ISO 27001 – un sprijin real pentru conformitatea GDPR/RGPD

Dan Cristian MATEI

Dan Cristian MATEI este Lead auditor ISO 9001, 27001 al organismului de certificare RINA. Este absolvent al Universității Politehnica București și al unui program de masterat în domeniul managementului calității. A fost implicat în implementarea unui proiect complex legat de monitorizarea rețelei de emițători radio TV aparținând SN Radiocomunicații. Ulterior, a ocupat funcția de Technical Quality Coordinator al Departamentului Technology din ORANGE Romania, apoi QEHS Manager al Huawei Technologies Romania pentru toate operațiunile şi proiectele locale. Având peste 16 ani de experiență în industria telecom, aria sa de expertiză include redesign şi optimizare de procese, eTOM framework, conformitate SOX, TL9000, GDPR, implementarea și dezvoltarea de proiecte de infrastructură complexe, cloud computing, cybersecurity, IT governance, security și audit. Opiniile prezentate în acest articol reprezintă recomandările personale, în calitate de auditor ISO27001 şi nu reflectă în nici o circumstanță poziția oficială a RINA.

 

Organizațiile care au studiat prevederile GDPR şi sunt în plin proces de intrare în conformitate cu cerințele acestuia sunt deja conștiente de faptul că standardele de bună practică sunt un motor al dezvoltării. Inclusiv Regulamentul sugerează pe termen mediu elaborarea codurilor de conduită, aplicabile unor diferite industrii.

Deși aparent cadrul de reglementare a rămas în urma dezvoltării tehnologiei societății informaționale, în opinia mea activitatea de standardizare tehnică, în plină desfășurare la acest moment pe diferite verticale (exemplu cloud, tranzacții distribuite, etc) va acoperi şi sprijini în viitorul apropiat necesitățile de dezvoltare a diferitelor industrii precum şi dezvoltarea susținută a unor noi tehnologii.

Standardul internațional de securitate a informațiilor EN ISO/IEC 27001 este un standard care ajută companiile să se conformeze unor modele internaționale de bune practici. Standardul acoperă trei componente cheie ale securității datelor – persoane, procese și tehnologie. Atunci când se iau măsuri pentru protejarea informației considerând aceste trei axe, companiile sunt mai bine pregătite pentru a proteja informațiile, pentru a diminua riscurile și pentru a își îmbunătăți constant procesele interne. Ca atare, se menține tendința ultimilor ani din sectorul corporativ de a considera implementarea şi certificarea EN ISO/IEC 27001 drept o decizie strategică care a adus beneficii certe.

Un Sistem de Management implementat conform EN ISO/IEC 27001 asigură punerea în aplicare a cerințele GDPR relevante, prin implementarea măsurilor tehnice adecvate pentru diminuarea riscurilor legate de securitatea informației. Prin abordarea sa cuprinzătoare, un Sistem de Management al Securității Informației – SMSI certificat EN ISO/IEC 27001 poate ajuta o organizație să-și protejeze toate resursele informaționale, inclusiv asupra atacurilor cibernetice şi nu doar datele cu caracter personal. Conformitatea ISO 27001 înseamnă că o companie a luat măsuri pentru a își gestiona în mod continuu riscurile de securitate a datelor. În acest fel, este capabil să țină pasul cu amenințările în continuă evoluție ale securității datelor.

Cum ne poate ajuta EN ISO/IEC 27001 în demersul de conformare? Valoarea adăugată este certă:

A. Dacă standardul a fost deja implementat de către o companie, compania respectivă are deja asigurată conformitatea cu o mare parte din cerințele Regulamentului, mai precis la nivel de articole (în ordinea relevanţei): 32, 25, 5, 19, 33, 34, 24, 2, 1, 3. Având în vedere că există domenii din Regulament care nu sunt acoperite în totalitate de EN ISO/IEC 27001 şi aici ne referim de exemplu la dreptul la portabilitatea datelor, dreptul de a fi uitat; în vederea implementării tuturor cerințelor RGPD, o companie care deține un SMSI certificat ISO 27001 ar trebui să parcurgă o analiză a decalajelor (GAP) față de cerințele Regulamentului.

B. Pentru o companie care nu are deja implementat un SMSI conform EN ISO/IEC 27001, implementarea acestuia va oferi un cadru pe care se poate construi structura cerută de Regulament, începând de la alocarea responsabilităților şi a demonstrării aderenţei la Principiile legate de prelucrarea datelor cu caracter personal, o desfășurare integrată a cartografierii proceselor şi datelor prelucrate, evaluării riscurilor, s.a.m.d.

Deoarece în Regulament singurele referiri la măsurile tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate sunt criptarea și pseudonimizarea, în lipsa unor alte precizări standardul EN ISO/IEC 27001 precum şi alte standarde înrudite pot ajuta la identificarea „stadiului tehnicii” precum şi celor mai bune practici.

De un real ajutor pot fi EN ISO/IEC 27002 – Cod de bună practică pentru tehnici de securitate, aplicabil tuturor industriilor, ISO/IEC 29151 Cod de buna practica pentru protecția informațiilor de identificare personală (PII), iar în contextul orientării spre serviciile din cloud, revizia unor standarde tehnice din familia ISO27000 cum ar fi ISO/IEC 27018 asigur-a alinierea organizațiilor la ultimele cerințe.

Trebuie avut însă în vedere că fără un program cuprinzător de securitate a informațiilor care să ia în considerare așa cum s-a menționat mai sus şi factorul uman, nivelul de securitate şi gradul de protecție vor scădea. Procesele de business nemenținute în parametrii planificați, lipsa unui angajament pentru securitatea informațiilor în întreaga organizație precum și problemele legate de personal se numără printre cele mai frecvente cauze ale incidentelor legate de securitatea datelor.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 63-65.

Advertisements

Cum putem reduce incidentele de securitate cu 60-70%

 

Protectia datelor personale este un proces continuu. Pastrarea unui nivel optim de conformitate GDPR presupune  o instruire temeinica a tuturor oamenilor din organizatie care au de-a face cu prelucrarea de date personale.

Statisticile arata ca intre 60-70% dintre vulnerabilitatile sistemelor informatice au cauze interne. Asta inseamna ca cea mai mare parte dintre pericole pot fi reduse. Sta in puterea noastra. Singura conditie este ca oamenii sa fie instruiti, sa stie ce au voie si ce nu au voie sa faca. V-ati educat oamenii in spiritul GDPR?

GDPR Ready ofera servicii de instruire la sediul clientilor, perfect adaptate cerintelor oricarei organizatii. 

Rolul și problemele departamentului IT în implementarea GDPR

 

 

Daniel SUCIU

Daniel SUCIU este specialist în managementul proceselor, managementul schimbării, managementul riscului, auditul intern, guvernanța și administrarea datelor, dezvoltarea de software, operarea și suportul IT, securitatea informațiilor dar și managementul proiectelor și al echipelor crossfunționale, cu rezultate măsurabile la intersecția sistemelor, tehnologiei, proceselor, oamenilor și datelor. 30 de ani de experiențe de lucru între IT / tehnologie si echipele de business, între clienți, parteneri / furnizori, angajați și conducere. Nu în ultimul rând, certificat ca ofițer cu protecția datelor, fiind implicat în conformarea la GDPR a mai multor organizații, din diferite domenii: învățământ, ONG, turism, medical, servicii IT, afaceri sau comerț online.

 

Probleme mai vechi, trecute cu vederea până acum, dar problematice în respectarea GDPR

Pentru toate sistemele IT trebuie să existe o documentație, atât tehnică, cât si un manual de utilizare. Problema este că oricum nu-l citește nimeni, ca și pe celelalte proceduri IT, deși toți se jură că l-au citit din scoarță în scoarță. Cum te poți aștepta să citească cineva procedurile IT referitoare la utilizarea calculatoarelor personale, sau a telefoanelor, sau Doamne ferește – a emailului sau navigarea pe Internet. Păi acasă până și cel mic știe să lucreze la calculator și să navigheze pe net.

O altă obișnuință în mediul românesc este exceptarea managementului de la respectarea regulilor. Adică cum să țină minte managementul o parolă complexă… și să o schimbe la fiecare 90 de zile? Sau culmea, că nu poate vedea filme online sau descărca jocuri pe calculatorul de serviciu? Ce contează că o mare parte a timpului în IT se rezolvă probleme ce nu ar fi trebuit să apară, iar „excepțiile” ajung sa fie regula.

Să vedem ce putem face din punct de vedere tehnic pentru a preveni, sau măcar pentru a monitoriza buna funcționare a echipamentelor și sistemelor IT. Păi toate acestea costă mult. Iar cele care nu costă au nevoie de mai mult timp/ mai mulți oameni pentru a fi configurate și folosite. De unde atâția bani? Nu s-au dat bani pentru servere? Asta a fost acum câțiva ani? Licențe, suport? Pentru ce, că de aia avem IT.

Totuși IT-ul nu lucrează numai cu regulile proprii. Exista nevoi și procese pe care alții le definesc, ei fiind doar o rotiță într-un angrenaj. Pentru a simplifica problema, să presupunem ca aceste procese au fost analizate, agreate si corect definite. Să luăm ca exemplu angajările noi sau plecările din organizație. Ce probleme ar mai putea avea IT-ul aici? Că se uită „uneori” să fie anunțat IT-ul de o nouă angajare? Că întreabă managerul de ce nu are omul lui calculator sau acces la aplicații? Nu a cerut nimeni? Cum ce drepturi să aibă în aplicații? Cele de care are nevoie. La plecare, nu a predat calculatorul de serviciu? Nu se șterg automat toate conturile si drepturile pe care le-a avut… în afară de cele ce mai pot fi necesare și nu le are altcineva? Nu? De ce?

Să zicem că problemele pe care tocmai le-am semnalat s-au rezolvat între timp și totul merge cum trebuie, fiind atins un punct de echilibru între teorie și practică, între așteptări şi posibilități.

O nouă provocare – GDPR-ul

Auzind despre iminența intrării in vigoare a GDPR-ului, s-a analizat operativ situația și IT-ul a fost identificat drept principalul responsabil de implementarea acestuia… pentru că e vorba de date. Eventual, poate beneficia de ajutorul neprecupețit al departamentului juridic şi are susținerea managementului. Dacă sunt foarte „norocoși” beneficiază și de asistența unei firma de consultanță.

Nu le rămâne decât să treacă la identificarea datelor cu caracter personal, a locului pe unde acestea „trăiesc, se înmulțesc și mor” și documentarea vieții acestora. Cu această ocazie IT-ul află că noțiunea de date cu caracter personal nu este ce-au crezut ei, adică datele de la HR, ci că în toate sistemele lor, serverele, ba chiar și routerele, colcăie puzderie de date personale, prin bazele de date, fișiere de configurare, ca să nu mai vorbim de log-uri. Că orice ID asociat unui utilizator (bașca IP-urile calculatoarelor sau adrese de email de serviciu) sunt date personale. Ca bonus, orice document electronic creat în organizație, chiar și gol, conține date personale în Proprietăți. Iar despre email nu are rost să vorbim.

Cum să spună ei managementului că le-ar fi mult mai ușor să documenteze unde NU există date cu caracter personal? Că au încercat să caute în toată rețeaua unde apare numele sau vreun ID al fostului admin, dar s-au plictisit după ce au văzut primele zece ecrane pline?

Ok, după o discuție clarificatoare s-a decis să se limiteze la cele mai evidente. Zis și făcut. Se stă peste program, se sapă în date și se documentează principalele tipuri de date și procesări, ba se mai acordă și ajutor celorlalte departamente, pentru care maparea datelor și procesărilor specifice într-un excel este un lucru foarte greu… nemaivorbind că oricum au treburi mai importante de făcut, că banii nu vin singuri. Între timp, IT-ul mai află că trebuie să discute cu toți furnizorii de echipamente și soluții să actualizeze contractele cu clauze specifice de data protection (pe care le vor primi mai târziu de la departamentul juridic).

În semn de deosebită apreciere pentru calitatea muncii lor, toate celelalte departamente și-au exprimat încrederea deplină în capacitatea IT-ului propriu, și mai au nevoie doar de un mic ajutor. În toate sistemele IT au nevoie de unu, două butoane mici (uneori pot fi si cinci), unul care să scoată toate datele din sistem pentru un utilizator (în funcție de orice criteriu de căutare) și unul să le șteargă. Parcă mai erau câteva variante, dar nu sunt urgente.

Pentru cele dezvoltate intern nu este o problemă. Nu? Este??? Cum adică cel ce le-a dezvoltat a plecat din organizație și nu sunt documentate? Păi de ce nu sunt documentate? Las’ că vă descurcați voi, că sunteți pricepuți. O săptămână ajunge? Nu? Bine, două săptămâni.

Să nu uitați să faceți un fișier, o pagină pe Intranet… cum știți voi, în care să se poată înregistra toate cererile venite de la clienți, foști angajați, parteneri, cum au fost tratate și când le-ați transmis datele personale. Şi, era să uit, am primit de la un consultant o listă de proceduri de IT pe care trebuie să le implementați și să instruiți personalul. Ceva cu securitate, incidente…. Poate mai au nevoie de două, trei modificări minore. Cum adică avem așa ceva? De ce nu ați spus? Vă descurcați voi, cum v-ați descurcat și până acum…

Și s-au descurcat, iar toată lumea a trăit fericită, iar managementul și-a mai acordat un bonus pentru rezolvarea unei probleme spinoase…

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 52-54. 

GDPR – UN STATUS DUPĂ 100 DE ZILE

Au trecut 100 de zile de la data luată ca reper pentru intrarea efectivă în vigoare a Regulamentului UE 679/ 2016. Pentru cei mai scrupuloși, ei bine, la data publicării acestui articol  sunt exact 110 zile, dar de ce să stricăm frumusețe de titlu… Important este ce s-a mai întâmplat în aceste 100++ zile…

Graba strică treaba și ne canibalizează bazele de date

Ei bine, încercând să păstrăm o ordine cronologică, primul fenomen cu care ne-am confruntat cu toții încă de prin 20 mai a fost abundența de mesaje de opt-in menite să asigure continuitatea livrării unor mesaje sub pălăria consimțământului. Ideea nu a fost rea și laudă celor care s-au gândit la asta. Nefericită a fost de cele mai multe ori forma sub care s-a ajuns să se solicite asta, chiar și în mult situații în care nu era nevoie de consimțământ. În lipsa unor ghidaje clare, bazate pe un desfășurător de acțiuni și a unei agende de derulare în timp, fiecare a făcut ce a știut, ce i s-a spus, sau cum s-a priceput. A fost un test dur, care dacă ar fi să presupunem că se urmează în continuare regulile, ar trebui să conducă la canibalizarea bazelor de date cu prospecți. Regula zice clar că dacă nu ți se răspunde la solicitarea de confirmare a consimțământului, persoana vizată trebuie trecută pe lista celor care nu sunt de acord cu aceasta.

Am păstrat câteva mesaje din acea perioadă, ca exemplu viu pentru cursurile de GDPR pentru oamenii de marketing. Evident, fără menționarea surselor… Din curiozitate, am făcut și câteva teste interactive, doar cu operatorii din România. La unele mesaje am răspuns, la altele am cerut unsubscribe, iar la altele nu am dat nici-un răspuns, propunându-mi să urmăresc comportamentul în timp. Spre lauda operatorilor, 98% din teste au fost reușite, demonstrând că există oameni care chiar se preocupă de răspunsurile persoanelor vizate. Recunosc, nu am făcut încă nicio solicitare de acces la date, deși aș fi avut motive să testez și viteza de răspuns la solicitările persoanei vizate. Nu mă grăbesc cu asta. Oamenii au nevoie de timp, și acolo unde s-a început un proiect de aliniere GDPR lucrurile nu pot fi făcute peste noapte…

Spre deosebire de multe atitudini din social – media, eu nu mă grăbesc să dau cu barda și acolo unde este nevoie intervin cu blândețea sfatului. Sunt de părere că oamenii care chiar încearcă să schimbe lucrurile trebuie lăsați să lucreze și nu să ii arătăm cu degetul că au făcut totul intern sau că au apelat la unul și la altul. Fiecare a acționat cum a crezut de cuviință, atunci când a avut un management care a fost sensibilizat în legătură cu subiectul. Chiar și cu lipsuri sau mici greșeli, orice pas înainte este un plus și este destul vreme pentru subtilități teoretice. Importantă este reacția oamenilor, a celor care trebuie să asimileze și să pună în aplicare politicile GDPR.

Ghidul GDPR pe verticale

Pentru a face ca mesajele esențiale să ajungă la cât mai mulți oameni, inițiativa GDPR Ready a publicat seria de Ghiduri reunite sub forma Cataloagelor GDPR, apărute în noiembrie 2017 și martie 2018 ca rod al colaborării cu Agora Group. la începutul lunii Iunie a apărut cea de-a treia ediție a Catalogului GDPR – dedicată unor probleme mai specifice ridicate de GDPR pentru micile companii sau diferitele departamente cu rol de operator de date personale. Prin ”GHIDUL GDPR PE VERTICALE” am adus în discuție câteva elemente generale și particulare despre provocările cu care se confruntă departamente cheie dintr-o companie, precum resursele umane, marketingul și vânzările sau echipa IT,  de la maparea proceselor de business și a datelor, la analiza de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație. Ca și la edițiile anterioare, Ghidul este însoțit de recomandările unor specialiști din diferite domenii, ale căror opinii ați avut ocazia să le citiți sau  le veți citi în următoarele zile, sub forma unor articole dedicate.

>> CITIȚI AICI CATALOGUL GDPR ONLINE!

Cu ocazia anunțării apariției Catalogului, la aproape o lună după data de 25 mai, am făcut și o primă analiză bazată pe situațiile întâlnite în piață, din care reieșea că organizațiile din România nu erau încă pregătite pentru importanța momentului. Principalele constatări de la acea vreme se refereau

la cele mai des întâlnite situații posibil generatoare de riscuri pentru datele personale:
1. Inexistenta unei Politici elementare de IT la nivelul unor organizații mijlocii si mari. Chiar si acolo unde există niște norme și politici interne, acestea nu se aplică.
2. Harababura privind procesarea, păstrarea si transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților.
3. Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază si se aplică șabloane culese de pe Internet, fără a se înțelege esența principiilor GDPR.
4. Inexistenta unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea si transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele lor în business, închistați fiind de necunoaștere, neînțelegere și preluare inadecvată a unor “sfaturi” oferite de binevoitori.
5. Lipsa de interes a unor manageri de departamente – altele decât HR, FINANCIAR, Juridic, IT – care cred ca ei nu au nicio responsabilitate, e treaba altora să își bată capul cu problemele astea birocratice…

Legea 190

În data de 17 iulie, Președintele României a aprobat prin Decretul 557/ 2018 Propunerea legislativă privind măsuri de punere în aplicare a regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC (Regulamentul general privind protecţia datelor). Aceste măsuri de punere în aplicare, cunoscute de acum ca Legea 190/ 2018 au dat naștere la multe controverse și discuții în social media. În fine, Legea a fost publifată în Monitorul Oficial nr. 651 din 26 iulie 2018, adică la 2 luni după data oficială a intrării în vigoare a GDPR.

Fără să intru în alte comentarii, voi prezenta pe scurt cele mai importante articole ale legii 190/ 2018. După cum se arată în Articolul 1, Scopul Legii nr. 190/2018 este de a reglementa măsurile necesare punerii în aplicare la nivel național, în principal, a următoarelor prevederi GDPR :

  • Art. 6 (Legalitatea prelucrării), alin. (2) – ” Statele membre pot menţine sau introduce dispoziţii mai specifice de adaptare a aplicării normelor prezentului regulament în ceea ce priveşte prelucrarea în vederea respectării alineatului (1) literele (c – obligații legale) şi (e – interes public) prin definirea unor cerinţe specifice mai precise cu privire la prelucrare şi a altor măsuri de asigurare a unei prelucrări legale şi echitabile, inclusiv pentru alte situaţii concrete de prelucrare, astfel cum este prevăzut în capitolul IX”;
  • Art. 9 (Prelucrarea de categorii speciale de date cu caracter personal) alin. (4) – Statele membre pot menţine sau introduce condiţii suplimentare, inclusiv restricţii, în ceea ce priveşte prelucrarea de date genetice, date biometrice sau date privind sănătatea”;
  • Art. 37-39 (Desemnarea, funcșia și sarcinile responsabilului cu protecția datelor
  • Art. 42 (Certificarea);
  • Art. 43 (Organisme de certificare);
  • Art. 83 (Condiţii generale pentru impunerea amenzilor administrative), alin. (7) – ” Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv”;
  • Art. 85 (Prelucrarea şi libertatea de exprimare şi de informare);
  • Art. 87 (Prelucrarea unui număr de identitate național);
  • Art. 88 (Prelucrarea în contextul ocupării unui loc de muncă);
  • Art. 89 (Garanții şi derogări privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice

De departe, Articolul 4 – Prelucrarea unui număr de identificare național, este cel mai important articol din legea 190/ 2018, statuând condițiile de prelucrare a unui număr de identificare național prin oricare dintre temeiurile legale stabilite de GDPR în Art.1, alin (1).

Dar asta nu e suficient. Cei care au ca temei legal interesele legitime urmărite de operator pot prelucra date personale ce conțin numere de identificare naționale doar în condițiile în care pot oferi o serie de garanții, precum:

  1. punerea în aplicare de măsuri tehnice și organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum și pentru asigurarea securității și confidențialității prelucrărilor de date cu caracter personal, conform dispozițiilor Art. 32 GDPR (Securitatea prelucrării);
  2. numirea unui responsabil pentru protecția datelor, în conformitate cu prevederile art. 10 din Legea 190/ 2018 – Desemnarea și sarcinile responsabilului cu protecția datelor;
  3. stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii;
  4. instruirea periodică cu privire la obligațiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

În fine, la fel de important poate fi considerat și Articolul 5 din Legea 190/ 2018 care stabilește câteva reguli cu privire la prelucrarea datelor cu caracter personal în contextul relațiilor de muncă, care sunt supuse unei forme de monitorizare. Dacă angajatorul folosește sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

  1. interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
  2. angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
  3. angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
  4. alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
  5. durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Am spus ca prefer să nu comentez, dar pot măcar să menționez că printre controversele iscate de legea 190/ 2018 se numără aparenta libertate acordată partidelor și organizațiilor politice care pot prelucra date cu caracter personal fără a avea nevoie de consimțământ și disproporția aplicării de sancțiuni cu dublă măsură pentru firmele de stat și cele private. Legea 190/ 2018 poate fi descărcată în format pdf de pe siteul ANSPDCP 

Ce se întâmplă acum?

La trei luni și ceva după momentul 25 mai 2018, s-a așternut liniștea peste piață. Cine a avut ce face și cu cine face și-a rezolvat problemele esențiale. Așa cum s-a putut, cu cine s-a putut. Nimeni nu se mai agită. S-au rărit și postările, apărând între timp alte subiecte de interes. Cei care nu s-au agitat în mai, stau liniștiți și acum, mizând pe șansa de a fi prea mic pentru a se întâmpla ceva.

Liniște – prea multă liniște și din partea Autorității de supraveghere. Oamenii așteptau o creștere a fluxului de informații oferite de singurul organism național abilitat să supravegheze prelucrarea de date personale. Cu excepția publicării unor comunicate legate de adoptarea formularelor oficiale de notificare a breșelor și de numire a unui DPO, activitatea Autorității a fost destul de puțin vizibilă.

Singura știre publică legată de aplicarea efectivă a GDPR în România a venit de pe un site al Uniunii Europene, unde erau analizate dinamica primelor notificări de după 25.mai, în raport cu bugetele alocate în 2017 pentru autoritățile din țările respective…

Principalul rol în mediatizarea și discutarea diferitelor aspecte legate de GDPR a revenit organizațiilor și inițiativelor private. O serie de asociații profesionale au publicat ghiduri de aliniere GDPR specifice unor activități precum cele de contabilitate, cabinet de avocatură, instituții medicale sau școli. Foarte puține resurse sunt însă disponibile public, majoritatea având un rol comercial.

Din fericire, a crescut numărul inițiativelor individuale, care prin intermediul unor site-uri dedicate au amplificat promovarea subiectelor de larg interes privind condițiile de aliniere GDPR specific pentru companiile și organizațiile din România. Merită a fi apreciate toate aceste inițiative care presupun un mare volum de muncă din partea celor implicați public și social. O simplă căutare pe ”GDPR România” vă va conduce la cele mai populare site-uri sau pagini de profil.

Cât privește activitatea GDPR Ready, în perioada mai-septembrie a avut în vedere cu precădere proiectele de implementare și serviciile de instruire. Ghidurile aferente celor trei Cataloage GDPR și articolele publicate au avut cu certitudine un impact important în creșterea aportului de cunoaștere și în explicarea principalelor provocări GDPR pe înțelesul tuturor. Nu întâmplător, pe 25 mai, secțiunea GDPR Ready a site-ului cloudmania a înregistrat un număr record de vizitatori.

Iată cele mai accesate articole GDPR Ready din această perioadă:

Cum pot obține certificarea DPO în România

Un personaj important: Data Protection Officer

A apărut Catalogul GDPR Practic – premieră pentru România

Dreptul de acces, rectificare, ștergere sau restricționare

Avem un DPO: cum îl certificăm?

Importanța evaluărilor de impact DPIA

GDPR Q&A: Cele mai frecvente întrebări și răspunsuri

Notificarea breșelor de Securitate

Inițiativa GDPR Ready

Avem ISO 27001. Ce ne mai trebuie pentru alinierea GDPR

 

Ca o concluzie a experienței acumulate din proiecte și inițiativele de instruire, aș puncta faptul ca dincolo de inexistenta unor tehnologii adecvate care pot rezolva buna parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frană în larga adopție a GDPR sunt oamenii, care nu sunt învățați să respecte niste norme și proceduri elementare. Problema principală în orice companie este legată nu de nu atingerea unor condiții de conformitate GDPR, ci de păstrarea acestora pe termen lung prin asimilarea Culturii GDPR.

Cei șapte ani de-acasă în politica de Cookies

 

Tudor GALOS

Tudor Galoș a fost director de marketing pe consumer la Microsoft România vreme de șase ani și înainte de asta s-a ocupat de business-ul de Windows și Office pe România, Bulgaria și Europa de Sud-Est, fiind responsabil de lansări precum Windows Vista, Windows 7, Windows 10, Office 2003, Office 2007, Office 365 și multe alte produse și servicii. A lucrat cu firme mici, medii și mari din întreaga Europă. Din Septembrie 2017 coordonează propriul său business, Tudor Galos Consulting cu focus pe consultanța de business și management în zona start-up-urilor, a spin-off-urilor și a transformării digitale. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii – modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.

 

Am scris în articolul anterior din catalogul GDPR despre faptul că este obligatoriu ca orice proiect de aliniere la normele GDPR să aibă o abordare concentrată pe oameni. Omul este cel mai important element al oricărei inițiative de conformitate la un nou regulament, la un nou standard.

Omul este cel care conduce schimbarea, cel care face lucrurile să se întâmple, dar și cel care creează cele mai mari blocaje în implementări. Cele mai bune politici de conformitate se opresc în Dorei ce nu doresc schimbarea și care „știu ei mai bine” că „merge și-așa”, că „nu se prinde nimeni” și că „facem să fie bine ca să nu fie rău”. Dorel este și cel care spune fix ca în bancul cu românul la Zoo care când vede girafa își pune mâinile în șold supărat și zice „așa ceva nu există”.

Până de curând GDPR nu a existat pentru nimeni deși el „există” de peste doi ani. Lipsa comunicării, lipsa încrederii, convingerea că cineva va veni și va face magie și va suspenda aplicarea GDPR au dus la o situație în care (estimarea mea proprie și personală) peste 90% din firmele din România nu au făcut absolut nimic pentru a se alinia la normele GDPR. Este o estimare bazată pe conversațiile cu diverșii consultanți, firme de consultanță, clienți, etc.

Și matematica ne susține această cifră: în România sunt cam 700 – 800.000 de firme active. Dacă 10% ar fi început proiecte de aliniere la GDPR am fi vorbit de 80.000 de proiecte coordonate de minim 80.000 de oameni (dacă este să ne gândim că este nevoie de minim un om pe companie implicat într-un proiect de GDPR). Nu, dragilor, nu suntem atâția, ar fi gemut Facebook-ul de experți. Și deși pe Facebook au explodat ofertele de consultanță GDPR, nu apar niciunde 80.000 de proiecte. Închidem matematica aici și trecem la discuția pe zona digitală, unde lucrurile sunt mult mai interesante.

Site-urile reprezintă principalul punct de acces în organizații. Dacă pe vremuri vorbeam de cărțile de vizită ale managerilor dintr-o organizație ca fiind principalul vector de contact, astăzi site-ul este principalul vector de contact. Modul în care site-ul este organizat, optimizat, indexat, contribuie decisiv la succesul sau drumul spre mormânt al firmei. Peste 90% din tranzacțiile B2B sunt pornite printr-o căutare pe net, căutare care aterizează într-un site. Și totuși în aceste ultime zile site-urile au fost printre cele mai batjocorite din punct de vedere al conformității la GDPR.

Începem cu formularele de consimțământ. Au ajuns site-urile să îți ceară consimțământ pentru orice. O importantă linie aeriană românească cere consimțământ de prelucrare a datelor în momentul în care vrei să plătești biletul de avion online cu toate că are deja temeiul legal pentru prelucrarea acestor date. Și stai și te uiți și te întrebi cine o fi realizat acest frumos mecanism de pierdut click-uri, lead-uri și bani. Continuăm cu site-urile care cer consimțământ la consimțământ și care deja au devenit inutilizabile pentru simplul motiv că și-au luat ca și consultant GDPR un student la drept care a citit legea la o bere și care acum își dă cu părerea în zona de digital după ce a petrecut și el câteva ore pe la pariuri sportive (și ca să fiu cu totul și cu totul rău, așa se naște noua generație de „digital experts”).

Oameni buni, nu vă bateți joc de consumer journey (drumul cumpărătorului pe limba noastră dulce românească). Orice click în plus, orice pas în plus înseamnă mii de EUR pierdute (ok, pentru unii zeci de mii dar nu ne pierdem în zero-uri). Există modalități inteligente de a optimiza fluxul de date într-un site găsind temeiurile legale potrivite și cerând consimțământ doar acolo unde este strict nevoie (de exemplu pentru cookie-uri – vorbim mai jos de ele – sau pentru înscrierea la un newsletter).

Și că tot am ajuns la subiectul cookies, lacrimile au curs șiroaie zilele acestea pe site-uri în ceea ce privește cookie-urile. Aici digital super-gurus-super-experts-black-belt-ninjas s-au trezit în fața unei alegeri: lăsăm utilizatorul să aleagă dacă rulează sau nu cookie-urile (astfel fiind GDPR-compliant) și pierdem orice șansă de remarketing/ retargeting/ profilare sau îi băgăm pe gât cu forța cookie-urile pe principiul „mi-a sfințit preotul site-ul și nu vine autoritatea să mă verifice”.

Înainte de a trata subiectul cookie-urilor trebuie să înțelegem puțin principiul cheie al GDPR: „ce ție nu-ți place altuia nu-i face” (Give Data Proper Respect). Și de asemenea trebuie să înțelegem foarte bine ce înseamnă date cu caracter personal. Și mai trebuie să luăm în calcul poziția IAB, Internet Advertising Bureau, o asociație care stabilește normele și ghidurile de bune practici în ceea ce înseamnă publicitatea online.

„Ce ție nu-ți place” – toată lumea s-a șocat când a auzit de Facebook și Cambridge Analytica și de faptul că sunt milioane de alți jucători ce fac chestii similare la o scară mai mică sau chiar mai mare. Unul din instrumentele folosite pentru profilarea utilizatorilor poate fi chiar cookieul. Un cookie este un fișier text pe care un site îl trimite browserului să-l stocheze pe dispozitiv pentru a reţine informații despre utilizator: informații de conectare, preferințe de limbă dar și pentru a urmări utilizatorul pe unde se „plimbă” pentru a-i oferi conținut și reclame mai re levante. Practic pentru a-l profila, mai bine sau mai prost. Cookie-ul poate să nici nu fie neapărat al site-ului ci al unei părți terțe iar tu ca utilizator să nici nu știi că cineva te urmărește.

Dar cum să știe că tu ești, să zicem, Ion Popescu din Dragomirești-Deal? Și aici vine noțiunea de „date cu caracter personal”. Spre diferență de PII – personal identifiable information – datele cu caracter personal reprezintă orice informații sau seturi de informații ce pot duce la identificarea unei persoane direct sau indirect. Adică nu trebuie tu să știi că un cookie este al lui Ion Popescu ci o mașină să fie în stare să îl identifice pe Ion Popescu doar pe baza comportamentului său online. Sau legând efectiv diverse informații despre un anumit IP sau alt identificator online. Mulți dintre clienții mei s-au șocat să vadă ce a fost în stare să determine de exemplu Google despre ei doar pe baza comportamentului lor online (și Google este unul dintre jucătorii foarte transparenți!).

Ce zice IAB? IAB a publicat un framework, un set de bune practici denumit Transparency Consent Framework – dezbaterea, prezentările și modurile de implementare le regăsiți la http://advertisingconsent.eu/ . Dincolo de prezentarea framework-ului IAB-ul dă trei seturi de recomandări pentru consimțământul asupra cookie-urilor:

  • consimțământ/ respingere pentru TOATE cookie-urile ne-necesare site-ului (cele de care nu depinde funcționarea siteului, cum ar fi cele statistice și de marketing),
  • consimțământ/respingere pentru SCOPUL cookie-urilor (de marketing, de statistică etc),
  • consimțământ/respingere pentru VENDOR-ul cookie-urilor (Google, Taboola etc). Implicit cookie-urile ne-necesare trebuie să fie oprite, cu excepția cazului în care există un TEMEI LEGAL ca ele să fie pornite.

Și aici vine de fapt inspirația și creativitatea departamentelor de marketing în a găsi temeiul legal pentru care poți urmări utilizatorii (de exemplu interesul legitim al operatorului când acesta prevalează asupra drepturilor și libertăților persoanelor vizate – dar este genul de temei legal ușor contestabil deci ai trebuie să decizi dacă merită sau nu riscul).

Oricum se recomandă instalarea unui Cookie Consent Tool care de obicei îți oferă modalități granulare de consimțământ. Cu această ocazie de obicei clienții mei descoperă o tonă de cookie-uri de care nu mai au nevoie, uitate prin diverse colțuri ale site-ului. Și se face curățenia generală. Însă contează mult să îți dai seama exact ce vrei exact cu cookieurile tale, de ce ai nevoie de ele. Pentru că doar așa îți dai seama dacă este business-critical să menții un cookie, să fii sigur că datele personale ce pleacă prin acel cookie la un terț sunt bine protejate și nu sunt folosite în alte scopuri și să îți convingi utilizatorii să creadă în cookie-urile tale și în site-ul tău.

Și, ghici ce, asta ține fix de „ce ție nu-ți place…”. Ține de cei șapte ani de acasă…

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 55-57. 

Provocări aduse de datele cu caracter personal în industria telecom

 

 

Iulian MATACHE

Iulian MATACHE este advisor independent cu o experiență de peste 15 ani formată la granița dintre IT şi juridic. Certificărilor CIPP/E şi CIPM ale IAPP li se adaugă experiența în proiecte de audit şi implementare GDPR în companii din domeniul telecom, media, jocuri de noroc, energie și aviație.

 

 

Poate una dintre cele mai dinamice şi cu un înalt grad de digitalizare, industria telecom este confruntata cu provocări născute atât din GDPR, cât şi din interacțiunile Regulamentului cu legislația deja aplicabilă domeniului.

Astfel, dacă GDPR este aplicabil tuturor industriilor, în domeniul comunicațiilor electronice găsim ca lex specialis Directiva 2002/58/EC („ePrivacy Directive”) transpusă în legislația naționala prin Legea 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (cu modificările şi completările ulterioare). De asemenea, se afla în curs de aprobare Regulamentul ePrivacy care va aduce o sporită uniformitate a aplicării reglementarilor europene privind protecția datelor cu caracter personal într-un cadru extins al comunicațiilor electronice incluzând şi operatori OTT (Whatsapp) sau VOIP (Skype).

Intrând în specificitatea provocărilor aduse companiilor de telecom este de menționat faptul că prin natura tehnologiei operatorul este în posesia multor date cu caracter personal cum ar fi: localizarea precisa a utilizatorului, conținutul comunicațiilor, respectiv metadate despre trafic. Aceste date sunt procesate pentru furnizarea serviciului contractat, respectiv pentru operațiuni de optimizare a traficului sau rezolvarea incidentelor semnalate de anumite elemente de rețea. Independent de întemeierea legală a procesării, operatorul este obligat sa minimizeze colectarea şi retenția acestor date atât cât îi permit obligațiile legale sau contractuale.

Este important să înțelegem că un operator de telefonie mobilă reprezintă un organism viu prin care permanent circulă volume impresionante de date. Art. 32 privind securitatea procesării obligă la depunerea unor diligente adecvate riscului asociat datelor procesate. De asemenea, controlul accesului angajaților operatorului la datele cu caracter personal ale clienților trebuie gestionat foarte atent. Nu o dată au fost tentați diverși angajați să utilizeze în scop personal accesul privilegiat la aceste date, acțiuni care au generat reclamații şi sancțiuni disciplinare. Serverele pe care sunt testate diverse aplicații folosind date productive reprezintă risc de scurgeri de date. În astfel de situații se recomandă tratarea datelor cu soluții de data masking, rezultatul fiind echivalentul pseudonimizării.

O zonă de procesare sensibilă o reprezintă calcularea automată a scorului de risc la activarea serviciului, respectiv interogarea sistemului Preventel. Este un fapt cunoscut ca în absența unui istoric privind comportamentul de plată al abonatului, companiile telecom alcătuiesc un profil de risc al acestuia, profil care poate produce efecte juridice precum solicitarea unei plăţi în avans sau constituirea unei garanții, respectiv întreruperea mai devreme sau mai târziu a accesului la servicii. De asemenea, în sistemul Preventel toți operatorii telecom introduc date despre persoanele fizice care nu şi-au îndeplinit obligațiile de plată sau au desfășurat acțiuni fraudulente.

Art. 14(2)g) stipulează obligația operatorului de a prezenta informații privind „existenţa unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) şi (4), precum şi, cel puțin în cazurile respective, informații pertinente privind logica utilizată şi privind importanţa şi consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.” Ceea ce implică transparentizarea algoritmilor de scoring în Nota de Informare, obligație dificil de transpus în practică.

În plus, va fi interesant de urmărit exercitarea drepturilor persoanelor vizate, în special dreptul la rectificare sau ștergere în legătura cu sistemul Preventel. Profilarea de risc şi implementarea chatbot-ilor / asistenților digitali riscă să dea naștere unor conflicte cu dreptul persoanelor vizate de a nu face obiectul unor decizii automate (Art. 22). Pe acest aspect Grupul de Lucru Art. 29 a luat o poziție şi mai rigidă interpretând dreptul ante menționat ca o obligație a operatorului de a nu desfășura o atare procesare în scopul unor decizii automate, atrăgând critici din partea profesioniștilor din domeniul protecției datelor.

Forma finală a Regulamentului ePrivacy (aflat în prezent în curs de aprobare) va aduce noi obligații pe umerii operatorilor telecom. Va fi în continuare interesant de urmărit modul în care aceștia reușesc să echilibreze cerințele de reglementare cu constrângerile tehnologice şi necesitățile de business.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 61-62. 

AM UN IMM: CUM MA POT ALINIA LA GDPR?

DEDICAȚIE

Închin acest articol unui prieten bun care de peste 25 de ani s-a dedicat promovării tehnologiei informației. Imaginea lui Romi Maier se suprapune practic cu istoria presei de IT din Romania. O presă de calitate, fără de care nu s-ar fi vorbit de o industrie IT în România. O pierdere inegalabilă pentru familie, pentru prieteni, pentru presă și pentru industrie. Drum bun, Romi, și pacea fie cu tine…


De la bun început mulți considerau IMM-urile ca victime sigure ale GDPR, prin lipsa posibilităților de investiții în softuri sofisticate de criptare și de protecție sau în ore scumpe pentru servicii de audit și consultanță… Dar ceea ce mulți nu au luat în considerare, este că de multe ori ca IMM ne putem descurca mult mai bine într-un proiect de reorganizare, investiții și aliniere.

Mărimea nu mai contează…

Regulamentul are ca principală menire schimbarea modului în care orice organizație obține și administrează datele personale. Chiar dacă majoritatea articolelor și procedurilor din Regulament au în vizor modul în care marile companii administrează datele prelucrate, micile organizații precum micro-întreprinderile sau persoanele fizice sunt obligate în egală măsură să dovedească respect pentru prelucrarea datelor personale.

GDPR se aplică organizațiilor de orice dimensiune, în cazul în care prelucrarea datelor are loc în mod regulat sau dacă procesarea include categorii speciale de date definite în articolul 9 din GDPR. Acest lucru reiese chiar din definițiile Operatorului și Procesatorului de date personale.

Conform GDPR, Art.4.7. “Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile şi mijloacele de prelucrare a datelor cu caracter personal;

Conform Art.4.8. “Procesator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele Operatorului;

Chiar și un consultant sau o persoană fizică autorizată care procesează în mod constant și regulat date personale și date personale cu caracter special poate avea rol de operator de date personale sau de procesator, în funcție de tipul de activitate executată. Dacă există tipuri de servicii în care se stabilesc scopul și mijloacele, specialistul individual poate avea rol de operator asociat în relațiile cu clienții săi. Dacă există tipuri de activități în care specialistul individual execute doar operațiuni solicitate de clienții săi, în acest caz are rol de procesator de date personale, cu toate răspunderile care revin unei asemenea poziții.

Prelucrăm date personale? Deci nu avem încotro…

Chiar dacă nu dispunem de fondurile celor mari, ca manageri ai unei companii mici, suntem direct răspunzători de continuitatea afacerii și implicit suntem dispuși să și investim.  Într-o companie mică, ca întreprinzător suntem și sponsor și șef de proiect. Și sunt mai capabil și mai interesat să îmi aleg cea mai bună și mai eficientă echipă, care de multe ori îi include pe toți ceilalți angajați.

Sunt mai expuse companiile mici la atacuri cibernetice decât cele mijlocii sau mari? Teoretic așa ar trebui să fie, pentru că nu dispunem de infrastructura la care ceilalți au acces. Un studiu Juniper Research apreciază că peste jumătate din IMM-urile din țările UE consideră că sunt în siguranță față de atacurile cibernetice, dar jumătate din acestea au suferit o încălcare a datelor. În acest context, necesitatea de a proteja mai eficient datele cu caracter personal nu a fost niciodată mai evidentă, chiar și la nivel de IMM.

GDPR consolidează protecția informațiilor personale. Indiferent de mărime, toate companiile care își desfășoară activitatea în UE au acum obligația să colecteze, să stocheze și să utilizeze informațiile cu caracter personal într-un mod mai sigur. Deși există puține domenii în care IMM-urile sunt recunoscute ca având mai puține resurse și capacități decât întreprinderile mai mari, întreprinderile mici pot să se bucure de o anumită marjă de manevră în ceea ce privește documentația și păstrarea înregistrărilor. Gradul de libertate în acest stadiu este încă incert.

Guvernul britanic estima recent că doar 40% dintre întreprinderile cu mai puțin de 50 de angajați și doar 66% dintre firmele  cu 50-249 de persoane au fost conștiente de importanța GDPR.

 

5 motive serioase pentru aliniere

Iată cinci motive serioase pentru care IMM-urile trebuie să înțeleagă urgent acest regulament și să-și alinieze procesele cu acesta:

1. GDPR vine cu noi drepturi, deci noi obligații – În primul rând, GDPR oferă persoanelor noi drepturi asupra datelor lor personale. Teoretic, acum putem merge la o bancă sau la un supermarket ca să le cerem să ne șteargă datele din sistemele lor.  Teoretic, pentru că practice vom obține asta peste cel puțin 10 ani…

A, un drept real este acela de a cere mutarea datelor de la un furnizor de servicii la altul. Asta chiar se poate. De exemplu, mutarea dosarului de la un furnizor telco la altul. Dar asta nu înseamnă că vechiul furnizor ne va șterge datele.

2. Furnizorii sunt acum sub microscop – GDPR vine și cu noi responsabilități asupra procesatorilor de date. Dacă procesăm date în numele unui operator, trebuie să păstrăm instrucțiunile acestuia pentru a fi aliniați GDPR. Dacă fac o greșeală ca procesator, o fac pe barba mea și pot fi tras direct la răspundere.

3. Avem sau nu nevoie de DPO? – la nivel de IMM, evident că nu. Asta nu exclude recomandarea de a numi o echipa de proiect și un responsabil de proiect cu rol de coordonator. Sunt sarcini permanente, chiar și într-un IMM, precum ținerea evidențelor de procesare, consimțământ sau breșe, pe lângă ingrata sarcină de a prelua asimilarea politicilor interne în toate departamentele.

4. Angajații ca verigă slabă – studiile arată că cel puțin o treime din vulnerabilitățile datelor personale se datorează erorii personalului. Nu există nici un substitut pentru instruirea angajaților cu privire la responsabilitățile lor de bază în cadrul GDPR. În plus, asigurați-vă că specialiștii companiei dvs., cum ar fi comercianții, reprezentanții HR și membrii consiliului, primesc o instruire specifică referitoare la rolurile lor despre ceea ce trebuie să facă pentru a se conforma GDPR.

5. Trebuie să le spunem clienților ce facem cu datele lor – conform GDPR, clienții au dreptul de a fi informați – într-un limbaj clar – cu privire la ceea ce facem cu datele lor personale. Politica noastră de confidențialitate online trebuie să fie scrisă în limbaj simplu, spunând clienților despre locul unde obținem datele, ce facem cu ele și cu cine le împărțim. Dacă avem o pagină web pentru afacerea noastră, e musai să punem crezul nostru privind confidențialitatea pe site, în pagina Confidențialitate date personale.

Companiile mici sau specialiștii individuali care își asigură conformitatea GDPR beneficiază nu numai de procese de afaceri mai sigure și mai profesionale, ci și de un cert avantaj competitiv față de concurenții care nu au dat mare importanță prevederilor noului regulament. Conformitatea GDPR este o etichetă de încredere, loialitate și respect față de clienți și parteneri și față de datele personale pe care aceștia ni le încredințează.

Parte din acest conținut poate fi regăsit în articolul ”Am un IMM: cum pot deveni compatibil GDPR? ” publicat pe 16 iulie pe site-ul ittrends.ro și în revista IT Trends din iulie 2018.

Despre GDPR și respectul pentru interlocutor

 

 

Anca CRAHMALIUC

Anca Crahmaliuc este expert în domeniul Corporate Affairs, PR și Marketing B2B, cu experiență exhaustivă in coordonarea de activități și echipe Marketing & Communications în organizații multinaționale. Este absolventă a programului MBA dezvoltat de Tiffin University în parteneriat cu Universitatea București.

 

 

Mai există viață în marketingul B2B după 25 mai 2018?

Cu siguranță. Intrarea în funcțiune a regulamentului european referitor la protecția datelor personale nu numai că nu diminuează valoarea acțiunilor de marketing, ci o crește semnificativ din punct de vedere calitativ. Cum? Prin credibilizare și eficientizare.

Este evident că, mai ales în ultimul deceniu, evoluția amețitoare a mijloacelor electronice de comunicare a condus la o creștere exponențială a mesajelor de marketing. Multe, tot mai multe. Le citește cineva? Nu știm și nu contează. Să fie cât mai multe, adresate cât mai multor persoane. Sunt aceste persoane în grupul nostru țintă? Nu prea știm și nici nu prea contează.

Dacă sunt mulți, poate s-or și nimeri destui care să fie între cei care ne-ar putea fi potențiali clienți. Nu cumva îi spamăm? N-au decât să-și pună filtre… Și dacă nu știu să facă asta? Atunci să șteargă mesajele și gata…

Am consemnat o succesiune de posibile întrebări și răspunsuri schimbate în ultimii ani între oamenii din departamentele de vânzări și marketing dintr-o organizație din orice industrie. Vânzările sunt esențiale pentru supraviețuirea companiei. Deci, să facem cât mai multe vânzări. Eventuale obiecții ridicate timid pot fi interpretate ca o lipsă de interes pentru soarta firmei…deci nu le mai ridicăm. Și totuși….ce șanse sunt ca o persoană complet neinteresată de produsele noastre să le și cumpere? Nu cumva agresând-o cu informații nesolicitate vom genera chiar o reacție de adversitate?

Prevederile GDPR se aplică în orice situație sunt prelucrate „date cu caracter personal”. Acest lucru înseamnă că ele includ toate persoanele identificate în mod direct sau indirect, și chiar dacă ele au alocări profesionale declarate. Pe scurt, dacă dețineți numele și un număr de telefon și/sau o adresă de email ale unui contact de business, ele intră sub incidența regulilor GDPR.

Este nevoie ca orice acțiune de marketing B2B să se bazeze pe consimțământ?

Nu chiar totdeauna. Consimțământul este o bază legală pentru procesarea datelor, dar pot exista situații în care acțiuni de marketing B2B să fie justificate de „interese legitime”. Chiar și în acest caz însă, uneori, e nevoie de consimțământ pentru a respecta prevederile Privacy and Electronic Communications Regulations cunoscut și ca ePrivacy.

Când ne putem baza în acțiunile de marketing B2B pe interesul legitim?

Interesul legitim poate justifica activități de marketing B2B dacă puteți arăta că modul în care folosiți datele personale este proporționat, are impact minim asupra intimității oamenilor, iar probabilitatea ca adresanții mesajelor de marketing să fie surprinși de acțiunile dv sau chiar să obiecteze față de acestea să fie minimă – dar numai cu condiția să nu intrați sub incidența ePrivacy. GDPR nu înlocuiește ePrivacy – trebuie să respectați prevederile ambelor prevederi legislative în activitățile dv. de marketing B2B.

UE este pe cale să înlocuiască actuala lege privind ePrivacy cu noua ePrivacy Regulation (ePR). Cu toate acestea, noul ePR nu este încă aprobat și, în consecință, continuă să se aplice actualele reguli ePrivacy (cu o nouă definiție pentru consimțământ) până când noul ePR va fi finalizat.

Consimțământul implică punerea la dispoziția persoanelor a unor mijloace reale de alegere și control. Un consimțământ autentic responsabilizează persoana care îl oferă, construiește o relație bazată pe încredere și angajament și vă consolidează reputația. Oferirea consimțământului trebuie să fie evidentă și necesită o acțiune pozitivă, manifestată prin opt-in. Solicitarea consimțământului trebuie să fie proeminentă, neîngrădită de alți termeni sau condiționări, formulate concis, ușor de înțeles și utilizat de către adresant. Operatorul care cere consimțământul trebuie să-și comunice numele, scopurile și tipurile de activități de prelucrare a datelor cu caracter personal. Nu în ultimul rând, celui care a oferit consimțământul trebuie să i se garanteze posibilitatea de a-l retrage ușor, în orice moment dorește acest lucru.

Cum și cui trimitem mesaje de marketing B2B?

Comercianții individuali și unii parteneri sunt tratați ca persoane fizice așa că puteți să le trimiteți mesaje de marketing numai pe bază de consimțământ exprimat explicit sau dacă au cumpărat un produs similar de la dv în trecut și nu au activat opțiunea opt-out când le-ați oferit această posibilitate. Trebuie totuși să includeți în mesaj opțiunile de „opt-out” sau „unsubscribe”.

Puteți transmite mesaje de marketing către orice instituție publică sau privată (de exemplu pe adrese de mail de tip office@organizatie.xxx). Este, totuși, recomandabil și uzual în sensul bunelor practici de business să aveți o listă de tip „nu trimite mesaj” cuprinzând organizațiile care obiectează sau își exprimă opțiunea de opt out, și să aveți grijă să verificați că nu se regăsește în nicio campanie de marketing pe care o desfășurați.

Atunci când trimiteți pe mail mesaje de marketing către angajații oricărei organizații care au adrese de business personale (de exemplu prenume.nume@organizație.xxx) se aplică toate prevederile GDPR.

Ce se întâmplă cu telemarketingul?

Puteți apela telefonic orice organizație de la care ați obținut consimțământul în acest sens, de exemplu prin bifarea opțiunii „opt in”. De asemenea, puteți telefona la orice organizație aflată pe liste publice, cu condiția ca acestea să nu se fi opus în trecut să le contactați. Și în acest caz se impune existența unei liste de tip „nu suna”.

Regulile privind apelurile automate sunt mai stricte. Utilizarea sistemelor de apelare automată, cu redarea unui mesaj înregistrat, nu se poate face în absența unui consimțământ explicit referitor la acest tip de abordare. Consimțământul general dat pentru acțiuni de marketing sau chiar pentru apeluri directe nu acoperă apelurile automate.

În mod evident, aceste prevederi sunt de mult bun simț în business. Ce valoare poate avea un mesaj nedorit sau, și mai grav, transmis împotriva dorinței adresantului? Cu siguranță, nu numai că nu ajută vânzările sau notorietatea companiei, ci le ruinează…

…dar cu newsletter-ele?

Trimiterea de newslettere și campaniile de emailing în general sunt asimilate acțiunilor generale de marketing B2B. În consecință, procesarea datelor cu caracter personal implicate necesită acordul explicit. Procesarea este permisă pe bază de consimțământ sau o justificare legală. De exemplu, o astfel de situație se întâlnește când între cei care trimit și cei care primesc mesajele de marketing exista o relație relevantă, proporționată. Comunicarea cu clienții existenți sau persoanele pentru care se prestează anumite servicii ar putea să se desfășoare fără consimțământ.

De asemenea, dacă o companie are un interes justificat pentru a se prezenta pentru prima data în fața unor potențiali clienți (cold acquisition) o poate face prin email marketing fără consimțământ. Aceștia din urmă își pot exprima opțiunea de a nu mai primi informații prin newsletter sau email, respectiv de a nu li se folosi datele pentru scopuri de marketing. Trebuie avut în vedere că prin coroborarea articolului 95 din GDPR cu articolul 13, paragraf 1 din directive ePrivacy 2002/58 reiese că în acest moment, emailingul nu se poate realiza decât pe bază de consimțământ.

Să recapitulăm

Trebuie să le spuneți oamenilor:

  • ce faceți cu datele lor,
  • care sunt scopurile pentru care procesați datele,
  • care este baza legală care permite procesarea informațiilor
  • cât timp doriți să păstrați datele cu caracter personal
  • cu cine partajați informațiile despre ei

Dacă faceți acțiuni de marketing direct în care vă bazați pe interesul legitim, adresanții au în mod absolut dreptul de a obiecta și sunteți obligați să opriți procesarea datelor care îi privesc.

Dacă acțiunile dv de marketing se desfășoară pe bază de consimțământ, persoanele care l-au oferit au dreptul să și-l retragă în orice moment. Atunci, trebuie să opriți procesarea. În fond, GDPR este despre modul în care trebuie să ne purtăm unii cu alții. Ce ție nu-ți place, altuia nu-i face… că aproape sigur nu-i place.

GDPR va implica unele costuri suplimentare și pe partea de marketing. Pe de-altă parte, vor fi mai bine folosiți banii irosiți în construirea de baze de date nerelevante și campanii gândite strict din perspective cantitative. Rata de răspuns infimă a campaniilor de emailing sau dialogurile tensionate purtate de operatorii de telemarketing spun fără echivoc același lucru: și marketingul B2B trebuie făcut cu respect pentru interlocutor.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 47-50. 

WORKSHOP GDPR PENTRU HR ȘI AGENȚII DE RECRUTARE

 

În urma succesului înregistrat în edițiile precedente, GDPR Ready ACADEMY și iBusinesss România orgnizează o nouă sesiune de workshopuri dedicate implicțiilor GDPR în ecosisremul Resurselor Umane.

 Astfel, pe 4 iulie vă invităm să participați la sesiunea de instruire: ” Provocări GDPR pentru departamentele de HR și Agențiile de Recrutare”.

Locație: Casa Filipescu – Cesianu, Calea Victoriei nr. 151 (colt cu str. Sevastopol, la 2 min. de stația de metrou Victoriei)

Durata: 6 ore

Preț 350 RON

Pentru înregistrare intrați pe site-ul:

https://ibusinessevents.ro/curs-gdpr-pentru-departamentele-de-resurse-umane-si-agentiile-de-recrutare/

 

De ce e nevoie să ne aliniem la GDPR în Recrutare și Resurse Umane?

Orice specialist angrenat în activități de recrutare și administrare a resurselor umane trebuie să înțeleagă importanța noului Regulament EU 2016/ 679 pentru activitățile curente și trebuie să adopte toate măsurile necesare pentru asigurarea alinierii serviciilor oferite cu prevederile GDPR. Tratarea superficială a acestor probleme poate genera situații nedorite prin care renumele organizației și credibilitatea în relațiile de business pot fi serios afectate, pe lângă posibilele sancțiuni de ordin financiar.

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. Există o serie de industrii în care operațiunile curente de prelucrare a  datelor cu caracter personal (financiar – bancar, asigurări, IT&C, telecom, media, etc.) necesită o cunoaștere aprofundată a prevederilor noului regulament.

În același timp, în cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Care este  obiectivul workshopului?

Cursul integrează elementele principale ale regimului juridic privind protecția datelor cu caracter personal, atât prin prisma legislației dreptului intern cât şi al dreptului UE, având în centrul său Regulamentul General UE privind protecția datelor cu numărul 679/2016 dar şi cu legislația specifică  activității de muncă (Codul Muncii).

Din perspectiva proceselor de business, orice companie poate să joace atât rol de operator, cât și de procesator de date personale. Indiferent de profilul activităților principale dintr-o companie, departamentul de resurse umane joacă întotdeauna un rol de operator prin funcția specifică de administrare a tuturor datelor personale ale angajaților, candidaților și foștilor angajați.

Cursul abordează toate activitățile specifice specialiștilor în recrutare de personal și de administrare a resurselor umane dintr-o organizație sau dintr-o agenție care deservește mai multe companii, analizate  din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate de situațiile reale.

Cui ne adresăm?

Acest pachet de instruire a fost gândit pentru specialiștii în recrutare de personal și administrare a resurselor umane din departamentele HR sau agenții specializate, precum și personalului care se ocupă de serviciile auxiliare legate de administrarea angajaților, precum specialiști în pontaje și plăți de salarii, evaluatori de bonificații, inspectori de protecția muncii și medicina muncii, cabinete medicale de întreprindere și administratori.

 Ce subiecte vom aborda

 Workshopul este structurat în 4 secțiuni cu o durată totală de 6 ore – inclusiv pauzele: 

  1. Efectul disruptiv al GDPR – 10 elemente cheie care diferențiază GDPR de legislația actuală – 1 oră
  2. GDPR pentru toți – aspecte esențiale ale GDPR care trebuie cunoscute de toți cei care sunt implicați în activități de prelucrare de date cu caracter personal. 5 ore
  3. Provocări specifice GDPR pentru activitățile de recrutare și resurse umane: ce facem cu CV-urile tuturor aplicaților la o poziție, care este relația recrutare – angajare, cum se procesează și administrează bazele de date ale angajaților și dosarele ce conțin documente pe suport de hârtie, cum pot fi minimizate și anonimizate datele angajaților, ce măsuri elementare de securitate trebuie să păstrăm pentru procesarea și salvarea fișierelor cu date personale, cum comunicăm în siguranță cu partenerii de procesare a datelor precum agențiile partenere, solicităm consimțământul angajaților pentru situațiile în care nu avem un alt temei legal, cum administrăm datele personale cu caracter special –  2 ore
  4. Discuții pe cazuri reale și autoevaluarea cunoștințelor acumulate laworkshop – 1 oră.

5 beneficii esențiale pentru participanți 

  1. Însușirea cunoștințelor esențiale despre GDPR
  2. Discutarea și înțelegerea problemelor cheie pentru specificul activităților de recrutare și administrare a resurselor umane
  3. Kit Materiale suport
  4. Diplomă participare workshop
  5. Self Assessment – Evaluare nivel de pregătire GDPR

PARTICIPAȚI LA WORKSHOPUL GDPR READY ACADEMY ȘI VEȚI PUTEA RĂSPUNDE CELOR MAI DIVERSE PROVOCĂRI RIDICATE DE PROBLEMA PROTECȚIEI DATELORR PERSONALE ÎN RECRUTARE ȘI RESURSE UMANE

 

MAI AVEM NEVOIE DE CĂRȚI DE VIZITĂ SAU LE ARUNCĂM?

Unul dintre cele mai discutate subiecte în această perioadă este modul în care se aplică noul regulament european în relațiile curente de afaceri. De ce am avea nevoie de consimțământul unor oameni cu care suntem de ani buni în relații de afaceri pentru a le trimite e-mailuri? Multe dintre datele partenerilor sau clienților noștri sunt publice pe site-urile de companie sau pe cărțile de vizită pe care ni le dau. Și multe alte întrebări legate de necesitatea atâtor măsuri de precauție și proceduri…

Realitatea este că GDPR nu aplică datelor personale din zona de business un regim preferențial față de zona de retail… Toate datele B2B și B2C sunt la fel de importante și în consecință trebuie să avem egală responsabilitate față de ele. Desigur, că în interpretarea diferitelor articole și preambuluri din Regulamentul 679/ 2016 precum și în ghidurile de aplicare emise de Grupul de Lucru Articolul 29, de multe ori apare o oarecare îngăduință pentru tot ce ține de zona B2B, pe care foarte mulți o consideră destul de eronat în afara obiectivului și domeniului de aplicare material definite încă din primele 2 articole ale GDPR.

Definiția datelor personale din Art. 4 GDPR relevă faptul că orice date de identificare direct sau indirect identificabile reprezintă date personale. Adresa de email în care apare cel puțin o componentă a numelui, telefonul de servici, adresa locului de muncă și alte informații care pot conduce la stabilirea identității profesionale a unei persoane constituie date personale, cu egală valoare individuală cu cele legate de telefon, email și adresă personală.

Cărțile de vizită au menirea de a facilita comunicarea. Dacă sunt folosite corect, ele nu fac decât să  putem avea acces mai ușor la datele de contact ale unui reprezentant al companiei care ne interesează. Căci de multe ori vizăm compania și implicit persoana de legătură care corespunde cel mai bine intereselor noastre.

Există o serie de false mituri care sunt atribuite relațiilor B2B și care pleacă în principal de la cazurile care solicită sau nu prezența unui consimțământ, în special în comunicarea directă prin e-mail. Dar dacă citim cu atenție Art. 6 GDPR referitor la Legalitatea prelucrării, vom vedea că obținerea consimțământului nu este singurul temei legal și că în zona relațiilor de afaceri existența unor condiții contractuale sau interesul legitim dictat de profilul de business constituie în marea majoritate a cazurilor suficiente garanții pentru continuitatea în business și derularea unor acorduri B2B comune.

Din perspectiva transparenței, cărțile de vizită pe care le schimbăm în activitățile noastre cotidiene conțin surse de date personale asupra cărora trebuie să ne concentrăm în egală măsură atenția. Oricine ne dă o carte de vizită nu numai că își dă acceptul, dar are și toate motivele să spere că vom folosi acele date pentru dezvoltarea de activități ulterioare reciproc avantajoase. E greu de crezut că cineva care ne-a dat datele sale de business ne va refuza vreodată comunicarea sau va protesta pe motive legate de încălcarea drepturilor la viață privată…   Și asta e valabil evident pentru cei cu care avem interese comune de business.

Cei cu experiență în marketing și vânzări știu și că datele de business sunt și foarte perisabile, în sensul în care multe dintre contactele actuale, peste trei-patru luni nu mai sunt valabile și trebuie făcute eforturi consistente pentru actualizarea sistematică a informațiilor de contact. Trebuie să avem permanent în vedere că toate acestea sunt valabile doar pentru relațiile de business directe. De oricâte ori ajungem în posesia unei baze de date cu adrese de servici prin metode indirecte, avem datoria de a anunța persoanele respective care este sursa de proveniență a acestor date și în ce scop le contactăm, conform Art. 14 din GDPR. Acesta este și cazul în care cărțile de vizită ne parvin pe căi indirecte, fie de la un coleg, fie prin colectarea acestora din surse neutre – standuri de târguri și expoziții, participanți la evenimente, etc.

În concluzie, ar merita să mai păstrăm cărțile de vizită dacă știm ce să facem cu ele… Adică să le folosim cu corectitudine, doar pentru scopuri de business. Deși în marea majoritate a cazurilor datele B2B nu sunt atât de critice fiind limitate la date de contact – de multe ori publice, asta nu înseamnă că nu trebuie să avem grijă de ele…

Articol publicat în revista IT Trends Mai 2018

Aplicarea regulamentului GDPR pentru departamentele de HR şi firmele de recrutare

Dana Cristina MATACHE 

 

Dana Cristina Matache este Avocat corporate cu experiență multisectorială, specializată în Protecția Datelor cu Caracter Personal, membră a Baroului București din anul 2009. În ultimii doi ani, a oferit asistență juridică și servicii de reprezentare în instanță unei bănci importante în a face față unui val de litigii. Anterior, a asistat o companie din domeniul petrolier cu scopul gestionării unui volum de litigii de muncă fără precedent.

 

În sfârșit, a venit și a și trecut ziua de 25 mai 2018 și Regulamentul este aplicabil. Regulamentul se aplică atât asupra departamentelor de HR din cadrul Companiilor cât şi asupra firmelor de recrutare. Voi analiza pe scurt câteva aspecte aplicate din perspectiva noului Regulament în domeniul relațiilor de muncă şi procedura de recrutare.

Resurse Umane (Human Resources/HR)

Noul Regulament impune obligații stringente care se vor aplica Companiilor în raporturile de muncă. Companiile sunt obligate să comunice angajaților/salariaților printr-o notificare faptul ca datele deținute sunt confidențiale, care sunt datele cu caracter personal pe care Compania le deține, care este scopul şi temeiul juridic în baza căruia se procesează datele cu caracter personal, care este perioada de retenție a datelor cu caracter personal și dacă există un transfer de date cu caracter personal în afara României.

De asemenea, conform art. 13 din Regulament, angajații/salariații trebuie să cunoască faptul că au dreptul de a solicita Companiilor accesarea şi modificarea datelor cu caracter personal. În situația în care Compania are numit un DPO (Persoana Responsabilă cu Protecția Datelor cu Caracter Personal), angajații au dreptul să cunoască datele de contact ale acestuia. O obligație în plus care aparține Companiilor este de a se asigura că au informat angajații că în situația în care un drept al acestora a fost încălcat se pot adresa cu o sesizare către A.N.S.P.D.C.P sau chiar în instanță.

Firmele de Recrutare – procesul de recrutare

Un aspect care trebuie luat în considerare și care nu trebuie să fie neglijat în domeniul recrutării este cel cu privire la perioada de stocare a datelor și obținerea consimțământului din partea candidaților sau a potențialilor candidați. Ce se întâmpla cu datele personale aflate în C.V. dacă procesul de recrutare nu se finalizează cu obținerea jobului pentru care candidatul a aplicat? Recomandat este ca datele personale ale candidatului din C.V.-ul care nu a fost acceptat pentru poziția deschisă sa fie stocate până la închiderea poziției. Este bine cunoscut faptul ca bazele de date ale companiilor de recrutare dețin C.V.-uri ale candidaților care au aplicat pentru anumite joburi și care au intrat in procesul de recrutare, sau care nici măcar nu au ajuns să intre în acest proces.

Din dorința de a deține

  1. a) o bază de date cu diferite profiluri cât mai numeroasă și
  2. b) de a obține un consimțământ cât mai compliant (sic!) din partea candidaților ale căror date personale sunt astăzi stocate în campaniile de re-consent, recomand firmelor de recrutare stabilirea unor reguli. Regulile stabilite trebuie comunicate candidaților pentru a le da posibilitatea de a-și exercita dreptul la opoziție privind stocarea/prelucrarea datelor cu caracter personal.

Un prim set de recomandări către firmele de recrutare ar fi:

  1. să își stabilească a priori un număr maxim de mesaje transmise persoane vizate/ candidat în campania de re-consent; iar
  2. absența unui răspuns din partea persoanei vizate reprezintă zero informație, chiar dacă este contrar așteptărilor și interesului firmelor de recrutare.

În situația în care o persoană vizată/candidat solicită ștergerea datelor sale cu caracter personal din baza de date a firmei de recrutare, am fi tentați sa facem aplicarea art.17 din Regulament, respectiv firma de recrutare să procedeze la ștergerea informațiilor din baza de date fără întârzieri nejustificate, în același timp trebuie să consideram și cazurile în care candidatul este plasat la client și reprezintă justificarea facturării onorariului recrutorului.

Concluzionând, Companiile si firmele de recrutare sunt obligate să respecte drepturile și libertățile persoanelor ale căror date cu caracter personal le procesează, urmând ca pe parcursul acestui proces să fie transparente și să acționeze conform dispozițiilor din noul Regulament devenit aplicabil.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 50-51. 

A APĂRUT EDIȚIA A TREIA A CATALOGULUI GDPR

 

 

 

Trustul de presă AGORA Group și inițiativa publică GDPR READY anunță publicarea celei de-a treia ediții a Catalogului GDPR – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Actuala ediție a Catalogului GDPR este dedicată soluțiilor specific pentru diferite epartamentesau verticale industriale.

 

 

 

Ceea ce se întâmplă la aproape o lună după intrarea în vigoare a noului Regulament EU 2016/ 679 demonstrează că piața românească nu este încă pregătită pentru importanța momentului. Departamentele de HR nu sunt conștiente de rolul lor de operator de date senzitive. Oamenii de marketing nu știu ce să facă cu vechile baze de date. Forțele de vânzări nu sunt instruite pentru introducerea prospecților în CRM.  Foarte puține contracte conțin clauze explicite de confidențialitate a datelor personale. Majoritatea site-urilor comerciale condiționează consimțământul clienților de accesul la conținut. Firmele mici habar nu au ce e de făcut.

Câteva constatări după momentul 25 mai:

  • Inexistența unei Politici elementare de IT la nivelul unor organizații mijlocii și mari. Chiar și acolo unde există niște norme interne, acestea nu se aplica.
  • O mare harababură privind procesarea, păstrarea și transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților.
  • Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază și se aplică șabloane culese de pe site-uri, fără a se înțelege esența principiilor GDPR.
  • Lipsa de interes a unor manageri de departamente – altele decât HR, FINANCIAR, Juridic, IT – care cred ca ei nu au nicio responsabilitate și că e treaba altora să își bata capul cu asta…
  • Inexistența unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea și transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele lor în business, închistați fiind de necunoaștere, neînțelegere si preluarea inadecvată a unor “sfaturi de bine”. ”GDPR nu e pentru noi”, ”Nimeni nu e fericit cu GDPR-ul acesta” sau ”Suntem prea mici ca să ni se întâmple ceva” sunt expresii des întâlnite în piață.

Prin ”GHIDUL GDPR PE VERTICALE” vrem să vă oferim câteva elemente despre activitățile concrete pe care trebuie să le abordăm în funcție de problemele specifice și provocările cu care se confruntă departamentele cheie dintr-o companie, precum resursele umane, marketingul și vânzările,  de la maparea proceselor de business și a datelor, la analizele de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație.

>> CITIȚI AICI CATALOGUL GDPR ONLINE!

Printre subiectele abordate în cadrul acestui Ghid sub forma a 25 de întrebări și răspunsuri despre B2B, IMM, HR, Marketing, Data Centere, Distribuție, ISO 27001 și Cultura GDPR pot fi menționate:

  • Ce înseamnă GDPR pentru B2B
  • Ce trebuie să facă o companie IMM pentru asigurarea conformității
  • Importanța GDPR pentru resursele umane și administrarea relațiilor cu angajații
  • Care sunt fluxurile de date în ecosistemele HR
  • Provocări pentru marketingul direct sub GDPR
  • Elemente de referință pentru o nouă strategie de marketing
  • Cum scăpăm de miturile legate de obligativitatea consimțământului
  • Impactul GDPR asupra furnizorilor de servicii datacenter și Cloud
  • Cum ne ajută standardul ISO27001 la implementarea mai ușoară a GDPR
  • Care sunt noile reguli privitoare la supravegherea video
  • Cultura GDPR și importanța pentru păstrarea conformității pe termen lung.

Ca și la edițiile anterioare, Ghidul este însoțit de recomandările unor specialiști din diferite domenii, care în actualul ghid vorbesc despre:

  • Dana Cristina MATACHE –”Aplicarea GDPR pentru departamentele de resurse umane și recrutare”
  • Tudor GALOS -”Cei 7 ani de acasă în politica de Cookies
  • Anca CRAHMALIUC –”Despre GDPR și respectul pentru interlocutor
  • Iulian MATACHE –”Provocări aduse de datele cu caracter personal in industria telecom
  • Dan Cristian MATEI –”ISO 27001 – un sprijin real pentru conformitatea  GDPR/RGPD
  • Daniel SUCIU –”Rolul și problemele departamentului IT în implementarea GDPR
  • Ion IORDACHE –”Australia, o țară non-UE conștientizează impactul GDPR asupra mediului său de afaceri

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de tehnologia informației.

Le mulțumim partenerilor de la AXIS Communications, BENTO, BINBOX, High Tech Systems & Software, Romsym Data, Star Storage, Tryamm, Veritas și Zitec pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate în secțiunea GDPR Ready de pe site-ul cloud☁mania
  • Ghidul de orientare rapidădin Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPRdin Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Readype LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

Ca o concluzie la o lună după 25 mai, aș puncta faptul ca dincolo de inexistenta unor tehnologii adecvate care pot rezolva o bună parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frână în adopția GDPR sunt oamenii, care nu sunt învățați sa respecte niște norme și proceduri elementare. Și plecând de la aceasta, nu atingerea unor condiții de conformitate GDPR va fi principala problemă în orice companie, ci păstrarea acestora pe termen lung…

 

V-AȚI NUMIT DEJA UN DPO?

Dacă DA, felicitări! Aveți acum un ghid să vă conducă prin labirinctul procedurilor, proceselor, politicilor, metodologiilor, recomandărilor, normelor, standardeor și reglementărilor menite să ne faciliteze conformitatea GDPR.

Dacă nu ați făcut-o încă, aveți posibilitatea să îl înregisitrați oficial. Autoritatea Națională de Supraveghere a postat pe site Formularul de înregistrare a Responsabilului cu Protecția Datelor Personale (Data Protection Officer – DPO).

Cum procedura de selecție și de numire a acestui personaj important continua să rămână unul dintre cele mai dezbătute subiecte pre și post 25 Mai, vă propun un acces rapid la o serie de articole care au avut ca principal tematică condițiile de numire a ofițerului cu protecția datelor.

GDPR EXPLICITAT (11) – UN PERSONAJ IMPORTANT: DATA PROTECTION OFFICER, Octombrie 2017

CUM POT OBȚINE CERTIFICAREA DPO ÎN ROMÂNIA?Noiembrie 2017

AVEM UN DPO – CUM ÎL CERTIFICĂM?, Ianuarie 2018

Ghidul Grupului de Lucru Articolul 29 privitor la Responsabilul cu protecția datelor poate fi descărcat de aici:

http://www.dataprotection.ro/servlet/ViewDocument?id=1384

 

 

WORKSHOPURI GDPR SPECIALIZATE PENTRU HR ȘI MARKETING

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. În cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Plecând de la cerințele pieței, am inițiat un Program  de Cursuri de formare profesională organizate pe model workshop care se focalizează pe principalele provocări GDPR pentru activități/ departamente/ organizații cu expunere mai ridicată.

Pentru început, GDPR READY ACADEMY vă oferă două categorii de workshopuri dedicate activităților de

  • Resurse Umane & Recrutare
  • Marketing & Vânzări

În zilele de 23 și 24 mai, GDPR Ready ACADEMY și iBusinesss România orgnizează workshopurile tematice:

Provocări GDPR pentru departamentele de HR și Agențiile de Recrutare,  în data de Miercuri, 23 Mai, la DoubleTree by HiltonStrada Nerva Traian nr.3 A, Sector 3, București, 4 secțiuni în 6 ore, pauzele de cafea și masa de prânz incluse, preț – 350 lei, înregistrarea se face la:

https://ibusinessevents.ro/curs-gdpr-pentru-departamentele-de-resurse-umane-si-agentiile-de-recrutare/

Provocări GDPR în Marketing și Vânzări, va avea loc Joi, 24 Mai, aceeași locație, 4 secțiuni în 6 ore, pauzele de cafea si masa de prânz incluse, preț – 350 lei, înregistrarea se face la: https://ibusinessevents.ro/curs-gdpr-in-marketing-vanzari/

Participând la curs, veți înțelege și rezolva toate problemele cheie pentru activitățile specifice departamentelor aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, analizate  din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate din situații reale.

ANGAJAȚII CEL MAI PREȚIOS ASSET AL UNEI COMPANII: HAIDEȚI SĂ LE PROTEJĂM MAI BINE DATELE PERSONALE!

De ce e nevoie să ne aliniem la GDPR în Recrutare și Resurse Umane?

Orice specialist angrenat în activități de recrutare și administrare a resurselor umane trebuie să înțeleagă importanța noului Regulament EU 2016/ 679 pentru activitățile curente și trebuie să adopte toate măsurile necesare pentru asigurarea alinierii serviciilor oferite cu prevederile GDPR. Tratarea superficială a acestor probleme poate genera situații nedorite prin care renumele organizației și credibilitatea în relațiile de business pot fi serios afectate, pe lângă posibilele sancțiuni de ordin financiar.

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. Există o serie de industrii în care operațiunile curente de prelucrare a  datelor cu caracter personal (financiar – bancar, asigurări, IT&C, telecom, media, etc.) necesită o cunoaștere aprofundată a prevederilor noului regulament.

În același timp, în cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Care este  obiectivul workshopului?

Cursul integrează elementele principale ale regimului juridic privind protecția datelor cu caracter personal, atât prin prisma legislației dreptului intern cât şi al dreptului UE, având în centrul său Regulamentul General UE privind protecția datelor cu numărul 679/2016 dar şi cu legislația specifică  activității de muncă (Codul Muncii).

Din perspectiva proceselor de business, orice companie poate să joace atât rol de operator, cât și de procesator de date personale. Indiferent de profilul activităților principale dintr-o companie, departamentul de resurse umane joacă întotdeauna un rol de operator prin funcția specifică de administrare a tuturor datelor personale ale angajaților, candidaților și foștilor angajați.

Cursul abordează toate activitățile specifice specialiștilor în recrutare de personal și de administrare a resurselor umane dintr-o organizație sau dintr-o agenție care deservește mai multe companii, analizate  din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate de situațiile reale.

Cui ne adresăm?

Acest pachet de instruire a fost gândit pentru specialiștii în recrutare de personal și administrare a resurselor umane din departamentele HR sau agenții specializate, precum și personalului care se ocupă de serviciile auxiliare legate de administrarea angajaților, precum specialiști în pontaje și plăți de salarii, evaluatori de bonificații, inspectori de protecția muncii și medicina muncii, cabinete medicale de întreprindere și administratori.

 Ce subiecte vom aborda

 Workshopul este structurat în 4 secțiuni cu o durată totală de 6 ore – inclusiv pauzele: 

  1. Efectul disruptiv al GDPR – 10 elemente cheie care diferențiază GDPR de legislația actuală – 1 oră
  2. GDPR pentru toți – aspect esențiale ale GDPR care trebuie cunoscute de toți cei care sunt implicați în activități de prelucrare de date cu caracter personal. 5 ore
  3. Provocări specifice GDPR pentru activitățile de recrutare și resurse umane: ce facem cu CV-urile tuturor aplicaților la o poziție, care este relația recrutare – angajare, cum se procesează și administrează bazele de date ale angajaților și dosarele ce conțin documente pe suport de hârtie, cum pot fi minimizate și anonimizate datele angajaților, ce măsuri elementare de securitate trebuie să păstrăm pentru procesarea și salvarea fișierelor cu date personale, cum comunicăm în siguranță cu partenerii de procesare a datelor precum agențiile partenere, solicităm consimțământul angajaților pentru situațiile în care nu avem un alt temei legal, cum administrăm datele personale cu caracter special –  2 ore
  4. Discuții pe cazuri reale și autoevaluarea cunoștințelor acumulate la workshop – 1 oră.

Care sunt cele 5 beneficii ale participanților 

  1. Însușirea cunoștințelor esențiale despre GDPR
  2. Discutarea și înțelegerea problemelor cheie pentru specificul activităților de recrutare și administrare a resurselor umane
  3. Kit Materiale suport
  4. Diplomă participare workshop
  5. Self Assessment – Evaluare nivel de pregătire GDPR

PARTICIPAȚI LA WORKSHOPUL GDPR READY ACADEMY ȘI VEȚI PUTEA RĂSPUNDE CELOR MAI DIVERSE PROVOCĂRI RIDICATE DE PROBLEMA PROTECȚIEI DATELORR PERSONALE ÎN RECRUTARE ȘI RESURSE UMANE

 

EXISTĂ MARKETING ȘI DUPĂ GDPR: SERVICII DE ÎNCREDERE ȘI DE CALITATE CRESCUTĂ

De ce e nevoie să ne aliniem la GDPR în marketing și vânzări

Orice agenție sau departament de marketing și vânzări trebuie să înțeleagă importanța noului Regulament 2016/ 679 pentru activitățile curente și trebuie să adopte toate măsurile necesare pentru asigurarea alinierii serviciilor oferite cu prevederile GDPR. Tratarea superficială a acestor probleme poate genera situații nedorite prin care renumele organizației și credibilitatea în relațiile de business pot fi serios afectate, pe lângă posibilele sancțiuni de ordin financiar.

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. Există o serie de industrii în care operațiunile curente de prelucrare a  datelor cu caracter personal (financiar – bancar, asigurări, IT&C, telecom, media, etc.) necesită o cunoaștere aprofundată a prevederilor noului regulament.

În același timp, în cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Care este  obiectivul workshopului?

Cursul integrează elementele principale ale regimului juridic privind protecția datelor cu caracter personal, atât prin prisma legislației dreptului intern cât şi al dreptului UE, având în centrul său Regulamentul General UE privind protecția datelor cu numărul 679/2016 dar şi o legislație specială, care trebuie privită ca un sistem interdependent cunoscută sub numele de ePrivacy.

Cursul abordează toate activitățile specifice departamentelor  de marketing – vânzări din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate de situațiile reale.

Cui ne adresăm?

Acest pachet de instruire a fost gândit pentru specialiștii cu funcții manageriale în departamentele de marketing și vânzări: directori de vânzări, account manageri, agenți de teren, directori de marketing, manageri de comunicare, specialiști în relații publice, administratori site-uri comerț electronic, manageri de produs, manageri pentru relația cu partenerii, manageri de servicii de relații cu clienții, etc.

Ce subiecte vom aborda?

 Workshopul este structurat în 4 secțiuni cu o durată totală de 6 ore – inclusiv pauzele:

 Efectul disruptiv al GDPR – 10 elemente cheie care diferențiază GDPR de legislația actuală – 1 oră

  1. GDPR pentru toți – aspect esențiale ale GDPR care trebuie cunoscute de toți cei care sunt implicați în activități de prelucrare de date cu caracter personal. 5 ore
  2. Provocări specifice GDPR pentru departamentele de marketing și vânzări: ce facem cu vechile baze de date de clienți, ce trebuie să conțină notele de confidențialitate de pe paginile Web, portaluri pentru parteneri și clienți, cum putem asigura punerea în practică a principiilor GDPR, cum putem derula campanii media și activități de marketing direct, care sunt limitările asociate transferului internațional de date personale, cum putem realiza liste de prospecți și cum putem actualiza conturile vechi, asemănări și contradicții între GDPR și ePrivacy – 2 ore
  3. Discuții pe cazuri reale și autoevaluarea cunoștințelor acumulate la workshop – 1 oră.

5 beneficii ale participanților 

  1. Însușirea cunoștințelor esențiale despre GDPR
  2. Discutarea și înțelegerea problemelor cheie pentru specificul activităților de marketing și vânzări
  3. Kit Materiale suport
  4. Diplomă participare workshop
  5. Self Assessment – Evaluare nivel de pregătire GDPR

PARTICIPAȚI LA WORKSHOPUL GDPR READY ACADEMY ȘI VEȚI PUTEA RĂSPUNDE CELOR MAI DIVERSE PROVOCĂRI RIDICATE DE PROBLEMA PROTECȚIEI DATELOR PERSONALE ÎN MARKETING ȘI VÂNZĂRI

FENOMENUL GDPR

Yugo NEUMORNI

Yugo Neumorni, CISA, EMBA este membru în Boardul asociației paneuropene EuroCIO și Chairman al Cybersecurity Council al EuroCIO. Este de asemenea președintele asociației CIO Council Romania, membru în British Computer Society Elite și Director IT al Hidroelectrica. A contribuit din poziția de CIO la ieșirea din insolvență a companiei Hidroelectrica și la transformarea în cea mai profitabilă companie din România. A coordonat cu succes implementarea unui proiect ERP complex pentru Hidroelectrica (300 utilizatori, 12 module) care a fost premiat cu Gold Winner in competiția SAP Quality Awards 2017 în categoria Fast Delivery. Anterior, Yugo a fost peste 10 ani Head of IT pentru Vimetco, cel mai mare producător de aluminiu din Europa de Sud-Est și peste 6 ani IT Manager în cadrul Deloitte Central Europe. Cu peste 24 de ani de experiență în industria IT, Yugo Neumorni este specializat în reorganizarea și dezvoltarea ecosistemelor IT din zona industrială și de manufacturing. Aria sa de expertiză include implementarea și dezvoltarea de proiecte ERP complexe, securitate IT și cybersecurity, sisteme SCADA și industrial control systems, IT audit și IT governance, modelare de procese în energie și manufacturing, COBIT framework. Este absolvent al Facultății de Automatizări și Calculatoare al Universităţii Politehnice Bucureşti și al programului EMBA de doi ani derulat în parteneriat de Asebuss și Kennesaw State University.

Practic de acum încolo toţi oamenii trebuie să gândească și să opereze zilnic în termenii GDPR, atât din perspectiva responsabilităţii ca angajat, dar și ca beneficiar în viaţa privată. Fenomenul GDPR apare într-un moment în care societatea s-a săturat de nenumăratele „accidente” prin care baze de date cu informații confidențiale ajung să circule liber în Internet, eliberate în mod voit, accidental sau sustrase prin atacuri de natura cibernetică.

Companii multinaționale de renume din toate sectoarele economice, alături de structuri din sectorul public sau de apărare, și-au văzut penetrate sistemele de securitate IT, având ca rezultat pierderea a sute de milioane de date medicale, financiare și alte informații cu caracter personal. Profilarea automată a persoanelor direct din instrumentele online sau prin rețelele sociale, agresivitatea vânzătorilor online și a departamentelor de marketing au devenit intens abuzive și constituie deja o intruziune nepermisă în viața privată a cetățeanului. Toate acestea au făcut ca societatea să ceară imperativ un control solid al operatorilor de date cu caracter personal și o schimbare de mentalitate asupra protecției datelor.

Interesant este că, deși legislațiile naționale dar și cea europeană aflate în vigoare acoperă de ani buni protecția datelor cu caracter personal, ele nu au fost popularizate și promovate până acum, rămânând practic necunoscute marelui public. Comasarea majorității actelor normative într-un singur regulament, optimizarea acestuia și promovarea ca directive europeană, dar mai ales creșterea considerabilă a cuantumului penalităților au făcut ca acest regulament GDPR să ajungă acum prioritate zero pentru companii.

Aplicarea regulamentului GDPR presupune schimbarea mentalității asupra protecției datelor, atât în companii, cât și în societate, în general. Ea implică cel puțin o procedurizare serioasă a proceselor de afaceri iar în multe situații o modificare substanțială a acestora. GDPR nu este un proces care se închide la 25 Mai ci, din contra, este un demers continuu care va modifica procesele operaționale ale companiilor. Practic de acum încolo toți oamenii trebuie să gândească și să opereze zilnic în termenii GDPR, atât din perspectiva responsabilității ca angajat, dar și ca beneficiar în viața privată.

În organizațiile insuficient de mature aplicarea GDPR este percepută în mod eronat ca fiind o responsabilitate a CIO când aceasta aparține, în realitate, Board-ului. La întreținerea acestei false percepții au contribuit din păcate și firmele de IT, care au văzut fenomenul GDPR ca o oportunitate de a vinde soluții de securitate IT.

Din perspectiva CIO, fenomenul GDPR aduce o mare provocare profesională și mult stres, dar și un sprijin și o argumentație în plus la constituirea bugetelor IT. Se știe de ani de zile despre dificultatea de „a vinde” securitatea IT către Board, mai ales în contextual în care operațiunile IT au fost mai mereu „pe verde”. Executivii nu acceptă cu ușurință nevoia de securitate IT în principal, pentru că este un element oarecum intangibil, și cu impact negativ în P&L. Regulamentul GDPR pune în mâna CIO, prin intermediul DPO, suficiente argumente pentru o bugetare corectă în domeniul securității IT și a protecției datelor personale.

GDPR este un fenomen eminamente pozitiv pentru societate, care deschide noi oportunități pentru „data protection officers”. Simultan directorii și departamentele IT se repoziționează și primesc un mare balon de oxigen în evanghelizarea nevoii de securitate IT și de protecție a datelor. Privită din anumite unghiuri însă, o interpretare excesivă și abuzivă a GDPR, în lipsa unor norme de aplicare clare, poate conduce la dereglarea mediului economic.

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. a 8-a, București, martie 2018, pag. 54-55. 

Cu ocazia celei de-a șasea Conferințe Naționale CIO Council Romania care va avea loc pe 16 mai, Yugo Neumorni va modera atît sesiunea principală din deschiderea evenimentului, cât și alte sesiuni cu subiecte deosebit de importante. 

Protecția și libera circulație a datelor personale într-o lume tot mai conectată

Avem nevoie de o cultură în protecția informațiilor, fie că este vorba de securitate cibernetică ca termen general sau de datele personale în perspectiva GDPR.  Acesta a fost principala concluzie a conferinței de Securitate cibernetică din 2018, organizată de iBusiness România și Agora Group pe 22 martie cu sprijinul Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor, Asociației Naționale pentru Securitatea Sistemelor Informatice (ANSSI) și DB Connect.

Cea de-a 4-a ediție a conferinței ”Provocările securității cibernetice într-o lume interconectată: politici, business-uri, strategii” s-a derulat de altfel sub semnul marelui eveniment din acest an: începerea aplicării prevederilor Regulamentului european pentru protecție datelor personale. Nu a fost prezentare pe toată durata conferinței fără să nu aibă măcar un slide despre GDPR…

Ediția din acest an a Forumului economic mondial de la Davos a acordat o atenție specială tehnologiilor emergente și pe impactul pe care acestea îl au asupra societăților, modelelor economice și sociale și în cele din urmă asupra “viitorului comun” într-o piață globală. Pe măsură ce tehnologiile evoluează, problemele de securitate cibernetică sunt deja parte din fiecare segment al vieților noastre, al activității noastre, a ambientului nostru social.

Ca răspuns la această formidabilă dinamică a adoptării inovației tehnologice s-a simțit nevoia unei armonizări și în zona legislativă, unde protecția și mai ales confidențialitatea datelor personale se lovește de la o zi la alta de noi provocări, generate pe de o parte de tehnologie, și pe de altă parte de lipsa de pregătire a oamenilor în asimilare acestor tehnologii.

Evenimentul a fost structurat în două sesiuni care au abordat:

  • Politicile de securitate cibernetică în contextul alianțelor internaționale din care România face parte – un panel de discuții la care au participat importanți reprezentanți ai sectorului public, apărare, SRI, entități guvernamentale răspunzătoare cu politicile de securitate cibernetică, precum și specialiști din sectorul privat.
  • Securitate cibernetică, cele mai bune practici și soluții în contextul mai amplu al adoptării GDPR și al implementării tehnologiilor emergente – secțiune unde am discutat nu numai despre valențele de Securitate a datelor din GDPR dar și despre importanța factorului uman și a existenței unui cadru legal care să ne ajute să asimilăm protecția datelor personale ca pe orice normă de muncă, spre binele organizației.

Datorită formidabilului impact pe care GDPR îl generează nu numai în mediile de business, cam toate prezentările din prima sesiune au făcut referire la necesitatea ca eforturile de aliniere la GDPR și portofoliul de norme generate și adoptate să contribuie la o reală educație în protecția tuturor datelor și reducerea vulnerabilităților datorate lipsei de pregătire a personalului. Astfel, Alexandru Groșeanu, președinte al Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor s-a referit la vulnerabilitățile de securitate cibernetică specifice sectorului public, unde se impune mai mult ca oriunde crearea unei culturi la nivelul utilizatorilor.

În prezentarea Human Point System, Nick Nicolaescu – country manager la Forcepoint s-a referit la cel mai recent concept al companiei, în care component umană este cheia securității cibernetice, fiind zona de intersecție dintre utilizatori, date și rețele, prin intermediul sistemelor IT, în Cloud și pe fiecare dispozitiv. Pentru a înțelege ritmul oamenilor și al fluxurilor de date, este nevoie de informații în timp real care să analizeze comportamentele riscante ale utilizatorilor neinstruiți sau rău-intenționați. Adică un sistem care permite luarea rapidă și eficientă a deciziilor de comportament și remedierea amenințărilor.

Unul dintre domeniile în care protecția datelor personale este deosebit de senzitivă este cel al sănătății. Daniel Nistor – CEO al companiei Info World a abordat câteva dintre provocările pe care GDPR le pune în fața instituțiilor publice și private din sectorul medical, unde compania are peste 15 ani de experiență.  Aplicațiile Info Word furnizează informații și instrumente de analiză atât către managementul unităților medicale, personalul administrativ și specialiștii în servicii de sănătate, cât și pacientului, autorității de sănătate publică sau finanțatorilor sistemelor medicale.

Tot în secțiunea dedicată GDPR, Dragoș Bâlcu – Business Development Manager la Intrarom/ Intracom Telecom a discutat despre necesitatea asigurării protecției datelor în orice locație. Indiferent de natura și dotările oricărei rețele securitatea este una dintre cele mai critice entități ce trebuie administrate. Sistemul de management al securității informației dezvoltat de Intracom Telecom are ca principal obiectiv asistarea clienților pentru o cât mai bună înțelegere a poziționării în fluxul de circulație a informației și stabilirea celor mai adecvate măsuri de limitare a riscurilor specifice organizației.

O prezentare deosebit de interesantă a fost susținută de Magda Popescu, ca reprezentantă Cyber Smart Defence, care s-a referit la activitățile de hacking din perspectiva GDPR. În eforturile de aliniere la noul regulament European, orice companie trebuie să își stabilească propria politică de protejare  datelor personale, precum și un plan de administrare a riscurilor care să include și măsurile ce trebuie respectate în cazul semnalării unor breșe de Securitate. Un astfel de plan pe termen lung trebuie să includă și o serie de simulări care generează breșe și urmăresc modul de reacție al celor care răspund de luarea primelor măsuri, care includ și anunțarea Autorității de supraveghere în maximul 72 de ore de la constatare și, în cazul unor breșe grave, chiar anunțarea persoanelor vizate.  Compania Cyber Smart Defence este printre puținele specializate în teste de penetrare a sistemelor informatice care ajută clienții să descopere care sunt zonele vulnerabile din cadrul sistemelor informatice sau care sunt credențialele utilizatorilor autorizați. În plus, se poate  identifica nivelul de acces al utilizatorilor înregistrați ca anonimi, utilizatorilor regulați și al administratorilor de sistem.

O modalitate pragmatică de abordare a unui proiect de implementare GDPR a fost oferită de Răzvan Cioc – Information Security Specialist în cadrul DB Global Technology.  Centrul tehnologic al DB din România dezvoltă soluții software de cel mai înalt nivel pentru operațiunile globale ale Deutsche Bank şi reprezintă o platformă pentru ingineri software cu nivel înalt de pregătire, fiind operațional din 2014. Deutsche Bank este prezentă pe piața din România din anul 1998, oferind produse şi soluții personalizate pentru Corporate, Investment şi Transaction Banking, pentru clienţi corporativi şi instituţionali, precum şi servicii de Private Wealth Management pentru clienţii persoane fizice.

Una dintre cele mai importante componente a oricărui sistem de protecție a datelor personale este zona de stocare a acestora. De felul în care sunt salvate și stocate datele depinde în mare măsură un proiect de implementare GDPR. În deschiderea secțiunii dedicate GDPR am avut prilejul de a vedea cum ne putem crea propriul Server virtual Cloud SSD în doar 29 de secunde.  Serviciile oferite de compania Combridge, componentă a Deutche Telekom Group, fac această operațiune extrem de simplă. Prin accesarea site-ului www.cloude.ro se poate crea un cont de utilizator. Infrastructura de tip Cloud este construită pe cea mai recentă tehnologie Octa Core (8 Core) CPU, ECC RAM și servere SSD Raid, în timp ce virtualizarea KVM oferă capacități extinse de scalabilitate, performanță Enterprise Class și securitate. Panoul de control foarte ușor e utilizat, rețeaua internațională rapidă și infrastructura elastic, fac din tehnologia de virtualizare oferită de Combridge una dintre soluțiile cu cele mai dezvoltate caracteristici, preferată de majoritatea organizațiilor.

Așa cum arătam și în prezentarea mea ”Cultura GDPR ca motor al conformității pe termen lung” din cadrul sesiunii dedicate, pentru crearea unei culturi GDPR companiile trebuie să adopte o abordare proactivă, metodică și responsabilă cu privire la conformitate, o cultură de confidențialitate și de protecție a datelor personale. Dacă vrem ca oamenii să-și schimbe comportamentul, trebuie să-i motivăm să-și dorească să facă acest lucru. Oamenii  trebuie să înțeleagă de ce este important. Pentru că implementarea GDPR nu este un simplu proiect IT. Este un proces complex care implică oameni, proceduri și tehnologii. Din punctul de vedere al factorului uman, alinierea la GDPR este în primul rând un proces de schimbare. Această schimbare este o mare provocare pentru oameni, dacă nu pot să conecteze riscurile de confidențialitate a datelor la propriile roluri și vieți private.

Crearea politicilor necesare pentru implementarea unei culturi GDPR la nivel de organizație constituie unul dintre serviciile oferite în mod curent cliențiilor de către GDPR Ready Services. Pentru a educa eficient personalul și a construi o cultură de GDPR stabilă, trebuie stabilită o politică clară prin care trebuie să:

  • Definim atribuții periodice și punctuale clare pentru toți cei implicați în prelucrarea datelor personale.
  • Realizăm campanii periodice de sensibilizare și cunoaștere
  • Asigurăm conștientizarea confidențialității în noile medii de business sau cu noi angajați.

Organizațiile trebuie să-și schimbe mentalitatea și oamenii de decizie trebuie să fie un exemplu. Succesul unui proiect GDPR pe termen lung se bazează pe crearea unei culturi la nivel de organizație, în care oamenii se gândesc în primul rând la modul în care ar dori ca informațiile lor personale să fie procesate. Companiile trebuie să adopte această atitudine atunci când manipulează datele personale ale clienților, ale angajaților și ale altor subiecți. Nu este vorba doar despre amenințarea cu sancțiuni financiare. Este vorba de continuitate în business și de construirea unei atitudini de încredere.

Cum îl convingem pe director că nu e de glumă cu GDPR?

Primul pas în demararea unui proiect de obținere a conformității GDPR este de înțelegere și conștientizare a importanței noii legislații europene, atât pentru organizația noastră, cât și pentru întreg ecosistemul de business în care suntem angrenați: angajați, furnizori, parteneri, clienți. Care e trista realitate? Cam 60% dintre managerii români se lasă greu convinși…

La nivel de organizație, conștientizarea vizează toți factorii de conducere și departamentele direct implicate în procesarea datelor cu caracter personal. Cei care iau decizii și oamenii cheie din organizație trebuie sa fie conștienți că legea se schimbă în GDPR. Ei au nevoie să aprecieze impactul eventualelor probleme de conformitate în cadrul GDPR. Ar fi util să începem examinând registrul de risc al organizației, dacă avem unul. Implementarea GDPR ar putea avea implicații semnificative asupra resurselor, în special pentru organizațiile mai mari și mai complexe. S-ar putea să descoperiți că este dificil dacă îți lași pregătirile până în ultima clipă…

De ce e importantă Conștientizarea importanței GDPR? Pentru că, deși cele mai multe componente ale GDPR se regăsesc și în legislația actuală, noua reglementare europeană vine cu o serie de noi prevederi care pot schimba dramatic cursul firesc al unui business, în cazul în care nu sunt tratate cu toată considerația.

Cine sunt responsabilii de business interesați de GDPR?

Protecția datelor nu este doar o responsabilitate a departamentului IT, ci trebuie luată în serios la cel mai înalt nivel și în departamentele implicate în procesarea datelor personale, precum cel juridic, resurse umane, financiar, marketing & vânzări, toate acestea în strânsă colaborare cu cel de IT.

Prin natura prevederilor, în orice organizație factorii responsabili de bunul mers al implementării GDPR trebuie să fie reprezentanți de top sau delegați pentru fiecare dintre departamentele. Selecția se face de obicei pe bază de organigramă împreună cu reprezentantul HR și management:

  • Top management – un director executiv sau operațional care coordonează managerial activitatea Grupului de lucru GDPR. De ce e important reprezentantul managerial? Pentru ca acesta trebuie să capaciteze structura de top pentru aprobarea întregului proiect de conformitate: bugete, resurse umane, DPO, operațiuni, etc.
  • HR – un director de resurse umane sau un delegat responsabil de conformitatea administrării datelor personale ale angajaților (actuali, foști și cei în curs de angajare). Indiferent de natura activității companiei, departamentul HR are întotdeauna rol de operator al datelor personale ale angajaților.
  • Financiar-Contabilitate – responsabilități în strânsă legătură cu HR, prin datele despre salarizare, dar și un rol important în stabilirea și gestionarea bugetelor.
  • Departamentul juridic – ”oamenii legii” din companie sunt primii care trebuie sa asigure generarea și coerența activităților legate de adoptarea unui plan de acțiune, în acord cu legislația. Juriștii trebuie să explice legea tuturor departamentelor implicate și trebuie să supervizeze actualizarea contractelor de angajare sau a fișelor de post în concordanță cu prevederile GDPR, dar și cu legislația muncii. Juridicul are un rol important și în situația apariției incidentelor, gestionând relațiile legislative ale companiei cu forurile și autoritățile competent
  • Marketing & Sales – un director, reprezentant al departamentului de marketing +/- vânzări. Prin relația directă cu clienții și partenerii, departamentul de marketing e direct răspunzător de toate activitățile de promovare și CRM, cu tendința către PLM.
  • Departamentul IT – în funcție de mărimea companiei și existența posturilor respective, implică CTO, CIO, CSO și toți membrii care au o certificare legată direct de protecția și securitatea datelor.
  • Departamentul de calitate – pentru companiile care au implementat o certificare sau un standard de calitate. Mulți spun că prin poziția și competențele sale, directorul de calitate – acolo unde există – este cel mai apropiat de poziția de DPO, pentru că știe totul despre companie, organizare, procese de business, fluxuri de date, organigrama, resursele tehnice, etc.
  • Candidatul pentru DPO – acolo unde este cazul, se alege / stabilește dintre membrii acestei echipe, în funcție de nivelul de experiență. Nu este o regulă, dar pentru organizațiile mari se recomandă alegerea unui DPO Adjunct, cu rolul de a prelua coordonarea activităților esențiale în cazul indisponibilității DPO titular.
  • Specialiști externi – din oricare domeniu cu competențe de consultanță și consiliere.

Cum conștientizăm echipa de implementare GDPR?

Există și aici o serie de pași și de proceduri pe care trebuie să le abordăm:

  • Plan coerent de discuții, înțelegere și interpretare a prevederilor GDPR în funcție de profilul și mărimea companiei.
  • Prezentări de conștientizare cu șefi de departamente și la nivelul fiecărui departament direct implicat în procesarea datelor personale.
  • Fiecare membru al echipei de implementare trebuie să înțeleagă rolul său individual și colectiv pentru bunul mers al lucrurilor.

Din păcate, așa cum se poate constata în peisajul nostru actual de business, doar 4 din 10 manageri sunt conștienți de importanța și de impactul GDPR asupra afacerilor pe care le administrează. Cei mai mulți se lasă greu convinși de către un director de resurse umane sau de IT și lasă pe seama acestora responsabilitatea agregării unei echipe sau numirea unui responsabil e proiect. Pe de altă parte, nici în rândul acestor echipe nu există același nivel de implicare. Indiferent de departament, vechime și pregătire, toți membrii echipei de implementare GDPR trebuie să vorbească aceeași limbă și să participe la elaborarea și urmărirea planului comun de acțiune.

Conținutul acestui articol a fost publicat și în ”Ghidul practic GDPR” din cea de-a doua ediție a Catalogului GDPR apărut în martie 2018

Abordarea GDPR prin prisma unei experiențe de 10 ani

Fernanda Velter

Fernanda Velter

Fernanda Velter are o experiență de peste 10 ani în domeniul protecției și securității datelor în cadrul IBM, unde deține la ora actuală funcții de GDPR Readiness Coordinator for Europe CiCs, Security and Privacy Practice Lead, precum și Data Security&Privacy Center of Competency Leader. Opiniile prezentate în acest articol reprezintă recomandările personale, în calitate de specialist GDPR nu reflectă în nicio circumstanță poziția oficială a IBM.

 

Noțiunea de protecție a datelor cu caracter personal nu este nouă în spațiul Uniunii Europene. Aceasta a fost introdusă încă din 1995, prin directiva 95/46/EC.

Ceea ce aduce nou GDPR sunt în primul rând amenzile usturătoare și drepturile mult mai bine definite ale posesorilor de date. Pentru abordarea GDPR, companiile trebuie să implice toate nivelele de management din organizație. O amenda de 20 milioane de EUR sau 4% din cifra de afaceri va afecta întreaga companie, atât din punct de vedere financiar, al imaginii companiei, dar și din punct de vedere al culturii și climatului organizațional.

Departamentul juridic se confruntă prin aceasta lege cu noțiuni și abordări noi ale activităților companiei, și va avea nevoie de suportul tuturor departamentelor: HR, IT, operațional, producție, financiar, marketing, comunicații. Bineînțeles că efortul administrativ va crește pe măsură ce structura companiei, valoarea tranzacțiilor și numărul de angajați crește.

Cele mai multe companii vor avea rolul de operator de date – datorită colectării datelor angajaților, dar și prin activitatea din segmentul business2consumer. Companiile care au acces la date personale operate de clienții lor, în segmentul business2business, vor avea rolul de procesator.

Pentru a respecta obligațiile aferente, atât în rolul de operator, cât și cel de procesator, primul pas ar trebui sa fie reprezentat de identificarea datelor personale la care are acces compania prin diferitele activități, a proceselor prin care acestea sunt accesate/procesate/stocate și a mediilor/aplicațiilor de procesare a datelor. În acest proces trebuie să înțelegem că vorbim nu numai despre datele personale ale angajaților companiei, ci despre orice fel de date personale la care există acces: clienți, subcontractori, chiar și angajați ai autorităților locale.

După acest pas, este indicat să încercam pe cât putem să minimizam cantitatea de date personale la care avem acces (întotdeauna întrebați “de ce este nevoie de acest acces?”) prin implementarea unor metode de mascare (un simplu număr de identificare poate înlocui numele și prenumele angajatului) sau cel mai indicat, metode avansate de anonimizare.

Suntem conștienți că, nu numai din motive legislative, accesul la date personale nu poate fi eliminat total. Companiile trebuie să implementeze procese pentru protejarea acestor date de accesul neautorizat și folosirea în alte scopuri decât cel intenționat. De asemenea, operatorii sunt primar responsabili pentru obținerea acordului subiecților de date pentru colectarea, procesarea si stocarea datelor în condițiile reale în care se realizează aceste activități (de exemplu stocarea datelor se face în cloud, pe un server din Oceanul Atlantic).

Controlorii de asemenea trebuie să se asigure că toți procesatorii și sub-procesatorii (furnizorii procesatorilor, până la ultimul nivel) au procese implementate pentru respectarea obligațiilor impuse de GDPR acestora, așa numitele măsuri tehnice și organizaționale. Este dreptul controlorilor de a audita metodele de implementare ale măsurilor tehnice și organizaționale ale procesatorilor, fie prin departamentul propriu de audit, fie prin auditori externi. Aici intervin din nou costuri, care de acum vor trebui prevăzute în bugetele anuale ale companiilor.

Procesatorii au de asemenea acest drept de audit fata de furnizorii lor și mai mult decât atât, cerințele controlorilor vor trebui implementate până la ultimul nivel de subcontractare, dacă nu sunt asigurate de către primul procesator (de exemplu, semnarea de acorduri de confidențialitate).

Procesatorul trebuie să decidă dacă își va exercita dreptul de audit prin efectuarea lui doar la primul nivel de subcontractare și va accepta din partea acestui nivel o declarație de conformitate, sau va efectua auditul până la ultimul nivel de subcontractare.

În încheiere, un ultim sfat pentru a asigura protejarea companiilor dumneavoastră: nu este de ajuns să faceți un addendum la contractele existente care doar să facă referire la GDPR. Este indicat sa aveți cât mai detaliat descrise categoriile de date la care aveți/dați acces, subiecții de date ale căror date le controlați/procesați, tipurile de activități efectuate cu aceste date și măsurile tehnice și organizatorice care trebuie implementate.

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. A 8-a, București, martie 2018, pag. 64-65. 

Provocările securității cibernetice într-o lume interconectată


 

 

22 martie, DB Connect, Bd. Dimitrie Pompeiu 6A, București

Vă invităm la prima mare conferință de Securitate cibernetică din 2018. Nu întâmplător, anul în care va intra în vigoare noul Regulament European pentru protecția datelor personale (GDPR). Această conferință este organizată de iBusiness România împreună cu Agora Group, cu sprijinul Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor, Asociației Naționale pentru Securitatea Sistemelor Informatice (ANSSI) și DB Connect.

Cea de-a 4-a ediție a conferinței ”Provocările securității cibernetice într-o lume interconectată: politici, business-uri, strategii” se desfășoară Joi 22 Martie la sediul DB Connect din bd. Dimitrie Pompeiu 6A, din București.

Ediția din acest an a Forumului economic mondial de la Davos a acordat o atenție specială tehnologiilor emergente și pe impactul pe care acestea îl au asupra societăților, modelelor economice și sociale și în cele din urmă asupra “viitorului comun” într-o piață globală. Pe măsură ce tehnologiile evoluează, problemele de securitate cibernetică sunt deja parte din fiecare segment al vieților noastre, al activității noastre, a ambientului nostru social.

Atunci când vorbim despre tehnologiile emergente, luăm în considerare unele dintre cele mai populare și răspândite trenduri: IoT, sistemele autonome, industria digitală, Realitatea Virtuală & Augmentată, AI & Robotică, generația viitoare de infrastructuri virtualizate (inclusiv SDN și 5G), tehnologii Cloud și Blockchain, Machine Learning. Un alt factor disruptiv, în tot acest context, îl reprezintă iminenta adopție a Regulamentului General pentru Protecția Datelor (GDPR), care vine cu o serie de provocări majore pentru organizațiile care operează date cu caracter personal.

La conferință vor participa importanți factori de decizie și pe reprezentanții instituțiilor și agențiilor guvernamentale, care vor comenta împreună cu noi provocările, pașii de urmat și soluțiile pentru o lume mai sigură. Evenimentul este dedicat importanței deosebite pe care securitatea cibernetică o joacă în plan politic, economic și social, de la sectorul public (administrații centrale și locale), la organismele guvernamentale, Parlament, organizații de apărare și de informații (ministere, universități etc.), diverse verticale economice (utilități, manufacturare, telco, transport și logistică, energie, sănătate etc.) și până la sectorul privat. Toate aceste entități funcționează pe infrastructuri IT&C ce folosesc aplicații și tehnologii de protecție, politici de Securitate a datelor și de recuperare în caz de dezastru.

Evenimentul este structurat în două sesiuni care vor aborda:

Politicile de securitate cibernetică în contextul alianțelor internaționale din care România face parte – un panel de discuții cu cei mai importanți reprezentanți ai sectorului public, apărare, SRI, entități guvernamentale răspunzătoare cu politicile de securitate cibernetică, precum și reprezentanți ai sectorului privat.

Securitate cibernetică, cele mai bune practici și soluții în contextul mai amplu al adoptării GDPR și al implementării tehnologiilor emergente – secțiune unde vom discuta nu numai despre valențele de Securitate a datelor din GDPR dar și despre importanța factorului uman și a existenței unui cadru leal care să ne ajute să asimilăm protecția datelor personale ca pe orice normă de muncă, spre binele organizației.

Nu uitați să vă înregistrați pe pagina Web a conferinței: https://ibusinessevents.ro/provocarile-securitatii-cibernetice-intr-o-lume-interconectata-politici-business-uri-strategii/

Veniți la Conferință și vom putea discuta despre GDPR și impactul noilor reglementări la nivelul fiecărei organizații!

ÎNREGISTRAȚI-VĂ AICI!

 

Dimensiunea umană a GDPR-ului

Tudor Galoș

Tudor Galoș

Tudor Galoș a fost director de marketing pe consumer la Microsoft România vreme de șase ani și înainte de asta s-a ocupat de business-ul de Windows și Office pe România, Bulgaria și Europa de Sud-Est, fiind responsabil de lansări precum Windows Vista, Windows 7, Windows 10, Office 2003, Office 2007, Office 365 și multe alte produse și servicii. A lucrat cu firme mici, medii și mari din întreaga Europă. Din Septembrie 2017 coordonează propriul său business, Tudor Galos Consulting cu focus pe consultanța de business și management în zona start-up-urilor, a spin-off-urilor și a transformării digitale. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii – modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.

 

GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate.

Observ în ultimele luni o efervescență a subiectului GDPR în presă, în conferințe, în prezentări, pe net, peste tot. Oriunde întorci capul, GDPR. Amenzi uriașe, apocalipsa datelor personale, nu mai poți face nimic, pe toate le-am auzit. Este bântuit spațiul public de mituri, de anti-mituri ce invalidează aceste mituri și care creează alte mituri, de foarte, foarte multă speculă – atât în presupuneri cât și în bani (a explodat piața de consultanți, ce mai). Nu m-aș mira ca dacă deschizi o cutie de acatiste la biserică să găsești acolo câteva pomelnici de ferire de audit GDPR sau să vezi la vrăjitoare în lista de „competențe” pe lângă descântec și scos de argint viu și un „vrajă să te scape de GDPR”.

Toată această efervescență este în jurul amenzilor și a măsurilor organizatorice și de securitate ce trebuie luate. Aproape toți vendorii de tehnologie s-au îmbulzit să creeze metodologii, produse, abordări, recomandări, documente și recomandări – multe utile, multe inutile, multe complet și total greșite (paradoxul face ca mulți din acești vendor să nu implementeze mai nimic legat de GDPR în organizație). Însă foarte puțină lume vorbește de ce este cel mai important într-un proces de conformitate cu niște regulamente: de dimensiunea umană.

Au americanii o expresie: “guns don’t kill people; people do”. Cam așa și aici – poți avea cele mai bune proceduri interne, de securitate, cele mai bune procese, produse, tehnologii implementate, cele mai frumoase documente interne, portaluri, etc că dacă nea Nelu de la operațiuni vrea să scoată niște date personale își va scoate telefonul și își va poza ecranul monitorului trecând peste absolut toate procedurile atent dezvoltate de organizație. De aceea, aici trebuie lucrat cel mai mult. Și paradoxal, aici se lucrează cel mai puțin…

Ca să îți faci angajații și partenerii să accepte conformitatea la GDPR trebuie să îi faci să creadă în GDPR. GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate. Aș face o paralelă aici cu o bancă ce are casete valorice. Clienții vin și își depozitează bunuri în acele casete valorice, iar banca nu poate să facă cu acele casete valorice ce vrea, poate să facă doar ce este lăsată de către clienți. Nu poate cotrobăi prin ele, nu poate scoate, nu le poate strica. Similar și aici, organizația nu „are” date personale, ci este un custode al unor bunuri ale unor oameni. Bunuri pe care le poate procesa în limitele admise de către persoane, fie prin interes legitim, fie prin interes vital, fie prin consimțământ etc. Oamenii își pot retrage oricând aceste bunuri și le pot da altcuiva. Este dreptul lor!

Practic angajații trebuie educați și ei să își exercite drepturile în raport cu alți procesatori – nimănui nu îi place să fie bombardat de spam, nimănui nu îi place să fie sunat la telefon la ore aiurea de ceva call-center fără să existe o justificare obiectivă etc. Fiecare are dreptul să afle ce date ține un operator despre el, inclusiv dacă l-a inclus în categorii jignitoare gen „sărac”, „prost”, „fraier” etc – și da, sunt companii ce de amuzament au inclus aceste categorii prin diverse Excel-uri uitate pe diverse servere. Odată aceste drepturi înțelese oamenii au șansa ca cerând respect, să ofere respect. Să își dea seama chiar ei cât de importante sunt aceste date personale și să înțeleagă vechiul proverb – „ce ție nu-ți place altuia nu-i face”.

Închei spunând că alinierea la GDPR nu este un „one-time project” – oamenii vin și pleacă, vor intra noi angajați, noi parteneri, vor apărea noi oportunități de business – și toate trebuie abordate având respectul pentru datele personale în prim plan. Succes la implementare!

 Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. a 8-a, București, martie 2018, pag. 66-67. 

Portarea datelor în GDPR. Șah mat sau avantaj concurențial?

Andreea LISIEVICI

Andreea LISIEVICI

Andreea este partener la Privacy One, cabinetul specializat în asistenţă juridică în domeniul protecţiei datelor personale şi drept IT. Ea are peste 10 ani de experiență ca avocat în proiecte comerciale, de protecția datelor și de conformitate. A terminat un liceu de informatică și este la curent cu noile tehnologii, ceea ce îi conferă un avantaj deosebit în a înțelege chestiunile tehnice din domeniul protecției datelor. A acordat de-a lungul anilor consultanță unei game largi de clienți în domeniul IT și privacy, cum ar fi cloud computing, securitate cibernetică, publicitate comportamentală, reținerea datelor sau monitorizarea angajaților, și a fost implicată în arbitraje în domeniul IT. Scrie frecvent articole de specialitate și este un trainer și lector experimentat.

Ne-am obișnuit deja să ne portăm numerele de telefon, ne putem porta conturile bancare, iar din mai 2018 vom mai putea porta încă ceva: datele personale prelucrate de operatori.

Regulamentul general privind protecția datelor (Regulamentul 2016/679/UE, pe scurt GDPR) aduce o paletă largă de modificări în ce privește regimul prelucrării datelor personale ale persoanelor din Uniunea Europeană. Între acestea se numără introducerea dreptului la portabilitatea datelor, care, potrivit art. 20 GDPR, are următorul conținut:

(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

        (a) prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera (a) sau al   

         articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1) litera (b);

        (b) prelucrarea este efectuată prin mijloace automate.

(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

(3) Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul.

(4) Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților altora.

Portabilitatea datelor a generat o preocupare ridicată în rândul companiilor a căror activitate este dependentă de gestiunea bazelor de date. Un raport din 2017 arată că portabilitatea datelor apare ca fiind cea mai dificilă obligație de conformitate din cadrul GDPR1. Același raport arată, de asemenea, că respectarea GDPR va fi luată în considerare atunci când o companie selectează un furnizor de servicii cloud, ceea ce înseamnă că această conformitate, și implicit susținerea portabilității datelor, pot deveni un avantaj competitiv.

Portabilitatea vs. dreptul de acces

Dreptul la portabilitatea datelor are ca scop prevenirea blocării persoanelor vizate la un anumit serviciu („lock-in”), și facilitarea mutării datelor de la un furnizor la altul fără restricții în funcție de formatul ales de furnizor. Portabilitatea datelor se aseamănă cu dreptul de acces, care era reglementat și anterior, în sensul că și în temeiul dreptului de acces persoana poate obține o copie a datelor prelucrate. Însă, în vreme ce dreptul de acces privește datele prelucrate indiferent de suport și indiferent de temei, portabilitatea privește numai datele prelucrate în temeiul consimțământului sau executării unui contract, și numai prin mijloace automate. În plus, daca în răspunsul la dreptul de acces operatorii pot da datele în orice format (de exemplu, fișiere .pdf pentru emailuri sau mesaje), portabilitatea este menită să asigure continuitatea serviciului, astfel că datele trebuie portate în formatul lor nativ, care să asigure posibilitatea continuării prelucrării de către operatorul destinatar sau persoana vizată în același mod precum cel anterior portării. În plus, operatorul expeditor trebuie să porteze cât mai multe metadate posibil, pentru a păstra sensul exact al informațiilor schimbate.

Mai merita precizat faptul că portarea datelor este o măsură unică, ea nefiind destinată să asigure interconectarea unor servicii sau fluxul continuu de date – de exemplu, portarea nu este soluția potrivită în cazul in care un utilizator dorește să își primească emailurile dintr-un cont prin intermediul altui cont de la alt furnizor sau daca vrea ca documentele salvate pe o platforma cloud sa fie automat salvate și într-o alta. Mai mult, portarea datelor nu duce in mod automat la încetarea serviciului din care se efectuează portarea. Portarea în GDPR nu este văzută similar cu portarea numerelor de telefon, adică o schimbare totală a furnizorului, ci pur și simplu ca o modalitatea de transfer de date, inclusiv între servicii neechivalente (de exemplu, de la un furnizor de cloud la o soluție de analiză a informaţiilor).

Alocarea rolurilor pentru portarea în cazul serviciilor cloud computing

GDPR lucrează cu câteva concepte principale, între care dualitatea operator-împuternicit. Mai exact, „operatorul” („controller” în engleză) este entitatea care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, în vreme ce „împuternicitul” („processor” în engleză) înseamnă entitatea care prelucrează datele cu caracter personal pentru operator. În cazul particular al serviciilor cloud, pentru alocarea acestor roluri trebuie distins între serviciile cloud B2B și serviciile cloud B2C.

În scenariul B2B, unde clientul serviciului cloud este o companie, datele pe care aceasta le stochează în cloud nu sunt datele personale ale acesteia, ci ale utilizatorii finali ai companiei (fie că sunt angajaţi, clienţi, etc). Clientul va lua decizii privind modul de stocare și prelucrare a datelor, iar furnizorul de servicii cloud va urma doar instrucțiunile. Acest lucru face ca operatorul de date să fie clientul, iar furnizorul de servicii cloud să fie împuternicit.

Nu aceeași este situaţia în scenariul B2C. În cazul în care clientul unui serviciu cloud este o persoană fizică, datele personale ale acesteia sunt prelucrate direct de furnizorul de servicii cloud, care devine operator de date. Distincţia este una importantă, pentru că dreptul la portabilitatea datelor trebuie pus în aplicare numai de către operator. Cu alte cuvinte, acolo unde furnizorul de cloud este împuternicit, el trebuie să evite să intervină în vreun mod în catalogarea datelor, selecţia datelor supuse portării, a modalităţii de portare (dacă există alternative), a timpului, a destinatarului, etc, altfel riscând să fie calificat operator asociat.

În timp ce articolul 20 GDPR nu menționează în mod explicit nicio responsabilitate pentru împuterniciţi, articolul 28 GDPR prevede faptul că operatorii pot contracta numai împuterniciţi „care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în GDPR”. Astfel, furnizorii de cloud pentru firmele care prelucrează în mod direct datele cu caracter personal, vor trebui în mod similar să demonstreze conformarea la GDPR pentru a rămâne competitivi.

Datele care intră în obiectul portării

Art. 20 GDPR precizează faptul că portabilitatea se referă la „datele cu caracter personal care privesc” persoana vizată. Acest lucru a fost interpretat de Grupul de Lucru Art. 29 ca reunind atât datele furnizate cu bună știință și în mod activ de persoana vizată, cât și cele rezultate din observarea activității sale. Cu alte cuvinte, ceea ce nu intră în obiectul dreptului la portarea datelor sunt datele derivate de operator pe baza primelor două, deși și acestea pot fi obţinute de persoana vizată în temeiul dreptului de acces (dar nu pot fi transmise în mod direct altui operator).

În tot cazul, distincţia între aceste trei categorii de date (date furnizate explicit, date observate și date derivate) devina una importantă. Ea poate fi implementată atât prin etichete (tag-uri) care să susţină un proces automatizat de selecţie, dar poate fi inclusă și în registrul operaţiunilor de date întocmit de operator potrivit art. 30. Furnizorul de cloud trebuie însă să fie atent ca, în situaţia în care este împuternicit, să nu decidă el această etichetare, ci doar să pună la dispoziţia clientului său posibilitatea efectuării ei. Furnizorul de cloud împuternicit trebuie să păstreze o abordare neutră, în care el să cunoască cât mai puțin (spre deloc) din datele clienţilor. De altfel, acesta e motivul pentru care registrul operațiunilor ținut de împuterniciți nu trebuie sa includă categoriile de date, ci doar o descriere generala a acestora (art. 30.2.b GDPR).

Metode de a efectua portarea datelor în cazul serviciilor cloud

Articolul 20 GDPR nu impune o formă sau o metodă pentru portarea datelor, singurele cerinţe fiind ca transferul să se facă într-o formă „structurată, utilizată în mod curent și care poate fi citită automat”. Preambulul 68 dezvoltă și prevede că „operatorii de date ar trebui să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor”. Cu alte cuvinte, operatorii nu sunt obligați să asigure compatibilitatea sistemelor lor, ci doar interoperabilitatea. În acest context, pot fi identificate trei metode de portare a datelor:

Interfețele de programare a aplicațiilor (API-uri) sunt de obicei dezvoltate de furnizorul de servicii cloud, ceea ce înseamnă că ele diferă de API-urile altor furnizori. Astfel, clienții care doresc să utilizeze API-uri pentru a extrage date personale din serviciile cloud trebuie să se adapteze API-ului pus la dispoziţie. API-urile sunt avantajoase, deoarece clienții pot extrage date direct de la furnizorii de cloud și nu au nevoie să stocheze temporar datele pe infrastructura proprie. Totuși, API-urile ar putea să nu fie cea mai bună soluţie atunci când portarea se face în mod direct către un furnizor de alt fel de serviciu.

Protocoalele sunt de obicei concepute de o organizație de standardizare în industrie și, prin urmare, sunt acceptate pe scară largă de multe platforme, de cloud și nu numai (de exemplu SMTP, SFTP, IMAP, etc). În acest caz dispare nevoia de adaptare la platforme specifice, ceea ce ar sprijini interoperabilitatea. În mod similar API-urilor, clienții nu au nevoie să stocheze temporar datele pe infrastructura proprie.

O a treia metodă este descărcarea datelor ca un fișier de format utilizat în mod curent (de exemplu .csv, .xml). Această metodă facilitează importarea datelor în alte platforme, însă numai ca acţiune directă a utilizatorului, fără să fie o modalitate de portare direct operator-operator. Ea necesită deci stocarea datelor temporar pe infrastructura proprie a utilizatorului, și în plus se poate dovedi nepractică acolo unde volumul datelor este mare.

Toate cele trei metode sunt deja utilizate pe scară largă pe piață astăzi, fără însă ca acest lucru să însemne că nu pot apărea metode noi. Cert este că portabilitatea datelor necesită un proces automatizat sau semi-automatizat pus la dispoziţie de operator (sau de împuternicit pe seama operatorului), întrucât o operare manuală ar risca să blocheze activitatea operatorului.

Mai merită menţionat că în decembrie 2017 a fost publicat un standard ISO pentru interoperabilitate și portare în serviciile cloud: ISO/IEC 19941:20172, care deși nu este destinat să răspundă cerinţelor GDPR (fiind un standard global), poate fi adaptat pentru a acoperi cerinţele art. 20 GDPR.

Concluzii

Pentru a putea răspunde solicitărilor de portare, furnizorii de cloud trebuie să ia o serie de măsuri importante și posibil costisitoare. Între acestea se numără:

  • să pună la punct mecanisme de selecţie a datelor care intră în domeniul portabilității;
  • să decidă cine și cum face trierea datelor portate pentru a elimina tot ce este excesiv, precum și să decidă cum implică sau anunță persoana vizată referitor la datele excluse;
  • să adopte proceduri prin care să standardizeze procesul de răspuns la cererile de portare;
  • să implementeze mecanisme cât mai automate de efectuare a portării (API, protocol, download direct), preferabil care dau persoanei vizate posibilitatea selectării datelor portate;
  • să implementeze proceduri de identificare corespunzătoare a persoanei vizate și a operatorului destinatar;
  • să implementeze măsuri de securitate a datelor portate, inclusiv izolarea acestora de alte date prelucrate și asigurarea unui canal sigur de transfer;
  • nu în ultimul rând, să poată face distincţia între serviciile puse la dispoziţie clienţilor corporate (aceștia fiind operatori) și cele puse la dispoziţia clienţilor persoane fizice (caz în care furnizorul de cloud este operator).

Trebuie menționat că încălcarea dreptului la portabilitatea datelor se încadrează în palierul cel mai sever de sancțiuni, astfel că potrivit articolului 83 alineatul 5(b) GDPR operatorilor le pot fi impuse amenzi administrative de până la 20.000.000 EUR sau până la 4 % din cifra de afaceri globală în exercițiul financiar anterior, oricare este mai mare. Concomitent, persoana fizică vătămată prin neefectuarea portării poate angaja răspunderea solidară a operatorului şi împuternicitului (furnizorul de cloud), solicitând acoperirea prejudiciului dovedit. Aceste riscuri, precum şi prejudiciul reputaţional aferent, ar trebui să fie motive clare pentru a implementa măsuri tehnice de efectuare a portării, chiar dacă sunt costisitoare.

Referințe:

1 –  IAPP-EY AnnualPrivacyGovernance Report 2017, pag. 19, disponibil la https://iapp.org/media/pdf/resource_center/IAPP-EY-Governance-Report-2017.pdf  

(accesat ianuarie 2018).

2 – Disponibil la https://www.iso.org/standard/66639.htm

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. A 8-a, București, martie 2018, pag. 56-60. 

A APĂRUT CATALOGUL GDPR PRACTIC: PREMIERĂ PENTRU ROMÂNIA

Trustul de presă AGORA Group și platforma de knowledge cloudmania anunță publicarea Catalogului GDPR PRACTIC  – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Practic este al doilea Catalog GDPR după cel apărut în Octombrie 2017 și se înscrie în seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 8-a ediție.  

 

Regulamentul EU 2016 – 679 reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem operatori și procesatori de date și toți ne vom supune acelorași reguli.

Cu șase luni înainte de intrarea în vigoare a GDPR piața românească era destul de conștientă de importanța momentului. Peste 64% dintre operatorii de date nu făcuseră un plan de implementare,  72% nu organizaseră instructaje GDPR interne, iar 89% nu începuseră reevaluarea contractelor cu furnizorii și clienții.

Pornind de la această realitate și văzând succesul cu care a fost primit primul Catalog GDPR Ready în octombrie 2017, am decis să continăm susținerea operatorilor de date din România, făcând ceva mai mult decât o simplă sensibilizare și conștientizare. În acest spirit, a doua ediție a Catalogului GDPR este dedicată proceselor și soluțiilor de protecție a datelor personale, cu focalizare pe aspectele practice ale implementării procesului de conformitate GDPR.

Ca și ediția precedentă, Catalogul GDPR Practic e format din două părți:

  • GHIDUL DE IMPLEMENTARE GDPR – bazat pe o serie de recomandări de abordare practică a unui proiect de implementare GDPR;
  • Un CATALOG DE OFERTE pentru soluții compatibile GDPR, servicii de consultanță, audit și certificare disponibile la ora actuală pe piața din România.

 

Catalogul poate fi citit online la adresa: https://issuu.com/agoramedia/docs/catalog_cloud_2018_ed_8_gdpr

 

”Ghidul de implementare GDPR” conține 50 de întrebări și răspunsuri ce abordează probleme concrete ale unui proiect de implementare GDPR precum și o serie de valoroase recomandări pentru operatorii și procesatorii locali oferite de specialiști GDPR cu o bogată experiență în protecția și confidențialitatea datelor personale. Printre subiectele de larg interes care sunt discutate în acest Ghid amintim:

  • Ce este un proiect GDPR?
  • Care sunt fazele unui proces de implementare?
  • Cum alegem un DPO?
  • Cum facem maparea datelor?
  • Care sunt rolurile operatorilor și procesatorilor?
  • Avem nevoie de o analiza de impact?
  • Cît de importanță este Analiza de risc?
  • Cum gestionăm managementul incidentelor?
  • Cine, când și cui raportează?
  • Cum se face transferul internațional de date?

Ghidul este însoțit de recomandările unor specialiști din diferite domenii, precum servicii juridice – Andreea Lisievici și Dana Cristina Matache, soluții și management IT – Fernanda Velter și Yugo Neumorni sau servicii de consultanță: Tudor Galoș. Desigur că un astfel de ghid nu poate aborda în extenso toate procedurile și nici nu ne propunem să oferim rețete. Ghidul prezintă esența proceselor absolut necesare într-un proiect de implementare, care indiferent de ordinea abordării trebuie făcute. Și trebuie făcute bine. Căci atingerea conformității GDPR nu este un examen pentru a dovedi faptul că suntem în stare să asigurăm protecția datelor personale.  Nu este o barieră de depășit.  Este o țintă către un nivel superior de organizare și funcționare. GDPR este un certificat de încredere pe viață. Pe tot ciclul de viață al unui proces de business.

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ASBIS, Brinel, Deloitte, ESET, Essensys Software, IBM, Ingram Micro, Kingston Technology, Privacy One, Q-EAST Software, Romsym Data, Tryamm, Veritas și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPR din Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Ready pe LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

 

Inițiativa GDPR Ready!  își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Prin GDPR Ready! aveți acces la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

Nevoia cristalizării unei comunități GDPR în România

Pe măsură ce ne apropiem de data de 25 mai, valuri tot mai mari se ridică amenințător pentru cei interesați de obținerea conformității GDPR.  Pe piața românească am remarcat două tendințe majore, fiecare fiind marcată de acțiuni oarecum antagoniste.

Deocamdată le voi trece în revistă, urmând să fac câte o analiză mai de detaliu pentru fiecare.

1.În ciuda interesului scăzut al companiilor, tot mai mulți vor să urmeze un curs de formare DPO

  • Nivelul general de interes din partea companiilor locale este încă foarte scăzut, în ciuda campaniilor de conștientizare derulate pe diferite canale
  • Interesul particular pentru instruirea specifică DPO este în creștere, dovadă fiind numărul simțitor crescător de solicitări pentru recomandări de cursuri
  1. Avem o Comunitate de specialiști în plină formare, dar nivelele de interes sunt bipolare:
  • Există o comunitate eterogenă de specialiști, proveniți din medii multiculturale și multidisciplinare, care este destul de activă în social media și care pare dispusă să partajeze public câte ceva din cunoștințele acumulate
  • Destul de mulți membrii ai acestei comunități par a fi mai mult preocupați de certificările și tarifele practicate de alții, care s-au apucat de treabă așa cum au știut ei.

Dar să le luăm pe rând…

Nivel redus de interes din partea companiilor

La fel ca și alții care au luat contact cu realitatea pieței, constat că în ciuda eforturilor de alfabetizare și a inițiativelor publice derulate în ultima vreme, încă se știe destul de puțin despre GDPR. Suntem asaltați de o avalanșă de evenimente și webinarii, la care participarea este totuși restrânsă, de multe ori limitată și de taxele de participare impuse de organizatori, interesați mai mult de profit, decât de impactul GDPR la mase. Persoanele de decizie din companiile mari si mici știu puțin despre GDPR, directori de resurse umane mai află unii de la alții, iar mulți dintre cei cu funcții IT ignoră toată povestea fiind convinși că GDPR este treaba juridicului, nu a lor. Cum să facem ca să audă tot mai mulți că avem de-a face cu o treabă serioasă? Televiziunile, din câte am văzut, au preluat mici anunțuri la rubricile de știri, dar și acelea trunchiate și asezonate de picanteria amenzilor uriașe. Pe când niște adevărate emisiuni de dezbatere, cu specialiști din toate zonele care interferează cu GDPR?

Interes crescător pentru cursurile de specializare

Numărul celor care mă contactează pentru recomandări legate de disponibilitatea de cursuri de formare DPO este din ce în ce mai mare. La fel ca și numărul celor care îmi citesc articolele publicate în cadrul inițiativei GDPR Ready. Asta e bine. Înseamnă că oamenii chiar sunt interesați să se instruiască. Să facă ceva. Să înceapă odată.

Oferta de cursuri susținute pe plan local s-a diversificat, pe măsura cererii. Nu mai comentez aici nivelul profesional al acestor cursuri, nici lipsa acreditărilor de certificare pentru DPO și furnizorii de instruire. Am tot scris despre asta în ultima vreme. E bine ca toți cei interesați să facă un curs, după timp și buget, și să se apuce de treabă.

Apariția unei comunități eterogene de specialiști

GDPR are un impact uriaș asupra proceselor de business, fiind deja asimilat cu marea transformare, cu pregătirea pentru era digitală. Și asta cam așa e. Cum orice proiect GDPR este un mediu multi-cultural și multi-specializat, este normal ca cei care au ajuns să fie interesați de problemă să provină din cele mai diverse medii: juriști de companie și avocați specializați în protecția datelor, consultanți de business, specialiști IT și experți în protecția și confidențialitatea datelor, oameni de proiecte, șefi de operațiuni sau directori de calitate. Și lista e mult mai lungă.

În această conjunctură heteroclită, se discută cu acuitate problema numirii responsabilului cu protecția datelor personale. Care cea mai apropiată poziție de idealul DPO, ale căror competențe le-am tot discutat. Aici nebulozitatea e destul de mare. Reprezentanți autorității de supraveghere în luărilor lor publice de cuvânt recomandă un jurist cu studii de IT sau un IT-st cu specializare juridică. E destul oare? Reacțiile din social media au fost pe măsură.

Orice om cu experiență de proiect își dă seama că nu e de ajuns. Și aici polemica e destul de mare în diferitele comunități de breaslă, care contestă mare parte din ce zic colegii lor și nici nu iau în seamă mesajele venite din comunități conexe sau tangente, de la oameni care văd lucrurile din alte perspective, cu alte experiențe practice.  Și asta nu e bine, pentru că argumentarea de dragul argumentării și cantonarea în șabloane fără orizonturi nu nasc deschidere, și nici progres. Multe idei mari au venit de la oamenii de pe margine, care au perspectiva spațială.

Nevoia de acțiune duce la conglomerare

În condițiile actuale, ca și în natură, e nevoie de câțiva factori externi care să producă ordine într-un mediu aparent guvernat de haos. Sau neguvernat… Să luăm încă o dată exemplul naturii. Aici  forțele tectonice acționează asupra tuturor rocilor, amestecându-le și conglomerându-le, după care urmează recristalizarea metamorficelor în diferite condiții de temperatură și presiune. Așa și în eforturile noastre de conformitate. GDPR-ul reprezintă forțele telurice ce generează o tectonică accidentată cu deformări la nivelul tuturor compartimentelor de business dintr-o companie. Acesta este efectul disturbator al GDPR. Forța și presiunea geotectonică trebuie să fie în cazul nostru conștientizarea, determinarea și unitatea de acțiune.

Adunați reprezentanți din fiecare departament critic pentru prelucrarea datelor personale, faceți un grup de acțiune care,  singur sau cu asistență externă să facă un plan de conformitate, o analiză a circulației datelor, o prima analiză GAP și mai ales revizuirea tuturor condițiilor legale și contractuale. Orice manager de proiect știe să facă asta. După aceea, cu juristul, omul de HR, omul de operațiuni și IT-stul ținându-se de mână, e timpul să treceți și la finețuri precum analiza de risc, analizele de impact și planurile de anunțare a breșelor.

Au apărut în timp o serie de recomandări pentru strategiile și procedurile de implementare GDPR, emise de diferite organisme de supraveghere din țările cu experiență în protecția datelor sau recomandări ale grupului de lucru Articolul 29. Implementare în 6 pași, în 10 pași sau în 12 pași? Cine ne împiedică să adoptăm strategia care se potrivește cel mai bine nevoilor și resurselor noastre?

În marea majoritate a acestor checklist-uri, numirea unui DPO este unul dintre pașii finali. Adică n-avem nevoie în mod esențial de un DPO ca să începem procesul și să parcurgem primele etape. Adunați o echipă multidisciplinară și conștientă și veți face mult mai bine toate astea decât un DPO care învață din mers. După aceea, daca e cazul, gândiți-vă și la un DPO.

Un alt aspect, foarte rar adus în discuții este faptul că în multe companii mari un DPO are în permanentă în jur o forță de sprijin formată din colegii de la diferite departamente, care la nevoie pot să pria chiar sarcinile de DPO adjunct sau temporar.

Cristalizarea comunității de specialiști

Toți acești oameni care vin fiecare din domeniul lor de expertiză și au propria lor experiență pot contribui la crearea unui cadru emulator pentru organizațiile care au nevoie de sprijin. Dar pentru a fi emulatori, trebuie să fim toți pe aceeași lungime de undă, să cântăm cu toții în același cor, chiar dacă avem voci diferite. Fiecare dintre profesioniștii în legislație, securitatea datelor, procese de business sau consultanță interesați trebuie să se recristalizeze printr-un liant comun într-o adevărată comunitate de specialiști GDPR.

 

Asta va folosi cu adevărat comunității de business aflate în derivă. Asta ne va folosi și nouă, negreșit.   

Articol publicat și în revista IT Trends, Februarie 2018

PARIUL CELOR 100 DE ZILE

Au mai rămas fix 100 de zile până la intrarea în vigoare a noului Regulament european privitor la prelucrarea datelor personale. Să fie 25 Mai 2018 data la care detonează bomba? N-ar trebui să privim așa. Trebuie să ne gândim că este un deadline pentru terminarea și predarea unui proiect. În mod firesc urmează consolidarea și susținerea acestuia.

Mulți apreciază că cele mai mari companii nu au cum să fie gata până atunci. Sunt speculații că ar apărea niște termene de grație. Cât despre companiile mici și mijlocii, proorocii zic că multe or să dispară. Povești. Cu cât o companie este mai mica, și procesele de business sunt mai simple, iar fluxurile de date mai ușor de mapat și implicit datele mai simplu de protejat. Tot ce trebuie să facă un IMM este să cunoască foarte bine prevederile GDPR și să mențină o serie de proceduri obligatorii pentru sănătatea în business. Da, lucrurile nu sunt simple și nu oricine are răbdare să citească cele 99 de articole și 173 de considerații din textul GDPR. Dar pentru asta sunt specialiștii și consultanții. Și mai sunt și diferitele ghiduri elaborate din inițiativele autorităților sau comunității private.

 

Europa are nevoie de firul Ariadnei în labirintul către GDPR

Se cuvine să amintim aici recentul Ghid online  lansat de Comisia Europeană la sfârșitul lunii ianuarie, care conține întrebări și răspunsuri esențiale pentru cetățeni și organizații, în special cele din zona IMM. Important pentru companiile mici și mijlocii din țara noastră este că au la dispoziție și o versiune de conținut a Ghidului în limba română.

Pe această pagină putem găsi un document foarte important pentru analiza procesului de adopție GDPR și în special pentru activitățile care urmează să se desfășoare în sprijinul autorităților locale și al cetățenilor. Este vorba de o ”Comunicare a Comisiei către Parlamentul European și Consiliul Europei” prin care se trec în revistă Orientările Comisiei privind aplicarea directă a Regulamentului general privind protecția datelor de la 25 mai 2018. Documentul recapitulează principalele inovații și oportunități oferite de noua legislație a UE privind protecția datelor, face bilanțul activităților pregătitoare efectuate până în prezent la nivelul UE, evidențiază ceea ce ar trebui să facă în continuare Comisia Europeană, autoritățile naționale pentru protecția datelor și administrațiile naționale pentru finalizarea cu succes a etapei de pregătire, stabilind totodată măsurile pe care Comisia intenționează să le adopte în următoarele luni.

Tot în acest document găsim o evidență a activității Grupului de lucru Articolul 29 – cunoscut sub abrevierea WP29, care reunește toate autoritățile naționale pentru protecția datelor, inclusiv Autoritatea Europeană pentru Protecția Datelor. WP29 joacă un rol esențial în pregătirea punerii în aplicare a regulamentului, prin publicarea de orientări pentru întreprinderi și pentru alte părți interesate. Iată o listă complete a diferitelor ghiduri și recomandări elaborate de Grupul de lucru sau aflate în curs de procesare:

 

Dreptul la portabilitatea datelor Adoptat la 4-5 aprilie 2017
Responsabili cu protecția datelor
Desemnarea autorității de supraveghere principale
Evaluarea impactului asupra protecției datelor Adoptat la 3-4 octombrie 2017
Amenzi administrative Adoptat la 3-4 octombrie 2017
Crearea de profiluri Activitate în curs
Încălcarea securității datelor Activitate în curs
Consimțământul Activitate în curs
Transparența Activitate în curs
Certificarea și acreditarea Activitate în curs
Criterii de referință privind adecvarea Activitate în curs
Reguli corporatiste obligatorii pentru operatori Activitate în curs
Reguli corporatiste obligatorii pentru persoanele împuternicite de către operatori Activitate în curs

Întrucât este esențial ca operatorii să dispună de un set unic și coerent de orientări, ghidurile actuale realizate din inițiative naționale trebuie aduse în conformitate cu cele adoptate de WP29 cu privire la același subiect.

Aceste ghiduri nu sunt bătute în cuie, ci se actualizează prin procese consultative permanente și pe baza celor mai bune practici. Fiecare ghid de recomandări trebuie să fie supus unei consultări publice înainte de a fi finalizat. Responsabilitatea finală pentru aceste orientări revine grupului de lucru instituit prin articolul 29 și viitorului Comitet european pentru protecția datelor. Pentru a crea posibilitatea modificării orientărilor în lumina evoluțiilor și a practicilor, este esențial ca autoritățile pentru protecția datelor să promoveze o cultură a dialogului cu toate părțile interesate, inclusiv cu organizațiile. Este de reținut că în momentul în care apar neclarități referitoare la interpretarea și aplicarea regulamentului, instanțele de la nivel național și de la nivelul UE sunt cele care vor furniza interpretarea definitivă a acestuia. Citiți cu atenție textul Comunicării. Cu siguranță veți mai găsi multe aspect de interes pentru etapele care urmează.

Norme pentru companii și organizații

Ce mai găsim în Ghidul online al Comisiei Europene? În primul rând o serie de întrebări și răspunsuri fundamentale, menite să expliciteze normele aplicabile organizațiilor care procesează date personale. Iată o trecere în revistă a acestora:

Aplicarea regulamentului: ● Cui i se aplică Regulamentul privind protecția datelor? ● Se aplică normele în cazul IMM-urilor? ● Normele de protecție a datelor se aplică datelor referitoare la societăți?

Principiile GDPR: ● Ce date pot fi prelucrate și în ce condiții? ● Scopul prelucrării datelor ●  Cât de multe date se pot colecta? ● Cât timp pot fi păstrate datele și se impune actualizarea lor? ● Ce informații trebuie să le oferim persoanelor ale căror date sunt colectate? ● Privire generală asupra principiilor r

Administrațiile publice și protecția datelor: ● Care sunt principalele aspecte ale Regulamentului general privind protecția datelor (RGPD) pe care ar trebui să le cunoască o administrație publică? ●Cum tratăm solicitările din partea persoanelor fizice? ●Ce se întâmplă dacă o administrație publică nu respectă normele privind protecția datelor?

Temeiul juridic al prelucrării datelor: ●  Motivele prelucrării ●Date sensibile ● Există garanții specifice pentru datele referitoare la copii? ● Pot fi folosite pentru marketing datele primite de un terț?

Obligații: ● Operator/persoana împuternicită de operator ● Sunt identice obligațiile indiferent de volumul de date pe care îl gestionează societatea/organizația mea? ● Ce înseamnă asigurarea protecției datelor „începând cu momentul conceperii” și „în mod implicit”? ● Ce este o încălcare a securității datelor și ce trebuie făcut în cazul unei asemenea încălcări? ● Când este necesară o evaluare a impactului asupra protecției datelor (DPIA)? ● Responsabilii cu protecția datelor ● Ce norme se aplică dacă organizația mea transferă date în afara UE? ● Cum pot demonstra că organizația mea se conformează la GDPR?

Relațiile cu cetățenii: ● Cum trebuie tratate solicitările din partea persoanelor fizice care își exercită drepturile privind protecția datelor? ● Ce date și informații cu caracter personal poate accesa o persoană fizică la cerere? ● Suntem obligați întotdeauna să ștergem datele cu caracter personal dacă o persoană ne cere acest lucru? ● Ce se întâmplă dacă cineva se opune la prelucrarea datelor sale cu caracter personal de către societatea mea? ● Pot persoanele fizice să solicite transferarea datelor lor la o altă organizație? ● Există restricții privind utilizarea proceselor decizionale automate?

Aplicarea legii și sancțiuni: ● Aplicarea legii ● Sancțiuni

Ghilotina amenzilor uriașe

Ce se mai întâmplă în România?  GDPR a ajuns în sfârșit un subiect pe burtierele emisiunilor de știri și un cuvânt cheie în titlurile mari de prin ziare. S-au înmulțit evenimentele de popularizare și conștientizare a noului regulament, ceea ce e bine pentru că GDPR trebuie să ajungă la mase. Personal am mari îndoieli legate de eficiența unora dintre evenimente care își propun să facă awareness, dar percep taxe de participare de peste 100 de euro…

Cu toate astea, mai de frică, mai de spaimă, lucrurile au început să se miște. E bună și spaima, dacă în cele din urmă te convingi că lucrurile sunt serioase și e timpul să faci ceva pentru afacerea ta acum. O bună parte din presiunea care s-a pus pe orice are legătură cu GDPR e legată de ghilotina amenzilor uriașe. Majoritatea covârșitoare a articolelor, prezentărilor și materialelor de popularizare pe care le-am văzut încep cu triada:

  1. Mai ai de trăit până pe 25 mai 2018
  2. Oricând riști o amendă de 20 de milioane de euro
  3. Vin-o la noi și îți arătăm calea…

În acest context, de salutat inițiativa Autorității Naționale de Supraveghere pentru Prelucrarea Datelor cu Caracter Personal (ANSPDCP) de a face puțină lumină în discuțiile legate de amenzile cu care vine GDPR. Într-un Comunicat de presă de la începutul acestei luni Autoritatea explică persoanelor vizate că au posibilitatea de ași exercita drepturile privitoare la protecția datelor personale în mod gratuit, și tot gratuite sunt și plângerile adresate operatorilor sau autorității. Dacă plângerea este admisibilă, aceasta va putea fi urmată de o investigație la operatorul de date reclamat.

Măsurile corective pe care Autoritatea de Supraveghere le va putea dispune în temeiul Noului Regulament General privind Protecția Datelor Personale se referă la: dispunerea unei avertizări în atenția unui operator, acordarea unei mustrări, obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecției datelor, impunerea unei limitări temporare sau definitive, inclusiv o interdicție asupra prelucrării, rectificarea sau ștergerea datelor sau restricționarea prelucrării, etc.” se arată în comunicatul Autorității.

Mai departe se face clarificarea cazurilor în care e nevoie să se aplice sancțiuni cu amendă. Acestea nu vor fi aplicate fără a avea la bază o analiză temeinică, în funcție de circumstanțele fiecărui caz în parte.” Și totuși, ”atunci când se va lua decizia dacă să se impună o amendă administrativă, precum și valoarea acesteia în fiecare caz în parte, se va acorda atenția cuvenită criteriilor prevăzute de Regulamentul General privind Protecția Datelor, astfel încât să se asigure principiul proporționalității,” se specifică în comunicat.

În fine, propunându-și susținerea creșterii nivelului de conștientizare, Autoritatea de Supraveghere se delimitează de opiniile lansate tot mai des în spațiul public, care induc în mod greșit ideea că sancțiunile cu amenzi la nivel maxim sunt singurele măsuri corective la care se poate recurge”. Totodată, Autoritatea se delimitează și respinge publicitatea agresivă a unor terțe părți în încercarea de monetizare a prevederilor Regulamentului General privind Protecția Datelor, prin mediatizarea ”perspectivei de a se aplica amenda maximă de 4% din cifra de afaceri” și acreditarea ideii false că aplicarea amenzii maxime ar fi principalul obiectiv al Regulamentului.

 În toate discuțiile pe care le am cu diferitele organizații și în luările mele publice de cuvânt pledez pentru o atitudine optimist-constructivă în relația cu GDPR, pe care trebuie să îl abordăm cu toată responsabilitatea. Oricine parcurge procedurile și procesele esențiale din proiectul de implementare a conformității GDPR face un mare pas înainte pentru că își pune ordine în toate datele cu care operează, nu numai în datele personale. Odată parcurse niște etape, cele mai multe asimilabile cu un proces de implementare a unui standard de calitate, capeți o încredere mai mare în oportunitățile tale și, ce e cel mai important oferi încredere clienților, partenerilor și angajaților.

AVEM UN DPO: CUM ÎL CERTIFICĂM?

 

Mai sunt 114 zile până la intrarea în vigoare a Regulamentului EU 2016 – 679 și unul dintre aspectele care se află (încă) într-un con de umbră este pregătirea viitorilor responsabili cu protecția datelor (Data Protection Officer – DPO). Atât textul GDPR, cât și Ghidul privind Responsabilul cu protecția datelor (DPO) realizat de Grupul de Lucru Articolul 29 sunt destul de laconice în explicarea pregătirii profesionale a acestui personaj deosebit de important, un adevărt pivot al implementării și păstrării conformității GDPR la nivel de organizație.

Lipsa de norme dă naștere la interpretări. Această zonă crepusculară e cu atât mai critică în contextual în care avem de a face cu un Regulament European cu serioase implicații legislative. Cum alegem un DPO? Pe ce criterii profesionale? Cine ne garantează expertiza profesională a celui pe care îl vom numi în acest rol, element cheie în adopția GDPR? Sunt întrebări legitime care își găsesc cu destulă greutate răspunsul în condițiile în care în mod oficial nu există un organism de certificare sau de recunoaștere a competențelor unui DPO, nici la nivel UE și nici în celelalte țări membre. Cu o singură excepție, pe care o vom prezenta la sfârșit.

Ce găsim în Regulament, ghiduri și recomandări

Articolul 37 Alineatul 5 din GDPR stabilește că responsabilul cu protecția ar trebui să fie ”desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.” Destul de laconic, nu?

Haideți să căutăm ceva lămuriri în partea introductivă a Regulamentului EU 2016/ 679. În Considerentul 97 se fac niște specificații, pornind de la situațiile clare care necesită numirea obligatorie a unui DPO. Există cele trei situații: autoritate publică, prelucrare ce implică monitorizare regulată şi sistematică sau o prelucrarea pe scară largă pentru categorii speciale de date cu caracter personal se recomandă ca ”o persoană care deţine cunoştinţe de specialitate în materie de legislaţie şi practici privind protecţia datelor trebuie să acorde asistenţă operatorului sau persoanei împuternicite de operator pentru monitorizarea conformităţii.” Dacă experiența în legislație este de la sine înțeles în cazul GDPR, ce ar trebui să înțelegem din ”practici privind protecția datelor”?  Mai departe se specifică: ”În sectorul privat, activităţile principale ale unui operator se referă la activităţile sale de bază, şi nu la prelucrarea datelor cu caracter personal drept activităţi auxiliare. Nivelul necesar al cunoştinţelor de specialitate ar trebui să fie stabilit în special în funcţie de operaţiunile de prelucrare a datelor efectuate şi de nivelul de protecţie impus pentru datele cu caracter personal prelucrate de operator sau de persoana împuternicită de operator. Aceşti responsabili cu protecţia datelor, indiferent dacă sunt sau nu angajaţi ai operatorului, ar trebui să fie în măsură să îşi îndeplinească atribuţiile şi sarcinile în mod independent.” Stufos și ambiguu, lăsând loc pentru orice interpretări…

Revenind la Articolul 39, Alineatul 1 din GDPR unde ne trimite Articolul 37, aici este vorba de sarcinile care îi revin unui DPO. Să vedem cam ce experiență necesită fiecare:

  1. informarea şi consilierea companiei şi personalului care se ocupă de prelucrare cu privire la obligaţiile GDPR, dar și altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor – impune aptitudini clare pe parte legislativă și procedurală;
  2. monitorizarea respectării GDPR, a altor dispoziţii de drept referitoare la protecţia datelor şi a politicilor de protecţie a datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente – în plus față de abiltățile legislative se recomandă aptitudini manageriale de alocare a responsabilităților, sensibilizare și de formare a personalului, precum și experiență de auditare;
  3. furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 – aici e clar că e nevoie de cineva familiarizat cu evaluarea riscurilor și a impactului asupra protecției datelor;
  4. cooperarea cu autoritatea de supraveghere; – aici practic e doar o chestiune de reprezentare, DPO acționând ca persoana de contact;
  5. punct de contact pentru autoritatea de supraveghere – la fel ca mai sus.

Din ce avem până acum, reiese că un DPO trebuie să aibă cunoștințe temeinice de legislație internă și europeană, să aibă un bun spirit managerial, să fie capabil să facă o analiză de risc și să fie un bun comunicator. OK. Altceva? Și bineînțeles să fie capabil să-și rezolve sarcinile de servici.

Ghidul WP29 sugerează că nivelul de expertiză al unui DPO trebuie să fie adecvat complexității datelor personale prelucrate și a măsurilor de protecție necesare. De exemplu, pentru o activitate complexă ce implică un larg volum de date senzitive, DPO trebuie să posede un înalt nivel de expertiză și suport.  O explicație logică, dar tot nu știm cine ne garantează nivelul de expertiză și suport? Pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal există o pagină dedicată Responsabilului cu Protecția Datelor, care reprezintă o sinteză a recomandărilor din Ghidul WP29 de care am pomenit mai devreme. Pe lângă spiritual etic și integritatea profesională, calități personale absolut necesare pentru îndeplinirea sarcinilor, un candidat la poziția DPO trebuie să dovedească și o serie de calități profesionale, precum:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european;
  • nivelul de cunoștințe în  domeniul protecției  datelor în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;
  • să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și cerințele de securitate și protecție a datelor prelucrate de operator;
  • cunoștințe privind reglementările legale din domeniul public, în cazul unei autorități sau instituții publice.

Lipsa unei entități de recunoaștere a competențelor

Bun, acum ne-am făcut o idee despre ce calități trebuie să aibă un DPO, dar tot nu știm cine ne oferă garanția că acesta va fi capabil să gestioneze un proces unde pericolele pândesc la fiecare pas? Nicăieri în documentațiile amintite nu am găsit ca principal atribut capacitatea de coordonare a unui proiect care durează cam întreg ciclul de viață al unui business și mai ales experiența de managementul crizei.

Ce criterii trebuie să primeze la numirea unui DPO? Să punem pe cineva priceput, ca să-l avem în schema la data de 25 mai a.c.? Sau să ne bazăm pe cineva care știe ce este de făcut în momentul în care apare o breșă de Securitate? Putem avea șansa ca acest moment să nu apară de loc. Putem avea încredere într-un tânăr cu abilități manageriale care face o instruire de 4-5 zile? Desigur, dar învățatul ”din mers” presupune asumarea unor riscuri. În cine aveți mai mare încredere în situația unui incendiu? Într-un proaspăt absolvent cu uniforma apretată sau într-un pompier veteran?

Lipsa de reguli clare generează ambiguitate. Desigur, există opțiunea externalizării acestei poziții și apelarea la un DPO specializat. Bun, ce fel de specializare ar trebui să aibă acesta pentru a fi de încredere? Putem să încredințăm oricui informațiile cele mai sensibile ale unei companii? O soluție ar fi selectarea pe bază de curriculum. Asta va veni în timp, când primele generații de DPO vor acumula experiența în proiecte reale.

Cursuri de formare DPO pe piața din România

În România există deja câteva opțiuni instruire pentru DPO. Unele dintre acestea sunt rezultatul cooperării dintre companii românești și organizme care girează recunoașterea internațională a certificării DPO în anumite condiții, altele sunt inițiative locale care oferă programe de formare customizate pentru cei care vor să se specializeze în GDPR. Unele dintre aceste oferte de cursuri pot fi găsite în Catalogul GDPR publicat în octombrie 2017, altele vor fi disponibile în noua ediție a Catalogului care va apărea în scurt timp.

Cu toate acestea, în acest moment niciunul dintre programele de instruire existente în țara noastră nu beneficiază de recunoașterea unei autorități naționale sau europene, care să reglementeze certificarea DPO.  Ce putem face în aceste condiții? Să mizăm pe faptul că nu va apărea niciun incident de Securitate până când DPO-ul nostru va acumula suficientă experiență pentru a administra situația critică? Sau sa ne consolăm cu faptul că datele prelucrate de noi nu sunt critice și în consecință nu avem nevoie de cineva cu ani de expertiză. Cert este că o pregătire profesională specializată pe GDPR este absolut necesară. Aici nu ne putem baza doar pe tutoriale de pe YouTube.

În lipsa unor standarde de certificare se merge pe principiul că piața aduce experiența, care ajută la formarea experților. În țările cu tradiție, un rol important îl au asociațiile profesionale și mediile academice. Probabil că lucrurile vor evolua și la noi. Dacă ne uităm la recomandările organismelor de certificare cu recunoaștere internațională precum IAPP sau PECB vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în proiecte de protecție a datelor personale sau de acumularea ulterioară a acestei experiențe în peste 300 de ore de proiect. Partenerii IAPP oferă cursuri independente sau corelate de Certified Information Privacy Professional/Europe (CIPP/E) și Certified Information Privacy Manager (CIPM), menite să asigure formarea optimă a unui DPO.  Statisticile arată că e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de peste 300 de ore de proiect pentru obținerea unei experiențe  de DPO.

Modelul spaniol

Agenția de protecție a datelor personale din Spania (AEDP) este prima din Europa care a stabilit un set de reguli pentru certificarea DPO. Acestea explică în detaliu ce abilități trebuie să demonstreze un DPO pentru ași putea exercita funcția în proiectele GDPR. În lipsa unor specificații clare în GDPR, AEPD a decis elaborarea unei scheme de certificare care să definească un cadru general de recunoaștere a competențelor unui DPO.

Pentru aceasta, AEPD colaborează cu ENAC (Entitatea Națională Spaniolă pentru Acreditări) și cu un grup de experți în protecția datelor. Rolul ENAC în acest demers este acreditarea schemei de certificare care se face conform standardului ISO 17024. AEPD apreciază că va fi necesar și un proces de autorizare a entităților care oferă servicii de instruire.

Dar și aici apare o problemă: evaluatorii organismului de certificare vor trebui să dețină o experiență profesională echivalentă sau (de dorit) mai mare decât candidații propuși certificării… și capacitatea de evaluare a examenelor. Asta presupune cel puțin o diplomă postuniversitară și minim 5 ani de experiență în securitatea informațiilor.

Într-un viitor articol vom discuta care sunt cerințele de bază pentru a activa ca DPO în Spania.

%d bloggers like this: