brian Kainec – Global Head of Presales, UCM & CCM la COMPAREX care a abordat procesul de accelerare a transformării digitale prin adopția celor mai performante tehnologii. Asta înseamnă adopția tehnologiilor digitale la procese, produse și valorile companiei pentru a crește eficiența în business și nivelul de retenție al clienților.

Desfășurată în paralel, secțiunea tehnică a reunit prezentări ce au abordat soluțiile arhitecturale de tip Azure IaaS și PaaS, facilitățile de automatizare a dezvoltării integrate de platforma Azure, funcționalitățile Site Recovery & Backup oferte de Microsoft Azure. O mențiune specială pentru prezentarea susținută de Cornel Popescu – System Engineer la Veeam care a discutat despre protecția datelor în structurile de tip Cloud Hibrid. S-a pus accentul pe opțiunile de recuperare și disponibilitate a datelor, precum și pe strategiile legate de modul în care se poate asigura deplina disponibilitate a datelor.

O altă prezență interesantă a fost Chaim Shachar – Vicepresident Sales la compania AudioCodecs, care a prezentat ”To Cloud or not to Cloud?” – un ghid practic pentru adoptarea noilor tehnologii de comunicații. Cea mai convenabilă modalitate de protecție a investițiilor este alegerea unei soluții hibride de comunicații, care permite beneficiile comunicațiilor unificate, cu o migrare la soluțiile de voce în Cloud, atunci când vor fi disponibile.

Felicitări, încă o dată, echipei Avaelgo pentru ideea și eforturile depuse pentru organizarea Conferinței de Cloud, un eveniment care ar putea fi reluat cu succes în fiecare an. Partenerii care au susținut Avaelgo la Conferința de Cloud au fost Microsoft, Comparex, ALEF Distribution, PwC, Veeam, Yalos Solutions și AudioCodecs.  

Photo credit: Avaelgo – Conferința de Cloud

Cum poate organizația dumneavoastră să beneficieze de pe urma GDPR?

Autor: Scott REGISTER, Vice President of Product Management for Security and Cloud, Ixia Solutions Group, a Keysight business

GDPR (Regulamentul general privind protecția datelor) va intra în vigoare în spațiul Uniunii Europene în data de 25 mai 2018. Scopul principal al acestei reglementări este protecția datelor utilizatorului și acordarea controlului efectiv al utilizatorilor asupra acestor date.

Unul dintre principalele ingrediente ale GDPR este „pseudonimizarea” datelor, ceea ce înseamnă că, dacă cineva obține date aparținând unui utilizator, acestea nu trebuie să aibă capacitatea de a conecta acele date cu un anumit utilizator. Aceasta se poate realiza prin criptarea sau mascarea datelor și ar trebui efectuată cât mai curând posibil pentru a asigura protecția maximă. Companiile care încalcă GDPR prin protecția necorespunzătoare a datelor utilizatorului riscă amenzi mari, care pot merge până la 4% din venitul anual.

Deși acest lucru poate constitui o problemă pentru organizații în procesul de recuperare și reconstituire a datelor, acest proces nu este in mod necesar negativ, şi aceasta din mai multe motive. În primul rând, acesta înlocuiește un mozaic de reglementări naționale cu un singur set de reguli la nivelul UE, ceea ce face conformitatea mult mai facilă și mai puțin costisitoare pentru corporațiile multinaționale. În al doilea rând, poate fi folosit ca o oportunitate de a reglementa procesele interne și de a îmbunătăți securitatea, ceea ce are beneficii atât pe termen scurt, cât și pe termen mediu și lung.

Datele care au trecut prin procesul de „pseudonimizare”, criptarea acestora și constrângerile de audit (și de trasabilitate) sunt mai mult decât provocări tehnologice, întrucât tehnologia adecvată este disponibilă pe scară largă în produsele off-the-shelf. Acestea ar trebui văzute de drept ca provocări legate de gestionarea datelor. Pentru a asigura protecția și evidența datelor personale ale utilizatorilor în toate etapele procesării, trebuie stabilit un singur flux de proces pentru achiziționarea, manipularea, prelucrarea, stocarea și dispunerea datelor respective într-un singur flux de lucru.

Specialiștii IT știu că integrarea datelor – combinarea și compararea datelor din mai multe surse, cum ar fi bazele de date disparate – este una dintre cele mai dificile provocări operaționale cu care se confruntă și implică adesea multă muncă. Multe organizații ar putea fi chiar puse în încurcătura dacă ar trebui să dezvăluie că gestionarea și prelucrarea datelor cheie se realizează prin completarea manuală a unei foi de calcul, care nu este automatizată, eficientă, foarte sigură sau ușor de auditat.

GDPR oferă un catalizator extern prin care IT-ul poate avea un avantaj pentru a forța îmbunătățirile procesului de gestionare a datelor. Începând din luna mai a anului următor, organizațiile vor fi obligate să localizeze datele utilizatorilor într-un spațiu protejat și să monitorizeze cu atenție accesul la acesta – care este scopul final al personalului IT de securitate. Aceasta nu mai este o dezbatere cu privire la probabilitatea sau costul unei breșe reale. Simpla eșuare de a proteja datele în mod corespunzător va fi pedepsită și va fi costisitoare. Mai mult decât atât, spre deosebire de un atac de scurtă durată sau unul de tip DDoS, GDPR este larg mediatizat, ușor de înțeles în esența lui și foarte clar în privința faptului că fiecare organizație care operează în UE este supusă acestuia.

Un beneficiu suplimentar la această cerință îl reprezintă reducerea IT-ului din umbră, deoarece datele stocate în depozitele disparate nu pot fi ușor pseudonimizate sau auditate. Organizația inteligentă nu va utiliza GDPR ca pe un mijloc (sau a unui pretext) pentru a iniția cheltuieli majore de noi soluții de securitate, ci ca pe un laser pentru a re-imagina conductele lor de prelucrare a datelor având securitatea ca punct central, cu multe avantaje convingătoare:

1 Achiziționarea de date – în cadrul GDPR, va fi esențial ca datele utilizatorilor care stau în jurul punctelor de colectare (cum ar fi terminalele Point of Sale) să nu fie lăsate mai mult decât este necesar și ca acestea să fie criptate cât mai curând posibil. Acest lucru va reduce cerințele distribuite de stocare, va îmbunătăți securitatea și va facilita transferuri mai rapide de date de la punctele de colectare către miezul afacerii – fapt ce are avantajul de a permite o înțelegere mai rapidă a afacerilor în timp real. Într-o organizație de retail, de exemplu, nu ar fi mai bine să se știe în câteva minute că magazinele văd o creștere a vânzărilor unui anumit pulover, mai degrabă decât în câteva zile?

2 Transferul de date – până în prezent, majoritatea organizațiilor au implementat tehnologia VPN, însă pentru cei ramași în urmă acest lucru va alimenta IT-ul pentru a forța actualizarea.

3 Prelucrarea și stocarea datelor – GDPR cere ca datele să fie pseudonimizate cât mai curând posibil, ceea ce înseamnă că nu trebuie să fie posibilă corelarea unui anumit utilizator cu un set de date; de exemplu, datele ar putea arăta că 180 de cumpărători se aflau într-o anumită sucursală a unei bănci într-o zi, dar nu și cine erau acei utilizatori. Acest lucru poate determina o reconsiderare atentă a datelor colectate, modul în care acestea sunt stocate și asigurarea faptului că deciziile critice bazate pe utilizatori (cum ar fi direcționarea anunțurilor către un anumit client pe baza comportamentului acestuia) se fac cât mai repede posibil – cu rezultate de afaceri foarte benefice. Și prin automatizarea acestei procesări vs. Cea manuală se realizează o protecție mult mai ușoară și mai controlată a datelor.

4 Stocarea și dispunerea datelor – orice date stocate de utilizator prezintă un risc de compromis. Îndepărtarea mai agresivă a datelor utilizatorilor, în special a celor detaliate și non-pseudonimizate, va reduce atât costurile de stocare, cât și dictarea unor controale mai stricte privind gestionarea datelor (cum ar fi dispunerea copiilor de rezervă). În special, acești pași trebuie să fie clar documentați și auditați în mod regulat, fapt ce va intra adesea în sarcina responsabilului cu protecția datelor Data Protection Officer (DPO). Traseul de audit va deveni deosebit de important dacă practica unei organizații este contestată în instanță, deoarece un jurnal de audit clar și consecvent va oferi o apărare robustă a protecției datelor organizației și respectării GDPR.

Bazându-se pe publicitatea din jurul inițiativei de a face ca organizația să răspundă și cu deadline-ul apropiindu-se rapid, magazinele IT trebuie să facă din GDPR o prioritate urgentă. Piatra de temelie a unei abordări eficiente și productive în cadrul strategiei GDPR nu este de a descompune procesul actual în pași discreți și de a implementa soluții de securitate punct pentru a face ajustări de securitate necoordonate pe parcursul acestor pași. Cea mai bună abordare este de a lua în considerare și de a răspunde la următoarele întrebări:

  • Ce date colectăm despre utilizatorii noștri?
  • Cum le colectăm?
  • Cât de rapid le putem muta din punctul de colectare către centrul de date pentru procesare?
  • Cum procesăm acele date și cât timp trebuie ca elementele de date să fie identificabile
  • personal?
  • Cât de repede putem renunța la toate sau la o parte din ceea ce am colectat?
  • Cum putem proteja și pseudonimiza acele date într-un mod holistic și ușor de verificat?

Organizația care abordează GDPR ca pe o re-imaginare a proceselor de afaceri, mai degrabă decât ca pe o erupție a cheltuielilor noi de securitate, va constata că beneficiile pe termen lung depășesc cu mult securitatea și că atitudinea lor generală in privința securității este mult îmbunătățită.

Articol publicat de compania IXIA în Catalogul GDPR Ready, Octombrie 2017.

Abordarea „D(atelor)” în GDPR

 

Acest articol a fost publicat de compania Relational în Catalogul GDPR Ready

Relational este un integrator de software internațional, fiind cel mai important distribuitor al Informatica INC. în România.

 

Pentru a ajuta la înțelegerea regulamentelor, Informatica identifică următoarele puncte, care evidențiază provocările GDPR:

1 Descoperirea datelor sensibile și analiza riscurilor – caracterizată ca fiind un caz de detectare și protecție. Aceste capabilități furnizează informații despre unde sunt datele sensibile din domeniul de aplicare și unde se proliferează, cu informații analitice.

Soluții tehnologice: Informatica Secure@Source poate descoperi locația datelor, să le clasifice, să monitorizeze proliferarea datelor și să aloce scorurile de risc. Urmărind în timp aceste informații, putem aprecia modul în care modificările influențează pozitiv sau negativ eforturile de conformitate.

2 Interpretarea politicilor – caracterizată ca fiind un caz de Enterprise Data Governance. Aceste capabilități oferă o vizualizare completă a gestionării organizaționale a datelor, legând viziunea informațiilor între Business şi IT.

Soluții tehnologice: soluțiile de Enterprise Data Governance permit funcțiilor din Business și IT să colaboreze în vederea atingerii scopului comun al administrării datelor. Soluțiile, precum Informatica Axon, sunt concepute pentru a uni vizibilitatea datelor pentru Business și IT, și pentru a crea o legătură între data asset-urile logice și fizice.

3 Gestionarea datelor personale – caracterizată ca fiind un caz de potrivire si legare a datelor. Acestea sunt capabilități pentru identificarea în sisteme a înregistrărilor datelor persoanelor vizate și pentru oferirea unei vizualizări încrucișate a datelor, prin potrivirea și crearea de legături între ele.

Soluții tehnologice: ajuta la descoperirea înregistrărilor persoanelor vizate din toate domeniile de date, utilizând algoritmi avansați pentru a se potrivi cu toate datele referitoare la același subiect de date, indiferent de locul în care sunt stocate datele. Informatica Relate 360 utilizează algoritmi avansați pentru identificarea datelor asociate aceleiași persoane, iar Master Data Management oferă cadrul pentru menținerea și gestionarea unei vizualizări comune a datelor privind persoanele vizate.

4 Activarea controlului consimțământului – caracterizat ca fiind un caz de detectare și protecție a utilizării. Acestea sunt capabilități de bază pentru protejarea și securizarea accesului la date, aplicarea unor controale centrate pe date, precum mascarea, criptarea și controlul accesului, gestionarea ciclului de viață al datelor, inclusiv arhivarea, ștergerea datelor și a aplicației.

Soluții tehnologice: pot contribui la gestionarea ciclului de viață al activelor de date și pot aplica controale asupra acestor active. Informatica Permanent/Dynamic Data Masking şi Data Archiving pot fi utilizate pentru a limita automat numărul de persoane și sistemele care au acces nerestricționat la datele cu caracter personal.

PENTRU DETALII: RELATIONAL ROMANIA SRL, Address: 4, Splaiul Unirii, Bloc B3, Tronson 2, Bucuresti, Sector 4, Phone: 021/ 3155730, 021/3155731, Fax: 021/3155733, Email: sales@relational.ro; alexandru.stroia@relationalfs.com; http://www.relationalfs.com

Provocarea GDPR: de la oameni, la procese și tehnologie

Cât de pregătiți sunteți?

Pe lângă provocările de ordin procedural (consimțământ, training-ul angajaților, codurile de conduită, certificări, notificări în caz de incidente), noul regulament, GDPR, vine și cu provocări de ordin tehnic: securizarea, clasificarea datelor, definirea utilizatorilor, a accesului. Toate acestea reprezintă subiecte cărora trebuie să le acordam o atenție sporită, deoarece este vorba de implementări de soluții software care necesită bugetări, aprobări speciale pentru achiziție, POC-uri, instalări, într-un cuvânt, TIMP, iar în acest moment suntem la doar câteva luni până la aplicarea sancțiunilor (2% din CA globală sau până la 20 milioane de euro).

Știți unde să vă concentrați atenția? Știți unde se află datele necesare pentru a evalua dacă îndepliniți cerințele de conformitate cu GDPR? Toate tehnologiile pe care le implementați pentru a obține conformitatea cu GDPR vă vor ajuta să îmbunătățiți strategia generală de securitate, astfel încât să puteți avea o afacere mai bună și mai competitivă.

Pașii unui proiect de conformitate cu GDPR:

1.Descoperirea datelor și evaluarea riscurilor – Identificați datele personale și unde se află acestea în mediile dumneavoastră de tip cloud/local. Acest lucru ar putea dura luni și implică colaborarea cu toate departamentele pentru a înțelege ce date sunt utilizate, stocate și tranzacționate.

2.Audit de protecție a datelor – Acum că știți unde se găsesc toate datele dumneavoastră, trebuie să evaluați dacă există tehnologii și procese potrivite pentru a vă ajuta să controlați accesul la sistemele dumneavoastră.

3.Evaluarea securității – Evaluați soluțiile de securitate existente pentru a stabili dacă tehnologiile pe care le aveți în utilizare oferă o protecție adecvată, în timp real, construită pentru amenințările actuale. Ca de exemplu, malware-urile complexe care sunt concepute pentru a ocoli măsurile tradiționale de securitate bazate pe semnături. Identificați toate vulnerabilitățile și lacunele. Experții noștri vă vor ajuta să creați un sistem de securitate integrat și actual.

4.Planul de răspuns la incidente – Aplicați tehnologiile și procesele de securitate pentru a opri un incident, pentru a atenua impactul și a îl raporta. Raportul dumneavoastră către autorități trebuie să includă consecințele posibile ale încălcării și acțiunea pe care o veți lua pentru a atenua posibilele efecte negative asupra persoanelor vizate.

Romsym Data, prin intermediul partenerilor și a specialiștilor săi, vă propune un program de conformitate care vă va ajuta să înțelegeți:

  • Cât de pregătit sunteți;
  • La ce riscuri ar putea fi expusă organizația dumneavoastră;
  • Principalele proiecte și implementări de tehnologii pe care le-ați putea întreprinde în pregătirea pentru GDPR.

Acest articol a fost publicat de compania Romsym Data în Catalogul GDPR Ready

Sunt furnizor de Cloud. Cum pot obține conformitatea GDPR?

Bart van Buitenen

Bart van Buitenen

 

Bart van Buitenen este managing partner al White Wire, o firmă de consultanță de tip boutique specializată în servicii de protecție a datelor pentru organizațiile de îngrijire a sănătății, IMM – uri și companii de tehnologie din întreaga UE.

 

 

Dacă sunteți un furnizor de Cloud, cu sau fără sediu în UE, este foarte probabil că o parte din datele pe care le prelucrați sunt pe teritoriu european sau privesc persoane care au un domiciliu stabil în UE, și atunci trebuie să vă aliniați la reglementările GDPR. Termenul specific care indică un furnizor care procesează date personale în numele unei organizații este cel de Procesator.

Până acum, o mare atenție se punea pe rolul de “Operator”, adică organizația care este responsabilă cu determinarea mijloacelor și scopurilor procesării, fără să se acorde o prea mare atenție rolului procesatorului. Și iată că față de legislația anterioară, GDPR schimbă multe lucruri în legătură cu obligațiile procesatorului, de exemplu în ceea ce privește răspunderea, responsabilitate și o serie de noi obligații. Iată câteva dintre cele mai importante aspecte pe care cred că furnizorii de Cloud ar trebui să le aibă în vedere, cu toată seriozitatea, până pe 25 mai 2018.

1. Acordurile de prelucrare a datelor

Operatorii sunt cei care trebuie să ofere instrucțiuni specifice procesatorilor, iar astfel de instrucțiuni trebuie să fie documentate în așa-numitele “Acorduri de prelucrare a datelor”. Astfel de acorduri nu sunt noi: ele au fost, de asemenea, impuse în temeiul legislației europene anterioare privind protecția datelor (Directiva 95/46 și, prin urmare, au devenit aplicabile prin legislația fiecărui stat membru), dar în practică acorduri corecte și concrete sunt destul de greu de găsit… Cele mai multe organizații nu au fost conștiente de cerința unor acorduri de procesare a datelor, iar pentru furnizorii de Cloud, acest lucru însemna, de obicei, mai multă muncă și responsabilități, fără prea multe avantaje în schimb.

Acest lucru s-a schimbat în GDPR: Articolul 28 menționează în mod specific acordurile de prelucrare a datelor și arată în detaliu ce ar trebui să includă. Spre deosebire de anii precedenți, furnizorii de Cloud au acum un stimulent clar pentru a încheia acorduri de prelucrare. Acordul trebuie să includă instrucțiunile pentru furnizorul de Cloud și, ca atare, devine un factor foarte important în stabilirea răspunderii. (Articolul 82, Alineatul 2).

Sfaturi:

  • Fiți proactivi, nu așteptați ca operatorul să va propună primul acordul de procesare a datelor! Astfel, veți avea posibilitatea de a vă propune propriul model de contract și, în același timp, veți arăta clientului că pentru dvs. nu există secrete în GDPR.

2. Subcontractorii

Acordurile de prelucrare a datelor trebuie să fie încheiate cu clienții dvs., dar furnizorii de Cloud au adesea proprii lor subcontractori. În lumea IT, utilizarea subcontractorilor este ceva normal, iar mulți subcontractori vor fi într-adevăr procesatori pentru furnizorul de Cloud. Din perspectiva clienților care folosesc Cloudul (operatorii), acești subcontractori sunt deci ”subprocesatori”. Un furnizor de Cloud trebuie să ceară permisiunea operatorului de a utiliza subprocesatori, ceea ce ar trebui să se regăsească și în acordul dvs. de procesare (a se vedea secțiunea 1). Utilizarea de subprocesatori poate fi acoperită printr-o permisiune generică sau o permisiune specifică pentru fiecare subprocesator. Procesatorul rămâne responsabil, astfel încât acordurile cu subprocesatorii trebuie să aibă un grad ridicat de încredere pe lista furnizorilor de Cloud.

Sfaturi:

  • Solicitarea unei permisiuni specifice poate fi un o provocare. Cereți o permisiune generică și oferiți clienților posibilitatea de a consulta oricând o listă completă de subprocesatori, de ex. prin publicarea acestei liste pe o pagină dedicată de pe site-ul dvs.

 3. Înregistrarea activităților de prelucrare

Fiecare operator trebuie să mențină o evidență a activităților de procesare: un instrument de evidență sau un document care detaliază diferitele activități de prelucrare a datelor cu caracter personal din cadrul organizației. O versiune mai puțin riguroasă a acestei evidențe trebuie să fie menținută de procesator, dar care totuși trebuie să includă toate activitățile de procesare derulate pentru clienții săi.

Sfaturi:

  • Crearea unei astfel de evidențe a activităților de procesare va oferi o cunoaștere valoroasă în identificarea datelor pe care le procesați și ar trebui să fie una dintre primele acțiuni într-un plan de implementare GDPR.
  • Organizațiile se pierd, uneori, în detalii; rețineți că GDPR nu vă cere să mapați fiecare câmp de date, este vorba despre evidența activităților care se mapează destul de strâns cu serviciile oferite clienților.
  • Nu păstrați un registru pentru fiecare client; doar asigurați-vă că puteți asocia clienții cu activitățile de procesare prin includerea serviciilor pe care le oferiți pentru fiecare client în sistemul dvs. CRM sau în baza de date cu clienții.

4.Transferuri în afara UE

Atunci când datele cu caracter personal ale clienților din UE sunt transferate în țări din afara Uniunii este important ca datele să beneficieze de aceleași sisteme de protecție și garanții ca și în interiorul granițelor UE.

Sfaturi: Pentru a facilita astfel de transferuri, GDPR include mai multe mecanisme care fac acest lucru posibil, dintre care cele mai răspândite sunt:

  • Decizii de adecvare: atunci când UE a stabilit că o țară din afara UE (sau un acord specific cu o astfel de țară, de ex. Privacy Shield cu SUA) oferă o protecție adecvată.
  • Reguli corporative obligatorii (BCR – Binding Corporate Rules): multe companii multinaționale au subsidiare în țări din afara UE. Documentația BCR asociată unei organizații trebuie să se asigure că un transfer de date personale în afara UE, dar în cadrul aceleiași organizații, oferă aceleași garanții de protecție. Autoritățile de protecție a datelor trebuie să valideze BCR înainte ca prevederile să fie aplicate.
  • Clauze contractuale standard (SCC – Standard Contratual Clauses): sunt contracte predefinite, validate de Comisia Europeană, ce conțin toate garanțiile de protecție necesare pentru transferurile în afara UE.

5. Securitatea informațiilor sau protecția datelor

Securitatea informațiilor și protecția nu sunt aceleași. Securitatea informațiilor se referă la toate informațiile, care includ datele cu caracter personal. Protecția datelor se referă la toate aspectele legate de prelucrarea datelor cu caracter personal, care includ securizarea informațiilor. Deci, în același timp există o suprapunere clară, dar și o diferență semnificativă.

Acestea fiind spuse, asigurarea informațiilor împotriva accesului neautorizat, pierderii sau distrugerii este un aspect foarte important în cadrul GDPR. Pe scurt, acest aspect al GDPR poate fi rezumat prin menținerea confidențialității, integrității și disponibilității (cunoscută și sub numele de CIA) datelor personale pe care un furnizor de Cloud le procesează. Rețineți că orice încălcare a acestor principii ale CIA (de exemplu, încălcări ale datelor) va trebui să ducă la o notificare către operator, care, la rândul său, va trebui să notifice autoritățile de protecție a datelor și persoanele vizate, dacă riscurile potențiale ale încălcării sunt destul de ridicate.

Sfaturi:

  • Alinierea inițiativelor GDPR la guvernarea securității informațiilor. De exemplu, standardul ISO27001 poate fi combinat cu principiile de protecție a datelor pentru a oferi un cadru care să abordeze atât securitatea informațiilor, cât și protecția datelor.
  • Gândiți și documentați o procedură de notificare înainte de a avea practic nevoie de ea.
  • Examinați necesitatea de numi un ofițer de protecție a datelor (DPO). Chiar și atunci când clienții individuali nu sunt obligați să numească unul, este posibil ca un furnizor de Cloud să fie nevoit să numească unul.

6. Obligația de asistare și notificare

Procesatorii sunt obligați să asiste sau să notifice operatorii atunci când au informații despre faptul că un operator trebuie să îndeplinească cerințele GDPR, cum ar fi executarea DPIA sau notificările de încălcare a datelor menționate anterior.

Sfaturi:

  • Documentați (de exemplu, în contractul de procesare sau în alt contract) cum trebuie să aibă loc asistența: cum ar trebui să se facă o cerere, în ce termen va răspunde furnizorul de Cloud și dacă există costuri asociate asistenței.

7. Fiecare procesator este, de asemenea, un operator

Rețineți că este foarte probabil ca furnizorii de Cloud să fie în același timp și procesatori și operatori de date în nume propriu. Unele departamente precum HR, Furnizori, Clienți pot efectua prelucrări de date cu caracter personal, caz în care trebuie să se supună acelorași principii ale GDPR.

Sfaturi:

  • Păstrați înregistrări separate privind activitățile de procesare (vezi secțiunea 3) pentru activitățile de operator și procesator.

 

Acest articol a fost publicat in primul Catalog GDPR Ready editat in Romania. Puteti vedea versiunea online AICI. Catalog GDPR Ready, pag. 50-53, Agora Group & cloud☁mania, Bucuresti, Octombrie 2017

 

Sunteți pregătiți pentru GDPR? Noi suntem pregătiți să vă ajutăm

Acest articol a fost publicat de compania Omega Trust îCatalogul GDPR Ready, Octombrie 2017

Ce este GDPR? Regulamentul European privind Protecția Datelor (GDPR) stabilește principii și măsuri de protecție a datelor cu caracter personal ale cetăţenilor Uniunii Europene pentru companiile și instituțiile care procesează astfel de date. GDPR reprezintă challenge-ul companiilor publice și private din următoarele 12 luni și este prima reglementare completă cu privire la protecția datelor emisă în ultimii 20 de ani care înlocuiește cadrul legislativ actual (Directiva 95/46/CE).

Pentru cine se aplică? Orice activitate instituțională desfășurată la nivelul Uniunii Europene ce procesează date cu caracter personal cu privire la angajați, clienți sau oricare alte entități cu care interacționează trebuie să se alinieze la cerințele GDPR.

Așadar, orice instituție publică sau privată de pe teritoriul Uniunii Europene sau din afara teritoriului Uniunii Europene (dacă manipulează date cu caracter personal ale unor cetățeni ai Uniunii Europene) care colectează, prelucrează și/sau stochează date cu caracter personal trebuie să răspundă prevederilor GDPR.

Ce reglementări aduce GDPR? Dreptul de a fi uitat și dreptul la portabilitatea datelor sunt printre principalele noi drepturi introduse ce vor impune prestatorilor de servicii să știe exact unde se află datele în sistemele lor și să ia măsuri privind ștergerea acestor date dacă este solicitat.

Nevoia de responsabil pentru protecția datelor GDPR mandatează ca toate organismele din sectorul public și cele implicate în monitorizarea sistematică și regulată a persoanelor vizate la scară largă sau în prelucrarea categoriilor speciale de date, vor trebui să angajeze un Responsabil cu Protecția Datelor (DPO).

Operatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

  • pseudonimizarea și criptarea datelor
  • capacitatea de a asigura confidențialitatea,
  • integritatea, disponibilitatea și rezistența sistemelor și serviciilor de prelucrare;
  • capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică;
  • un proces pentru testarea, evaluarea și aprecierea periodica a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării

Efectele neaplicării Neaplicarea prevederilor GDPR coroborată cu apariția unor incidente de securitate de natură să afecteze datele cu caracter personal poate atrage pentru instituții amenzi însemnate de până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală (în funcție de impactul incidentului produs).

Termen de implementare Regulamentul intră in vigoare la data de 25 mai 2018, dată până la care toate entitățile vizate de către GDPR trebuie să pună în aplicare prevederile specifice.

Cum putem sprijini procesul de aliniere la GDPR?

Oferim întregul suport necesar înțelegerii în primă etapă a prevederilor GDPR, a modului în care acestea trebuie transpuse și, ulterior, prin evaluarea modului în care se realizează prelucrarea datelor în companie și identificarea punctelor slabe, respectiv, prin asistarea selectării și implementării măsurilor tehnice și operaționale în cadrul organizației.

Serviciile noastre de consultanță pentru alinierea la GDPR se concentrează în jurul următoarelor module principale:

  • Modulul 1 – Cursuri de introducere și instruire, al căror scop este acela de a prezenta organizației și personalului component cerințele GDPR și modalitatea în care aceste cerințe trebuie puse în aplicare.
  • Modulul 2 – Analiza gap, al cărei scop este realizarea unei evaluari asupra conformității organizației și a sistemului de controale implementat în prezent în raport cu cerințele tehnice și operaționale specifice GDPR în urma căreia se va elabora un plan de acțiuni detaliat pentru corectarea acestor diferențe și, implicit, alinierea organizației la GDPR.
  • Modulul 3 – Analiza modelului de date utiliza, în cadrul căreia se analizează în detaliu impactul GDPR asupra organizației prin identificarea și punerea în evidență a datelor cu caracter personal procesate de organizație. Ca parte a acestei analize, urmărim identificarea activităților, proceselor și fluxurilor operaționale care colectează, prelucrează și stochează datele cu caracter personal. La finalul acestei analize, vom putea contura o imagine asupra datelor cu caracter personal, a tipologiei acestora și a dispunerii lor în cadrul organizației pentru a asigura o implementare uniformă și eficientă a măsurilor tehnice și organizaționale ale GDPR.
  • Modulul 4 – Definirea politicii de prelucrare a datelor cu caracter personal. În cadrul acestei etape, avem în vedere elaborarea pe seama informațiilor colectate în etapele anterioare și a prevederilor GDPR, politica de prelucrare a datelor cu caracter personal în cadrul organizației.
  • Modulul 5 – Implementarea politicilor și procedurilor GDPR. Avem în vedere suportul pentru implementarea într-o manieră uniformă și eficientă a politicilor și procedurilor privind managementul datelor cu caracter personal în cadrul organizației pentru o corectă aliniere la cerințele GDPR.
  • Modulul 6 – Implementarea sistemelor IT de securitate necesare. Putem răspunde necesităților organizației cu privire la sistemele IT de securitate (de exemplu: sisteme de detecție și prevenție a intruziunilor, sisteme de prevenire a scurgerii datelor etc.) prin furnizarea și implementarea unor soluții IT eficiente și potrivite pentru dimensiunea și particularitățile organizației.
  • Modulul 7 – Asigurarea poziției de Responsabil cu Protecția Datelor. Asigurăm experți calificați cu competențe în domeniul protecției datelor pentru îndeplinirea rolului de Responsabil cu Protecția Datelor și execuția responsabilităților specifice în cadrul organizației.

Date de contact: Cosmin Măcăneață, Managing Partner,

 cosmin.macaneata@omega-trust.ro, 0722812812

 

Info World – „Ready” pentru implementarea GDPR în domeniul medical

Cu peste 17 ani de experiență exclusivă în domeniul eHealth, atât în plan naţional, cât şi  internaţional, compania Info World are ca misiune protecţia şi securitatea datelor medicale. Acest regulament european şi, implicit adoptarea lui, vin de fapt să confirme ceea ce noi avem deja implementat în produsele şi serviciile noastre dedicate zonei medicale. 

Pe scurt, GDPR îşi propune să ofere cetățenilor Uniunii Europene controlul asupra datelor lor personale, iar pentru îndeplinirea acestui scop enunță anumite principii, unele cu impact asupra sistemului medical. În primul rând, pentru datele colectate şi pentru scopul utilizării acestora trebuie să existe un consimțământ valid, explicit din partea cetățeanului. Există totuși o serie de excepții, cum ar fi furnizarea de îngrijiri medicale sau sociale, tratament în scopul protejării intereselor vitale ale persoanei vizate.

O noutate care va avea impact major asupra sistemului medical şi chiar asupra cetăţeanului este reprezentată de oferirea posibilităţii ca persoana vizată să îşi administreze singură dosarul medical. Apare astfel dreptul persoanei vizate de a-şi transfera datele sale personale dintr-un sistem electronic de procesare în altul, fără a fi împiedicat de operatorul de date să facă acest lucru. Datele furnizate de operatorul de date trebuie să fie într-un format electronic standard, deschis şi utilizat în mod obișnuit.

În ceea ce priveşte domeniul sănătăţii, cel căruia Info World îi este integral dedicat, articolul 15 defineşte faptul că pacientul are dreptul să obţină de la operatorul de date confirmarea că datele sale personale sunt prelucrate sau nu, şi după caz, accesul la datele personale, precum şi o copie a acestor date care fac obiectul unei prelucrări. În cazul în care persoana vizată depune cererea prin mijloace electronice şi nu solicită altfel, informaţiile pot fi furnizate într-o formă electronică utilizată în mod obişnuit, ceea ce înseamnă un fişier uzual, de tip PDF sau alt format de uz general. Acest aspect permite persoanelor fizice să obţină şi să reutilizeze datele lor personale şi medicale în diverse scopuri, cum ar fi: a doua opinie medicală, schimbarea furnizorilor de asistenţă medicală, păstrarea datelor intr-un sistem de tip dosar personal de sănătate. În acest mod, persoanele vizate pot să copieze sau să transfere cu uşurinţă informaţiile dintr-un sistem informatic în altul.

Portabilitatea datelor se aplică acelor date cu caracter personal referitoare la persoana vizată şi anume:

  • Sunt procesate automat – chiar dacă pacientul beneficiază de dreptul de a-şi accesa toate înregistrările medicale, portabilitatea datelor este limitată doar la datele colectate în format electronic;
  • Sunt furnizate de persoana vizată – informaţii funizate verbal sau scris de pacient şi/sau rezultatul examinărilor, analizelor de laborator, investigaţii imagistice, etc.;
  • Sunt procesate pe baza consimţământului persoanei vizate sau pentru executarea unui contract – există excepţii care pot scoate datele medicale de sub dreptul de portabilitate, dar ca principiu general, orice procesare sau schimb de date care necesită consimţământul pacientului intră sub incidenta dreptului de portabilitate a datelor.

Considerăm că dreptul la portabilitatea datelor va genera un impact major asupra întregii activităţi medicale şi în special eHealth. Operatorii de date vor trebui să garanteze că datele cu caracter personal sunt transmise într-un format electronic standard, deschis şi utilizat în mod obişnuit şi vor trebui să asigure interoperabilitatea formatului de date în cazul unei solicitări de portabilitate a datelor.

Nivelul de cooperare dintre industria de eHealth şi asociaţiile profesionale va creşte datorită necesităţii de a elabora împreună un set de standarde şi formate de interoperabilitate pentru a îndeplini cerinţele dreptului la portabilitatea datelor.

Din punct de vedere tehnic, punerea la dispoziţia persoanelor vizate a datelor cu caracter personal se va putea face fie printr-un mecanism de transmitere directă a setului global de date al persoanei vizate, fie prin utilizarea unui instrument automatizat de extragere a datelor relevante.

Costurile generate de implementarea modificărilor nu vor putea fi imputate persoanelor vizate şi nici nu vor putea fi folosite ca justificare a refuzului de a răspunde solicitărilor de portabilitate a datelor. Desigur că intrarea în vigoare a acestui regulament, începând cu 25 mai 2018, presupune o pregătire amplă a infrastructurii la nivel gurvernamental şi privat în ceea ce priveşte furnizorii de servicii şi produse în domeniul eHealth.

«Info World „ready” înseamnă foarte mult. Dincolo de Privacy by design & Privacy by default, de gradul înalt de conformitate cu toate prevederile regulamentului european, de securitatea datelor şi de garanţia unor servicii care să onoreze experienta şi reputaţia consolidată în peste 17 de ani de actitivitate, Info World „ready” înseamnă investiţii, inovaţie, dialog şi comunicare cu toţi factorii implicaţi în proces, reacţie rapidă şi garanţia serviciilor şi aplicaţiilor la cele mai înalte standarde.» – Daniel Nistor, CEO Info World

Articol publicat de compania Info World în Catalogul GDPR Ready, Octombrie 2017

There are three key areas cloud providers need to address the needs of GDPR

One of the most discussed problems concerning GDPR issues is associated with the Cloud providers action plan elements in order to achieve GDPR compliance. The critical elements are associated with personal data transparency, data security, physical location identification, physical servers storage, or international data transfers. Working for GDPR Ready Catalog content, I asked few experts in Cloud and GDPR to share with us their recommendations for Cloud services providers.

Here we have the valuable contribution of Ian Moyse, one of the most active Cloud specialist in social media, and recognised influencers in Cloud Computing social ecosystem:

Ian Moyse

Firstly, cloud providers need to take heed that they are now also on the hook for GDPR legal liability as a Data Processor. Data laws previously put the responsibility to the Data Controller (the customer), but this changes in GDPR.

Secondly, providers also need to ensure their own GDPR compliance as customers will expect and need supply chains of theirs to comply with GDPR in its fullest. This will be needed to ensure they are only sharing any data they hold with GDPR compliant partners and thus protecting their own GDPR processes and compliance.

Cloud providers will also need to become more transparent, as customers become even more diligent around data sovereignty, security, data storage and the controls and destruction of data they have responsibility for.

Thirdly, cloud providers are going to need to ensure their service offering itself, when used by a customer, allows the customer to remain compliant. For example, if your solution stores customer data in it, providing the ability to remove data in full for ‘Right to be Forgotten’ compliance.

You cannot get your product or service GDPR certified, but you can ensure that its use allows a customer to meet GDPR requirements and not hinder them.

Ian Moyse,

Sales Director Natterbox, Board Member Cloud Industry Forum

The Romanian version of this article was published in GDPR Ready Catalog, Bucharest, November 2017 

ANSSI implicată activ în conștientizarea și promovarea conformității GDPR

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației.

ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului.

ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

Toma Cîmpeanu, CEO ANSSI

 

„În ultima perioadă ANSSI a avut o implicare activă în evenimentele și inițiativele legate de noul Regulament European de Protecție a Datelor Personale. Participarea la acest proiect de realizare a primului Catalog dedicat ofertelor GDPR din România prin materiale pregătite de câțiva dintre membrii noștri este un exemplu elocvent al implicării noastre în inițiativele comunității profesionale din România,” Toma Cîmpeanu, Director Executiv Asociația Națională pentru Securitatea Sistemelor Informatice.

 

 

În continuare prezentăm opiniile și recomandările făcute de câțiva dintre membrii ANSSI.

 Cât de pregătiți sunteți pentru RGPD?

de Diana Comanici

Sunteți operator de date/persoană împuternicită de operator care procesează date ale cetățenilor din UE? Aveți un program implementat pentru protecția datelor și puteți dovedi alinierea la cerințele RGPD? Integrați cerințele privind protecția datelor și a confidențialității în crearea proceselor de business noi sau în dezvoltarea de sisteme/ aplicații noi? Realizați o monitorizare sistematică pe scară largă (inclusiv a datelor angajaților)? Procesați volume mari de date personale sensibile?

Cum veți trata „dreptul de a fi uitat”, dreptul la portabilitatea datelor și dreptul de opoziție la crearea de profiluri ale persoanelor vizate? Sunteți în măsură să notificați ANSPDCP în cel mult 72 de ore de la producerea unei potențiale încălcări a securității datelor cu caracter personal?

Indiferent în ce stadiu vă aflați, există câțiva pași de urmat pentru conformitatea cu GDPR. Pentru a putea fi aliniați la cerințele GDPR este vital să identificați care sunt toate datele cu caracter personal pe care le procesați în cadrul organizației, unde se află acestea, de unde şi până unde circulă şi care sunt dispozitivele de Securitate care controlează/ filtrează accesul la aceste date, pe toata durata lor de viață. Ca principale etape în procesul de aliniere la RGPD vă recomandăm:

  • GDPR Quick Scan – este o evaluare rapidă/ workshop cu părțile cheie interesate de identificarea diferențelor fluxurilor principale, estimării de efort și durata de implementare;
  • Analiză – Evaluarea completa a conformității cu cerințele GDPR – este o evaluare detaliată a conformității și maturității;
  • Implementare – Implementarea Programului de Protecție a Datelor – este un program holistic pentru realizarea conformității cu GDPR.

Între activitățile principale ale acestor etape se numără și realizarea Evaluării Impactului asupra Securității Datelor (DPIA) si Inventarul Datelor cu Caracter Personal (un inventar al datelor si fluxurilor de date din cadrul organizației).

Diana COMANICI este Director Executiv la compania Smart Factor. diana.comanici@smartfactor.ro

 

GDPR o bună ocazie pentru eficientizarea activității, nu o presiune în plus

de Maria-Cristina Murgoci

25 mai 2018 este termenul-limită pentru intrarea în vigoare a noilor reglementări din Regulamentul General al Uniunii Europene cu privire la Protecția Datelor. În această perioadă premergătoare, companiile care știu să-și valorifice resursele și competențele, vor pune mai mult și mai pregnant accentul pe modalitățile de colectare, gestionare și asigurare a confidențialității pentru datele personale de pe platformele informatice deținute.

Dacă în trecut acest aspect a fost tratat cu superficialitate de către unele companii sau instituții, acum este momentul ca fiecare deținător de date cu caracter sensibil, de la mic la mare, să pună în funcțiune un mecanism intern de bună practică și conformitate cu reglementările GDPR. Practic, tot ceea ce nu s-a putut realiza din lipsă de informații, resurse sau termene-limită, are acum oportunitatea celor mai bune implementări, nu atât sub imperiul amenzilor ce se vehiculează în caz de non-conformitate, ci mai ales din dorința firească de a pune lupa pe limitări și de a găsi soluții salvatoare, de care să beneficieze întreaga organizație, nu doar departamentele care sunt direct implicate în operațiunile cu date ce au caracter sensibil.

Companiile care vor reuși să privească reglementările GDPR drept un prilej pentru eficientizarea activităților, nu doar ca pe o presiune în plus, se vor putea deschide și la întâmpinarea oportunităților care derivă din buna lor implementare. Într-adevăr sunt prevederi cu caracter obligatoriu, care presupun resurse și investiții bănești consistente. Însă, acestea vin și cu beneficii pentru mediul de afaceri, printre care amintim simplificarea și armonizarea la nivel juridic și administrativ a protecției datelor în Uniunea Europeană, precum și stimularea inovației pentru tehnologiile care asigură stocarea și protecția datelor.

Departe de a fi doar un proces costisitor, asigurarea conformității cu noile măsuri GDPR este o etapă esențială de creștere și inovație pentru companiile care pot fructifica la maximum era digitală de astăzi.

Maria-Cristina MURGOCI este Marketing Manager la compania Q-East Software. Prin soluțiile de management și Securitate a sistemelor informatice furnizate, experții Q-East Software asigură companiilor și instituțiilor competențele necesare unor implementări eficiente pentru procesele de conformitate cu reglementările GDPR.

Noul regulament va face companiile mai responsabile pentru datele din posesia lor

de Florin Răducu

Florin RĂDUCU, director SmartFeel Solutions

Informația a devenit accesibilă oricui. Vrei să o cauți pe Internet? E gratis… Vrei cont de e-mail? Gratis… Instant messaging? Gratis. Rețele de socializare? Gratis. Puține lucruri mai costă bani pe Internet. Și totuși companiile care oferă aceste servicii sunt printre cele mai bogate de pe pământ… Cum își fac banii? Cu noi sau, mai degrabă, cu datele noastre… E mai rentabil să colecteze și să furnizeze terților informații despre tine, decât să îți vândă servicii.

Multe companii au profitat de lejeritatea cu care ne oferim datele personale pentru a câștiga bani, cote de piață și a construi noi modele de business. Ne expunem viața din ce în ce mai mult online și asta ne face vulnerabili. Astăzi criminalitatea cibernetică crește cu 38% în fiecare an, devenind a 2-a cea mai răspândită infracțiune economică.

Noua legislație GDPR și, în special cuantumul amenzilor stabilite prin acest regulament vor face companiile să fie mai responsabile cu datele personale din posesia lor. Un milion de conturi hackuite nu vor mai reprezenta o simplă statistică, atât timp cât pierderea sau folosirea abuzivă a datelor unei singure persoane pot duce la închiderea businessului. Consecința: tehnologiile moderne de cyber security nu vor mai fi un „nice to have” ci un „must have”.

Statistic, se dezvoltă un milion de noi feluri de malware în fiecare zi. Astăzi, timpul mediu în care un malware stă nedetectat într-o organizație este de 201 zile. Totuși, cu tehnologii moderne de EDR îl putem detecta în câteva secunde. În acest context, apare necesitatea unei schimbări a mentalității în privința modalității de apărare la un atac cibernetic. Organizațiile vor fi nevoite să facă trecerea de la o apărare cibernetică statică – de așteptare, la una dinamică – de prevenție, cu soluții de cyber security și cyber threat intelligence care le vor spune dacă sunt vizate de hackeri, modul în care vor fi atacate, momentul și durata atacului.

Florin RĂDUCU este Director General în cadrul companiei SmartFeel Solutions ce oferă soluții de securitate cibernetică și cyber threat intelligence sub brandul Cyberus. florin.raducu@cyberus.ro

Aceste materiale au fost puse la dispoziție de ANSSI și partenerii săi pentru Catalogul GDPR Ready, aparut în Octombrie 2017.

Conferința de Cloud: haideți să vorbim despre adopție, dezvoltare, migrare, business continuity și GDPR

Suntem martorii unei dezvoltări fără precedent a industriei de Cloud. Utilizarea aplicațiilor SaaS și a platformelor de dezvoltare în Cloud au un rol tot mai determinant în revoluția digitală și transformarea proceselor de business de astăzi. Conform Forrester, piața globală de Cloud Public va ajunge în 2018 la peste 178 miliarde de dolari, cu o creștere anuală de peste 22%. Platformele de Cloud Public – segmentul cu cea mai rapidă creștere – vor genera în 2018 peste 44 miliarde de dolari.  Peste jumătate dintre marile companii vor adopta platforme de Cloud Public până la sfârșitul acestui an.

Și totuși mai există multe reticențe legate de adopția modelelor Cloud. Este Cloudul util? Cum putem migra la o platformă Cloud? Cum ne poate ajuta o arhitectură Cloud la protecția datelor personale în contextul adopției GDPR? Ce strategii de migrare să alegem? Cum putem administra rețelele virtuale și cum putem asigura continuitatea afacerii?

La aceste probleme puteți afla răspunsuri din sursele cele mai competente, participând la Conferința de Cloud, organizată de compania Avaelgo și partenerii săi pe data de 23 Noiembrie la Hotelul Pullman World Trade Center din București.  După cuvântările de deschidere, conferința se va desfășura în două secțiuni paralele, ce vor reuni 11 sesiuni tehnice și de business, susținute de 16 experți, dintre care 4 Microsoft Most Valuable Professionals (MVPs).

În sesiunea de business se va vorbi despre adopția accelerată a soluțiilor Cloud și monitorizarea consumului acestora, definirea strategiilor de migrare a soluțiilor și a organizațiilor în Azure, migrarea soluțiilor în Microsoft Azure cu Lift & Shift, Microsoft Azure ca și soluție pentru Disaster Recovery, precum și meridianele Cloud – Rețele virtuale și composite.

Cum adoptarea cadrului GDPR a devenit un subiect extrem de fierbinte, în special în industria de Cloud, conferința va avea două sesiuni dedicate acestui subiect: un Open Panel la care participă o serie de invitați speciali, precum și o prezentre PwC despre principalele provocări GDPR identificate în România.

Secțiunea tehnică va reuni o serie întreagă de prezentări ce abordează Soluțiile  arhitecturale de tip Azure IaaS și PaaS, facilitățile de automatizare a dezvoltării integrate de plarforma Azure, funcționalitățile Site Recovery & Backup oferte de Microsoft Azure, de ce și cum se face protecția datelor în Cloud, precum și ” To Cloud or not to Cloud?” – Un ghid practic pentru adoptarea noilor tehnologii de comunicații.

Inițiatorul și organizatorul acestei Conferințe este compania Avaelgo, certificată Microsoft Gold Cloud Platform, Silver Cloud Productivity și Silver Application Development. Avaelgo oferă servicii complete ce înclud strategii de adopție și migrare Cloud, Managed Services, Securitate IT și instruire. Partenerii Avaelgo la Conferința de Cloud sunt: Microsoft, Comparex, ALEF Distribution, PwC, Veeam, Yalos Solutions și AudioCodecs.  cloud☁mania – platformă de knowledge și servicii pentru Cloud și business transformation este partener media la această conferință.

  • Pentru informații complete despre eveniment, agendă și speakeri, consultați site-ul Conferinta de Cloud.
  • Pentru înregistrare la Conferința de Cloud faceți click AICI.

GDPR prefigurează un viitor în care informația devine critică pentru supraviețuirea noastră

Răzvan Savu, Consultant IDC Romania

 

 

Răzvan Savu, Consultant IDC Romania

Informații despre tine. Colectate, stocate și procesate în mod automat de către algoritmi din ce în ce mai sofisticați. Informații pe care nu știai că le oferi. Informații pe care nu le puteai bănui că există. Informații despre tine, în feluri în care nu te-ai privit niciodată.

 

Strategiile pe termen scurt și mediu ale companiilor impun un ritm de creștere anuală, indiferent de industria pe care o observăm. Într-o lume în care nevoile de bază vor fi satisfăcute, consumul poate crește doar până într-un anumit punct, după care nu-i mai rămâne decât să devină cvasi-constant. Construcția economică a viitorului nu are alte opțiuni.

Oamenii o să-și dorească în fiecare an noi dispozitive, haine sau mașini, dar nevoi care să determine piețe uriașe nu se văd la orizont. Creșterea nu o să mai poată interveni decât în spațiul personal, în cel al nevoilor individuale ale fiecăruia dintre noi. Scopul este crearea unei experiențe personalizate în care produsul întrupează însăși macheta dorințelor și nevoilor noastre. Pentru asta, companiile se bazează pe datele pe care le producem și care construiesc mai mult decât o amprentă digitală individuală. Companiile extrapolează tipuri de comportament și opiniile personale din interacțiunea noastră cu lumea digitală, ajutându-le să se apropie constant de motivația deciziilor de a cumpăra ceva.

Regulamentul General pentru Protecția Datelor cu Caracter Personal prefigurează un viitor în care informația devine critică pentru supraviețuirea noastră. Într-o societate marcată de atacuri cibernetice și teroriste, cu cât entitățile colectează și distribuie mai multe date despre oameni, cu atât expunerea potențială crește exponențial. Noul motor al economiei globale poartă un vector de risc colosal, cu efecte în percepție, economie și chiar în siguranța fizică a omenirii.

Fiecare capitol din GDPR a fost disecat în conferințe, studii și articole online. Frica, confuzia și incertitudinea domină în mare parte atât mesajele furnizorilor, cât și acțiunile celor ce au de implementat dispozițiile regulamentului. Procesul se va clarifica cel mai probabil după o perioadă de ajustare a pieței, care nu se poate produce înainte de termenul limită fatidic pomenit în toate comunicările pe acest subiect.

Noul Regulament nu va putea fi considerat implementat prin redactarea maculaturii de către departamentul de QA. Nu există un panaceu care să fie înghițit de către organizații și acestea să se preschimbe în entități „GDPR-ready”, „GDPR-compliant” sau măcar „GDPR-aware”. Soluția nu se găsește în tehnologie sau procese.

Noul Regulament vestește o schimbare fundamentală a modului în care ne desfășurăm afacerile și presupune, contra-intuitiv, o schimbare asumată la nivel individual de fiecare dintre noi, respectând rolul informației într-un ecosistem global. Noul regulament cere ca indiferent de mizele financiare, drepturile fundamentale ale omului să fie respectate. Noul regulament cere ca fiecare dintre cetățenii europeni să ne comportăm responsabil cu privire la informațiile cu caracter confidențial, fie că suntem consumatori sau furnizori de astfel de date. Noul regulament cere să acționăm principial, nu hazardat, când luăm decizii pentru viitorul societății noastre.

Făcând un pas în spate, GDPR face parte dintr-o suită de legi introduse de Uniunea Europeană și de Comisia Europeană pentru mijlocul anului 2018 care vor să aducă mai aproape de realitate o Europă unită prin diversitate. Oamenii, mărfurile și – cel mai important aspect economic într-o eră digitală – informația, vor circula liber între statele membre, accelerând procesul inovativ, fără a uita însă de siguranța europenilor.

Scopul este catapultarea „bătrânului continent” în vârful jucătorilor globali de tehnologie pe o piață dominată în prezent de Vest și Est, mizând pe furnizarea unui cadru legal, onest, transparent (lawfullness, fairness and transparency). Companiile și statele pot folosi această oportunitate pentru a găsi motive să se ridice împotriva birocrației europene excesive și impunerilor de legi. Totodată, aceleași companii și state pot recunoaște în GDPR o șansă de a crea servicii și produse pentru întreaga Europă, având posibilitatea reală de a accesa piețe de desfacere inaccesibile până atunci. Pot face asta pornind de la principiile unei deschideri sigure a datelor, diminuând semnificativ riscurile unei expuneri de securitate, care afectează în final poziția economică a Europei în contextul digital-global.

Puse în acest context mai larg, mișcările UE par să se înscrie într-o strategie pe termen lung a asigurării relevanței la nivel mondial într-un viitor economic preponderent tehnologic. Pășind într-o lume digitală, sunt puțini cei care au îndrăzneala bezmetică să declare cu certitudine ce ne așteaptă, la nivel de cetățeni, angajați sau simpli indivizi. Indiferent de cine vom fi în viitor, principiile pe baza cărora vom acționa încep să fie scrise astăzi, învățând din greșelile trecutului.

IDC este compania cu cea mai lungă tradiție în analiza piețelor de tehnologie (IT&C), fiind prezentă inclusiv pe piața din România de 15 ani. Din poziția de observatori și mediatori ai pieței de tehnologie, experții IDC au acumulat experiența ciclicității dinamicii IT&C, înțelegând aspectele esențiale care determină succesul proiectelor ce se află întotdeauna la limita dintre tehnică și omenesc. IDC ajută dintr-o perspectivă independentă de industrie companiile ce achiziționează IT&C, decelând aspectele fundamentale pentru direcția strategică într-un univers al informațiilor într-o continuă expansiune.

Articol publicat în Catalogul GDPR Ready, Octombrie 2017

Cum să alegi inteligent în noua lume a GDPR-ului

Acest articol a fost publicat de Star Storage în Catalogul GDPR Ready, Octombrie 2017

Conformitatea cu reglementările impuse de Regulamentul General privind Protecția Datelor (GDPR) adoptat la nivelul Uniunii Europene in aprilie 2016 şi aplicabil din mai 2018 trebuie să reprezinte mai mult decât o nouă căsuță de bifat. Implementarea corectă a sistemelor și a procese lor solicitate de GDPR va ajuta organizațiile să evite penalizări potențiale semnificative, de până la 4% din cifra de afaceri globală, dar va fi de asemenea și o oportunitate pentru creșterea eficienței întregii afaceri.

Cu toate că suntem asaltați de o cantitate imensă de conținut pe această temă lucrurile sunt pe departe de a fi clare și încă planează o stare de confuzie în ceea ce privește soluțiile care pot ajuta la respectarea reglementărilor destul de stricte ale GDPR.

10 întrebări pe care să le ai în vedere când îți alegi furnizorul soluției tale de GDPR

1.Care sunt principalele provocări pentru a construi o politică proprie de gestionare a informației conformă cu GDPR? Câteva dintre provocările cheie care trebuie luate în considerare sunt:

  • Afectarea performanței datorată creșterii volumului de informații (număr, mărime, retenție, tipurile de documente care trebuie administrate);
  • Conținutul nestructurat – care reprezintă mai mult de 70% din volumul total de informații;
  • Diferite formate și sisteme – informații utile stocate într-o multitudine de sisteme (ERP, CRM,
  • Document Management, aplicații de business etc.) și în formate diferite;
  • Dispersia geografică – informații utile și sensibile stocate în diverse locații fizice și logice.

2.Organizația ta și potențialul furnizor înțeleg importanța metadatelor? Adevărul este că nu există conținut nestructurat ci doar conținut fără metadate. iar fără metadate, conținutul este o aglomerație de „ceva nediferențiat” care așteaptă să fie administrat. Metadatele sunt cheia, iar principalele direcții vizează:

  • Implementarea schemelor de metadate – definirea aspectelor relevante pentru diferite obiective specifice ale organizației tale;
  • Transformarea conținutului nestructurat în conținut valoros – prin tehnologii precum OCR (recunoașterea optică a caracterelor), ICR (recunoașterea inteligentă a caracterelor), „speech-to-text” și alte tehnologii care adresează extragerea de conținut.

3.Cum poate asigura soluția răspunsul prompt și eficient la solicitările de acces la date (DSAR)? Gestionarea corectă a metadatelor permite identificarea datelor și facilitează identificarea informațiilor corecte și relevante de către ofițerul de conformitate a datelor. Ai nevoie de o soluție care să ofere căutare avansată bazată pe metadate (șabloane de căutare, subscripții la șabloane de căutare, conceptul de „search in search”). Dar metadatele nu sunt suficiente – o căutare completă în text trebuie să fie rulată de mai multe ori atunci când conținutul sau metadatele sunt ascunse în documentele nestructurate. Pe lângă funcționalitățile de căutare trebuie avută în vedere și modalitatea în care se face navigarea și afișarea informațiilor căutate astfel încât utilizatorul să ajungă cât mai ușor la conținutul potrivit.

4.Cum permiți partajarea conținutului securizat între clienți/ parteneri și consultanți externi? Menținerea unui echilibru între acces (necesitatea de a cunoaște) și protecție / conformitate nu este ușoară. Trebuie luat în considerare schimbul de informații în afara companiei fără a pierde controlul sau a modifica locația informațiilor, dar și partajarea în siguranță a informațiilor folosind autentificarea în 2 pași pentru utilizatorii externi. În contextul GDPR soluția trebuie să respecte reglementările cu privire la datele cu caracter personal (trimiterea automată a notificărilor, acces temporizat) și să ofere suplimentar o experiență plăcută de utilizare (fără să fie nevoie de intervenția personalului IT).

5.În ce măsură ofițerii de conformitate ai companiei tale au vizibilitate asupra volumelor mari de informații în contextul noului regulament GDPR, astfel încât să poată lua decizii rapide și eficiente? Un tablou centralizator al indicatorilor GDPR care să ofere vizibilitate asupra cantităților mari de date va ajuta cu siguranță ofițerul de date să vadă imaginea de ansamblu, dar și să detalieze anumite subiecte specifice (distribuirea documentelor în funcție de tipul de informație cu caracter personal, topul politicilor de conformitate necorespunzătoare, active neconforme clasificate in funcție de tipul acestora și alte activități și notificări legate de GDPR: retragerea acordului, solicitări de acces, solicitări de ștergere a datelor, consimțământ parental).

6.Care este experiența utilizatorilor si cum va fi afectat departamentul IT după implementarea unei soluții de GDPR? Multe implementări la nivel enterprise au dat greș nu din cauza lipsei rigorii tehnice ci mai degrabă din cauza unei experiențe insuficiente la nivelul utilizatorilor. O soluție cu o interfață puternică, dar simplă, va crește gradul de adopție a utilizatorilor, fără a compromite funcționalitățile dedicate utilizatorilor și va reduce în același timp gradul de încărcare al departamentului IT.

7.Cine poate accesa datele de business, în ce circumstanțe și cu ce drepturi de vizualizare? Este acest proces auditabil? Recomandarea este să protejați conținutul în funcție de ceea ce este (metadate asociate) și nu în funcție de unde este acesta stocat astfel încât să plecați de la început cu avantajul unei soluții construită pe principiul „Privacy by Design”. Și în această situație metadatele stau la baza construirii politicilor dinamice de securitate care pot fi ușor definite și aplicate de către utilizatorii obișnuiți, fără intervenția personalului IT. Întreabă de asemenea dacă este complet auditabilă fiecare modificare asupra conținutului și meta datelor asociate pentru asigurarea conformității cu GDPR.

8.Cum se poate demonstra că o persoana și-a dat consimțământul asupra prelucrării datelor sale personale? O posibilă abordare este o soluție care sa permită managementul consimțământului cu ajutorul semnăturii biometrice (semnătura avansată) într-o manieră lizibilă / inteligibilă. Aceasta oferă o dovadă sigură, fiind legată în mod unic de semnatar și implicit de datele acestuia, astfel încât orice schimbare ulterioară a datelor este detectabilă.

9.Cum asigură soluția „dreptul de a fi uitat”? O mare parte din respectarea acestei cerințe se referă la politicile de păstrare a documentelor care pot fi aplicate conform nomenclatorului arhivistic, categoriei de conținut (bazat pe metadate) sau politicilor de distrugere a conținutului pe mai multe etape atunci când perioada de retenție expiră. Întreabă cum se face auditarea termenelor expirate pentru documentele care conțin date cu caracter personal și trimiterea notificărilor asociate excepțiilor, dacă soluția are funcționalități pentru criptarea metadatelor asociate datelor cu caracter personal și setări pentru distrugerea digitală a documentelor care conțin date cu caracter personal.

10.Unde trebuie instalată soluția GDPR? Un element cheie aici este păstrarea flexibilității la un nivel maxim pe măsură ce tehnologia se schimbă. Se poate folosi hardware-ul existent? Dacă alegi, poți să beneficiezi de puterea și scalabilitatea cloud-ului public? Este soluția la fel de ușor de folosit pe medii hybride, on-premise și cloud?

Ce este SEAL?

SEAL este un sistem integrat pentru administrarea unificată a arhivelor fizice și electronice care ajută companiile să protejeze, reutilizeze și partajeze în siguranță tot conținutul de afaceri, respectând normele legale și noile reglementări GDPR. Construit pentru era digitală, în care cloud-ul și mobilitatea reprezintă concepte cheie, SEAL redefinește experiența de utili zare printr-o interfață intuitivă și puternică disponibilă inclusiv pe iOS și Android pentru un nou nivel de productivitate.

 Mai multe detalii: http://www.seal-online.com


 

Ghiduri de bune practici GDPR puse la dispoziție de ANSPDCP

Acest articol a  fost publicat în Catalogul GDPR Ready, Octombrie 2017.

Autoritatea națională de supraveghere este o autoritate publică cu personalitate juridică, autonomă şi independentă față de orice alte autoritate a administrației publice, ca şi față de orice persoană fizică sau juridică din domeniul privat, care exercită atribuțiile ce îi sunt date în competență prin dispozițiile legale din domeniul prelucrării datelor cu caracter personal şi al liberei circulații a acestor date.

Atribuția principală a Autorității este aceea de garantare şi protejare a drepturilor şi libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal. Autoritatea monitorizează şi controlează sub aspectul legalității prelucrările de date cu caracter personal care cad sub incidența Legii nr. 677/2001.

Pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în cadrul secțiunii speciale dedicată RGPD, poate fi găsit un important volum de informații dedicate Regulamentului 2016/679, precum pliante, broșuri și ghiduri ale Grupului de Lucru Art. 29. Informații complete pe site-ul oficial al ANSPDCP

Ghid privind Responsabilul cu protecția datelor (DPO)

Acest ghid are menirea de a oferi tuturor operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor (DPO – Data Protection Officer), precum și principalele atribuții ale acestora. Ghidul a fost publicat în decembrie 2016 și a fost revizuit și adoptat în aprilie 2017.

Potrivit Regulamentului General de Protecție a Datelor (RGPD), este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un DPO. Aceasta va fi situația pentru toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate) și pentru celelalte organizații care au ca activitate principală monitorizarea sistematică și pe scară largă a persoanelor fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care RGPD nu impune în mod expres numirea unui DPO, organizațiile pot opta pentru desemnarea unui DPO în mod voluntar.

Cu toate că Directiva 95/46/CE3 nu impune niciunei organizații să numească un DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre. Anterior adoptării RGPD, grupul de lucru Articolul 29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a RGPD. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1). Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

Ghidul orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor

Lansat în septembrie 2017, acest Ghid este destinat să constituie un instrument util în activitatea tuturor operatorilor, pentru accelerarea eforturilor acestora de a atinge cele mai optime nivele de conformitate cu prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date.

Structura Ghidului orientativ de aplicare GDPR se axează pe prezentarea principalelor obligații care le revin operatorilor în contextual noului Regulament. Dintre aceste obligații se detașează:

  • Desemnarea unui responsabil cu protecția datelor
  • Rolul responsabilului cu protecția datelor
  • Cartografierea prelucrărilor de date cu caracter personal
  • Ce trebuie să conțină evidenta păstrată de operator
  • Prioritizarea acțiunilor de întreprins
  • Care sunt măsurile speciale de care trebuie să se țină cont
  • Gestionarea riscurilor
  • Organizarea procedurilor interne

Ca recomandare generală, Ghidul orientativ sugerează realizarea unei analize aprofundate a legislației privind protecția datelor și a cerințelor impuse de Regulamentul General privind Protecția Datelor, pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în funcție de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

În condițiile în care acest act normativ european aduce multiple elemente de noutate în peisajul juridic românesc și instituie noi obligații în sarcina operatorilor de date și/sau persoanelor împuternicite de operatori Autoritatea speră ca și acest ghid, împreună cu toate celelalte materiale informative postate pe site-ul Autorității Naționale de Supraveghere, să ajute operatorii în eforturile de conformare cu noile reguli de prelucrare a datelor personale.

GDPR: afectarea securității datelor cu caracter personal din perspectiva securității informatice

Articolul este realizat de specialiștii CERT.RO  și a  fost publicat în Catalogul GDPR Ready, Octombrie 2017. 

 

Conform Regulamentului, „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Regulamentul prevede la articolele 33 și 34 obligativitatea notificării încălcărilor securității datelor cu caracter personal către Autoritatea Națională de Supraveghere precum și direct către persoanele vizate ale căror date au fost compromise în anumite condiții, astfel:

  • Notificarea Autorității se face în cel mult 72 de ore conform Art. 33 și este obligatorie atunci când încălcările prezintă riscul de a pune în pericol drepturile și libertățile persoanelor putând duce la discriminarea, prejudicierea reputației, pierderi financiare, compromiterea confidențialității sau orice alt dezavantaj economic sau social semnificativ.
  • Notificarea trebuie să cuprindă: o descriere a încălcării, inclusiv categoriile și numărul aproximativ de persoane vizate acolo unde este posibil, categoriile de înregistrări și numărul acestora. La aceasta se adaugă descrierea consecințelor probabile ale încălcării și măsurile luate pentru a remedia situația și a atenua consecințele încălcării.
  • La acestea se adaugă datele de contact ale responsabilului cu protecția datelor sau alt punct de contact pentru mai multe informații.
  • Notificarea persoanei vizate se face conform Art. 34, fiind obligatorie în cazul în care încălcarea prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate. Informarea va conține descrierea încălcării într-un limbaj simplu precum și informațiile și măsurile de la Art. 33.
  • Termenul de notificare a autorității este de 72 de ore.

Pentru a putea realiza notificarea în termenul specificat este necesar ca operatorul să inventarieze, să organizeze și să cunoască categoriile de date colectate, sistemele în care acestea sunt stocate și prelucrate, circuitul datelor și persoanele care au acces. Aceasta presupune atât măsuri de inventariere cât și proiectarea sistemelor, a rețelelor și a accesului astfel încât informațiile relevante să fie rapid identificate în caz de încălcare, în vederea alcătuirii notificării și luării de măsuri în consecință.

Ce fel de încălcări ale securității datelor avem în vedere?

Principalele tipuri de încălcări ale securității datelor sunt:

  • publicarea în mod accidental;
  • erorile de configurare a sistemelor ce poate duce la scurgeri de informații;
  • pierderea sau furtul sistemelor sau a mediilor de stocare a datelor;
  • securizarea slabă;
  • infecții cu programe de tip malware;
  • atacuri fizice.

În România, conform raportului CERT-RO pe anul 2016 au rezultat următoarele date relevante cu privire la securitatea spațiului cibernetic național:

  • s-au primit și procesat peste 110 milioane de alerte;
  • 38% (2,9 milioane) dintre adresele IP publice din România au înregistrat cel puțin o alertă;
  • 81% (89 milioane) dintre alerte se referă la sisteme sau servicii vulnerabile;
  • 13% (14 milioane) dintre alerte se referă la sisteme infectate cu malware de tip botnet;
  • 639 de domenii web „.RO” au fost utilizate de site-uri web compromise.

Cum putem proteja datele cu caracter personal procesate?

Sub aspectul protejării datelor în format digital, deși percepția comună referitoare la obligațiile impuse de Regulament este cea a unor cerințe și obligații noi, în realitate măsurile necesare sunt cele standard din domeniul asigurării securității informatice.

Astfel, operatorul care are în vedere asigurarea securității rețelelor și sistemelor sale conform standardelor existente și adaptarea măsurilor proporțional cu amenințările, va îndeplini din start cerințele GDPR cu privire la datele cu caracter personal aflate în sistemele sale, soluțiile tehnice și politicile de securitate necesare celor două domenii coincizând în mare parte.

În vederea adoptării măsurilor necesare prevenirii încălcării siguranței datelor, din perspectiva securității cibernetice, trebuie avute în vedere o serie de recomandări practice, precum cele prezentate în rândurile următoare.

Măsuri de prevenire a incidentelor de securitate:

  • Securizarea terminalelor (stații de lucru, telefoane, tablete etc.) prin utilizarea unor soluții/tehnologii de tip antivirus/antimalware, DLP, sandbox și de criptare a datelor, inclusiv pentru terminalele care sunt proprietatea utilizatorilor (BYOD);
  • Securizarea infrastructurii de rețea prin segmentare adecvată (VLAN) și prin utilizarea unor soluții/tehnologii de protecție perimetrală precum cele de tip NGFW (Next Generation Firewall);
  • Asigurarea unei vizibilități adecvate în cadrul infrastructurii IT prin utilizarea unor soluții/tehnologii de monitorizare precum cele de tip SIEM (Security Information and Event Management);
  • Implementarea unor măsuri adecvate de securitate fizică, mai cu seamă în spațiile unde sunt procesate sau depozitate cantități mari de date;
  • Acordarea accesului diferențiat al utilizatorilor la resurse și la date în baza atribuțiilor acestora (principiul nevoia de a cunoaște);
  • Implementarea unei proceduri adecvate de backup (copii de siguranță) care să includă și verificarea periodică a integrității datelor și a procesului de restaurare;
  • Implementarea unei politici de securitate care să fie asumată și respectată de toți utilizatorii;
  • Utilizarea unor proceduri de răspuns la incidentele de securitate și de gestionare a vulnerabilităților;
  • Dispunerea de personal adecvat pentru securizarea infrastructurii IT și pentru a răspunde la incidentele de securitate;
  • Instruirea periodică a personalului cu privire la riscurile, amenințările și vulnerabilitățile de securitate, precum și cu privire la măsurile de contracarare a acestora;
  • Realizarea de audituri/evaluări periodice de securitate a infrastructurii IT, a personalului și a procedurilor.

GDPR deschide mari oportunități în distribuția IT

Alinierea la GDPR vine cu multe teme de îngrijorare pentru companiile dintr-un ecosistem de distribuție, dar și cu un imens potențial de vânzare a soluțiilor din portofoliu. Noul Regulament european privitor la protecția datelor poate avea un efect de bumerang. A apărut din nevoia de aliniere a drepturilor cetățeanului european la evoluția tehnologică a mijloacelor de recoltare, comunicare, procesare și stocare a datelor personale.

Deși cauza poate fi privită ca tehnologică prin excelență, punerea în aplicare a GDPR este un proces esențialmente de business, care prin implicații poate fi asimilat cu un mare pas înainte în procesul ireversibil de transformare digitală. Poate avea tandemul business-tehnologie un rol de perpetuum mobile? Cu siguranță, atâta timp cât în centrul oricărei politici de dezvoltare stă individul și drepturile sale fundamentale.

Keep Calm and Prepare for GDPR

Nu vă pierdeți cu firea. Totul trebuie privit cu optimism. Pentru o companie IT orice procedură și demers de obținere a unui nivel de confort echivalent cu conformitatea noului Regulament nu ar trebi să fie o problemă. La urma urmelor, implementarea GDPR este un proces de project management, similar cu procedurile de obținere a conformității cu diferite standarde.

Avantajul imens oferit de aderarea la GDPR reprezintă o uriașa oportunitate pentru companiile din IT. Demonstrați clienților că sunteți GDPR Ready și veți câștiga în fața concurenței. Ajutați clienții să își rezolve gap-urile tehnologice recomandându-le soluțiile voastre. GDPR vă facilitează accesul la o imensă piață. Deveniți partenerii clienților voștri și veți avea șansa  să vă promovați soluțiile din portofoliu.

Canalul de distribuție ca ecosistem de informații

Tipologia ecosistemului ce caracterizează o rețea de distribuție e foarte complexă: distribuitori, wholeselleri, reselleri, VAR-i, integratori de sistem, firme de servicii și consultanță, retaileri, showroom-uri, magazine online, precum și o complicată subrețea de furnizori de servicii de logistică, depozite, curierat, transporturi, case de credite și de asigurări, și altele. Și nu în cele din urmă, clienții.

Să luăm de exemplu un distribuitor de dimensiuni medii, care are contracte teritoriale de distribuție pentru 15-20 de branduri, cu proveniență din diferite zone ale lumii. Într-un proces clasic de distribuție rolul unui astfel de distribuitor este cel de procesator – sau intermediar, verigă într-un flux de date care vine dinspre cei care lucrează direct cu utilizatorul final, și merge către un vendor, care în majoritatea cazurilor are și rolul de operator de date.

Colectarea datelor personale este paralelă cu procesul de vânzare, multe dintre soluțiile distribuite având asociată obligativitatea furnizării de date despre utilizatorul final, fie elemente de identificare asociate cu licențele software perpetue, fie identificatori de logare – în cazul soluțiilor Cloud, fie date asociate documentelor de garanție și mentenanță specifice echipamentelor hardware.

Din punctul de vedere al atribuțiilor  GDPR, un distribuitor este în marea majoritate a cazurilor procesator de date, cu subordonare de business în relație cu vendorii, care au rolul de operatori. Păstrând această perspectivă, un reseller va avea întotdeauna o poziție de sub-procesator față de fiecare dintre distribuitorii cu care lucrează. De multe ori vendorii nu sunt nici ei beneficiari direcți ai datelor personale, având tot o poziționare de procesator în relațiile de distribuție cu alte entități.

Pe de altă parte, apare des situația în care un distribuitor sau un reseller poate fi chiar el operator de date. Să ne gândim doar la departamentele de resurse umane care gestionează relațiile cu angajații sau la cele de marketing, unde sunt generate campanii direct către clienții finali sau către rețelele de parteneri.

5 oportunități oferite de GDPR pentru canalele de distribuție

Iată câteva idei care ar trebui să stea la baza unei strategii de ofertare a celor mai adecvate soluții de aliniere la conformitatea GDPR:

Piața – un sondaj recent arată că 69% dintre companiile europene  nu numai că vor investi în tehnologii de securitate ca rezultat al GDPR, ci și în domenii precum partajarea, stocarea, arhivarea sau recuperarea datelor. Estimările IDC indică o oportunitate de piață de 3,5 miliarde de dolari pentru furnizorii de securitate și stocare și pentru partenerii lor.

Tehnologia – GDPR nu prescrie tehnologii de protecție a datelor – precum un anumit algoritm de criptare, de exemplu – și, prin urmare, nu le exclude automat pe altele. În schimb, se fac recomandări și se prescriu procese, ceea ce oferă mai multă libertate de a alege dintr-o paletă de soluții provenite de la o varietate de furnizori.

Depozite comune de date – nevoia de operativitate și eliminarea duplicatelor ridică oportunitatea consolidării unor depozite comune, unice de date, la care să aibă acces pe bază de protocoale securizate toți jucătorii din sistem, inclusiv posesorii datelor personale.

Marketing și PR – devine vitală pentru creșterea gradului de conștientizare a reglementărilor. Resellerii proactivi se pot adresa clienților înainte de termenul limită, prezentându-le riscurile  și promovându-și propria compatibilitate.

Încrederea  – demonstrați-vă vitalitatea GDPR și veți câștiga în primul rând încrederea clienților. Ajutații să înțeleagă că orice investiție în tehnologie nu îi va ajuta doar la reducerea riscului de, dar și să își asigure continuitatea în business.

Intrarea în vigoare a noului Regulament european poate fi o mare oportunitate pentru companiile din IT. Demonstrați clienților că sunteți GDPR Ready și veți câștiga în fața concurenței. Ajutați clienții să își rezolve handicapurile operaționale și tehnologice recomandându-le soluțiile voastre. GDPR vă facilitează accesul la o imensă piață. Deveniți partenerii clienților voștri și veți avea șansa  să vă promovați soluțiile din portofoliu.

Cum pot obține certificarea DPO în România?

International Association of Privacy Professionals (IAPP) estimează un necesar de peste 75.000 de ofițeri pentru protecția datelor în întreaga Europă – înt-o apreciere inițială cifra era de 28.000). Chiar și așa, privind cu luciditate, această cifră pare mult subdimensionată față de nevoile reale din toate țările membre și din toate industriile.

Victimă sigură sau super-erou?

Una dintre marile noutăți cu care vine GDPR este necesitatea stabilirii unui ofițer cu protecția datelor personale, care să joace rolul de intermediar între organizație și autoritatea de supraveghere. Regulamentul stipulează destul de clar în articolele 37 – 39 când trebuie ales, care este rolul și ce îndatoriri are un DPO. Puteți citi despre toate acestea pe larg în recentul meu articol ” GDPR Explicitat (11) : Un personaj important – Data Protection Officer (DPO)”.  Mai mult de atât, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a postat pe site-ul sau în versiunea românească ”Ghidul privind Responsabilul cu protecția datelor (DPO)” care conține recomandări valoroase ale grupului de lucru Articolul 29.

Există deja destule surse de informare legate de condițiile în care trebuie să numim un DPO și cam ce ar trebui să facă un astfel de personaj care va avea un o poziție distinctă în schema oricărei organizații. Cu toate aceste, continuă să existe o serie de incertitudini legate de diferite aspecte. De exemplu, într-o versiune inițială GDPR menționa că orice companie care are peste 250 de angajați e obligată să numească un DPO. Ulterior s-a renunțat la această delimitare și au rămas în vigoare cele trei situații clare în care suntem obligați să numim un DPO.

În conformitate cu Articolul 37, Aliniat 1 din GDPR, trebuie să desemnăm un ofițer de protecție a datelor (DPO) dacă:

  • suntem o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • efectuăm o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online);
  • facem o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiuni.

În rest, rămâne la latitudinea noastră dacă vom aloca sau nu o astfel de poziție, chiar dacă avem o microîntreprindere cu 2 angajați… Recomandarea grupului de lucru Articolul 29 este totuși ca în funcție de complexitatea și riscurile asociate activităților de prelucrare a datelor cu caracter personal să fie numit un DPO care poate coordona activitățile de mapare a fluxurilor de date, poate realiza o evaluare de impact sau poate administra analizele de risc.

Alte neclarități sunt legate de statutul oarecum special de subordonare în schema unei organizații, precum și de condițiile în care un DPO poate fi tras la răspundere. De aici și pozițiile oarecum extreme de victimă sigură a autorităților de supraveghere sau de super-erou, care cu vitejia sa poate apăra compania de orice amenințare. În fine, alte discuții controversate se referă la pregătirea optimă a unui DPO și din ce departament ar trebui recrutat: HR, legal, operațional sau IT? Și aici există o multitudine de recomandări ce oferă o plajă largă de soluții, precum constituirea unui grup de acțiune cu reprezentanți ai tuturor departamentelor implicate care să susțină în permanență – și la o adică să poată să suplinească, rolul unui DPO. La limita extremă este apelarea la serviciile unui DPO super-specializat, care eventual poate consilia mai multe organizații, la limita conflictului de interese. Și aici fiecare poate să aleagă soluția cea mai convenabilă.

Dacă ne uităm însă la recomandările organismelor de certificare cu recunoaștere internațională precum IAPP sau PECB vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în protecția datelor personale. De aici reiese că un candidat serios la poziția de DPO trebuie să fi avut un rol cu certe competențe tehnologice și operaționale, oameni cu experiență în project management, data quality, baze de date, managementul riscurilor, securitatea sau protecția datelor. Diferitele statistici arată că în prezent e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de ceva mai mult timp pentru pregătirea poziției de DPO.

Unde ne certificăm ofițerii pentru protecția datelor? O soluție este programul de cursuri RQM Cert

Iată-ne ajunși la un alt punct de răscruce în eforturile noastre pentru conformitate. Am identificat cel mai potrivit om din organizație care ne poate reprezenta în fața autorităților, dar cum îl instruim? Unde găsim cursuri de certificare pentru poziția de DPO? Dacă veți citi Catalogul GDPR Ready publicat recent, veți găsi mai multe programe de instruire disponibile la ora aceasta la noi în țară.

La evenimentul Noua ordine europeană pentru protecția datelor personale organizat de agenția Concord Communication în 12 octombrie și având ca partener principal casa de avocatură Mușat & Asociații, a participat și compania RQM Certification, partener PECB pentru România, care a oferit o prezentare a serviciilor de pregătire profesională pentru poziția de Certified Data Protection Officer.

Programul de instruire oferit de RQM Certification este acreditat de PECB, organizație cu sediul în Canada recunoscută internațional pentru competențele și expertiza în implementările standardelor ISO. PECB este un organism de certificare pentru persoane, sisteme de management și produse, pentru o gamă largă de standarde internaționale. Ca furnizor global de servicii de instruire, examinare, audit și certificare, PECB oferă expertiza sa în mai multe domenii precum securitatea informației, IT, continuitatea afacerii, managementul serviciilor, sistemele de management al calității sau managementul riscului. Prin parteneriatul cu PECB, compania RQM Cert poate asigura în România obținerea certificărilor pentru standardele ISO 9001, ISO/TS 16949, ISO 31000, ISO 14001 și ISO 27001.

Certificarea DPO oferită de RQM permite specialiștilor desemnați să dobândească expertiza necesară pentru a înțelege riscurile care ar putea avea un impact negativ asupra organizației, oferindu-le cunoștințele esențiale pentru a implementa strategia necesară, pe baza celor mai bune practici, cerințe și principii GDPR. Cursurile Certified Data Protection Officer  organizate de RQM Cert sunt eșalonate pe o durată de 5 zile lucrătoare și sunt structurate în 25 de secțiuni ce acoperă o largă paletă de probleme, de la elementele de bază conținute de GDPR, la analiza nivelului de pregătire, implementarea și complianța, la obținerea și mai ales păstrarea nivelului de conformitate necesar pentru evitarea oricărui risc și continuitatea în business.

Dacă sunteți interesați de mai multe detalii legate de oferta de cursuri DPO, completați formularul de mai jos.     

GDPR: un angajament pe termen lung

 

Ing. Lucia ȘREFAN

 

 

Ing. LUCIA ȘTEFAN, MSc Information Systems, Data Protection Officer Certified (Maastricht University, 2017).

Director/Consultant al companiei Archiva Ltd. din Marea Britanie.

 

Date de contact:

Email: datapro.archiva@btinternet.com

LinkedIn: https://uk.linkedin.com/in/luciastefan

Din momentul în care Regulamentul General privind Protecția Datelor (GDPR) a fost publicat, au apărut tot felul de interpretări privind înțelegerea și aplicarea acestui regulament. Un curent care și astăzi este destul de puternic afirmă că întregul GDPR nu constă decât în securizarea datelor personale și conformitatea cu ISO 27001.

Alții afirmă că este o chestiune de interpretare legală și doar un jurist poate interpreta corect prevederile Regulamentului. Cei din zona administrării de date (Data Management), spun că e suficient să inventariezi datele din sisteme informatice și să iei masuri de remediere acolo unde trebuie pentru a fi conform cu GDPR. În sfârșit, o altă categorie afirmă că datele personale trebuie gestionate dinamic în timp, comparabil cu un ciclu de viață care începe prin capturarea acestor date și se termină prin ștergerea lor definitivă (dispariția lor) din sistem.

În realitate, toate opiniile de mai sus sunt corecte, în sensul că administrarea și controlul datelor personale într-o organizație este foarte complexă, fiind obiectul muncii unei întregi echipe, în care avem juriști, specialiști în securizarea informației (InfoSec), specialiști din managementul informației digitale, al conformității (compliance), al riscului, al gestionării și arhivării informației. Cu cât arhitectura sistemelor informatice este mai complexa, cu atât este mai multă nevoie, nu de omul-orchestra, ci de o întreagă echipă, cu competențe multiple!

Organizațiile, care prin natura afacerii lor trebuie să se conformeze GDPR, au nu numai obligația atingerii acestui obiectiv dar și pe aceea a menținerii conformității pe toata durata existenței organizației. Cu alte cuvinte, atingerea standardelor RGPD în materie de informații personale nu este suficientă, conformitatea trebuie menținută și gestionată pe termen lung. Atingerea conformității nu este un efort care, odată făcut, îți permite să te relaxezi după aceea. GDPR impune ca organizația să poată demonstra, prin dovezile obținute și păstrate, că este conformă în orice moment cu prevederile Regulamentului. Administrarea pe termen lung a prevederilor GDPR este la fel importantă ca obținerea conformității la data de 25 Mai 2018.

 

Acest articol a fost publicat în secțiunea ”Ce ne recomandă experții”, din cadrul ”Ghidului de bune practici” din Catalogul GDPR Ready. 

Ce au în comun domeniile Cloud, Big Data și GDPR?   

 

 

Atât domeniul Cloud, cât și cel al Big Data sunt esențiale pentru transformarea pe care segmentul tehnologiei informației îl parcurge în prezent și sunt adeseori considerate subiecte conexe, însă cum rămâne cu noile Reglementări ale Uniunii Europene privind protecția generală a datelor ( GDPR)?

O presiune enormă pe politicile de date

Este adevărat că domeniile Cloud, Big Data și Regulamentul General privind Protecția Datelor (GDPR), luate împreună, pun o presiune enormă asupra provocărilor ridicate politicilor aferente datelor. Atât de mult, încât multor organizații le va fi foarte greu să le facă față în timp ce duc inițiativele legate de Cloud, Big Data și GPRD din faza de testare în cea de producție.

Să luăm un exemplu simplu pentru fiecare domeniu în parte. Datele din Cloud trebuie adesea ținute într-o anumită țară; anumite elemente de Big Data trebuie să fie anonimizate înainte de a fi procesate, iar politica GPRD cere ca utilizatorilor să li se spună pentru ce le sunt reținute datele (printre alte cerințe de confidențialitate). Acum imaginați-vă o listă de articole cu sute de astfel de cerințe, determinate fie de reglementări, fie de reguli de guvernare corporativă și care să cuprindă aspecte legate de intimitate, securitate, anonimitate, responsabilitate, fiabilitate și supraveghere guvernamentală. Acestea ne conferă dimensiunea problemei cu care ne confruntăm.

Dacă dorim să ne asigurăm că politicile aferente fiecăruia din aceste aspecte se află sub un control adecvat și pot fi duse la îndeplinire, atunci avem nevoie de o bază solidă de gestionare a datelor. Aceasta va trebui să includă gestionarea păstrării, expirării, dispunerii, separării și localizării datelor.

În timp ce organizațiile aliniază practicile de management al datelor cu cerințele de gestionare a afacerii și demonstrează că respectă politicile, acestea trebuie, de asemenea, să păstreze integritatea datelor și să controleze costul și complexitatea sistemelor IT.

Sursa: Commvault

Automatizarea bazată pe politici

Ceea ce va fi surprinzător pentru mulți profesioniști din domeniul IT și al afacerilor deopotrivă, este modul în care metodologiile de backup și arhivare pot constitui baza pentru abordarea acestor provocări, în chiar zona în care acestea au rate foarte ridicate de creștere a datelor – fișierele, e-mailurile, videoclipurile, postările sociale și alt gen de conținut de date nestructurate.

Folosind soluția Commvault de automatizare bazată pe politici ca bază a unei strategii sănătoase de gestionare a datelor, costurile și complexitatea pot fi controlate, în timp ce aspectele legate de politica de date, cum ar fi păstrarea, separarea și localizarea datelor, pot fi gestionate ca parte a operațiunilor automatizate. Este de la sine înțeles că, în calitate de lider în domeniul back-up-ului și a recuperării de date corporative, software-ul Commvault reprezintă o alegere excelentă pentru a asigura integritatea datelor.

În ceea ce privește modul în care sunt create și gestionate politicile, acestea se pot baza pe orice criterii relevante, cum ar fi numele fișierului, tipul, etichetele, cuvintele cheie și conținutul. Clasificarea bazată pe conținut poate fi utilizată pentru a identifica datele personale care pot constitui subiectul unor reglementări. Datele pot fi căutate pe baza acelorași criterii, pe baza rolurilor din fișierele directoare, în timp ce seturile de rezultate pot fi clarificate și selectate în scopul remiterii către terți, cu asigurarea deplină a acurateței, validității și integrității lor. Înlăturarea duplicatelor ne asigură de faptul că o singură copie a fiecărui obiect poate fi urmărită și gestionată, ceea ce este vital atât pentru controlul costurilor, cât și pentru gestionarea eficientă a datelor în funcție de politici.

Securitatea, o componentă cheie în politicile aplicate

Având în vedere caracterul dinamic al IT-ului modern, în special în Cloud, este esențial să fie surprinse toate schimbările din industrie. Auto-identificarea și monitorizarea asigură faptul că modificările – cum ar fi adăugarea unui nou centru virtual (VM) – sunt detectate și pot fi acționate fie automat, fie evidențiate. O verificare de audit și o raportare bogată permit verificarea completă a îndeplinirii politicilor.

Securitatea reprezintă o componentă importantă în cadrul politicilor aplicate, iar soluția Commvault extinde securitatea, de la comunicarea internă dintre componentele software la datele gestionate în tranzit sau stocate. Securitatea datelor deținute pe laptop-uri poate fi asigurată prin capacitatea de a determina amplasamentul lor și de a șterge datele din laptopurile pierdute, în timp ce datele nepotrivite pot fi identificate în scopul conformării – aceasta va fi semnificativă în gestionarea regulamentelor GDPR, care se aplică datelor tuturor cetățenilor UE, oriunde ar fi acestea stocate.

În concluzie, Cloud, Big Data și noul regulament european de confidențialitate vor aduce reglementarea și buna guvernanță în prim-planul gândirii IT. Problemele legate de confidențialitate, securitate, anonimitate, responsabilitate, fiabilitate și supraveghere guvernamentală trebuie soluționate într-un mod eficient din punct de vedere al costurilor. Această tendință asigură un viitor remarcabil pentru automatizarea bazată pe politici a soluției Commvault, ca bază pentru gestionarea eficientă a datelor și a informațiilor, în întreaga organizație.

Acest articol a fost publicat de Commvault în Catalogul GDPR Ready, Octombrie 2017. Date de contact: Sergiu Costin, Territory Manager Commvault, scostin@commvault.com

Image Sources: commvault.com

THE FIRST GDPR READY CATALOGUE PUBLISHED IN ROMANIA

AGORA Press Group and cloud☁mania – knowledge platform for Cloud & Business Transformation, announces the publication of the GDPR Ready Catalogue – the first editorial project in Romania dedicated to service and solutions offerings to ensure compliance with the GDPR provisions. The GDPR Ready catalogue is part of the 7th edition of the Catalog of Cloud Computing Romania guides and is an essential component of the “GDPR Ready!” Initiative. 

Click the cover to see it online!

 

Since May 2016, when the European Parliament approved EU Regulation 2016-679, GDPR became the keyword in all business, technological and social environments. The new Regulation is the most important change to the legislation on personal data protection in the EU and globally. 2018 will be a year of much agitation, with major implications not only for the IT area but also for governmental organizations and data operators in any industry. For, after all, we are all data processors, and we will all be subject to the same rules.

Although it is technologically advanced, the IT industry is one of the areas where compliance with the new regulation can raise the biggest problems. The vast majority of companies are aware of the strategic importance of alignment with GDPR provisions, but very few are really prepared to act. What do Cloud providers do to provide GDPR compliant services? But data centre operators? But eCommerce companies and online payment processors? But distribution companies, reseller channels and IT retailers? But software houses and call-centre service providers, consulting, training and maintenance? Of course, there are many things common to all of these IT domains, but also a multitude of particular aspects.

Quick Guide

This was the reason we decided the 7th Edition of the Cloud Computing Romania Catalogue should be dedicated to GDPR. Starting from the knowledge and coordination gap in the IT industry, we felt the need to edit a GDPR Ready Catalog that would serve and provide general recommendations for data operators in any industry. The GDPR Ready Catalog is structured in two parts:

  • Quick Guide
  • GDPR Compliance and Service Recommendations Catalog.

The “Quick Guide” contains 60 questions and responses structured so as to provide an overview of the main changes introduced by the Regulation as well as the critical areas that we need to know when preparing compliance. It also comes with a series of recommendations from international experts, governmental and professional associations, and analysis & research firms. The main chapters covered by the compliance questions series relate to:

  • The Importance of GDPR
  • Brief history of personal data protection
  • GDPR Principles
  • Rights of the data subjects
  • Personal data protection
  • Impact assessment
  • International data transfer
  • Ensuring compliance
  • Notification of security breaches and penalties.

The guide is accompanied by the recommendations of experts who have referred to the main directions for Cloud providers: Bart von Buitenen – managing partner White Wire, Ian MoyseIan Moyse, Sales Director Natterbox,  Cloud Industry Forum, Lucia Ştefan – Archiva consultant manager Ltd (UK) and Attle Skjekkeland – Vice President AIIM Europe, as well as the recommendations of the National Supervisory Authority for Personal Data Processing (ANSPDCP), CERT.RO, ANSII + some of its members and IDC Romania.

GDPR Compliance Conformance Guidelines

The second section is the GDPR Compliance Conformance Guidelines offered by vendors, integrators and resellers of information security solutions and services, service packs provided by law firms, consulting companies, and training and certification firms. We thank the partners from ALEF Distribution, Archiva Ltd., ASBIS, AxelSoft, Commvault, Info World, IXIA, Omega Trust, Providence, Relational, Romsym Data, RQM Certification, Star Storage, Tryamm and Zitec for participating with us at this project.

GDPR Ready Initiative

Publication of the GDPR Catalog is part of the GDPR Ready Initiative, which brings together a wide variety of projects and activities designed to help data operators and processors in Romania:

  • GDPR Explicit Articles – 15 articles published on the cloud☁mania website
  • Quick Guideline in the GDPR Catalog
  • Brochures and eBooks
  • Market studies and analyzes
  • Media Partnerships
  • Organizing GDPR Events
  • Moderate GDPR panels
  • Training sessions
  • Recommendations and advice to IT companies

The GDPR says that organizations must be in compliance as early as May 25, 2018. If you think that until then there is enough time for you to start implementing the necessary measures to ensure GDPR compliance, you have to keep in mind that the average duration of a trial may be FOUR – FIVE months, depending on the size of the organization and the type of processed personal data.

TIME TO GO TO ACTION IS NOW!

There are 209 days left!

What cloud providers need to focus on for GDPR compliance

Bart van BUITENEN

Bart van BUITENEN – GDPR, DPO, data protection, CISO, ISO27k – is managing partner of White Wire. Bart is very active in the fascinating world of data protection and privacy, specialized in guiding GDPR implementation projects, GDPR audits, DPIAs, ISO27001 implementations and all things data protection and privacy. White Wire is a boutique consultancy firm specialized in assisting healthcare organizations, SMEs and technology firms all over the EU with their data protection needs.

 

 

If you are a cloud provider, whether or not based in the EU, it is very likely you are processing personal data on European soil or concerning EU-based persons which means the GDPR applies to you. There is even a specific term to indicate a provider that processes personal data on behalf of an organization: the processor.

A lot of the focus has been put on the role of the ‘controller’, the organization responsible for determining the means and purposes for processing, and not enough emphasis is put on the role of the processor. And yet the GDPR changes many things for processors compared to previous data protection legislation, for example with regards to liability, responsibility and several new obligations. Below you will find what I believe to be the most important aspects for cloud providers (assuming they are indeed processors) to work on for GDPR compliance by the 25th of May 2018.

1 Data processing agreements

Controllers provide specific instructions to processors, and such instructions need to be documented in so-called “data processing agreements”. Such agreements are not new: they were also required under the previous European data protection legislation (Directive 95/46, and consequently the applicable member state law) but in practice correct and complete processing agreements are rare finds indeed.

Most organizations were not aware of the requirement for processing agreements, and for cloud providers, this usually meant more work and responsibilities while getting little in return. This has changed in the GDPR: article 28 specifically mentions data processing agreements and details what they should include. Unlike before, cloud providers now have a clear incentive to create processing agreements: the agreement should include the instructions for the cloud provider, and as such will become a very important part in determining liability. (Art. 82(2)).

Tip:

  • be proactive, don’t wait for the controller to mention the agreement first! This way you have an opportunity to propose your own template and at the same time show to your client that you are on top of this GDPR thing.

2 Subcontractors

Data processing agreements need to be in place for your clients, but cloud providers will often have their own subcontractors. In the world of IT, the use of subcontractors is prevalent and many subcontractors will indeed be processors for the cloud provider. From the perspective of the clients using the cloud (the controllers), these subcontractors are then sub-processors. A cloud provider needs to ask the permission of the controller to use sub-processors, something that should be addressed in your processing agreement (see section 1.). Working with sub-processors can be handled in a generic permission or a specific permission per sub-processor. The processor remains liable, so rock-solid agreements with sub-processors should be high on any cloud provider’s list.

Tip:

  • Asking specific permission can be a hassle, ask for a generic permission and offer clients the opportunity to consult (and object to) a complete list of sub-processors at any time, e.g. by providing that list on a specific web page on your site.

3 Record of processing activities

Every controller should maintain a record of processing activities: a tool or document that details the different personal data processing activities within the organization. A lighter version also needs to be maintained by the processor and should involve all the processing activities carried out for its clients.

Tips:

  • Creating such a record or processing activities will provide valuable insight in finding which data you process and should be one of the first actions in a GDPR implementation plan.
  • Organizations sometimes lose themselves in the details, keep in mind GDPR does not require you to map every single data field, and it’s about processing activities which often map very closely with the services being offered to clients.
  • Don’t keep a register per client, just make sure you can link clients to processing activities by including the services you offer per client in your CRM or client database.

4 Transfers outside the EU

When EU personal data is transferred to countries outside the EU, it is important that the data receives the same protections and safeguards as within EU borders. To ensure this, the GDPR includes several mechanisms that make this possible, of which the most prevalent ones are:

  • Adequacy decisions: when the EU has determined that a country outside the EU (or a specific agreement with such a country, e.g. Privacy Shield with the US) offers adequate protection it will take an adequacy decision. Link to current adequacy decisions: http://ec.europa.eu/justice/data-protection/internationaltransfers/adequacy/index_en.htm
  • Binding Corporate Rules (BCR): many multinationals will have establishments in countries outside the EU. BCR document which measures an organization takes to ensure that a transfer of personal data outside the EU, but within the same organization, still offers adequate protection. Data Protection Authorities need to validate BCR before they can be applied
  • Standard Contractual Clauses (SCC): template contracts, validated by the European Commission, that once again contain safeguards that should guarantee adequate protection when personal data are transferred outside the EU. Link to SCC:

http://ec.europa.eu/justice/data-protection/internationaltransfers/transfer/index_en.htm

Tip:

  • Privacy Shield and SCC are under scrutiny and may well be invalidated in the not too distant future. If at all possible, keep data within the EU.

5 Information Security vs data protection

Information security and the protection are not the same. Information security concerns all information, which includes personal data. Data protection concerns all aspects regarding the processing of personal data, which includes securing the information. So there is a clear overlap, but also a significant difference.

That being said, securing the information against unauthorized access, loss or destruction is a very important aspect within GDPR. In short, this aspect of the GDPR can be summarized as maintaining the confidentiality, integrity and availability (also known as CIA) of personal data that a cloud provider processes. Keep in mind that any violation of these CIA principles (e.g. data breaches) will need to result in a notification to the controller, who in turn may need to notify data protection authorities and data subjects if the potential risks of the breach are high enough.

Tip:

  • Align GDPR initiatives to information security governance. For example, the ISO27001 norm can be combined with data protection principles to provide a framework that addresses both information security and data protection.
  • Think about and document a notification procedure BEFORE you actually need it.
  • Review your need to apply a data protection officer (DPO). Even when clients individually don’t need to appoint one, a cloud provider may still need to appoint one.

6 Obligation to assist and notify

Processors are obliged to assist or notify controllers when they have information that a controller needs to fulfil GDPR requirements, such as performing DPIA’s or the before mentioned data breach notifications.

Tip:

  • Document (e.g. in the processing agreement or another contract) how the assistance should take place: how should a request be made, within what timeframe will the cloud provider respond, are there any costs associated with the assistance…?

7 Every processor is also a controller

Keep in mind, it is extremely likely that cloud providers are controllers in their own right. Processes in departments such as HR, Suppliers, Clients all include the processing of personal data and will need to follow GDPR principles.

Tip:

  • Keep separate records of processing activities (see section 3) for controller and processor activities.

Romanian version of this article is part of first GDPR Ready catalogue published in Romania in October 2017. You can view the online version of the catalogue HERE. GDPR Ready Catalogue, pag. 50-53, Agora Group & cloud☁mania, Bucharest, October 2017,

 

Mușat & Asociații se implică activ în conștientizarea GDPR

Evenimentul de GDPR care s-a bucurat de cel mai mare impact în ultima perioadă a fost dezbaterea “Noua ordine europeană pentru protecția datelor personale” care a beneficiat de implicarea activă  a casei de avocatură Mușat & Asociații. Pe lângă găzduirea efectivă a evenimentului, avocații de la Mușat & Asociații au susținut o serie de prezentări cu impact major pentru conștientizarea importanței GDPR, care au alternat cu descrierile de soluții tehnologice și răspunsurile la un mare număr de întrebări.

Forța componentei legislative

Alături de tehnologie și operațional, componenta legală are o contribuție esențială în triada vectorilor care cumulează esența unui proiect de conformitate GDPR. Rolul conștientizării importanței noului regulament este genetic legat de esența legislativă. GDPR reprezintă o schimbare fundamentală în legislația UE în ceea ce privește datele și intimitatea personală. Regulamentul are două obiective majore:

  • Actualizarea legislației privind protecția datelor pentru a reflecta noile comportamente digitale și valorile societății;
  • Armonizarea regulilor privind protecția datelor la nivelul UE, deoarece vechea Directivă privind Protecția Datelor a fost abordată și implementată în maniere diferite de statele membre, adaptată la propriile culturi, nevoi și preferințe. Asta a influențat o inhibare a comerțului și activităților cross-border, acționând ca o frână în calea unei viitoare piețe unice digitale.

De aici, orice proces de implementare a măsurilor care asigură conformitatea cu GDPR trebuie să înceapă cu înțelegerea cadrului legal: structură, importanță, elemente de noutate, noile obligații, și mai ales, noile penalități. Punerea în aplicare a procedurilor de obținere a complianței intră în sfera operațională și evident ajunge sub incidența tehnologiilor de  asigurare a protecției datelor personale, dar fiecare etapă și procedură a acestui proces trebuie să fie în concordanță cu dispozițiile și cu spiritul Regulamentului. Ofițerul cu protecția datelor personale sau persoana desemnată să acționeze potrivit acestui rol are datoria de a coordona și de a face recomandări în spiritul legii. Potrivit Articolului 39, printre principalele atribuții ale unui DPO se numără:

  • Informarea și consilierea organizației și angajaților cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor;
  • Monitorizarea respectării GDPR și a altor legi privind protecția datelor;
  • Primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate.

Rolul ghidurilor de bune practici în succesul unui proiect GDPR

Avocat Bogdan Mihai, Partener Muşat & Asociații.

Pentru a veni în sprijinul celor interesați de procesul de obținere a conformității, reprezentanții casei de avocatură Mușat & Asociații au realizat un Ghid practic de implementare a măsurilor de conformitate GDPR  în care sunt explicate cerințele principale ale GDPR-ului, aplicate tuturor companiilor care prelucrează date personale, prezentat de avocatul Bogdan Mihai, Partener Muşat & Asociații.

Ghidul acoperă toate cerințele principale impuse de GDPR, de la temeiul juridic pentru controlul și prelucrarea datelor cu caracter personal, la scopul legitim pentru colectarea și prelucrarea acestora, documentarea activităților, evaluarea riscurilor, și până la notificarea autorității de supraveghere,  desemnarea responsabilului cu protecția datelor, actualizarea datelor inexacte și transferul datelor în afara UE.

O bună premisă pentru demararea unui proces de implementare GDPR presupune o bună cunoaștere a condițiilor introduse de Regulament, prin educația administratorilor și personalului, începând cu directorul executiv, echipa de conducere și personalul care se ocupă de prelucrarea datelor. Programul de instruire trebuie să coincidă cu crearea unui grup de lucru comun, din care va fi desemnat și care va susține responsabilul cu protecția datelor. Acest grup de acțiune trebuie să stabilească niște activități concrete legate de ce ar trebui să facă/ să nu facă angajații, precum și sarcinile și responsabilitățile în asigurarea protecției datelor.

Avocatul Bogdan Mihai a insistat pe importanța unei evaluări corecte a riscului de penalitate și ce ar însemna valoarea investiției în soluții care pot asigura conformitatea, în raport cu valoarea amenzilor preconizate. Foarte interesante au fost studiile de caz prezentate, privitoare la valoarea penalităților impuse unor organizații europene care nu au respectat actualele prevederi de protecție a datelor personale, precum o companie de televiziune din Spania sau o companie de telecomunicații din UK.

Ghidul realizat de Mușat & Asociații pune accentul pe importanța desfășurării unui inventar de tip end-to-end și a unui audit, precum și pe stabilirea unei baze legitime pentru fiecare prelucrare a datelor, ca de exemplu deținerea consimțământului persoanei vizate. O altă activitate recomandată este examinarea și actualizarea politicilor pentru protecția datelor, precum și exactitatea înregistrării oricăror activități de prelucrare.

Ca măsuri tehnice, Ghidul recomandă implementarea de instrumente automate pentru descoperirea, catalogarea și clasificarea datelor personale în întreaga organizație, soluțiilor de prevenire a pierderilor de date (DLP), criptarea datelor, adoptarea de măsuri de identificare, blocare și investigare a criminalității, precum și soluții pentru exportul de date.

Sancțiuni severe pentru nerespectarea GDPR

Una dintre cele mai importante schimbări cu care vine noul regulament este severitatea sancțiunilor care vor fi impuse celor care nu pot dovedi că au făcut tot ce le stătea în putință pentru prevenirea și limitarea consecințelor în cazurile în care au avut loc scurgeri sau pierderi de date, cu implicații pentru posesorii acestora.

Dar până la stabilirea și aplicarea sancțiunilor mai există o serie de prevederi ale GDPR mai puțin discutate și comentate public. În prezentarea sa referitoare la sancțiuni, avocatul Bogdan Mihai s-a referit la secțiunea privitoare la Remedii, răspundere și penalități. Potrivit Articolului 77: Dreptul de a depune o plângere la o autoritate de supraveghere – Fiecare persoană vizată are dreptul de a lansa o plângere la o autoritate de supraveghere, care din punct de vedere teritorial se află în statul membru de reședință obișnuită, în țara unde se află locul de muncă sau acolo unde s-a produs presupusa încălcare a protecției datelor personale. Autoritatea de supraveghere are obligația de a-l informa pe reclamant cu privire la progresele înregistrate, inclusiv posibilitatea recursului judiciar.

O altă problemă majoră o reprezintă răspunderea pe care o au operatorii și procesatorii de date. Operatorii sunt responsabili pentru daunele cauzate de prelucrarea care încalcă GDPR. Persoanele împuternicite de operator sunt responsabile atunci când nu au respectat obligațiile care le-au fost date in mod specific sau atunci când au acționat în afara sau contrar instrucțiunilor legale primate de la operatorul de date.

Este important de reținut că un operator poate fi exonerat de răspundere dacă dovedește ca nu este răspunzător în niciun fel pentru evenimentul care a cauzat prejudiciul. Dacă e vorba de mai mulți operatori implicați în aceeași operațiune de prelucrare, fiecare operator este răspunzător pentru întregul prejudiciu.

Pentru impunerea amenzilor administrative se iau în considerare următoarele aspecte:

  • Natura, gravitatea și durata încălcării
  • Intenția sau neglijența
  • Măsurile luate de contravenient pentru atenuarea sau prevenirea efectelor încălcării
  • Gradul de responsabilitate al operatorului
  • Eventualele încălcări anterioare relevante comise de operator
  • Gradul de cooperare cu autoritatea de supraveghere
  • Dacă operatorul a notificat încălcarea
  • Aderarea la coduri de conduită aprobate sau mecanisme de certificarea probate.

Autoritățile de protecție a datelor au puterea de a dispune unui operator de date să impună o interdicție temporară sau nedeterminată pe prelucrare, să suspende fluxurile de date către un destinatar dintr-o țară terță, să respecte solicitările persoanei vizate, să asigure conformitatea cu autorizațiile și consultările prealabile sau să dispună rectificarea, ștergerea sau distrugerea datelor.

Mai multe drepturi pentru noi, ca persoane fizice

Unul dintre cele mai importante aspecte prevăzute de GDPR este respectarea celor șase principii fundamentale de prelucrare a datelor personale, care îl responsabilizează pe operatorul sau procesatorul de date:

  • Legalitate, echitate și transparență;
  • Datele sunt colectate în scopuri determinate, explicite și legitime;
  • Reducerea la minim a datelor prelucrate;
  • Exactitate și menținerea actualității datelor;
  • Păstrarea datelor pe perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate;
  • Integritate și confidențialitate.

O altă noutate adusă de GDPR la care s-a făcut referire este dreptul persoanelor fizice de a cere companiilor ștergerea datelor personale – dreptul de a fi uitat. În multe situații posesorii datelor personale pot renunța la acordul dat într-o anumită conjunctură și au dreptul să solicite ștergerea informațiilor din toate bazele de date. Dificultăți pot apărea atunci când datele sunt stocate în Cloud și nu există garanția că pot fi șterse de pe toate serverele sau în cazul unor instituții speciale, precum cele bancare, care au nevoie de istoricul clienților în acțiunile de prevenirea a spălării banilor sau pentru alte clauze contractuale.

Drepturile angajaților în lumina GDPR

Alte aspecte deosebit de importante ridicate de noul regulament vizează reflectarea relațiilor dintre angajați și angajatori, prin prisma prevederilor din dreptul muncii. Anca Vătășoiu, avocat la Mușat & Asociații, s-a referit la noile obligații care pot sau nu să fie asociate cu răspunderea angajaților prin contractul de muncă. Primele departamente vizate de GDPR sunt cele de resurse umane, dar și angajații, în mod individual, prin prisma faptului că intră în contact, într-un fel sau altul, cu date personale. Angajații trebuie să fie foarte atenți la modul în care prelucrează datele, deși întreaga răspundere în fața legii este a angajatorului. Cu toate acestea, angajatorul se poate întoarce împotriva acestora pentru recuperarea prejudiciului.

Potrivit Articolului 247(2) din Codul Muncii, ”abaterea disciplinară este o faptă în legătură cu munca şi care constă într-o acţiune sau inacţiune săvârşită cu vinovăţie de către salariat, prin care acesta a încălcat normele legale, regulamentul intern, contractul individual de muncă sau contractul colectiv de muncă aplicabil, ordinele şi dispoziţiile legale ale conducătorilor ierarhici.”

Pentru protecția companiilor, primul pas în concepția av. Anca Vătășoiu, este ”identificarea persoanelor care jonglează zilnic cu date personale și o definire clară a atribuțiilor descrise în fișa postului și a contractului de muncă.” Pe lângă aceste lucruri este nevoie de o informare și o prelucrare a legislației, a obligațiilor și a mecanismelor pe care angajatorul trebuie să le implementeze cu salariații. În paralel, trebuie reglementate, foarte detaliat, regulile cu privire la protecția datelor într-un regulament intern, chiar într-o politică dedicată. Tot în regulamentul intern trebuie definite şi încadrate în mod expres abaterile pentru încălcările GDPR. Angajatorii pot instrui şi comunica salariaţilor toate masurile şi procedurile care trebuie respectate pentru a nu ajunge în situaţia de a răspunde disciplinar, administrativ sau patrimonial.

Avem dreptul să monitorizăm angajații la locul de muncă și în ce condiții?

Anca Vătășoiu, avocat Mușat & Asociații

Una dintre cele mai interesante și mai controversate probleme abordate de doamna avocat Anca Vătășoiu a fost cea legată de monitorizarea angajaților la locul de muncă. Aici politicile companiilor sunt destul de diferite. De cele mai multe ori monitorizarea fiind făcută în scopul eficientizării activității angajaților, prin limitarea sau eliminarea accesului la internet sau la anumite instrumente sau aplicații în alte scopuri decât cele personale. În lumina GDPR apare problema creșterii responsabilității angajatului implicat în prelucrarea de date personale. Orice politică restrictivă prost aplicată poate conduce la încălcarea drepturilor individuale.

S-a făcut referire la un caz concret, celebru deja în mediul juridic, în care un angajat a utilizat o platformă de comunicare cu clienții în scopuri personale. Pe baza monitorizării companiei angajatoare, s-au luat măsuri de punere în aplicare a regulamentului intern. Angajatul a contestat decizia de concediere a companiei, în mai multe instanțe din România, dar a obținut câștig de cauză la CEDO, după mai multe răsturnări de situație.

Concluziile acestui caz sunt destul de controversate, dar ceea ce este sigur este faptul că, în special în departamentele unde se operează cu date personale, e nevoie de politici de monitorizare cât mai detaliate, în condițiile în care statisticile arată că peste 70% dintre incidentele legate de pierderea sau alterarea datelor sunt de natură internă. Pentru eliminarea oricăror situații critice, se recomandă construirea unei culturi organizaționale pentru GDPR, prin care fiecare angajat, manager și departament să își cunoască cu exactitate atribuțiile. Acolo unde politica companiei include sisteme sau acțiuni de monitorizare a angajaților, este bine ca toți angajații implicați să cunoască necesitatea monitorizării, perioada de timp, scopul și mijloacele de efectuare a acestei supravegheri.  Una dintre condițiile esențiale pentru evitarea oricărei neplăceri este ca monitorizare să fie cât mai puțin intruzivă.

O descriere mai largă a evenimentului Noua ordine europeană pentru protecția datelor personale” organizat de Concord Communication pe data de 12 Octombrie 2017 la sediul Mușat & Asociații poate fi citită în articolul ”O amplă reuniune de forțe la cel mai important eveniment dezbatere dedicat GDPR”.

Sursă fotografii: Concord Communiction

GDPR Explicitat (11) : Un personaj important – Data Protection Officer (DPO)

Una dintre noutățile cu care a venit GDPR este obligativitatea numirii unui ofițer responsabil cu protecția datelor (DPO – Data Protection Offcier) al cărui rol principal este coordonare și supraveghere a implementării condițiilor de conformitate GDPR, precum și ca persoană de legătură între organizație și autoritatea de supraveghere.

Deși condițiile numirii unui DPO, sarcinile și competențele acestuia sunt stipulate destul de clar în Articolele 37 – 39 din noul Regulament, importanța strategică a acestei poziții face ca subiectul să fie în centrul atenției în toate discuțiile și recomandările legate de GDPR. În acest articol vom prezenta elementele esențiale legate de numirea DPO și vom încerca să lămurim câteva dintre aspectele cele mai controversate.

Când suntem obligați să numim un ofițer de protecție a datelor?

Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află toate autoritățile și organismele publice, indiferent de tipul datelor prelucrate, precum și  celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 („WP29”) încurajează aceste eforturi voluntare.

În conformitate cu Articolul 37, Aliniat 1 din GDPR, trebuie să desemnați un ofițer de protecție a datelor (DPO) dacă:

  • sunteți o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • efectuați o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online);
  • faceți o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiunile.

Există însă cazuri în care un grup de organizații, cum ar fi de exemplu partenerii dintr-un lanț de distribuție,  execută în mod frecvent activități comune care implică fluxuri de date ce pot fi controlate și monitorizate centralizat, la nivel de grup sau asociație de parteneri. În asemenea situații, puteți desemna un singur ofițer de protecție a datelor care să acționeze pentru un grup de organizații sau autorități publice, ținând cont de structura și dimensiunea acestora.

Alineatele 2 – 4 din Articolul 37: Desemnarea responsabilului cu protecţia datelor explicitează cele mai importante astfel de cazuri:

”(2) Un grup de organizații poate numi un responsabil cu protecţia datelor unic, cu condiţia ca responsabilul cu protecţia datelor să fie uşor accesibil din fiecare întreprindere.

(3) În cazul în care operatorul sau persoana împuternicită de operator este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecţia datelor unic pentru mai multe dintre aceste autorităţi sau organisme, luând în considerare structura organizatorică şi dimensiunea acestora.

(4) În alte cazuri decât cele menţionate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecţia datelor. Responsabilul cu protecţia datelor poate să acţioneze în favoarea unor astfel de asociaţii şi alte organisme care reprezintă operatori sau persoane împuternicite de operatori.”

Potrivit aceluiași Articol 37, responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor experților privind legislația și practicile privind protecția datelor și capacitatea de a îndeplini sarcinile menționate la Articolul 39. În anumite situații, agentul responsabil cu protecția datelor poate fi membru al personalului operatorului sau prelucrătorului sau poate îndeplini sarcinile pe baza unui contract de servicii externalizate. Controlorul sau procesatorul trebuie să publice datele de contact ale responsabilului cu protecția datelor și să le comunice autorității de supraveghere.

Care este rolul funcției de DPO?

Prin natura funcției și a împuternicirilor de care dispune, un DPO deține o poziție centrală, cu rol strategic, într-o organizație. Particularitățile și noutatea acestei poziții nasc o serie de întrebări care parțial sunt clarificate prin textul GDPR. La altele vom încerca să găsim noi răspunsul.

Potrivit Articolului 38: Funcţia responsabilului cu protecţia datelor, noi ca operatori trebui să ne asigurăm că responsabilul cu protecţia datelor ”este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”. Mai mult de atât, avem datoria să acordăm DPO tot sprijinul pentru îndeplinirea sarcinilor menţionate la Articolul 39, asigurându-i toate resursele necesare pentru buna executare a acestor sarcini. Printre aceste resurse se numără accesul la datele cu caracter personal şi la operaţiunile de prelucrare a acestora, cât și facilitarea accesului la resursele de instruire, pentru menţinerea cunoştinţelor sale de specialitate.

Un aspect foarte important și deci și foarte comentat legat de poziția DPO în cadrul unei organizații este autonomia acestuia în problemele de siguranța a datelor. Așa cum zice Articolul 38, Alineatul 3: ”Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.” Cum spuneam, această poziție privilegiată a generat numeroase discuții și nelămuriri privitoare la poziționarea acestei funcții în relațiile cu structurile de management și celelalte linii de business.

Nedumeririle sunt și mai mult accentuate de prevederea regulamentului prin care un DPO nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator. Cele mai frcvente întrebări sunt legate de ce se întâmplă în situația în care sfaturile sau recomandările DPO sunt depășite sau eronate, ceea ce atrage vulnerabilități în privința rotecției datelor.  Un alt rol critic al DPO este acela de a prelua comunicarea cu persoanele vizate, în cazul în care acestea se prevalează de exercitarea drepturilor lor, în temeiul prezentului regulament.

Un alt punct important, în special în situația în care DPO își exercită activitățile ca extern, pentru una sau mai multe companii, este obligaţia de a respecta secretul și confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale. E clar că acest lucru trebuie reglementat printr-o secțiune specială a contractului individual de muncă sau a contractului de prestări de servicii. Astfel de reglementări trebuie să menționeze explicit care sunt categoriile de informații la care DPO are dreptul de acces, care este rolul său în prelucrarea efectivă a datelor și cum poate gira acesta condițiile asumate de organizație prin limitarea volumului de date procesate, siguranța comunicării sau a stocării.

Potrivit Alineatului 6 din Articolul 38: ”Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.” Dar înainte de alte comentarii, haideți să vede care sunt sarcinile de bază ale unui DPO.

Ce atribuții aveți în calitate de DPO?

Condițiile minime pe care trebuie să le asigurați dacă aveți funcția de DPO sunt definite în Articolul 39:

  • Să informați și să consiliați organizația și angajații cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor;
  • Să monitorizați respectarea GDPR și a altor legi privind protecția datelor, inclusiv gestionarea activităților interne de protecție a datelor;
  • Să consiliați activitățile organizației ce au legătură cu evaluările de impact privind protecția datelor;
  • Să instruiți personalul și să efectuați audituri interne;
  • Să fiți primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate (angajați, clienți etc.).

Dar poate cel mai important aspect al acestor atribuții este legat de faptul că, în îndeplinirea sarcinilor dvs. de DPO, trebuie să ţineți seama, în mod corespunzător (zice legea), dar cu maximă responsabilitate (zic cele mai bune practici) de riscul asociat operaţiunilor de prelucrare. Și aici trebuie să țineți seama atât de natura și de domeniul de aplicare, cât și de contextul şi scopurile prelucrării.

De ce calificare am nevoie pentru a deveni ofițer de protecție a datelor?

Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau certificare. Cu toate acestea, deținerea unei certificări  în conformitate cu GDPR este o modalitate eficientă de a demonstra cunoștințele experților. Conform GDPR, ca DPO trebuie să beneficiați de toate condițiile și tot suportul organizației pentru a avea acces la cele mai performante resurse de instruire.

Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că, în calitate de operator sau procesator, trebuie să numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate fi un rol cu ​​jumătate de normă sau combinat cu alte sarcini, însă, în îndeplinirea rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul ca, pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în domeniul protecției datelor cu “cunoștințe de specialitate privind legislația și practicile privind protecția datelor“.

Recomandările Grupului de lucru Articolul 29

Printre numeroasele informații, ghiduri, texte de lege și documente extrem de utile publicate pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate fi găsit și descărcat ”Ghidul privind Responsabilul cu protecția datelor (‘DPO’). Publicat de grupul de lucru Articolul 29  în decembrie 2016 și revizuit în aprilie 2017, acest ghid are menirea de a oferi tuturor operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor, precum și principalele atribuții ale acestora.

Cu toate că Directiva 95/46/CE3 (încă aflată în vigoare) nu impune niciunei organizații să numească un DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre. Anterior adoptării RGPD, grupul de lucru Articolul 29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a RGPD. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1). Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

Care sunt situațiile în care poate apărea conflictul de interese?

Iarăși un aspect important și mult discuta și comentat privitor la rolul și atribuțiile DPO în cadrul unei organizații. Iată câteva considerații privitoare la Conflictul de interese extrase din Ghidul menționat mai sus.

Articolul 38, Alineatul 6 din GDPR permite DPO „să îndeplinească și alte sarcini și atribuții”. Cu toate acestea, este nevoie ca organizația să se asigure că „niciuna dintre aceste sarcini și atribuții nu generează un conflict”. Absența conflictului de interese este strâns legată de obligația de a acționa în mod independent. Cu toate că îi este permis să aibă și alte funcții, acestuia îi pot fi încredințate alte sarcini și atribuții cu condiția ca acestea să nu dea naștere unor conflicte de interese.

Acest lucru se referă mai ales la faptul că rolul de DPO nu presupune și libertatea de a stabili scopurile și mijloacele de prelucrare a datelor cu caracter personal. Acest lucru trebuie luat în considerare de la caz la caz, ținându-se cont de structura organizațională specifică fiecărei organizații. Ca regulă generală, funcții din cadrul organizației cu care poate intra în conflict pot include funcții de conducere (cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

În plus, un conflict de interese poate apărea, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor. În funcție de activitățile, dimensiunea și structura organizației, o bună practică pentru operatori și persoanele împuternicite de operatori ar putea fi:

  • să identifice funcțiile ce ar fi incompatibile cu funcția de DPO;
  • să elaboreze norme interne pentru a evita conflictele de interese;
  • să includă o explicație mai generală cu privire la conflictele de interese;
  • să declare că DPO nu are niciun conflict de interese în ceea ce privește funcția sa;
  • să includă garanții în normele interne ale organizației și să se asigure că anunțul de post vacant pentru funcția de DPO sau contractul de prestări servicii este suficient de precis și detaliat pentru a evita conflictul de interese.

În acest context, trebuie avut în vedere faptul că respectivele conflicte de interese mai pot lua diverse forme în funcție de faptul dacă DPO este recrutat intern sau extern.

Concluzionând, indiferent de organizație, sunteți liberi să numiți DPO, cu condiția să dispuneți de resurse pentru această poziție, iar persoana desemnată să aibă abilități suficiente pentru a-și îndeplini obligațiile stipulate de GDPR. Deși legea spune clar care sunt cazurile în care trebuie obligatoriu numit un DPO, conform grupului de lucru Articolul 29, în cazul în care considerați necesar, este recomandabil să numiți un DPO, care să corespundă tuturor condițiilor discutate până acum.  Obligațiile GDPR sunt de așa natură încât o consiliere și un sprijin pe care le avem la îndemână, din partea unui specialist în protecția datelor, pot fi un pas esențial pentru gestionare a riscurilor.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready!  În următorul material ne vom ocupa de condițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

A APĂRUT PRIMUL CATALOG GDPR DIN ROMÂNIA

Trustul de presă AGORA Group și platforma de knowledge cloud☁mania anunță publicarea Catalogului GDPR Ready – primul proiect editorial din România dedicat prezentării ofertelor de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Ready face parte din seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 7-a ediție și este o componentă esențială a inițiativei ”GDPR Ready!”

Faceți click pe coperta pentru a citi Catalogul GDPR online!

Din mai 2016 când Parlamentul European a aprobat Regulamentul EU 2016 – 679, GDPR a devenit cuvântul de ordine în toate mediile de business, tehnologice și sociale. Noul Regulament reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem procesatori de date și toți ne vom supune acelorași reguli.

Deși este prin excelență tehnologică, industria IT este unul dintre domeniile în care realizarea conformității cu noul Regulament poate ridica cele mai mari probleme. Marea majoritate a companiilor sunt conștiente de importanța strategică a alinierii la prevederile GDPR, dar foarte puține sunt cu adevărat pregătite de acțiune. Ce au de făcut furnizorii de Cloud pentru a oferi servicii conforme cu GDPR? Dar operatorii de centre de date? Dar companiile de eCommerce și procesatorii de plăți online? Dar firmele de distribuție, canalele de reselleri și retailerii IT? Dar casele de software și ofertanții de servicii de call-center, consultanță, instruire și mentenanță? Există desigur multe lucruri comune pentru toate aceste domenii IT, dar și o multitudine de aspecte particulare.

Pe asta ne-am bazat când ne-am decis ca cea de-a 7 ediție a Catalogului Cloud Computing România să fie dedicată GDPR. Plecând de la vidul de cunoaștere și de coordonare din industria IT, am simțit nevoia editării unui Catalog GDPR Ready care să deservească și să ofere recomandări generale pentru operatorii de date din orice industrie. Catalogul GDPR Ready, este structurat în două părți:

  • Ghidul de orientare rapidă
  • Catalogul recomandărilor de soluții și servicii pentru asigurarea conformității GDPR.

”Ghidul de orientare rapidă” conține 60 de întrebări și răspunsuri structurate astfel încât să asigure o imagine de ansamblu asupra principalelor modificări prezentate de regulament, precum și a zonelor critice pe care trebuie să le cunoaștem în momentul pregătirii conformității, dar vine și cu o serie de recomandări oferite de experți internaționali, asociații guvernamentale și profesionale, precum și firme de analiză și cercetare.  Principalele Capitole acoperite de seria de întrebări despre conformitate se referă la:

  • Importanța GDPR
  • Scurt istoric al protecției datelor personale
  • Principiile GDPR
  • Drepturile persoanelor vizate
  • Protecția datelor personale
  • Evaluarea impactului
  • Transferul internațional de date
  • Asigurarea conformității
  • Notificarea breșelor de securitate și penalitățile aplicate

Ghidul este însoțit de recomandările unor experți care s-au referit la principalele direcții de acțiune pentru furnizorii de Cloud: Bart von Buitenen – managing partner White Wire, Ian Moyse – sales director Natterbox și Board member Cloud Industry Forum, Lucia Ștefan – manager consultant Archiva Ltd (UK) și Attle Skjekkeland – vicepreședinte AIIM Europe, precum și recomandările Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), CERT.RO, ANSII + câțiva dintre membrii săi și IDC Romania.

A doua secțiune este Catalogul recomandările concrete legate de asigurarea conformității GDPR oferite de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ALEF Distribution, Archiva Ltd., ASBIS, AxelSoft, Commvault, Info World, IXIA, Omega Trust, Provision, Relational, Romsym Data, RQM Certification, Star Storage, Tryamm și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire
  • Recomandări și consiliere companii de IT

GDPR zice că organizațiile trebuie să fie conforme chiar începând cu data 25 mai 2018. Dacă vă gândiți că până atunci mai este suficient tip pentru a demara activitățile de implementare a măsurilor necesare pentru asigurarea conformității GDPR, trebuie să țineți cont de faptul că durata medie a unui proces poate fi de PATRU – CINCI luni, în funcție de mărimea organizației și a tipului de date personale procesat. E TIMPUL SĂ TRECEM LA ACȚIUNE CHIAR ACUM! Au mai rămas 215 zile!

 

%d bloggers like this: