A APĂRUT PRIMUL CATALOG GDPR DIN ROMÂNIA

Trustul de presă AGORA Group și platforma de knowledge cloud☁mania anunță publicarea Catalogului GDPR Ready – primul proiect editorial din România dedicat prezentării ofertelor de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Ready face parte din seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 7-a ediție și este o componentă esențială a inițiativei ”GDPR Ready!”

Faceți click pe coperta pentru a citi Catalogul GDPR online!

Din mai 2016 când Parlamentul European a aprobat Regulamentul EU 2016 – 679, GDPR a devenit cuvântul de ordine în toate mediile de business, tehnologice și sociale. Noul Regulament reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem procesatori de date și toți ne vom supune acelorași reguli.

Deși este prin excelență tehnologică, industria IT este unul dintre domeniile în care realizarea conformității cu noul Regulament poate ridica cele mai mari probleme. Marea majoritate a companiilor sunt conștiente de importanța strategică a alinierii la prevederile GDPR, dar foarte puține sunt cu adevărat pregătite de acțiune. Ce au de făcut furnizorii de Cloud pentru a oferi servicii conforme cu GDPR? Dar operatorii de centre de date? Dar companiile de eCommerce și procesatorii de plăți online? Dar firmele de distribuție, canalele de reselleri și retailerii IT? Dar casele de software și ofertanții de servicii de call-center, consultanță, instruire și mentenanță? Există desigur multe lucruri comune pentru toate aceste domenii IT, dar și o multitudine de aspecte particulare.

Pe asta ne-am bazat când ne-am decis ca cea de-a 7 ediție a Catalogului Cloud Computing România să fie dedicată GDPR. Plecând de la nevoia de cunoaștere și de coordonare din industria IT, am simțit nevoia editării unui Catalog GDPR Ready care să deservească și să ofere recomandări generale pentru operatorii de date din orice industrie. Catalogul GDPR Ready, este structurat în două părți:

  • Ghidul de orientare rapidă
  • Catalogul recomandărilor de soluții și servicii pentru asigurarea conformității GDPR.

”Ghidul de orientare rapidă” conține 60 de întrebări și răspunsuri structurate astfel încât să asigure o imagine de ansamblu asupra principalelor modificări prezentate de regulament, precum și a zonelor critice pe care trebuie să le cunoaștem în momentul pregătirii conformității, dar vine și cu o serie de recomandări oferite de experți internaționali, asociații guvernamentale și profesionale, precum și firme de analiză și cercetare.  Principalele Capitole acoperite de seria de întrebări despre conformitate se referă la:

  • Importanța GDPR
  • Scurt istoric al protecției datelor personale
  • Principiile GDPR
  • Drepturile persoanelor vizate
  • Protecția datelor personale
  • Evaluarea impactului
  • Transferul internațional de date
  • Asigurarea conformității
  • Notificarea breșelor de securitate și penalitățile aplicate

Ghidul este însoțit de recomandările unor experți care s-au referit la principalele direcții de acțiune pentru furnizorii de Cloud: Bart von Buitenen – managing partner White Wire, Ian Moyse – sales director Natterbox și Board member Cloud Industry Forum, Lucia Ștefan – manager consultant Archiva Ltd (UK) și Attle Skjekkeland – vicepreședinte AIIM Europe, precum și recomandările Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), CERT.RO, ANSII + câțiva dintre membrii săi și IDC Romania.

A doua secțiune este Catalogul recomandările concrete legate de asigurarea conformității GDPR oferite de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ALEF Distribution, Archiva Ltd., ASBIS, AxelSoft, Commvault, Info World, IXIA, Omega Trust, Provision, Relational, Romsym Data, RQM Certification, Star Storage, Tryamm și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire
  • Recomandări și consiliere companii de IT

GDPR zice că organizațiile trebuie să fie conforme chiar începând cu data 25 mai 2018. Dacă vă gândiți că până atunci mai este suficient tip pentru a demara activitățile de implementare a măsurilor necesare pentru asigurarea conformității GDPR, trebuie să țineți cont de faptul că durata medie a unui proces poate fi de PATRU – CINCI luni, în funcție de mărimea organizației și a tipului de date personale procesat. E TIMPUL SĂ TRECEM LA ACȚIUNE CHIAR ACUM! Au mai rămas 215 zile!

 

Advertisements

O amplă reuniune de forțe la cel mai important eveniment dezbatere dedicat GDPR

Evenimente, dezbateri, conferințe, webinarii, workshopuri, cursuri de certificare… Pe măsură ce ne apropiem de ”Ziua 0: 25 Mai 2018”,  o dată memorabilă pentru istoria modernă a proceselor de afaceri, se întețesc și de diversifică activitățile de sensibilizare a operatorilor și promovare a soluțiilor și serviciilor capabile să asigure conformitatea.  În peisajul local al activităților de acest gen, iese în evidență Evenimentul Dezbatere “Noua ordine europeană pentru protecția datelor personale” desfășurat în 12 Octombrie la sediul Muşat & Asociaţii din București.

”Suntem pregătiți pentru asigurarea conformității cu noul Regulament european?  Este o întrebare pe care o auzim tot mai des, în cele mai diferite medii, dar care din păcate este urmată destul de rar și de răspunsuri care să ne ofere o direcție de acțiune în acest amalgam de recomandări, articole și proceduri. Am început să înțelegem cu toții că obținerea conformității GDPR este un must, un lucru foarte serios pe care nu trebuie să îl trecem cu vederea, o abordare, pe care dacă nu o tratăm cu toată seriozitatea riscăm să pierdem enorm.

Un eveniment unicat pentru piața din România

Aflat deja la cea de-a treia ediție, evenimentul organizat de agenția de PR Concord Communication a beneficiat de suportul partenerilor principali: Mușat și Asociații, Clico Romania și Power Net Consulting și de participarea ANSSI (Asociația Națională pentru Securitatea Sistemelor Informatice). Prin ce iese în evidență acest eveniment față de alte acțiuni asemănătoare? În primul rând prin seriozitatea abordării A fost cu adevărat un eveniment dezbatere, unde participanții au avut posibilitatea să pună întrebări încă de la înregistrare și să și obțină răspunsurile dorite. Și s-a răspuns chiar la toate întrebările, atât la cele pre-adresate, cât și la cele spontane, din timpul evenimentului.

Un rol important în derularea coerentă a evenimentului l-a avut moderatorul Toma Cîmpeanu, CEO ANSSI, care a dirijat cu profesionalism și eleganță un adevărat maraton de prezentări și intervenții.  Căci evenimentul s-a făcut remarcat și prin larga concentrare de forțe a unor vectori, care deși acționează în zone diferite, s-u aliniat pe aceeași directoare, cu scopul declarat de a face mai mult decât o simplă sensibilizare a participanților. Reprezentanți guvernamentali, experți în legislație și probleme de securitate, avocați, furnizori de soluții IT, firme de consultanță și servicii de instruire, au contribuit la consolidarea unei agende din care n-au lipsit prezentările de ghiduri practice, aspecte legate de securitatea datelor cu caracter personal, obligațiile și responsabilitățile ofițerilor responsabili cu protecția datelor, transferurile de date, reguli corporative, date statistice și studii de piață, precum și oferte profesionale de instruire a viitorilor DPO.

Un alt aspect important: larga adresabilitate. Evenimentul “Noua ordine europeană pentru protecția datelor personale” s-a adresat companiilor și instituțiilor publice din cele mai diverse domenii, precum operatorii de utilități din energie, petrol și gaze, sau transport, sectorul financiar-bancar, sănătate, servicii publice, servicii Cloud computing, data center și eCommerce, motoare de căutare online, platforme de joburi, furnizori telecom, agenții de marketing sau operatori de turism.

Implicații juridice importante generate de noul regulament

Reprezentanții casei de avocatură Mușat & Asociații au avut un rol esențial în desfășurarea evenimentului, prin mai multe contribuții de valoare care au alterant prezentărilor de soluții tehnice. Astfel, avocatul Bogdan Mihai, Partener Mușat și Asociații a prezentat participanților un ghidul practic de implementare a măsurilor de conformitate GDPR,  în care sunt explicitate principalele cerințe ale noului Regulament și principalele obligații ale operatorilor și procesatorilor de date. O importanță majoră a noilor reglementări este operarea transferurilor de date personale către țări terțe sau organizații internaționale, care este supusă unor rigori suplimentare față de legislația precedentă.

Una dintre cele mai importante schimbări cu care vine noul regulament este severitatea sancțiunilor care vor fi impuse celor care nu pot dovedi că au făcut tot ce le stătea în putință pentru prevenirea și limitarea consecințelor în cazurile în care au avut loc scurgeri sau pierderi de date, cu implicații pentru posesorii acestora. Avocatul Bogdan Mihai a trecut în revistă care sunt principalele categorii de amenzi prevăzute și cele mai frecvente cauze care pot conduce la aplicarea acestora.

O altă noutate adusă de GDPR la care s-a făcut referire este dreptul persoanelor fizice de a cere companiilor ștergerea datelor personale – dreptul de a fi uitat. În multe situații posesorii datelor personale pot renunța la acordul dat într-o anumită conjunctură și au dreptul să solicite ștergerea informațiilor din toate bazele de date. Dificultăți pot apărea atunci când datele sunt stocate în Cloud și nu există garanția că pot fi șterse de pe toate serverele sau în cazul unor instituții speciale, precum cele bancare, care au nevoie de istoricul clienților în acțiunile de prevenirea a spălării banilor sau pentru alte clauze contractuale.

Alte aspecte deosebit de importante ridicate de noul regulament vizează reflectarea relațiilor dintre angajați și angajatori, prin prisma prevederilor din dreptul muncii. Anca Vătășoiu, avocat la Mușat & Asociații, s-a referit la noile obligații care pot sau nu să fie asociate cu răspunderea angajaților prin contractul de muncă. Există deja cazuri concrete în domeniul juridic, legate de monitorizarea și supravegherea angajaților la locul de muncă, în care încălcări clare ale regulamentelor interioare ale angajatorilor au fost contestate în spiritul drepturilor omului. Un alt aspect important discutat de doamna avocat Vătășoiu este răspunderea administrativă, disciplinară sau civilă a salariaților pentru încălcarea obligaților conferite de GDPR în România.

Cel mai titrat specialist GDPR din România

Un alt element cu totul special al evenimentului a fost prezența Comisarului Șef de Poliție Aurel Cătălin Giulescu, director împuternicit al Direcției de Evidență a Persoanelor și Administrarea Bazelor de Date, DPO certificat de EIPA, coordonatorul echipei MAI care a gestionat negocierile tehnice la nivel european, pentru elaborarea și adoptarea GDPR. Cu alte cuvinte, am avut onoarea să îl ascultăm și să discutăm cu cel mai titrat specialist GDPR din România, primul DPO cu atestare internațională și unul dintre cei mai mari experți în probleme de securitate a datelor personale.

Comisarul Șef Giulescu a făcut o expunere la obiect privitoare la numirea responsabilului cu protecția datelor, ce experiență trebuie să dețină și care sunt principalele atribuții. O atenție specială trebuie acordată unei bune înțelegeri a obligațiilor și responsabilităților pe care le are un DPO, care are rolul de liant între diferitele linii de business și compartimente ale unei organizații. De altfel, importanța acestui rol a fost subliniată și de faptul că majoritatea întrebărilor adresate a avut legătură cu poziția de DPO, iar ce e cel mai important, toate întrebările critice au primit răspuns.

Iată răspunsurile la cele două întrebări adresate de cloud☁mania, partener media al acestui eveniment:

I1: Există riscul ca un DPO să fie tras la răspundere în eventualitatea unui incident de pierdere a unor date, pasibil de expunere la penalități?

R1: Din perspectiva GDPR, un DPO nu poate fi tras la răspundere în mod direct și personal pentru incidente la nivelul unei organizații, ci organizația ca atare este cea penalizată. Evident, că există cazuri speciale în care un DPO care s-a dovedit clar ca ar fi principala sursă responsabilă de producerea unor pierderi de date, poate fi tras la răspundere potrivit regulamentelor și politicilor specifice organizației de care aparține.

I2: DPO este o persoană cu un rol special în cadrul unei organizații, care trebuie instruită și antrenată pentru a-și putea exercita cât mai eficient toate atribuțiile. Ce se întâmplă însă, în situațiile sau în perioadele în care DPO nu este disponibil pentru a-și exercita obligațiile, din diferite motive obiective sau subiective?

R2: Există recomandări în cadrul GDPR ca cel puțin pentru organizațiile mari și foarte mari să existe în permanență un ajutor de DPO sau cel puțin o persoană la fel de pregătită din cadrul echipei de coordonare, formată din reprezentanți ai tuturor departamentelor.  

Tehnologia ca sursă și ca panaceu al noilor riscuri

În condițiile în care actualizarea legislației privitoare la protecția datelor personale se datorează evoluției tehnologice, care diversifică substanțial poziția posesorului de date, tot tehnologiei îi revine rolul de a veni cu soluții care să rezolve noile probleme apărute. Astfel, noua prevedere legată de dreptul individual de solicitare a ștergerii datelor, ridică o serie de întrebări de natură tehnică: sunt șterse cu adevărat datele personale de pe un dispozitiv de stocare? Cum putem dovedi unui solicitant că datele sale au fost șterse de pe toate serverele unui sistem Cloud? Compania Tryamm Trading Consulting reprezentată de Cristian Aionesei, Managing Partner, a prezentat una dintre cele mai performante soluții de ștergere fizică și virtuală a datelor. Soluția Blancco Eraser asigură o ștergere permanentă a datelor, atestată de 18 organisme de certificare, atât în driverele unităților fizice de stocare, cât și în mediile virtuale și mobile.

Monitorizarea fluxului de date personale și securizarea acestora sunt două dintre cerințele de conformitate cu noul Regulament pentru protecția datelor personale.  Alina Pavel, Channel Manager Clico Romania a făcut o amplă trecere în revistă a soluțiilor se Securitate a datelor pe care compania le furnizează pe piața din România. Unul dintre cele mai cunoscute branduri reprezentate este PaloAlto Networks, care oferă o platformă ce îmbină soluții firewall de ultimă generație cu elemente de protecție la nivel de stație și analiză la nivel de Cloud a pericolelor cibernetice ce pot afecta o companie. ForcePoint este o soluție de ”data loss prevetion”, care protejează atât datele de pe sistemele fixe, cât și cele din rețea, din Cloud sau din bazele de date mobile.

Un alt brand reprezentat de Clico este Imperva, furnizor de soluții de securizare și auditarea a bazelor de date și aplicații Web care asigură funcționalități de securitate prin minimizarea datelor, limitarea accesului utilizatorilor, pseudonimizare, anonimizare sau transfer securizat. Soluția MobileIron este forte utilă pentru aplicare politicilor BYOD, separând datele personale de pe orice dispozitiv mobil, de cele folosite în scop profesional. Clico oferă consultanță, cursuri de training și soluții de pre si post vânzare pentru toate aceste soluții.

Puterea exemplului Cisco

Un alt moment important al evenimentului a fost conexiune de la distanță cu unul dintre specialiștii Cisco Systems implicați direct în procesul de implementare GDPR la nivel de corporație. Astfel, grație echipamentelor de videoconferință Cisco, am putut asculta povestea de succes prezentată de la Bruxelles de Lorena Marciano, DPO Cisco Systems Europe. În eforturile de implementare GDPR și susținere a ecosistemului de parteneri, Cisco a optat pentru o strategie bazată pe puterea exemplului. Ce garanție mai bună de compatibilitate pentru soluțiile oferite, decât faptul că sunt folosite pentru implementarea propriei conformități? În fine, plecând de la acest proces de best practices, Cisco vine pentru partenerii săi cu o serie de recomandări, care încep cu consolidarea unei echipe multidisciplinare, alegerea unui program cadru care să funcționeze pentru organizație, stabilirea obiectivelor și priorităților, inventarierea datelor și analiza de risc, evaluarea nivelului de maturitate al sistemelor de protecție a datelor, utilizarea facilităților existente și rezolvarea rapidă a lacunelor de securitate.

Studiile de piață arată că nu suntem pregătiți

Sursa: Power Net Consulting

În vara acestui an, compania Power Net Consulting a realizat un studiu printre directorii IT ai unor companii private din Romania. Scopul principal al studiului a fost realizarea unei radiografii a nivelului de pregătire a companiilor, pe baza unui eșantion reprezentativ. Studiul a fost axat pe câteva direcții principale de cercetare, fiecare direcție fiind însoțită de un set de întrebări. Principalele tematici vizate au fost:

  • Cât de informate sunt companiile cu privire la noile reglementări GDPR?
  • Există proceduri interne conforme?
  • Care sunt problemele majore de conformitate?
  • Ce soluții IT și-au propus companiile să implementeze?
  • Care este nivelul actual de pregătire al organizațiilor?

Iată câteva dintre cele mai relevante rezultate ale studiului prezentate de Emil Munteanu, Managing Partner Power Net Consulting: deși 79% dintre companiile chestionate pe tema pregătirii pentru implementarea Regulamentului UE 679/2016 sunt informate despre aceste subiect, doar 14% dintre acestea au persoane nominalizate pentru funcția de responsabil cu prelucrarea datelor personale. De asemenea, 57% dintre respondenți au recunoscut că până în prezent nu au revizuit sau nu au actualizat politicile de securitate existente, iar 50% nu au făcut încă o evaluare internă a datelor cu caracter personal prelucrate. Un alt aspect îngrijorător relevat de acest studiu este că doar 36% din respondenți au instruit GDPR personalul care se ocupă cu problemele de securitate, 18% au organizat traininguri GDPR interne și doar 11% au reevaluat contractele cu furnizorii. Dintre soluțiile IT pe care companiile și-au propus să le adopte în vederea conformității GDPR se numără: Data Loss Prevention (75%), Network Protection (68%) și Encription/ Tokenization/ Pseudonomization (61%).

Cum certificăm un DPO în România?

Compania RQM Certification, partener PECB pentru România, a oferit o prezentare a serviciilor de pregătire profesională pentru poziția de Certified Data Protection Officer. Această certificare permite specialiștilor desemnați să dobândească expertiza necesară pentru a înțelege riscurile care ar putea avea un impact negativ asupra organizației oferindu-le cunoștințele pentru a implementa strategia necesară, pe baza celor mai bune practici, cerințe și principii GDPR. Cursurile DPO beneficiază de certificarea PECB, un furnizor de certificări pentru standarde ISO cu recunoaștere internațională.  Prin parteneriatul cu PECB, compania RQM Certification poate asigura în România obținerea certificărilor pentru standardele ISO 9001, ISO/TS 16949, ISO 31000, ISO 14001 și ISO 27001.

 

Concluzionând, evenimentul “Noua ordine europeană pentru protecția datelor personale” marchează o certă maturizare  a preocupărilor legate de GDPR pe piața din România, cu o evidentă determinare în depășirea fazei de conștientizare, cu trecere la planificare  și acțiune concretă. Prezența celui mai titrat specialist GDPR din România care a răspuns la toate întrebările, implicarea casei de avocatura Mușat și Asociații, videoconferința cu DPO Cisco de la Bruxelles, prezentarea de soluții concrete de securizare a proceselor și a datelor, studiul de piață realizat de Power Net Consulting precum și cursurile de certificare DPO deja existente pe piață, au contribuit la succesul acestui eveniment. Felicitări tuturor celor implicați și în special organizatorului Concord Communication.  

Sursă fotografii: Concord Communiction

GDPR în distribuția IT: Calamitate sau Oportunitate?

Noul Regulament european privitor la protecția datelor poate avea un efect de bumerang. A apărut din nevoia de aliniere a drepturilor cetățeanului european la evoluția tehnologică a mijloacelor de recoltare, comunicare, procesare și stocare a datelor personale.

Deși cauza poate fi privită ca tehnologică prin excelență, punerea în aplicare a GDPR este un proces esențialmente de business, care prin implicații poate fi asimilat cu un mare pas înainte în procesul ireversibil de transformare digitală. Poate avea tandemul business-tehnologie un rol de perpetuum mobile? Cu siguranță, atâta timp cât în centrul oricărei politici de dezvoltare stă individul și drepturile sale fundamentale.

Care sunt problemele specifice GDPR în distribuția IT?

Revenind cu picioarele pe Pământ, ne aflăm încă într-o fază în care, din lipsa unor bune practici,  analizăm GDPR din toate perspectivele în scopul identificării celor mai eficiente și sigure proceduri de obținere a conformității. Și pentru că industria IT este oarecum în miezul acestei vâltori stârnită de iminenta apropiere a datei de 25 Mai 2018, haideți să vedem care sunt implicațiile GDPR pentru una dintre cele mai dinamice zone: distribuția IT.

Canalele și politicile de distribuție ale vendorilor reprezintă o încrengătură foarte încurcată dar sunt totuși rădăcinile care alimentează esența pieței IT. Tipologia ecosistemului ce caracterizează o rețea de distribuție e foarte complexă: distribuitori, wholeselleri, reselleri, VAR-i, integratori de sistem, firme de servicii și consultanță, retaileri, showroom-uri, magazine online, precum și o complicată subrețea de furnizori de servicii de logistică, depozite, curierat, transporturi, case de credite și de asigurări, și altele. Schema fluxului de informații dintr-un astfel de ecosistem  nu poate fi decât super complexă. De aici și dificultatea oricărui demers de identificare și mapare a fluxurilor de date existente la nivelul unei rețele.

Dar cum regulile GDPR nu se aplică unei structuri de parteneriate, ci unor operatori de date individuali, orice proces de implementare a noului regulament trebuie pornit de la entitățile individuale. Dar nici aici lucrurile nu sunt simple. Să luăm de exemplu un distribuitor de dimensiuni medii, care are contracte teritoriale de distribuție pentru 15-20 de branduri, cu proveniență din diferite zone ale lumii. Într-un proces clasic de distribuție rolul unui astfel de distribuitor este cel de procesator – sau intermediar, verigă într-un flux de date care vine dinspre cei care lucrează direct cu utilizatorul final, și merge către un vendor, care în majoritatea cazurilor are și rolul de operator de date.

Colectarea datelor personală este paralelă cu procesul de vânzare, multe dintre soluțiile distribuite având asociată obligativitatea furnizării de date despre utilizatorul final, fie elemente de identificare asociate cu licențele software perpetue, fie identificatori de logare – în cazul soluțiilor Cloud, fie date asociate documentelor de garanție și mentenanță specifice echipamentelor hardware. Din punctul de vedere al atribuțiilor  GDPR, un distribuitor este în marea majoritate a cazurilor procesator de date, cu subordonare de business în relație cu vendorii, care au rolul de operatori. Păstrând această perspectivă, un reseller va avea întotdeauna o poziție de sub-procesor față de fiecare dintre distribuitorii cu care lucrează.

De multe ori vendorii nu sunt nici ei beneficiari direcți ai datelor personale, având tot o poziționare de procesator în relațiile de distribuție cu alte entități. Pe de altă parte, apare des situația în care un distribuitor sau un reseller poate fi chiar el operator de date. Să ne gândim doar la departamentele de resurse umane care gestionează relațiile cu angajații sau la cele de marketing, unde sunt generate campanii direct către clienții finali sau către rețelele de parteneri. Identificarea tuturor acestor scenarii e deosebit de importantă, pentru ca de aici pornește orice proiect de evaluare a fluxurilor de informații în vederea studierii implementării conformității cu GDPR.

Primul panel de GDPR organizat de o firmă de distribuție

După mai mult de 10 ani de experiență directă în business development și gestionarea canalelor de distribuție, am avut recent un bun prilej de a reintra în atmosfera rețelelor de distribuție și a discuta despre importanța înțelegerii corecte a cerințelor GDPR pentru aceste procese de business. Prilejul a fost oferit de ALEF Distribution, care după câte știu eu, este prima mare companie de distribuție care a organizat o discuție pe tema GDPR în cadrul evenimentului anual pentru parteneri, desfășurat între 5 și 7 octombrie.

Ca moderator al acestui panel dedicat soluțiilor de securitate și GDPR, pentru care am ales ca titlu generic ”GDPR, calamitate sau oportunitate?”, am focalizat de la început întrebările pe câteva direcții majore: cele mai mari provocări pe care eforturile de aliniere la cerințele GDPR le aduce la nivelul unui canal de distribuție, cum abordează vendorii această problemă și ce avantaje și instrumente oferă aceștia partenerilor din lanțul de distribuitori. Mesajul general transmis celor peste 150 de parteneri ai companiei ALEF care au participat la dezbaterile panelului a fost că adopția normelor GDPR nu trebuie să fie o piedică pentru orice companie, atâta vreme cât își face o autoevaluare obiectivă, stabilește riscurile și prioritățile, și parcurge riguros toate procedurile necesare.

Mai mult de atât, orice membru al unui ecosistem de distribuție trebuie să își ajute clienții să parcurgă aceiași pași importanți, oferindu-le cele mai adecvate soluții pentru asigurarea conformității GDPR și protecția datelor personale. Cu alte cuvinte, toți partenerii, de la vendori, la distribuitori și până la reseleri, au o imensă oportunitate de a face recomandări și a vinde cele mai avansate soluții.

Panelul de discuții  s-a bucurat de prezența unor reprezentanți ai unor importanți vendori, care derulează relații de distribuție cu compnia ALEF. Participanții la panel au fost: Florin ROȘIE – Territory Channel Manager SMB Microsoft Romania, Dan Găvojdea – Cyber Security Specialist Cisco Systems, Gabriel PAVEL – Balkan Sales Director Fujitsu, Iulian HARS – Pre-sale Engineer Kaspersky Lab Romania precum și un reprezentant al autorității publice, Nelu MUNTEANU, Director Tehnic CERT.RO.

Este pregătită România pentru GDPR?

A fost prima întrebare generală adresată peneliștilor, din dorința de a discuta percepția asupra nivelului național de conștientizare al importanței GDPR în rândul operatorilor de date. Nu întâmplător, primele comentarii legate de această întrebare au venit de la reprezentantul CERT.RO. Și am spus că nu întâmplător, datorită faptului că Centrul Național de Răspuns la Incidente de Securitate Cibernetică a avut o implicare majoră în campaniile de conștientizare, oferirea de ghiduri și recomandări,  divulgarea coordonată și responsabilă a vulnerabilităților și, nu în ultimul rând, asigurarea cadrului necesar schimbului de informații între producătorii de echipamente și soluții de securitate, autorități și utilizatori. De menționat că Octombrie este Luna europeană a securității cibernetice, iar CERT.RO este direct implicată într-o multitudine de activități de conștientizare a pericolelor care pândesc în mediile online.

Sunt pregătiți vendorii și partenerii lor de canal? 

A fost următoarea întrebare, absolut firească, adresată vendorilor. Și absolut firesc, toți vendorii reprezentați  în panel au confirmat comitmentul companiei de a fi GDPR compliant, dar și de a ajuta partenerii și clienții în acest proces cu informații și resurse.

Microsoft a fost unul dintre primii vendorii care și-a anunțat compatibilitatea GDPR pentru toată gama de produse, inclusiv tot ce ține de Azure și suita de Office în Cloud. Mai mult de atât, compania a făcut un pas înainte pentru parteneri, deschizând siteul dedicat GDPR, www.microsoft.com/gdpr unde orice partener are posibilitatea să acceseze un pachet de utilitare menit să îl asiste în evaluarea compatibilității  www.gdprbenchmark.com. Cum folosesc partenerii Microsoft din România aceste resurse? Asta rămâne de văzut.

Cisco a optat pentru altă strategie: puterea exemplului. Ce garanție mai bună de compatibilitate pentru soluțiile oferite, decât faptul că sunt folosite pentru implementarea propriei conformități? În fine, plecând de la acest proces de best practices, Cisco vine pentru partenerii săi cu o serie de recomandări, care încep cu consolidarea unei echipe multidisciplinare, alegerea unui program cadru care să funcționeze pentru organizație, stabilirea obiectivelor și priorităților, inventarierea datelor și analiza de risc, evaluarea nivelului de maturitate al sistemelor de protecție a datelor, utilizarea facilităților existente și rezolvarea rapidă a lacunelor.

La rândul său, Fujitsu a preferat să demareze procesul GDPR la nivelul propriei organizații, dorind să confere astfel partenerilor și clienților un nivel de încredere sporit în soluțiile companiei. Strategia Kaspersky este axată pe ideea de bază că GDPR trebuie abordat ca pe o oportunitate pentru ștergerea, administrarea și protejarea datelor personale. Acțiunea este comparată cu un proces de detoxfiere a datelor, ce va ajuta businessul să economisească, să devină mai competitive și să fie gata pentru provocările viitoare. Pe lângă propriile soluții de securitate a datelor oferite de Kaspersky Lab, compania mai recomandă ședințe de instruire pentru angajații din toate departamentele, pentru a controla și preveni incidentele și amenințările de securitate de natură internă. Pentru parteneri și clienți Kaspersky a postat online un chestionar de autoevaluare ”Ești pregătit pentru GDPR?” https://www.gdprkaspersky.com/

Transformarea GDPR într-o oportunitate

Iată câteva considerente care ar trebui să stea la baza unei strategii de ofertare a celor mai adecvate soluții de securitate a datelor, fără a mai include aici și alte tipuri de soluții precum cele de procesare, stocare și arhivare :

O mai mare libertate tehnologică – Un avantaj important al GDPR este că nu prescrie tehnologii specifice de protecție a datelor – cum ar fi un anumit algoritm de criptare, de exemplu – și, prin urmare, nu le exclude automat pe altele. În schimb, sunt prescrie procese, ceea ce înseamnă că partenerii ar avea mai multă libertate de a alege dintr-o paletă de soluții provenite de la o vareitate de furnizori.

Scenarii de pierdere a datelor și soluții recomandate – într-o viziune generală, există un număr relativ limitat de scenarii interne și de pericole externe de amenințare care pot conduce la apariția unui caz de pierdere a datelor personale :

  • Pierderi de date fără valoare, dacă sunt găsite – cu alte cuvinte, aplicarea metodele de criptare care păstrează datele în siguranță dacă un dispozitiv cu informații personale sau profesionale de identificare a acestuia este pierdut sau furat.
  • Distrugerea și ștergerea de la distanță – există soluții care elimină cu ușurință datele de pe dispozitivele pierdute sau furate și le fac inutilizabile.
  • Prevenirea pierderilor de date – Soluțiile DLP pot controla tipul și sensibilitatea datelor pe care utilizatorii le transferă în interiorul sau în afara organizației.
  • Blocarea aplicațiilor – soluții de control a tipurilor de aplicații care pot sau nu rula pe un computer terminal.
  • Virtual patching – ajută la stoparea exploatării de la distanță a vulnerabilităților
  • Detectarea încălcării – semnalarea rețelelor compromise permite utilizatorilor să blocheze tentativa de furt de date.

O piață în plină evoluție – un sondaj recent arată că 69% dintre companiile europene  nu numai că vor investi în tehnologii de securitate ca rezultat al GDPR, ci și în domenii precum partajarea fișierelor. Estimările IDC indică o oportunitate de piață de 3,5 miliarde de dolari pentru furnizorii de securitate și stocare și pentru partenerii lor.

Vom reveni în articolele viitoare cu discutarea oportunităților oferite de GDPR în activitatea de distribuție IT.

GDPR explicitat (10): Importanța evaluărilor de impact (DPIA)

 

AU MAI RĂMAS 227 de zile!

Una dintre practicile recomandate pentru evaluarea riscurilor și impactului pe care îl poate avea procesarea datelor personale în anumite condiții, este efectuarea unui studiu de impact asupra protecției sau confidențialității datelor, cunoscut sub denumirea generică de DPIA (Data Protection Impact Assessment) sau mai popular PIA (Privacy Impact Assessment).

Iată-ne ajunși la cel de-al 10-lea ”episod” din seria de articole GDPR Explicitat. După ce în articolul precedent am prezentat și comentat responsabilitatea și guvernanța în viziunea GDPR, în acest articolul ne ocupăm de evaluarea impactului pentru protecția datelor.

Ce este Data Protection Impact Assessment (DPIA)

Cum protecția datelor trebuie gândită acum ”by design”, fiind proiectată în mod implicit odată cu sistemele de procesare, pot apărea o multitudine de situații în care se recomandă evaluarea de impact asupra protecției datelor. O bună practică pentru noile tehnologii și procese este de a evalua dacă prelucrarea are un “risc ridicat”, dacă  aduce atingere drepturilor persoanelor vizate și dacă acest risc poate fi redus sau evitat, de exemplu prin pseudonimizare. Evaluările de impact sunt absolut necesare în cazul în care există o prelucrare automată și prelucrarea unor categorii speciale de date pe scară largă.

Evaluarea impactului privind protecția datelor (DPIA) – în versiunea mai populară mai des folosit ca Privacy Impact Assesment (PIA), reprezintă un instrument care poate ajuta organizațiile să identifice cea mai eficientă modalitate de a se conforma obligațiilor lor privind protecția datelor și de a răspunde așteptărilor individuale de confidențialitate. O evaluare de impact eficientă va permite organizațiilor să identifice și să remedieze problemele într-un stadiu incipient, reducând riscurile, costurile asociate și deteriorarea reputației, legată de apariția oricărui incident.

Evaluarea DPIA este parte integrantă a proiectării unei abordări privind confidențialitatea prin design. Punctele cheie ale unei astfel de evaluări sunt:

  • DPIA este un proces care ajută organizațiile să identifice și să minimizeze riscurile de confidențialitate ale proiectelor sau politicilor noi;
  • Efectuarea unei evaluări de impact implică lucrul cu oamenii din organizație, dar și cu partenerii, pentru a identifica și a reduce riscurile de confidențialitate;
  • Evaluarea vă ajuta la identificarea unor potențiale probleme într-un stadiu cât mai incipient, când remedierea poate să fie mai simplă și mai puțin costisitoare;
  • Realizarea unei evaluări de impact asupra confidențialității ajută organizațiile să elaboreze și să adopte cele mai bune politici de îmbunătățire a relațiilor dintre organizații și indivizi.

Când ar trebui să facem o evaluare DPIA?

În acord cu bunele practici, trebuie să efectuați o DPIA atunci când:

  • utilizarea noilor tehnologii impune asumarea unui anumit grad de risc;
  • prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor.

Procesarea care poate duce la un risc ridicat include, dar nu se limitează la acestea:

  • activități de prelucrare sistematice și extinse, inclusiv profilarea;
  • prelucrări în care deciziile care au efecte juridice – sau efecte similare, asupra persoanelor fizice;
  • prelucrarea pe scară largă a unor categorii speciale de date sau date cu caracter personal în legătură cu condamnările sau infracțiunile penale.

În general, trebuie avute în vedere orice activități care includ prelucrarea unor cantități considerabile de date cu caracter personal la nivel regional, național sau supranațional, care afectează un număr mare de indivizi și care  implică un risc ridicat pentru drepturi și libertăți.

Ce informații ar trebui să conțină DPIA?

Orice evaluare de impact trebuie să conțină:

  • descrierea operațiunilor de prelucrare și a scopurilor, inclusiv (dacă este cazul) a intereselor legitime urmărite de operator;
  • evaluarea necesității și proporționalității procesării în raport cu scopul;
  • evaluarea riscurilor pentru persoane fizice;
  • măsurile luate pentru a reduce riscul, inclusiv securitatea și pentru a demonstra că vă conformați;
  • numărul proiectelor similare care pot fi vizate de aceeași evaluare.

Beneficiile unei evaluări de impact asupra protecției datelor

Realizarea unei evacuări de impact pentru protecția datelor nu este o obligație a persoanei desemnate ca DPO. Acesta este o activitate de echipă, cu participanți din toate liniile de business. DPO poate coordona procesul de evaluare, poate face recomandări și trebuie să asigure alinierea la cerințele de conformitate. După elaborare, rolul DPO este acela de a ajuta organizația să folosească evaluarea de impact ca pe un instrument de conformare cu protecția datelor personale.

Chiar dacă efectuarea unui studiu de impact nu este o cerință legală, în anumite conjuncturi, autoritatea națională sau teritorială de supraveghere poate adresa o cerere oricărei organizații să realizeze o evaluare DPIA. Totodată, o evaluare de impact PIA, poate fi modul cel mai eficient pentru o organizație de a demonstra autorității de supraveghere modul în care prelucrarea datelor personale respectă cerințele de securitate și confidențialitate. În același timp, posesorii datelor personale pot fi asigurați că organizațiile care procesează informațiile lor urmează cele mai bune practici de securitate și confidențialitate. Un proiect care a fost supus unei evaluări PIA ar trebui să fie garantat ca un proces care are cele mai puțin ridicate riscuri de afectare intruzivă a datelor personale.

Un al doilea beneficiu pentru persoanele fizice este acela că PIA ar trebui să se asigure transparența în procesul de comunicare și de cunoaștere a modului în care sunt utilizate informațiile personale. Realizarea și publicarea unui raport de evaluare PIA va ajuta orice organizație să construiască relații de încredere cu oamenii care folosesc serviciile lor. Acțiunile întreprinse în timpul și după ce procesul de evaluare pot îmbunătăți experiența organizațiilor în relațiile de înțelegere cu clienții lor.

Nu trebuie desconsiderate beneficiile financiare pe care le poate aduce efectuarea unei evaluări de impact. Orice identificarea a unei probleme, într-o fază cât mai timpurie, va necesita o soluție mai puțin costisitoare. O evaluare de impact poate reduce, de asemenea, costurile unui proiect, prin minimizarea cantității de informații colectate, procesate și stocate.

În general, utilizarea consistentă a unei evaluări de impact va spori gradul de conștientizare a problemelor de confidențialitate și de protecție a datelor în cadrul unei organizații. Asta ne asigură că toți cei implicați în procesul de prelucrare sunt conștienți de importanța înțelegerii și păstrării acestor norme, încă din primele etape ale unui proiect.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready!  În următorul material ne vom ocupa de condițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

CELE MAI FRECVENTE ÎNTREBĂRI ȘI RĂSPUNSURI DESPRE GDPR

GDPR Q&A

Iată o pagină online interactivă care se înscrie în inițiativa GDPR Ready! Prin interactivitate înțelegem atât actualizarea periodică a conținutului cu noi întrebări și răspunsuri, cât și posibilitatea de inserare de întrebări și răspunsuri care provin de la terțe părți. Oricare dintre dvs. poate contribui prin recomandări și comentarii la continua actualizare a acestei pagini.

Fiecare răspuns va avea menționată sursa. Acolo unde avem mai multe răspunsuri pertinente la aceeași întrebare, le vom publica pe toate, cu menționarea sursei fiecăruia. Pentru o evidență arbitrară, întrebările și răspunsurile vor fi numerotate descendent, astfel încât întotdeauna informația ”cea mai proaspătă” să se regăsească în partea superioară a paginii GDPR Ready Q&A.

Să începem cu câteva dintre întrebările cele mai simple, postate pe site-urile oficiale, cu trecere treptată spre chestiunile cheie. În timp, întrebările vor deveni tot mai complexe, mai specifice și mai dedicate.

 

Q10: Care sunt penalitățile pentru ne-conformitate?

Organizațiile pot fi penalizate cu până la 4% din veniturile globale anuale sau cu suma de 20 Milioane Euro. Aceasta este amenda maximă care poate fi impusă pentru cele mai grave încălcări, precum de exemplu, lipsa unui consimțământ clar al clientului pentru procesarea datelor sau încălcarea elementelor esențiale ale conceptului Confidențialitate prin design. Există totuși o abordare graduată a amenzilor, de exemplu unei societăți i se poate aplica o amendă de 2% (din venitul global anual – nn) dacă nu are înregistrările în ordine (Articolul 28), dacă nu notifică autoritatea de supraveghere și persoana vizată despre o încălcare sau dacă nu efectuează o evaluare a impactului. Este important să rețineți că aceste reguli se aplică atât controlorilor (operatorilor de date – nn), cât și procesatorilor – adică furnizorii de Cloud nu vor fi scutiți de aplicarea GDPR.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

 

Q9: Care este structura GDPR?

Noul Regulament este structurat pe 9 Capitole și 91 de Articole dispuse astfel:

  • Capitolul I Dispoziții generale: Articolele 1-4;
  • Capitolul II Principii: Articolele 5-11;
  • Capitolul III Drepturile subiectului de date: Articolele 12-23;
  • Capitolul IV Controlor și procesor: Articolele 24-43;
  • Capitolul V Transferul datelor cu caracter personal către țări terțe: Articolele 44-50;
  • Capitolul VI Autorități independente de supraveghere: Articolele 51-59;
  • Capitolul VII Cooperarea și coerența: Articolele 60-76;
  • Capitolul VIII Restituiri Obligații și sancțiuni: Articolele 77-84;
  • Capitolul IX Dispoziții referitoare la situațiile specifice de prelucrare: Articolele 85-91.

Sursa: cloudmania*

 

Q8: Sunt operator de date cu caracter personal?

Operatorul de date cu caracter personal este persoana fizică sau juridică, de drept public ori de drept privat care stabilește scopul şi mijloacele prelucrării. Aceasta înseamnă că operatorul a decis să prelucreze date cu caracter personal prin anumite operaţiuni, efectuate prin mijloace automate, precum şi prin alte mijloace decât cele automate. De asemenea, persoana fizică sau juridică poate fi desemnată ca operator printr-un act normativ sau în baza unui act normativ care determină scopul şi mijloacele de prelucrare a datelor cu caracter personal. Pentru ca o prelucrare să intre sub incidenţa prevederilor Legii nr. 677/2001 este necesar ca ea să se desfăşoare în cadrul unui sistem de evidenţă. Prin sistem de evidenţă se înţelege o bază de date, structurată potrivit unor criterii, criterii pe baza cărora datele pot fi accesate (de exemplu, pe criteriul alfabetic).     

Sursa: Site ANSPDCP http://www.dataprotection.ro/?page=IntrebariFrecvente1

 

Q7: Rolul de Data Protection Officer (DPO) e mai potrivit pentru o persoană tehnică sau una non-tehnică?

Un DPO trebuie să înțeleagă un mare număr de probleme tehnice, dar nu trebuie să fie neapărat o persoană tehnică. Acesta ar trebui să fie de fapt o persoană cu o largă orientare, deoarece trebuie să înțeleagă implicațiile afacerii și cum să vorbească și să comunice cu persoane externe, cum ar fi autoritățile de supraveghere. În organizațiile mai mari, în jurul unui DPO se constituie practic un grup, un număr de persoane pe care poate să-i ajute. Sunt companii care au echipe de 2 sau 3 persoane cu responsabilități asemănătoare DPO și care formează biroul responsabilului cu protecția datelor.

Sursa: cloudmania*

 

Q6: Ce înseamnă ”Pseudonimizarea”?

“Pseudonimizarea” este un termen întâlnit în cadrul conceptului ”Privacy by design” și se referă la prelucrarea datelor cu caracter personal în așa fel încât datele personale nu mai pot fi atribuite unui anumit subiect de date fără utilizarea unor informații suplimentare, cu condiția ca aceste informații suplimentare să fie păstrate separat și să facă obiectul unor măsuri tehnice și măsuri organizatorice pentru a se asigura că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile. Cu alte cuvinte, datele personale utilizate pentru diferite procesări de business nu mai pot fi atribuite unei persoane identificabile, ci au ca echivalent un pseudonim, fie că pentru aceasta se folosesc denumiri, coduri numerice sau altfel de identificatori. Important este ca listele care fac asocierea între peroanele vizate și pseudonimele acestora să fie accesibile unui număr restrâns de persoane din cadrul operatorilor de date și a partenerilor de procesare. Listele de pseudonime trebuie de asemenea să facă obiectul unor măsuri tehnice și măsuri organizatorice speciale, pentru a ne asigura că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile.

Sursa: cloudmania*

 

Q5: Care este diferența dintre un procesator de date și un controlor de date?

Controlorul (operatorul – nn) este o entitate care determină scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal, în timp ce procesatorul este o entitate care prelucrează date cu caracter personal în numele controlorului.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

 

Q4: Pe cine va afecta GDPR?

A1: GDPR se aplică nu numai organizațiilor cu sediul în statele membre ale Uniunii Europene, ci va fi valabilă și pentru organizațiile din afara UE dacă acestea oferă bunuri sau servicii, sau monitorizează comportamentul unor persoane vizate localizate în UE. Se aplică tuturor companiilor care procesează și stochează datele personale ale subiecților care au locuința de bază în Uniunea Europeană, indiferent de locația companiei
Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

A2: Regulamentul se aplică controlorilor (operatorilor) și procesatorilor din UE, indiferent de locul în care au loc prelucrările de date.

Regulamentul se aplică în cazul activităților de prelucrare care au legătură cu:

  • Oferirea de bunuri sau servicii, indiferent dacă se solicită o plată a acestor oferte;
  • Monitorizarea comportamentului persoanelor vizate în cadrul UE, atâta vreme cât elementele comportamentului se referă la activitățile derulate de subiecți pe teritoriul Uniunii Europene.

Se aplică operatorilor care nu se află în UE, dar într-un teritoriu în care se aplică legislația statelor membre, în virtutea dreptului public internațional.

Sursa: GDPR, Article 3: Territorial scope

 

Q3: Ce reprezintă date personale?

A1: Orice informație referitoare la o persoană fizică sau la o “persoană vizată”, care poate fi utilizată pentru identificarea directă sau indirectă a persoanei (…constituie date personale –nn). Poate fi orice, de la un nume, o fotografie, o adresă de e-mail, detalii bancare, postări pe site-uri de socializare, informații medicale sau o adresă IP a computerului.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

A2: “date cu caracter personal”- înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

Sursa: GDPR, Article 4: Definitions

Q2: Care este diferența dintre un regulament și o directivă?

A1: Un regulament este un act legislativ obligatoriu. Acesta trebuie aplicat în întregime în întreaga UE, în timp ce o directivă este un act legislativ care stabilește un obiectiv pe care toate țările UE trebuie să-l atingă. Cu toate acestea, depinde de fiecare țară să decidă cum. Este important de menționat că GDPR este un regulament, spre deosebire de legislația anterioară, care este o directivă.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

A2: În dreptul european există două tipuri principale de legislație:

Directive:

  • Implementarea individuală în fiecare stat membru;
  • Implementat prin crearea de legi naționale aprobate de parlamentele fiecărui stat membru;
  • Directiva europeană 95/46 / CE este o directivă;
  • Legea 677 din 2001 este echivalentul Directivei 95/46 cu aplicabilitate pe teritoriul României.

 Regulamente:

  • Cu aplicabilitate imediată în fiecare stat membru
  • Nu impune nicio legislație locală de punere în aplicare
  • UE 2016-679 este un Regulament care va intra în vigoare în data de 25 Mai 2018.

Sursa: cloudmania*

Q1: Când va intra în vigoare GDPR?

Noul Regulament european privitor la protecția datelor personale și la libera circulație a acestora este discutat de noi sub denumirea generică internatională de GDPR (General Data Protection Regulation). GDPR a fost aprobat de Parlamentul European în aprilie 2016 și va intra în vigoare după doi ani de tranziție de la publicarea oficială, începând cu data de 25 mai 2018.

Sursa: Site-ul oficial GDPR http://www.eugdpr.org/gdpr-faqs.html

Notă: Răspunsurile care au menționată ca sursă CloudMania* reprezintă fie propriile nostre răspunsuri, fie conținut preluat de pe site-uri publice neutre sau de la parteneri care prin acordurile de confidențialitate nu pot fi menționați în aceste condiții. Vom încerca să păstrăm aceste infomații cât mai exacte, prin respectarea sursei de  informare.

 

Un nou ghid orientativ publicat de ANSPDCP

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunțat acum câteva zile lansarea unui nou ghid practic destinat operatorilor de date.

Ghidul a fost anunțat și a fost postat pe site-ul Autorității cu ocazia unei Mese Rotunde, intitulată “Aplicarea Noului Regulament General privind Protecția Datelor în sectorul public – obligații și responsabilități”, organizată pe 22 septembrie 2017 la Palatul Parlamentului. Ghidul orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor poate fi consultat în cadrul secțiunii speciale dedicată Regulamentului General privind Protecția Datelor, pe site-ul ANSPDCP.

Acest Ghid este oferit ca un instrument util în activitatea tuturor operatorilor, pentru accelerarea eforturilor acestora de a atinge cele mai optime nivele de conformitate cu prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Noul regulament va intra în vigoare începând cu 25 mai 2018, dată la care se abrogă Directiva 95/46/CE (Regulamentul General privind Protecția Datelor) în toate statele membre ale Uniunii Europene.

Structura Ghidului orientativ de aplicare GDPR se axează pe prezentarea principalelor obligații care le revin operatorilor în contextual noului Regulament. Dintre aceste obligații se detașează:

  • Desemnarea unui responsabil cu protecția datelor
  • Rolul responsabilului cu protecţia datelor
  • Cartografierea prelucrărilor de date cu caracter personal
  • Ce trebuie să conțină evidenţa păstrată de operator
  • Prioritizarea acțiunilor de întreprins
  • Care sunt măsurile speciale de care trebuie să se țină cont
  • Gestionarea riscurilor
  • Organizarea procedurilor interne

Ca recomandare generală, Ghidul orientativ sugerează realizarea unei analize aprofundate a legislației privind protecția datelor și a cerințelor impuse de Regulamentul General privind Protecţia Datelor, pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în funcţie de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

În condițiile în care acest act normativ european aduce multiple elemente de noutate în peisajul juridic românesc și instituie noi obligații în sarcina operatorilor de date și/sau persoanelor împuternicite de operatori Autoritatea speră ca și acest ghid, împreună cu toate celelalte materiale informative postate pe site-ul Autorității Naționale de Supraveghere, să ajute operatorii în eforturile de conformare cu noile reguli de prelucrare a datelor personale.

Iată o listă succintă a materialelor care pot fi consultate și descărcate de pe site-ul Autorității:

Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

Drepturile persoanelor vizate – Extras din Regulamentul nr. 679/2016

Noul Regulament 2016/679 aplicabil din 25 mai 2018 – Elemente de noutate (pliant)

Noul Regulament 2016/679 aplicabil din 25 mai 2018 – Elemente de noutate (broșură)

Responsabilul cu protecția datelor

Ghidului orientativ de aplicare a Regulamentului General privind Protecţia Datelor destinat operatorilor

Ghiduri finale ale Grupului de Lucru Art. 29

Informații complete pe site-ul ANSPDCP

 

GDPR explicitat (9): Data protection by design and by default

AU MAI RĂMAS 246 de zile!

În cadrul GDPR, aveți obligația generală de a implementa măsuri tehnice și organizatorice care să arate că ați luat în considerare și că integrați protecția datelor în activitățile dvs. de procesare. Confidențialitatea prin design este o abordare care a fost de mult timp și va fi întotdeauna o cerință implicită a principiilor pe care toți operatorii de date personale și le asumă în mod constant.  

“Design is a funny word. Some people think design is how it looks. But of course, if you dig deeper, it’s really how it works.”  Steve Jobs

Ce este “confidențialitatea prin design”?

Confidențialitatea prin design este o abordare a proiectelor care promovează respectarea vieții private și protecția datelor încă de la început, de la proiectarea bazelor de date și a sistemelor de calcul. Din nefericire, în practică s-a văzut că aceste  aspecte sunt de cele mai multe ori asumate ca o gândire ulterioară sau ignorate cu totul. Deși această abordare nu a fost o cerință esențială a Legii privind protecția datelor, prin includerea sa distinctă în noul Regulament, ea va ajuta organizațiile să își respecte obligațiile care le revin în temeiul legislației.

GDPR încurajează organizațiile să se asigure că protecția vieții private și a datelor reprezintă un element-cheie în primele etape ale oricărui proiect și apoi pe tot parcursul ciclului său de viață. Iată câteva exemple:

  • crearea de noi sisteme IT pentru stocarea sau accesarea datelor cu caracter personal;
  • elaborarea de reguli, politici sau strategii care au implicații asupra vieții private;
  • lansarea unei inițiative de partajare a datelor;
  • folosirea seturilor de date pentru alte scopuri, decât cele avute în vedere inițial.

Beneficiile adoptării unei abordări “confidențialitate prin design”

O abordare privind confidențialitatea prin design este în primul rând un instrument esențial în reducerea riscurilor de confidențialitate și de construire a încrederii. Designul proiectelor, proceselor, produselor sau sistemelor plecând de la premisa asigurării confidențialității încă de la început poate aduce beneficii care includ:

  • Problemele potențiale sunt identificate într-un stadiu incipient, când abordarea acestora va fi adesea mai simplă și mai puțin costisitoare;
  • Creșterea gradului de conștientizare a vieții private și a protecției datelor într-o organizație;
  • Organizațiile sunt mult mai probabil să-și îndeplinească obligațiile legale și mai puțin susceptibile de a încălca Legea privind protecția datelor;
  • Este puțin probabil ca acțiunile să fie invazive și să aibă un impact negativ asupra persoanelor.

”Ținând seama de stadiul actual al tehnicii, costul implementării și natura, scopul, contextul și scopurile prelucrării, precum și riscurile de variație a probabilității și gravității drepturilor și libertăților persoanelor fizice create de procesare, controlorul atât în momentul determinării mijloacelor de procesare, cât și în momentul procesării propriu-zise, pun în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt concepute pentru a pune în aplicare principiile de protecție a datelor, cum ar fi minimizarea datelor, o manieră eficientă și integrarea garanțiilor necesare în prelucrare pentru a îndeplini cerințele prezentului regulament și pentru a proteja drepturile persoanelor vizate.” GDPR, Articolul 25, Alineatul 1.

Conform Articolului 25, operatorii trebuie să adopte măsuri tehnice și organizatorice adecvate pentru a se asigura că, în mod implicit, sunt prelucrate numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Această obligație se aplică:

  • cantității de date cu caracter personal colectate
  • amplorii prelucrării acestora;
  • perioadei de stocare asumate;
  • accesibilității datelor personale.

Astfel de măsuri trebuie să garanteze în mod special faptul că, în mod prestabilit, datele cu caracter personal nu sunt accesibile fără intervenția unei persoanei fizice unui număr nedeterminat de persoane fizice. Cu alte cuvinte, toți operatorii trebuie să adopte reguli clare, bazate pe politici  de acces la datele cu caracter personal.

Nimic nou sub soare

Ceea ce se știe destul de puțin este că ”Privacy by Design” este un concept care a fost dezvoltat încă de la sfârșitul anilor ’90 de către dr. Ann Cavoukian – comisar pentru informare și protecția vieții private din Ontario, Canada. Confidențialitatea prin design avansează opinia că viitorul vieții private nu poate fi asigurat numai prin respectarea legislației și a cadrelor de reglementare. Asigurarea confidențialității trebuie să devină un mod de funcționare implicit al unei organizații. Cadrul “Confidențialitatea prin design” folosește o abordare caracterizată prin măsuri proactive mai degrabă decât reactive. Ea anticipează și împiedică evenimentele invazive de confidențialitate înainte ca acestea să se întâmple. Confidențialitatea prin design nu așteaptă să se materializeze riscurile de confidențialitate și nici nu oferă remedii pentru soluționarea încălcărilor vieții private după ce au avut loc. Ci are ca scop prevenirea apariției acestora. Pe scurt, confidențialitatea prin design vine înainte de fapte, nu după.

Seriozitatea, claritatea și mai ales larga capacitate de adopție a programului Privacy by Design a determinat Comisia Europeană să îl încorporeze ca abordare în Regulamentul general privind protecția datelor. Respectând această abordare, procesatorii de date și proiectanții de sisteme informatice pot să își elaboreze ofertele prin minimizarea datelor colectate și alegerea celor mai eficiente setări de protecție a datelor. Prin respectarea puternicului principiu al limitării scopului. Se garantează faptul că vor fi prelucrate numai datele necesare pentru furnizarea unui serviciu.

Cele 7 principii fundamentale ale confidențialității prin design

De la adoptarea acestei rezoluții internaționale, cele 7 principii fundamentale ale confidențialității prin design au fost traduse în 31 de limbi oficiale și s-au dovedit  o resursă valoroasă pentru organizații din întreaga lume..  Obiectivele de confidențialitate prin design – asigurarea protecției vieții private și obținerea controlului personal asupra informațiilor proprii și, pentru organizații, obținerea unui avantaj competitiv durabil – pot fi realizate prin respectarea celor 7 Principii Fundamentale:

  1. Proactiv nu Reactiv – Adică prevenire, nu remediu. Abordarea privind confidențialitatea prin design se caracterizează prin măsuri proactive mai degrabă decât reactive. Ea anticipează și împiedică evenimentele invazive de confidențialitate, înainte ca acestea să se întâmple. Confidențialitatea prin design nu așteaptă să se materializeze riscurile de confidențialitate și nici nu oferă remedii pentru soluționarea încălcărilor vieții private după ce acestea au avut loc. Are ca scop prevenirea apariției acestora. Pe scurt, confidențialitatea prin design vine înainte de fapte, nu după;
  2. Confidențialitatea ca setare implicită – Singurele care ne pot face să putem fi siguri de un lucru sunt regulile implicite! Confidențialitatea prin design urmărește să asigure un nivel maxim de confidențialitate, asigurând protecția automată a datelor cu caracter personal în orice sistem IT sau practică de afaceri. Dacă un individ nu face nimic, intimitatea lui rămâne în continuare intactă. Nu este necesară nicio acțiune din partea individului pentru a-și proteja confidențialitatea – aceasta este implicit protejată de sistem;
  3. Confidențialitatea încorporată în design – Astfel confidențialitatea este încorporată în designul și arhitectura sistemelor informatice și a practicilor de afaceri. Nu este poziționată ca un add-on. Doar așa confidențialitatea devine o componentă esențială a funcțiilor de bază furnizate. Confidențialitatea este parte integrantă a sistemului, fără a diminua funcționalitatea;
  4. Funcționalitatea completă – Se urmărește o adaptare a tuturor intereselor și obiectivelor legitime într-o manieră profitabilă de tip ”sumă pozitivă”, nu printr-o abordare de tip ”rezultat cumulat zero”, în cazul în care sunt adoptate compromisuri inutile. Confidențialitatea prin design evită pretenția unor dihotomii false, cum ar fi confidențialitatea vs. securitatea – demonstrând că este posibil să obținem
  5. Securitatea end-to-end – protecția completă, pe toată durata ciclului de viață. Confidențialitatea prin proiect, care a fost încorporată în sistem înainte de primirea primului element de informație, se extinde în mod sigur pe întreaga durată de viață a datelor implicate – garantând intimitate, de la început până la sfârșit. Acest lucru ne asigură că toate datele sunt păstrate în siguranță și apoi distruse în siguranță la sfârșitul procesului, în timp util.
  6. Vizibilitate și transparență – Confidențialitatea prin design urmărește să asigure toate părțile interesate că, indiferent de practica comercială sau tehnologia implicată, funcționează în conformitate cu promisiunile și obiectivele menționate, supuse verificării independente. Componentele și operațiunile sale rămân vizibile și transparente, atât pentru utilizatori, cât și pentru furnizori. Cu alte cuvinte ”Crede și ține minte, dar nu uita să și verifici…”
  7. Respectarea confidențialității utilizatorilor – Mai presus de toate, confidențialitatea prin proiectare cere arhitecților și operatorilor să protejeze interesele individului, oferind astfel de măsuri care susțin implicațiile puternice de confidențialitate, recomandă notificarea corespunzătoare și respectarea opțiunilor cele mai prietenoase pentru utilizator. Țineți-l pe utilizator de partea voastră.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de instrumentele de autoevaluare privitoare la conformitatea cu GDPR

Articole anterioare:

 

Invitație la un eveniment dezbatere: Noua ordine europeană pentru protecția datelor personale

 

Suntem pregătiți pentru asigurarea conformității cu nou Regulament european?  Este o întrebare care apare tot mai des, în cele mai diferite medii, de la marile case de avocatură, la companiile de consultanta și la furnizorii de soluții de optimizare operațională și securitate IT.

Studiile de piață arată clar că NU. Peste 70% dintre operatorii europeni de date nu au încă un program clar de asigurare a compatibilității cu noile reglementari ale Uniunii Europene. Mai grav este că mai mult de jumătate dintre cei care au afirmat că sunt pregătiți, nu au baze reale pentru obținerea conformității GDPR.

Pe măsură ce trece timpul, ideile principale care se desprind sunt legate de faptul că obținerea conformității cu prevederile GDPR este un must, un lucru foarte serios pe care nu trebuie să îl trecem cu vederea, o abordare, pe care dacă nu o tratăm cu toată seriozitatea riscăm să pierdem enorm: material, moral, dar mai ales eficiența în business.

Pentru a putea fi cu adevărat pregătiți pentru GDPR trebuie să înțelegem în primul rând importanța majoră a Regulamentului și responsabilitățile pe care le vom avea ca operatori de date personale. Iată câteva elemente definitorii, esențiale pentru schițarea unei bune strategii de conformitate.

Toți cei care au neclarități legate de aspecte legale, operaționale sau tehnologice vor avea ocazia să participe la un eveniment dedicat unei largi audiențe, unde pot adresa direct întrebările esențiale celor mai avizați specialiști.

Înregistrați-vă la evenimentul dezbatere

“Noua ordine europeană pentru PROTECŢIA DATELOR PERSONALE”

12 Octombrie 2017, București, sediul Muşat & Asociaţii

 

Aflat deja la cea de-a treia ediție, evenimentul este organizat de agenția de PR Concord Communication și are ca parteneri principali companiile Mușat și Asociatii, Clico Romania și Power Net Consulting.

Printre principalele teme abordate se numără problematici de mare interes, precum  ghiduri practice de implementare a măsurilor de conformitate GDPR, diverse aspecte legate de securitatea datelor cu caracter personal, obligațiile și responsabilitățile ofițerilor responsabili cu protecția datelor, transferurile de date cu caracter personal către țări terțe sau organizații internaționale, precum și reguli corporative legate de răspunderea angajaților pentru încălcarea obligațiilor GDPR în Romania și în alte state membre.

Evenimentul “Noua ordine europeană pentru PROTECŢIA DATELOR PERSONALE” se adresează companiilor și instituțiilor publice din cele mai diverse domenii, precum operatorii de utilități din energie, petrol și gaze, sau transport, sectorul financiar-bancar, sănătate, servicii publice, servicii Cloud computing, data center și eCommerce, motoare de căutare online, platforme de joburi, furnizori telecom, agenții de marketing sau operatori de turism.

Evenimentul este gândit într-o manieră transparentă și interactivă, fiind structurat sub formă de întrebări și răspunsuri. Pentru detalii despre eveniment, agenda și specialiștii care vor răspunde la întrebări nu trebuie decât să vă înregistrați la adresa: https://concordcom.ro/evenimente/protectia-datelor-personale/

Prin intermediul Fomularului de înscriere pot fi adresate întrebările esențiale la care doriți să primiți răspunsuri din partea specialiștilor prezenți în panel.

Image source: Concord Communications

GDPR explicitat (8): Responsabilitatea și guvernanța în noua viziune

AU MAI RĂMAS 251 zile!

Noul regulament pe care îl discutam sub titulatura generica de GDPR vine cu o nouă viziune asupra responsabilității pe care trebuie să și-o asume operatorii de date personale. În timp ce principiile responsabilității și transparenței au fost anterior cerințele implicite ale legii privind protecția datelor, noua viziune a GDPR le extinde mult semnificația. În noul model de responsabilitate operatorii de date personale nu numai ca trebuie să respecte responsabiltatea pe care și-o asumă, dar trebie să și demonstreze faptul că sunt abilitați să își asume această responsabilitate. 

Iată-ne ajunși la cel de-al 8-lea articol din seria GDPR Explicitat. După ce în articolul precedent am prezentat și comentat dreptul la portabilitatea datelor, dreptul la obiecție și drepturile legate de luarea automată a deciziilor și profilare,  continuăm cu prezentarea de informații privitoare la noul model de responsabilitate și guvernanță  în viziunea GDPR.

În esență, GDPR include prevederi care promovează responsabilitatea și guvernanța. Acestea completează cerințele de transparență ale GDPR discutate de noi încă din articolul: ”GDPR explicitat (3): Respectați principiile și demonstrați-vă conformitatea activităților” https://cloudmania2013.com/2017/07/10/gdpr-explicitat-respectati-principiile-si-demonstrati-va-conformitatea-activitatilor/

Am facut acolo un prim comentariu despre principiul responsabilității. GDPR vă cere nu numai să respectați principiile – de exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci și să demonstrați oricând această responsabilitate. Dar, în opinia mea, noțiunea de ”accountability”, introdusă în textul original al GDPR  înseamnă puțin mai mult decât o simplă ”responsabilitate”. Descrierea Cambridge English Dictionary e concludentă pentru asta: ”Someone who is accountable is completely responsible for what they do and must be able to give a satisfactory reason for it”

În timp ce principiile responsabilității și transparenței au fost anterior cerințele implicite ale legii privind protecția datelor, noua viziune a GDPR le extinde mult semnificația. În noul model de responsabilitate operatorii de date personale nu numai ca trebuie să respecte responsabilitatea pe care și-o asumă, dar trebuie să și demonstreze faptul că sunt abilitați să își asume această responsabilitate.  Se așteaptă să se instituie măsuri de guvernanță cuprinzătoare, dar proporționale.

Instrumentele de bună practică pe care organismele europene de reglementare le-au susținut de mult timp, cum ar fi evaluările impactului asupra vieții private și viața privată după proiectarea procesarii datelor, sunt acum cerute din punct de vedere legal în anumite circumstanțe.

În cele din urmă, aceste măsuri ar trebui să minimizeze riscul de încălcare și să susțină protecția datelor cu caracter personal. Practic, acest lucru ar însemna mai multe politici și proceduri pentru organizații, deși multe organizații vor avea deja măsuri de bună guvernanță.

În ce constă principiul responsabilității?

Noul principiu de responsabilitate prevăzut la Articolul 5, Alineatul (2) impune să demonstrați că respectați principiile și să menționați în mod explicit că aceasta este responsabilitatea dvs.

Cum pot să îmi demonstrez responsabilitatea? Lucrurile nu trebuie sa fie foarte complicate, atâta timp cât se respectă o serie de proceduri de implementare a măsurilor tehnice și organizatorice adecvate care să asigure și să demonstreze că vă conformați. Acestea pot include politici interne de protecție a datelor, cum ar fi formarea personalului, audituri interne ale activităților de prelucrare și revizuiri ale politicilor interne în materie de resurse umane.

Iată o serie de recomandări:

  • Mențineți o documentația relevantă privind activitățile de procesare a datelor cu caracter persoanal;
  • Dacă este cazul, numiți un ofițer de protecție a datelor – vom discuta într-un articol viitor despre situațiile în care se recomandă numirea unui DPO.
  • Implementați măsurile care respectă principiile protecției datelor prin proiectare și protecția datelor în mod implicit (data protection by design and by defaut)

Aceste măsuri ar trebui să includă:

  • Minimizarea datelor;
  • Pseudonimizarea;
  • Transparență;
  • Transparență în monitorizarea procesării;
  • Crearea și îmbunătățirea funcțiilor de securitate în mod continuu;
  • Evaluări de impact privind protecția datelor;
  • Respectarea codurilor de conduită aprobate și / sau sistemele de certificare.

 

Evidența activităților de prelucrare

Aceasta este prima procedură care trebuie inițiată, indiferent de profilul dvs de activitate sau natura datelor personale și scopul prelucrării acestora. În oricare dintre situații aveți obligația de a furniza politici de confidențialitate complete, clare și transparente. Dacă organizația dvs. are mai mult de 250 de angajați, trebuie să păstrați înregistrări interne suplimentare ale activităților de procesare.

În cazul în care organizația dvs. are mai puțin de 250 de angajați, sunteți obligat să păstrați doar evidența activităților legate de prelucrarea datelor cu risc sporit, cum ar fi:

  • prelucrarea datelor cu caracter personal care ar putea duce la un risc pentru drepturile și libertățile individului;
  • procesarea unor categorii speciale de date, precum condamnări și infracțiuni penale.

De ce trebuie să înregistrăm tot ceea ce prelucrăm?

Cea mai elementară procedură internă este  înregistrarea și păstrarea evidenței oricărei activități de procesare. Conform Articolului 30, Alineatul 1 trebuie să înregistrați și să aveți o evidență clară a următoarele informații:

  • numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat, ale reprezentantului operatorului şi ale responsabilului cu protecţia datelor;
  • scopurile prelucrării;
  • descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal;
  • categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
  • dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate;
  • acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii de date;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 32 alineatul (1).

După intrarea în vigoare a noului Regulament este posibil să vi se solicite ca aceste înregistrări să fie puse la dispoziția autorității de supraveghere competente în cazul unei investigații. În vederea demonstrării conformităţii cu prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să păstreze evidenţe ale activităţilor de prelucrare aflate în responsabilitatea sa.

Fiecare operator şi fiecare persoană împuternicită de operator ar trebui să aibă obligaţia de a coopera cu autoritatea de supraveghere şi de a pune la dispoziţia acesteia, la cerere, aceste evidenţe, pentru a putea fi utilizate în scopul monitorizării operaţiunilor de prelucrare respective. Conform Articolului 30, Alineatul 2, aceste evidențe trebuie să includă:

  • numele şi datele de contact ale persoanei sau persoanelor împuternicite de operator şi ale fiecărui operator în numele căruia acţionează această persoană (aceste persoane), precum şi ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz;
  • categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator;
  • dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor prevăzute la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate;
  • acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 32 alineatul (1).

Evidenţele menţionate la alineatele (1) şi (2) se formulează în scris, inclusiv în format electronic. Operatorul sau persoana împuternicită de acesta, precum şi, după caz, reprezentantul operatorului sau al persoanei împuternicite de operator pun evidenţele la dispoziţia autorităţii de supraveghere, la cererea acesteia.

De reținut că obligaţiile menţionate la alineatele 1 şi 2 nu se aplică unei întreprinderi sau organizaţii cu mai puţin de 250 de angajaţi, cu excepţia cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, astfel cum se prevede la Articolul 9, Alineatul 1, sau date cu caracter personal referitoare la condamnări penale şi infracţiuni, cum se menţionează la Articolul 10.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de destul de controversata prevedere cunoscută ca ”Data protection by design and by default

Articole anterioare:

GDPR explicitat (7): Dreptul la portabilitatea datelor, obiecții și luarea automată a deciziilor

AU MAI RĂMAS 259 zile!

Noul regulament pe care îl discutam sub titulatura generica de GDPR vine cu unele drepturi noi pentru indivizi și consolidează unele dintre drepturile care existau deja in Legislația Europeana. GDPR oferă persoanelor fizice vizate de prelucrarea datelor cu caracter personal următoarele drepturi generale: Dreptul de a fi informat, de acces, de rectificare, de ștergere,  de a restricționa procesarea, dreptul la portabilitatea datelor,  la obiecții, precum și drepturi legate de luarea automatizată de decizii și profilare.

Iată-ne ajunși la cel de-al 7-lea articol din seria GDPR Explicitat. După ce în articolul precedent am prezentat și comentat dreptul de acces, rectificare, ștergere sau restricționare, continuăm cu prezentarea drepturilor și a excepțiilor legate de dreptul la portabilitatea datelor, dreptul la obiecție și dreptul de a decide dacă datele personale pot fi incluse în operațiuni de prelucrare automatizată și profilare.

Dreptul la portabilitatea datelor

Dreptul la portabilitatea datelor permite persoanelor să obțină și să reutilizeze datele lor personale în scopuri proprii în cadrul diferitelor servicii. Acest drept permite mutarea, copierea sau transferul datele personale cu ușurință de la un mediu IT la altul, într-un mod sigur. Multe organizații europene oferă deja servicii de portabilitate a datelor, care permit persoanelor interesate să  vizualizeze, să acceseze și să utilizeze datele personale de consum și tranzacții într-un mod portabil și sigur. Mai mult, există operatori internaționali care permit consumatorilor să profite de aplicații și servicii care pot utiliza aceste date pentru a le găsi o afacere mai bună sau pentru a le ajuta să-și înțeleagă obiceiurile de cheltuieli.

Conform Articolului 20, persoana vizată are dreptul să transmită date cu caracter personal altui operator de date. Operatorul de date trebuie să furnizeze persoanei vizate o copie a datelor cu caracter personal într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat. Mai mult, operatorul de date nu trebuie să împiedice transmiterea datelor cu caracter personal unui nou operator de date.

Dreptul de portabilitate a datelor se aplică numai în cazul în care:

  • datele sunt procesate prin mijloace automate;
  • persoana vizată a dat consimțământul pentru prelucrare;
  • prelucrarea este necesară pentru a îndeplini condițiile stipulate printr-un contract.

Ce trebuie să facem pentru a asigura conformitatea cu acest drept? La solicitarea explicită a persoanei vizate trebuie să furnizăm datele personale într-o formă structurată, utilizată frecvent și care poate fi citită în mod automatizat.  Formatele deschise includ fișierele CSV. Prin intermediul unei mașini de citire se înțelege că informațiile sunt structurate astfel încât software-ul să poată extrage elemente specifice ale datelor. Acest lucru permite altor organizații să utilizeze datele. Informațiile trebuie furnizate gratuit.

Este posibil să ni se solicite să transmitem datele direct unei alte organizații, dacă acest lucru este fezabil din punct de vedere tehnic. Cu toate acestea, nu suntem obligați să adoptăm sau să menținem sisteme de procesare care sunt compatibile din punct de vedere tehnic cu alte organizații. Dacă datele personale se referă la mai multe persoane, trebuie să verificăm dacă furnizarea informațiilor ar aduce atingere drepturilor oricărei alte persoane.

În cât timp trebuie să răspundem solicitărilor de portare? Avem la dispoziție, fără întârzieri nejustificate, o perioadă de o lună, de la primirea solicitării. În cazul în care primim o cerere mai complexă, care include și alte tipuri de solicitări, timpul de răspuns poate ajunge la două luni. În cazul în care, din diferite motive, nu putem să furnizăm un răspuns la o cerere, trebuie să explicăm solicitantului că are dreptul de a se plânge autorității de supraveghere și de a deschide o cale de atac, fără întârzieri nejustificate și cel mult într-o lună.

Pentru o mai buna informare despre Dreptul la portabilitatea datelor, cititi si indrumarul “Guidelines on the right to data portability” realizat de Grupul de lucru ARTICLE 29 DATA PROTECTION si publicat si pe site-ul ANSPDCP la sectiunea Ghiduri ale Grupului de Lucru Art.29. 

Dreptul de a ridica obiecții

Unul dintre principalele drepturi ale persoanei vizate, stipulate de GDPR este dreptul la obiecții sau de a se opune anumitor tipuri de prelucrări.

Care sunt aceste tipuri de prelucrări ale persoanelor vizate? Conform Articolului 21 persoana vizată are dreptul de a se opune la:

  • prelucrarea datelor personale în scopuri de marketing direct;
  • prelucrarea datelor pentru realizarea de profiluri;
  • prelucrarea datelor prin mijloace automate;
  • prelucrarea în scopuri științifice sau istorice.

Situațiile de excepție care anulează dreptul la obiecții al persoanelor vizate apar atunci când, în calitatea de operator de date personale, putem să demonstrăm că există motive legitime convingătoare pentru susținerea prelucrării, care depășesc interesele, drepturile și libertățile persoanei vizate. Alte situații de excepție sunt motivate de stabilirea, exercitarea sau apărarea unor revendicări legale sau în situațiile în care prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public.

Haideți să discutăm puțin câteva dintre aceste situații de excepție.

Dacă scopul primar al procesării datelor personale este de natură legală sau în interesul legitim al organizației noastre – în momentul în care primim vreo obiecție legată de natura acestor procesări, trebuie să încetăm prelucrarea datelor respective numai dacă nu putem demonstra cu claritate că prelucrarea se face pentru stabilirea, exercitarea sau apărarea revendicărilor legale. Toate acestea trebuie explicate clar și concis persoanei vizate care a ridica vreo obiecție.

Dacă facem procesarea de date personale în scop de marketing direct, trebuie să încetăm orice operațiune de prelucrare de îndată ce primim o obiecție. În aceste situații nu există excepții sau motive de refuz pentru luarea în considerare a unei obiecții. Trebuie să răspundem obiecțiilor împotriva procesării în scopuri de marketing direct cât mai rapid și în mod gratuit. Chiar dacă în anumite circumstanțe a exist un consimțământ inițial pentru prelucrarea datelor, ridicarea unei obiecții explicite pentru interzicerea prelucrării datelor personale în scopuri de marketing direct trebuie acceptată fără întârziere și comunicată persoanei vizate ”în mod clar și separat de orice altă informație”. Toate aceste condiții trebuie stipulate de la bun început, chiar prin contractual de confidențialitate.

Dacă procesăm date personale în scopuri legate de cercetare științifică sau istorică, sau în scopuri statistice, persoanele fizice trebuie să aibă “motive legate de situația lor particulară” pentru a-și exercita dreptul de a se opune prelucrării în scopuri de cercetare. Dacă scopul principal al proiectului de cercetare este legat în mod direct de îndeplinirea unei sarcini de interes public, nu suntem obligați să ne conformăm unei obiecții față de prelucrarea datelor. Evident că această situație și motivarea clară și precisă a naturii cercetării trebuie comunicate în cel mai scurt timp persoanei vizate care s-a opus prelucrării.

Drepturi legate de luarea automată a deciziilor și profilare

Iată o categorie specială de drepturi, prezentă în legislația anterioară dar mult mai bine explicitată prin noul Regulament  GDPR, care oferă persoanelor fizice garanții împotriva riscului ca o decizie potențial dăunătoare să fie luată fără intervenția omului.

Ce avem de făcut pentru asigurarea conformității cu acest drept? Nu trebuie decât să identificăm  dacă oricare dintre operațiunile noastre de procesare include un proces automat de luare a deciziilor și, bineînțeles, trebuie să ne actualizăm procedurile,  pentru a răspunde cerințelor GDPR.

Când se aplică acest drept? Conform Articolului 22, persoanele fizice au dreptul de a nu face obiectul unei decizii atunci când aceasta se bazează pe prelucrarea automată și poate produce un efect juridic sau un efect semnificativ similar asupra individului.

Dreptul se aplică tuturor deciziilor automate? Nu. Dreptul nu se aplică în cazul în care decizia:

  • este necesară pentru încheierea sau executarea unui contract între dvs. și persoana fizică;
  • este autorizată prin lege (de exemplu, în scopuri de fraudă sau prevenirea evaziunii fiscale)
  • pe baza consimțământului explicit. (Articolul 9, Alineatul (2));
  • atunci când o decizie nu are un efect legal sau similar semnificativ asupra unei persoane.

Ce reprezintă profilarea, în viziunea GDPR?

GDPR definește profilarea ca orice formă de procesare automată destinată să evalueze anumite aspecte personale ale unei persoane, în special pentru a le analiza sau a prezice:

  • performanța la locul de muncă;
  • situația economică;
  • starea de sănătate;
  • preferințele personale;
  • fiabilitatea;
  • comportamentul;
  • locația
  • deplasările.

La prelucrarea datelor cu caracter personal în scopuri de realizare a unui profil, trebuie să ne asigurăm că există garanții adecvate și să respectăm o serie de proceduri:

  • Trebuie mai întâi să ne asigurăm că procesarea este corectă și transparentă prin furnizarea de informații semnificative despre logica implicată, precum și despre semnificația și consecințele avute în vedere;
  • De preferat să folosim procedurile matematice sau statistice adecvate pentru profilare;
  • Se recomandă implementarea măsurilor tehnice și organizatorice adecvate care să ne permită remedierea erorilor și minimizarea riscului de eroare;
  • Trebuie să asigurăm datele personale într-o manieră proporțională cu riscul pentru interesele și drepturile individului și să prevenim efectele discriminatorii.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready!  În următorul material ne vom ocupa de Responsabilitate și Guvernanță în viziunea GDPR.

Articole anterioare:

GDPR explicitat (6): Dreptul de acces, rectificare, ștergere sau restricționare

AU MAI RĂMAS 295 zile!

Noul regulament pe care noi îl discutam sub titulatura generica de GDPR vine cu unele drepturi noi pentru indivizi și consolidează unele dintre drepturile care existau deja in Legislația Europeana.  GDPR oferă persoanelor fizice vizate de prelucrarea datelor cu caracter personal următoarele drepturi generale: Dreptul de a fi informat, de acces, de rectificare, de ștergere,  de a restricționa procesarea, dreptul la portabilitatea datelor,  la obiect, precum și drepturi legate de luarea de decizii automatizate și de profilare.

După ce în articolul precedent am prezentat și comentat dreptul de a fi informat și transparența comunicării, continuăm trecerea în revistă a celorlalte drepturi.

Dreptul de acces

Ce informații poate o persoană să ne solicite conform GDPR?

Conform GDPR orice persoană vizată poate solicita dreptul de acces la datele personale, în anumite condiții.  În mare aceste drepturi se regăsesc și în prevederile legislației anterioare.

Astfel, potrivit Articolului 15: ”Dreptul de acces de către persoana vizată”, pot fi solicitate următoarele tipuri de  informații:

  • care e scopul prelucrării datelor personale?
  • ce categorii de date cu caracter personal sunt în cauză;
  • care sunt destinatarii cărora le-au fost furnizate datele cu caracter personal;
  • care este perioada pentru care vor fi stocate datele cu caracter personal;
  • dreptul la rectificare, ștergere, obiecție sau restricție;
  • dreptul de a depune o plângere la o autoritate de supraveghere;
  • în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile cu privire la originea lor.

Care este scopul asigurării dreptului de acces?

În noua formulare, GDPR preia în mare parte prevederile existente, în virtutea faptului că orice persoană vizată trebuie să aibă drept de acces la datele cu caracter personal colectate care o privesc şi ar trebui să îşi exercite acest drept cu uşurinţă şi la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare şi pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele privind sănătatea, de exemplu datele din registrele medicale conţinând informaţii precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanţi şi orice tratament sau intervenţie efectuată.

Orice persoană vizată trebuie să aibă dreptul de a cunoaşte şi de a i se comunica în special scopurile în care sunt prelucrate datele, și dacă este posibil, perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor şi, cel puţin în cazul în care se bazează pe crearea de profiluri, consecinţele unei astfel de prelucrări.

Putem percepe vreo taxă pentru furnizarea datelor?

Vechile prevederi ale Legi 677/ 2001 arătau că o persoană putea solicita accesul la date în mod gratuit doar o data pe an. Actualul regulament nu specifică perceperea vreunei taxe, dar lasă libertatea fiecărui membru UE să stabilească în ce condiții pot fi percepute anumite taxe, mai ales când implică un volum considerabil de lucru din partea operatorului sau atunci când o cerere este vădit nefondată, excesivă sau repetitivă.

În cât timp trebuie să furnizăm informațiile solicitate?

Regulamentul oferă operatorilor o perioadă rezonabilă de până la o lună pentru a răspunde  solicitărilor de acces la datele personale. În anumite situații, acest termen poate fi prelungit cu încă o lună, dar suntem obligați în acest caz să anunțăm persoanele vizate de această prelungire, cu justificările de rigoare în termen de cel mult o lună de la primirea solicitării.

Cum putem furniza  informațiile?

În mod normal, trebuie să verificăm mai întâi identitatea persoanei care depune cererea, folosind „mijloace rezonabile“. În cazul în care cererea se face electronic, ar trebui să furnizăm informațiile tot într-un format electronic utilizat în mod obișnuit. Față de prevederile anterioare, GDPR vine cu o idee inovatoare: acolo unde este posibil, noi ca operatori de date ar trebui să putem furniza acces de la distanţă la un sistem sigur, care să ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui să aducă atingere drepturilor sau libertăţilor altora, inclusiv secretului comercial sau proprietăţii intelectuale şi, în special, drepturilor de autor care asigură protecţia programelor software (GDPR – Considerentul 63). Deși acest tip de acces nu este posibil în toate cazurile, există unele sectoare în care acest lucru ar fi posibil, prin integrarea în sistemele CRM.

Dreptul la rectificare

Ce este dreptul la rectificare?

Conform Articolului 16: ”Dreptul la rectificare” ”Persoana vizată are dreptul de a obţine de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.”

Când pot fi rectificate datele personale?

Persoanele vizate au dreptul de a ne solicita rectificarea datelor personale, în cazul în care acestea sunt inexacte sau incomplete și în special când datele personale nu au fost colectate direct. Perioada de timp alocată de regulament pentru rectificarea datelor este de maxim o lună, cu posibilitatea extinderii la două luni, în condiții speciale. În cazul în care nu se iau măsuri ca răspuns la o cerere de rectificare, trebuie să ca persoana vizată să fie informată de cauzele speciale existente  și în cazul în care nu se ajunge la o înțelegere, trebuie să știe că are dreptul de a depune o plângere la autoritatea de supraveghere și la o cale de atac.

 

Dreptul la ștergere sau ”Dreptul de a fi uitat”

Ce este dreptul la ștergere?

Dreptul la ștergerea datelor personale face parte din noile prevederi introduse de GDPR. Cunoscut în special ca „dreptul de a fi uitat“, acesta se bazează pe principiul de a garanta oricărui individ libertatea de a  face ce vrea cu datele sale personale, inclusiv de a le șterge, dacă nu există un motiv convingător sau special pentru continuarea procesării și stocării acestora.

Când ni se poate solicita dreptul la ștergere?

Conform Articolului 17, Alineatul 1: Dreptul la ștergerea datelor (“dreptul de a fi uitat”), persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal, fără întârzieri nejustificate, iar noi ca operatori avem obligaţia de a şterge datele cu caracter personal, în cazul în care există unul dintre motivele:

  • datele nu mai sunt necesare pentru scopurile pentru care au fost colectate sau prelucrate;
  • persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea;
  • persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) dreptul la opoziție
  • există neclarități legate de legalitatea prelucrării datelor cu caracter personal;
  • datele trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului;
  • datele cu caracter personal aparțin unor copii, cu vârsta sub 16 ani.

În Articolul 17, Alineatul 2 se ia în discuție cazul în care operatorul a făcut publice datele cu caracter personal şi este obligat, în temeiul alineatului (1), să le şteargă. Ce trebuie să facem în acest caz? În funcție de tehnologia disponibilă şi de costul implementării, trebuie să luăm ”măsuri rezonabile”, inclusiv măsuri tehnice, pentru a informa toți procesatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea de către aceşti operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

Trebuie să mai reținem faptul că dreptul la ștergere nu asigură și o aplicare absolută a „dreptului de a fi uitat“. Persoanele fizice au dreptul de a dispune cum doresc de datele cu caracter personal șterse, le pot încredința unui alt operator, le pot actualiza și pregăti pentru alte tipuri de prelucrări.

Când putem refuza să dăm curs unei cereri de ștergere a datelor?

Situațiile în care prevederile de la Alineatele 1 și 2 nu se aplică sunt explicitate la Alineatul 3, unde se consideră ca situații de excepție cele în care prelucrarea este necesară pentru:

  • exercitarea dreptului la liberă exprimare şi la informare;
  • respectarea unei obligaţii legale;
  • motive de interes public în domeniul sănătăţii publice (Articolul 9, Alineatul 2, Literele h şi i și Articolul 9, Alineatul 3);
  • scopuri de arhivare în interes public, cercetare ştiinţifică sau istorică ori în scopuri statistice (Articolul 89, Alineatul 1);
  • constatarea, exercitarea sau apărarea unui drept în instanţă.

Dreptul la restricționare

Când ni se poate solicita dreptul la restricționarea prelucrării?

Conform Articolului 18: Dreptul la restricţionarea prelucrării, persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării într-unul dintre cazurile:

  • se contestă exactitatea datelor, pentru o perioadă care ne permite ca operator să verificăm exactitatea datelor în cauză;
  • prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor;
  • ca operatori nu mai avem nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată ni le solicită pentru o acțiune în instanţă;
  • persoana vizată s-a opus prelucrării (Articolul 21, Alineatul 1) pentru intervalul de timp în care se verifică dacă drepturile noastre legitime ca operatori prevalează asupra celor ale persoanei vizate.

Dacă prelucrarea a fost restricţionată în temeiul Alineatului 1, astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimțământul persoanei vizate. De asemenea, conform Alineatului 3, avem datoria ca o persoană vizată care a obţinut restricţionarea prelucrării în temeiul Alineatului 1, să fie informată din timp, înainte de ridicarea restricţiei de prelucrare.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de Articolul 20 din GDPR: ”Dreptul la portabilitatea datelor”.

Articole anterioare:

GDPR explicitat (5): Dreptul de a fi informat si Ce informații trebuie trimise

 

AU MAI RĂMAS 300 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. 

Noul regulament pe care noi îl abordăm aici sub titulatura generica de GDPR vine cu unele drepturi noi pentru indivizi și consolidează unele dintre drepturile care existau deja in Legislația Europeana.

Astfel, GDPR oferă persoanelor fizice vizate de prelucrarea datelor cu caracter personal următoarele drepturi generale:

  1. Dreptul de a fi informat
  2. Dreptul de acces
  3. Dreptul la rectificare
  4. Dreptul de ștergere
  5. Dreptul de a restricționa procesarea
  6. Dreptul la portabilitatea datelor
  7. Dreptul la obiect
  8. Drepturi legate de luarea de decizii automatizate și de profilare

 

Dreptul de a fi informat

 

Ce este Dreptul de a fi informat?

Dreptul de a fi informat se refera la obligația  de a furniza “informații corecte de procesare”, de obicei printr-o notificare privind confidențialitatea. Acesta subliniază nevoia de transparență în ceea ce privește modul în care utilizați datele cu caracter personal.

 

Ce informații trebuie furnizate subiecților prelucrării?

Să presupunem că sunt un operator de date personale.  Prin dreptul de a fi informat, GDPR îmi stabilește informațiile pe care trebuie să le furnizez și când trebuie subiecții prelucrării datelor personale să fie informați de către mine ( în mod implicit, firma mea, prin persoana autorizată).

Principalul atribut al datelor ce trebuie furnizate este Transparența. Conform GDPR Articolul 12: ”Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, informațiile pe care trebuie sa le furnizez trebuie să fie:

  • Concise
  • Transparente,
  • Inteligibile
  • Accesibile;
  • Scrise într-un limbaj clar și simplu
  • În special dacă este mă adresez unui copil
  • Oferite gratuit

 Informațiile pe care le furnizez sunt dependente de modul în care am obținut datele personale pe care vreau să le prelucrez:

  • direct de la persoane fizice care fac obiectul prelucrării datelor personale
  • indirect, pentru cazurile în care informațiile mi-au venit din altă sursă.

O mare parte din informațiile pe care trebuie să le furnizăm sunt deja  în concordanță cu obligațiile mele actuale, conform legislației existente. Dar in plus,  au apărut și alte informații pe care trebuie să le furnizez  în mod explicit.

Ce informații trebuie furnizate?

Să vedem deci, care sunt principalele categorii de informații care trebuie furnizate în situația în care am obținut datele personale direct de la client. Conform Articolului 13: ”Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, Alineatul 1, trebuie să furnizez personai vizate următoarele infrmații:

  • identitatea şi datele mele de contact – ca operator, și după caz și ale mele personale – ca reprezentant al acestuia
  • datele mele de contact ca responsabil cu protecţia datelor, după caz ca ofițer de protecție a datelor personale (DPO);
  • scopurile în care vreau să prelucrez datele cu caracter personal, precum şi temeiul juridic al prelucrării (baza legală);
  • interesele legitime pe care le urmăresc (ca operator sau ca o terță parte) – cu excepțiile de la Articolul 6 alineatul (1) litera (f) – Legalitatea prelucrării;
  • care sunt destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
  • intenţia mea de a transfera date cu caracter personal către o ţară terţă și care sunt garanțiile pe care le ofer că acest transfer este perfect legal și nu lezează interesele persoanei vizate;

În plus, în momentul în care am obținut deja datele cu caracter personal, conform Articolului 13, Alineatul 2, eu ca operator trebuie să furnizez persoanei vizate o serie de informaţii suplimentare, necesare pentru a asigura transparența prelucrării:

  • perioada de reținere a datelor sau criteriile folosite pentru a stabili această perioadă;
  • dreptul la rectificare, ștergere, restricționare, obiecții;
  • dreptul la portabilitatea datelor;
  • dreptul de a retrage consimțământul în orice moment, dacă este cazul;
  • dreptul de a depune o plângere la o autoritate de supraveghere;
  • dacă solicitarea face parte dintr-o cerință sau obligație legală sau contractuală și posibilele consecințe ale nefurnizării;
  • existența unui proces automat de luare a deciziilor ( incluzând profilarea) și modul în care sunt luate deciziile, semnificația și consecințele acestora.

Dacă eu, ca operator vreau să prelucrez datele cu caracter personal și/ sau într-un alt scop decât cel pentru care acestea au fost colectate, atunci, înainte de orice prelucrare ulterioară, sunt obligat să furnizez persoanelor vizate toate informaţiile relevante prvitoare la scopul sau scopurile secundare.

Ce se întâmplă în sitația în are datele personale nu ne-au fost furnizate în mod direct de către persoanele vizate?

În acest caz, conform Articolului 14, sunt obligat ca operator să furnizez persoanei vizate întregul set de informații descrise puțin mai sus, de la ambele Alineate ale Articolului 13, plus următoarele informații obligatorii doar pentru acest caz:

  • care sunt categoriile de date personale pe care le am la dispoziție
  • care e sursa publică de date cu caracter personal, după caz care provine de la surse accesibile publicului;

Pentru a ne descurca mai bine în acest labirint de informații, legi și paragrafe, am făcut o sinteză a informațiilor care trebuie funizate în ambele sitații discutate anterior:

 

Ce informații trebuie să dau Date venite direct de la subiect Date provenite din alte surse
Identitatea și datele de contact (operator + reprezentant)

DA

DA

Datele de contact DPO

DA

DA

Scopul în care se prelucrează datele

DA

DA

Interesele legitime urmărite

DA DA

Destinatarii sau categoriile de destinatari

DA

DA

Categoriile de date personale

NU

DA

Intențiile de transfer al datelor

DA

DA

Perioada de reținere a datelor

DA

DA

Dreptul la rectificare, ștergere, restricționare, obiecții

DA

DA

Dreptul la portabilitatea datelor

DA

DA

Dreptul de retragere a consimțământului

DA

DA

Dreptul la plângere/notificare

DA

DA

Care e sursa publică de date cu caracter personal

NU DA
Existența unei obligații legale sau contractuale

DA

NU

Existența unui proces automat de luare a deciziilor

DA

DA

  

Când trebuie furnizate informațiile?

O modificare importantă față de legislația anterioară este scurtarea perioadei în care sunt obligat să răspund solicității de informare primită de la persoana vizată. Conform Articolului 12, Alineatul 3:

  • Timpul maxim de răspuns s-a scurtat de la 40 de zile la 30 de zile. Deci eu, ca operator trebuie să furnizez persoanei vizate informaţii privind acţiunile întreprinse în urma une cereri fără întârzieri nejustificate şi în orice caz în cel mult o lună de la primirea cererii;
  • Atunci când e necesar, din motive legate de comlexitatea și volumul cererilor primate simultan, această perioadă poate fi prelungită până la două luni. Chiar și în aceste condiții de prelungire, trebuie să informez persoana vizată de această prelungire tot în intervalul de o lună;
  • Pentru cererile trimise în format electronic, informaţiile trebuie furnizate în format electronic – acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită informațiile într-un alt format.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material vom parcurge în continuare Drepturile persoanei vizate  – Capitolul IV din GDPR.

 

 

Articole anterioare:

GDPR explicitat (4): Verificați legalitatea prelucrării și obțineți Consimțământul

 

AU MAI RĂMAS 306 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018.

 

Înainte de a putea procesa date personale, trebuie să identificați și să vă raportați la o bază legală. Aceste considerente sunt denumite generic “legalitatea prelucrării” și sunt specificate în Articolul 6, care se ocupă de legalitatea condițiilor de prelucrare.  Ce se înțelege prin consimțământ și cum trebuie acesta obținut și dovedit veți găsi în paragraful special dedicat.  

În cadrul proceselor aferente obținerii conformității GDPR este foarte important să determinați baza legală pentru prelucrarea datelor cu caracter personal și să documentați acest lucru. De multe ori această bază legală poate avea efect asupra drepturilor persoanelor. De exemplu, persoanele de la care primiți un consimțământ clar pentru prelucrarea datelor vor avea și drepturi mai puternice, cum ar fi dreptul de a fi uitat – adică opțiunea de ștergere a datelor.

Dar haideți să trecem în revistă prevederile de la Articolul 6 – ”Legalitatea condițiilor de prelucrare”. La Alineamentul 1 se specifică foarte clar că ”Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii”:

a. consimțământ – persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

b. contract – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

c. obligație legală – prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;

d. interese vitale – prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

e. interes public – prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;

f. interese legitime – prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Ce este Consimțământul?

În contextul GDPR prin consimțământ se înțelege o confirmare clară a faptului că persoana vizată a fost informată, știe și este de acord cu prelucrarea datelor sale personale de către operator, în scopurile stabilite împreună cu acesta. În plus: 

  • această dovadă trebuie să fie clară, liberă, specifică, informată și lipsită de ambiguitate; 
  • trebuie să reprezinte o formă de acțiune afirmativă clară; 
  • în cazul chestionarelor ce au ca scop obținerea consimțământului sunt excluse ambiguități legate de necompletarea sau pre-bifarea unui căsuțe de dialog; 
  • consimțământul trebuie să fie separat de alți termeni și condiții; 
  • consimțământul trebuie să fie verificabil;
  • trebuie să existe modalități simple pentru ca oamenii să-și retragă consimțământul;
  • autoritățile publice și angajatorii vor trebui să aibă grijă deosebită pentru a se asigura că acordul este acordat în mod liber.

Evident că la condițiile Articolului 6, Alineatul 1 există și o serie de excepții. Astfel, prevederile de la Litera (f) nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea atribuțiilor lor. Pentru prevederile de la Literele (c) și (e), GDPR e destul de flexibil, permițând statelor membre UE să introducă dispoziții mai specifice, aliniate legislațiilor interne.

În cazul în care prelucrarea se face în alt scop decât cel pentru care au fost colectate datele cu caracter personal și pentru care nu există consimţământul persoanei vizate, operatorii și procesatorii de date trebuie să ia în considerare prevederile de la Articolul 6, Alineatul 4. Pentru a putea stabili dacă prelucrarea în alt scop este compatibilă cu scopul inițial pentru care au fost colectate datele cu caracter personal, aceștia trebuie să ia în considerare, printre altele:

  • orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi scopurile prelucrării ulterioare preconizate;
  • contextul în care datele cu caracter personal au fost colectate, mai ales privind relaţia dintre persoanele vizate şi operator;
  • natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale dedate, conform Articolului 9, sau pentru date referitoare la condamnări penale şi infracţiuni, conform Articolului 10;
  • posibilele consecinţe asupra persoanelor vizate legate de prelucrările ulterioare;
  • existenţa unor garanţii adecvate, care pot include criptarea sau atribuirea de pseudonime.

Așadar, pe lângă condițiile generale, trebuie avute în vedere condițiile specifice pentru categoriile speciale de date. În Articolul 9, Alineatul 1 se stipulează clar că: ”Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.”

În Articolul 9, Alineatul 2 se enumerează situațiile de excepție în care nu se aplică prevederile de la Alineatul 1, deci cazuri speciale în care este permisă prelucrarea datelor cu caracter personal:

  • persoana vizată şi-a dat consimţământul explicit pentru prelucrarea datelor pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care legislația locală nu recunoaște consimţământul persoanei vizate;
  • prelucrarea este necesară pentru îndeplinirea unor obligaţii ale operatorului sau drepturi specifice ale persoanei vizate în domeniile ocupării forţei de muncă, securităţii sociale şi protecţiei sociale, cu aplicarea legislației locale;
  • prelucrarea vizează protejarea intereselor vitale, atunci când persoana vizată e incapabilă fizic sau juridic să îşi dea consimţământul;
  • prelucrarea este garantată de activităţile legitime ale unor fundaţii, asociaţii sau organisme nelucrative, cu specific politic, filozofic, religios sau sindical, dar numai pentru membri sau foşti membri;
  • prelucrarea se referă la date personale care sunt făcute publice în mod manifest de către persoana vizată;
  • prelucrarea e necesară la constatarea, exercitarea sau apărarea unui drept în instanţă;
  • prelucrarea se face din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern;
  • prelucrarea în scopuri legate de medicina preventivă sau a muncii, evaluarea capacităţii de muncă, stabilirea unui diagnostic medical, asistenţă medicală sau socială;
  • prelucrarea din motive de interes public în domeniul sănătăţii publice;
  • prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, conform Articolului 89, Alineatul 1.

Legat de acestea, în Articolul 9, Alineatul 4 se precizează că fiecare stat poate menţine sau introduce condiţii suplimentare sau restricţii în cazul prelucrării de date genetice, biometrice sau privind sănătatea.

O altă situație cu totul specială este prelucrarea datelor personale referitoare la condamnări penale şi infracţiuni. Articolul 10 precizează că în astfel de situații prelucrarea datelor personale precum și deținerea unor registre privind condamnările penale se face numai sub controlul unei autorităţi de stat.

Dar pot exista o mulțime de situații în care prelucrarea datelor nu are nevoie de identificare, adică de asociere a unor seturi de date cu o anumită persoană. În această situație se pot încadra multe dintre analizele de piață și cercetări de marketing care au ca scop obținerea de informații statistice generale, atribuite unor grupuri de consumatori sau categorii profesionale. În Articolul 11: ”Prelucrarea care nu necesită identificare”, Alineatul 1 se arată că ”în cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, operatorul nu are obligaţia de a păstra, obţine sau prelucra informaţii suplimentare pentru a identifica persoana vizată în scopul unic al respectării prezentului regulament”.

Conform Articolului 11, Alineatul 2,  dacă operatorul poate demonstra că nu este în măsură să identifice persoana vizată sau în cazul în care e posibil operatorul informează persoana vizată în mod corespunzător, Articolele 15-20 din capitolul de drepturi ale persoanei vizate, nu se aplică. Excepția care poate apărea aici atunci când persoana vizată oferă informaţii suplimentare ce permit identificarea sa, tocmai în scopul exercitării drepturilor sale prevăzute de respectivele articole. Vom relua aceste aspecte în următorul articol din seria GDPR explicitat.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de Drepturile persoanei vizate  – Capitolul IV din GDPR. 

Articole anterioare:

Efectul disruptiv al GDPR

Intrarea în vigoare a noului regulament al protecției datelor personale pe 25 Mai 2018, se anunță deja ca un eveniment major al viitorului an. Va fi ”Ziua – Z”, cu efecte apocaliptice, pentru multe companii care nu vor avea resursele și timpul să adopte toate măsurile necesare pentru îndeplini cerințele GDPR… 

Vă mai amintiți de ”Virusul Anului 2000” sau ”Problema Mileniului”? A fost o mișcare strategică nemaipomenită de înnoire a infrastructurii și echipamentelor de calcul bazată pe o provocare tehnologică a extinderii numărului de digiți. Până la urmă au fost foarte puține întreruperi ale marilor sisteme de calcul, cu pierderi minore, dar toată lumea  avut de câștigat prin boomul investițiilor în noi echipamente și infrastructură…

Noul regulament EU 2016/ 679 vine cu o forță a schimbării fără precedent, care pentru multe organizații are toate șansele să aibă un efect disturbator mult mai mare decât valul digital de care tot vorbim de o vreme încoace. Geneza nu a fost ușoară. Gândit ca o actualizare absolut necesară a Directivei 95/46/EC, GDPR s-a consolidat după 4 ani de dezbateri și 3000 de amendamente. Peste 80 de noi cerințe au apărut față de vechea directivă. Multe companii vor fi nevoite să facă schimbări radicale în modele de business. Unii spun că vom fi nevoiți să reconsiderăm radical actualele procese de marketing. Potrivit Digital Clarity Group, “GDPR ar putea fi o amenințare de moarte pentru existența multor companii și obligă la adoptarea de decizii fundamentale cu privire la colectarea, prelucrarea și stocarea datelor în probleme cheie din strategia de afaceri.”

Noul regulament EU 2016/ 679 vine cu o forță a schimbării fără precedent, care pentru multe organizații are toate șansele să aibă un efect disturbator mult mai mare decât valul digital de care tot vorbim de o vreme încoace.

 

Un vectori esențial al noului regulament este aria de aplicabilitate. Înainte existau tratate regionale precum “Safe Harbor” care oferea companiilor americane confortul necesar în procesarea datelor clienților din Europa. Principiile de confidențialitate stipulate de Safe Harbor au fost anulate de către Curtea Europeană de Justiție pe 24 Octombrie 2015, după ce un client s-a plâns că datele sale de pe Facebook au fost insuficient protejate.  GDPR a devenit brusc o mare provocare pentru toate multinaționalele.

Alte prevederi majore ale noului regulament cu posibile efecte disruptive ar mai fi:

Amenzile – Penalizările sunt copleșitor de mari, cu maxime ce se referă la 4% din cifra de afaceri globală anuală. De notat că aceste prevederi se aplică atât celor care gestionează datele, cât și celor care le procesează – ceea ce extinde obligativitatea GDPR și asupra companiilor care oferă servicii de hosting sau furnizorilor de Cloud.

Consimțământul – companiile nu vor mai putea folosi termeni contractuali necompatibili GDPR sau cu clauze greu de probat. Consimțământul trebuie să fie clar și liber de orice impunere, iar solicitarea inteligibilă și cu o solidă argumentare a scopului în care se procesează datele. ​

Notificarea breșelor de securitate – devine obligatorie pentru toate țările membre ale comunității. Orice incident trebuie comunicat către autoritățile de raportare în maximum 72 de ore de când breșa a fost constatată. Procesatorii vor trebui să își anunțe și clienții, imediat după ce s-a dovedit că incidentul de securitate a afectat datele personale ale acestora.

Dreptul la acces – parte din drepturile extinse ale cetățenilor în noul format al GDPR se referă la dreptul acestora de a solicita procesatorilor sau controlorilor de date confirmări legate de modul în care datele personale sunt procesate, unde și în ce scop.

Dreptul de a fi uitat – cunoscut și ca ”dreptul de a fi șters”, asigură deplina confidențialitate prin ștergerea tuturor înregistrărilor cu caracter personal, chiar și în situațiile de diseminare de date sau folosirea potențială de către terți.

Portabilitatea datelor – se referă la dreptul oricărui cetățean de a primi datele personale într-un format prestabilit, ușor de citit de către orice dispozitiv, care poate fi transmis la solicitarea posesorului unui alt procesator de date.

Confidențialitate prin design – ”
Privacy by design” este un concept care se folosește de mult, dar care abia acum devine parte din pachetul de cerințe GDPR.  În esență, constă în includerea instrumentelor de protecție a datelor încă de la început, de la proiectarea unui sistem informatic.

Data Protection Officers (DPO) Un studiu IAPP estimează un necesar de peste 28000 de ofițeri DP în toată Europa. Deținătorul acestei poziții va fi mandatarul conformității GDPR, urmând să cumuleze expertiză legală, operațională și IT.

Sunt analiști care văd în GDPR o încercare benefică pentru business. Orice companie care a depus eforturi și a investit în măsuri de asigurare a conformității, a parcurs o bună etapă în transformarea sa digitală. 

AU MAI RĂMAS 316 zile

Urmariti articolele cu logo-ul GDPR Ready!  o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018.

 

Acest articol a fost publicat si in revista IT Trends din Iunie 2017 si poate fi citit si AICI

GDPR explicitat (3): Respectați principiile și demonstrați-vă conformitatea activităților

AU MAI RĂMAS 318 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018.

 

Și iată-ne ajunși la partea de principii. Sub GDPR, principiile de protecție a datelor stabilesc principalele responsabilități pentru organizații. Principiile sunt similare cu cele din Legea 95/, cu detalii adăugate la  anumite puncte și o nouă cerință pentru responsabilitate. În fond, acest principiu al responsabilității este unul dintre vectorii cheie ai GDPR. Operatorii de date personale sunt obligați nu numai să respecte aceste principii, ci și să demonstreze modul în care sunt activitățile lor sunt conforme cu principiile prelucrării datelor personale.  Dar hai sa le vedem pe rând.

Care sunt principiile GDPR? Le găsim în Art.5: ”Principii legate de prelucrarea datelor cu caracter personal”:

a). Legalitate, echitate şi transparenţă – acesta este un principiu esențial, strâns asociat cu drepturile fundamentale ale omului. Datele cu caracter personal trebuie să fie prelucrate ”în mod legal, echitabil şi transparent faţă de persoana vizată.”

b). Limitări legate de scop – datele personale trebuie să fie colectate în scopuri bine determinate, explicite şi legitime, iar prelucrările ulterioare nu trebuie să se abată de la aceste scopuri. E important aici să reținem că prelucrarea publica prin arhivare, pentru cercetare ştiinţifică/ istorică sau pentru analize statistice nu se considera ca deviantă de la scopurile iniţiale – așa cum se arată în Art. 89, alin. 1.

c). Reducerea la minimum a datelor – prin acest principiu operatorii sunt avizați de faptul că orice colectare de date personale trebuie foarte bine analizată înainte de obținerea efectivă a datelor, care trebuie să fie cele mai relevante și strict limitate la ceea ce este absolut necesar pentru scopurile în care sunt prelucrate.

d). Exactitatea informațiilor – operatorii trebuie să se ia toate măsurile pentru a asigura validitatea datelor, iar cele dovedite inexacte trebuie actualizate rapid sau șterse.

e). Limitarea stocării – datele trebuie păstrate fix atâta timp cât sunt necesare pentru pelucrarea asumată. Perioadele mai lungi de stocare sunt excepții asociate cu activități publice de arhivare, cercetare sau statistica, conform Art. 89, alin. 1.

f). Integritate și confidențialitate – iarăși un principiu esențial. Prelucrarea datelor personale trebuie făcută în cele mai proprii condiții de siguranță, care să includă ”protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare”.   Din punctul meu de vedere, acesta este un vortex al GDPR. Cine nu respectă acest principiu este direct expus la breșe de securitate și confidențialitate, fiind un candidat sigur pentru extrem de severele penalități.

Așa cum spuneam și puțin mai sus, în partea introductivă a acestui articol, aceste principii se regăsesc și în legislația actuală. Dacă luăm Directiva 95/ 46 EC la Art. 6 din Capitolul ”Principii legate de calitatea datelor” găsim că datele cu caracter personal trebuie să fie:

a). prelucrate cu bună-credință – conform dispozițiilor legale;

b). colectate în scopuri determinate, explicite şi legitime – cu același amendament legat de prelucrarea științifică și statistică, dar fără operațiunile de arhivare în interes public prezente în GDPR;

c). adecvate, pertinente şi neexcesive – prin raportare la scopul în care sunt colectate şi ulterior prelucrate;

d). exacte şi, dacă este cazul, actualizate –  cu recomandarea ca datele inexacte sau incomplete să fie şterse sau rectificate;

e). stocate într-o formă care să permită identificarea persoanelor vizate strict pe durata necesară – cu completarea legată de condițiile și garanțiile aferente stocării pe termen lung.

Marea diferență față de textul Directivei 95/ 47 apare la Aliniatul 2:

  • În Directiva Comisiei Europene (Art.6, Alin.2) se arată că: ”Operatorul trebuie să se asigure că se respectă alineatul (1)”
  • În GDPR (Art. 5, Alin.2) apare clar principiul responsabilității: ”Operatorul trebuie să fie responsabil de respectarea alineatului (1) şi să poată demonstra această respectare (“responsabilitate”).”

Cu alte cuvinte, cea mai importantă adăugare la GDPR este principiul responsabilității. GDPR vă cere nu numai să respectați principiile – de exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci și să demonstrați oricând această responsabilitate. Dar, în opinia mea, noțiunea de ”accountability”, introdusă în textul original al GDPR  înseamnă puțin mai mult decât o simplă ”responsabilitate”. Descrierea Cambridge English Dictionary e concludentă pentru asta: ”Someone who is accountable is completely responsible for what they do and must be able to give a satisfactory reason for it”

Mergând la textul legislației naționale, paragraful 2 din Art. 4 nu diferă forte mult de conținutul Art. 5 din GDPR. Astfel, în Legea 677/2001, Art.4, Alin 2. se specifică: Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare (“responsabilitate”).”

Concluzionând, iată ce am reținut ca extrem de important din capitolul despre Principii (a se vedea GDPR Considerentul 39):

  • Orice prelucrare de date cu caracter personal trebuie să fie legală şi echitabilă.
  • Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal trebuie să fie uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi clar.
  • Persoanele fizice trebuie informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea.
  • Scopurile specifice în care datele cu caracter personal sunt prelucrate trebuie să fie explicite şi legitime şi să fie determinate la momentul colectării datelor respective.
  • Datele cu caracter personal trebuie să fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate.
  • Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace.
  • Operatorul trebuie să stabilească termene pentru ștergere sau revizuirea periodică.
  • Datele personale trebuie prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidențialitatea, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul material ne vom ocupa de Legalitatea prelucrării datelor cu caracter personal – Art. 6 din GDPR.

Articole anterioare:

GDPR explicitat (2): Ce sunt datele personale?

AU MAI RĂMAS 324 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018.

 

După o serie de articole introductive intitulate ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?” și ”GDPR Prima sursa de informare Portalul UE”, am demarat publicarea unor conținuturi exploratorii în care analizăm și comentăm principalele prevederi ale noului regulament din perspectiva operatorilor de date personale.

În primul articol din această nouă serie am scris despre ”Cine și Unde se va supune noului regulament?”, prezentând definiții ale operatorilor și procesatorilor de date, precum și principalele elemente de noutate privitoare la extinderea ariei geografice de aplicare a prevederilor EU 2016/679. În continuare vom vedea care sunt datele personale care se supun prevederilor noului regulament și care sunt categoriile de date considerate sensibile.

Care sunt datele cu caracter personal?

Problema esențială a oricărei companii este felul în care se raportează la GDPR, iar prima întrebare logică în orice analiză internă este: care sunt datele cu caracter personal pe care le controlăm sau prelucrăm și în ce măsură trebuie să ne concentrăm pe aceste date.

În ”Art.2: Domeniul de aplicare material” se explicitează că ”Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidentă a datelor sau care sunt destinate să facă parte dintr-un sistem de evidentă a datelor.”

Prima întrebare logică este ce înțelege UE prin ”date cu caracter personal”? Răspunsul îl găsim chiar la începutul ”Art.4: Definiții”: “date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă (“persoana vizată”)”. Adică, ”o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

Cu alte cuvinte, ”persoana vizată ” – poate fi definită ca elementul principal pe care este construit întregul mecanism GDPR. Este chiar persoana fizică ale căror date cu caracter personal sunt supuse prelucrării. Prin persoană fizică se înțelege orice individ în viață, care conform ”Art.1: Obiect și obiective” are dreptul la:

  • Protecția datelor cu caracter personal
  • Protecția prelucrării datelor cu caracter personal
  • Libera circulație nerestricționată a datelor cu caracter personal în cadrul UE

Mergând mai departe, putem extrage din contextul definiției de mai sus și o descriere a datelor cu caracter personal la care se face referire în Art.1: ”Date cu caracter personal” trebuie considerate acele informații despre o persoană identificabilă care se referă la nume, un număr de identificare (CNP, Card de Identitate, Certificat de Naștere, Pașaport, Permis de conducere, Card asigurări sociale, etc), date de localizare, un identificator online (o adresă IP de exemplu), sau unul sau mai multe elemente specifice, proprii identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. Nu se specifică cu claritate, dar multe legislații europene sau din SUA consideră genul (bărbat, femeie) ca informație personală confidențială pe care nu ești obligat să o declari atunci când trebuie să completezi diferite chestionare sociale sau comerciale.

Care ar fi elementele de noutate față de legislația existentă? Făcând o comparație pe texte, în Legea 677/ 2001 Art.3 (a) definiția este puțin mai simplă: ”o persoană identificabilă este acea persoană care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale”. Noua definiție extinde aria de acoperire a ”numărului de identificare”, definit acum ca ”element de identificare” și din care pot face parte ”un nume, un număr de identificare, date de localizare sau un identificator online”.

Așa cum se arată chiar de la primele două Specificații din textul Regulamentului EU 2016/679, nu trebuie să omitem faptul că toată filosofia GDPR este construită pe drepturile fundamentale ale omului. Art.8, alin.1 din ”Carta drepturilor fundamentale a Uniunii Europene” şi Art.16, alin.1 din ”Tratatul privind funcţionarea Uniunii Europene” prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o privesc. Mai mult de atât, principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetăţenia sau de locul de reşedinţă al persoanelor fizice, să respecte drepturile şi libertăţile fundamentale ale acestora, în special dreptul la protecţia datelor cu caracter personal.

”Prezentul regulament urmăreşte să contribuie la realizarea unui spaţiu de libertate, securitate şi justiţie şi a unei uniuni economice, la progresul economic şi social, la consolidarea şi convergenţa economiilor în cadrul pieţei interne şi la bunăstarea persoanelor fizice.”  Considerentul nr.2 din Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE

Am înțeles deci care pot fi datele considerate cu caracter personal care se supun GDPR. Și atunci, care sunt informațiile pentru care nu este necesară obținerea compatibilității cu noul regulament european? Tot în Art.2 ni se explică faptul că GDPR nu se aplică prelucrării datelor cu caracter personal în următoarele situații:

  • în cazul unei activități care nu intră sub incidența dreptului Uniunii Europene;
  • de către statele membre atunci când desfășoară activități care intră sub incidența Capitolului 2, Titlul V din Tratatul UE;
  • de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
  • de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice şi prevenirii acestora.

Mai rămâne să ne lămurim ce înseamnă ”prelucrarea datelor cu caracter personal”. ”Art.4 – Definiții” ne ajută și de această dată, explicându-ne: ”prelucrarea datelor înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.

GDPR se aplică atât datelor cu caracter personal automatizate, cât și sistemelor de arhivare manuală în care datele personale sunt accesibile conform unor criterii specifice. Aceasta este mai largă decât definiția din Legea 677/ 2001 și ar putea include seturi de înregistrări manuale cronologice care conțin date cu caracter personal. Datele personale care au fost pseudonime – de exemplu, codificate la cheie – pot intra sub incidența GDPR în funcție de dificultatea de a atribui pseudonimul unei anumite persoane.

Tot la capitolul de definiții putem vedea și ce se înțelege prin: “restricționarea prelucrării” – marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora, în timp ce “creare de profiluri” înseamnă orice formă de prelucrare automată care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanta la locul de muncă, situația economică, sănătatea, preferințele, personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia.

Care sunt datele personale sensibile?

GDPR se referă la datele personale sensibile ca la “categorii speciale de date cu caracter personal“. De cele mai multe ori categoriile speciale includ în mod specific date genetice și date biometrice, în cazul în care sunt procesate pentru a identifica în mod unic o persoană. Este destul de comun faptul că datele sau categoriile de date sensibile sunt asociate unor excepții de la aplicarea GDPR sau a unor situații speciale.

În Art.9: ”Prelucrarea de categorii speciale de date cu caracter personal”, în primul alineat se spune că ”se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.”

O încadrare clară și concisă a situațiilor speciale. Totul se complică destul de mult când încep să fie enumerate excepțiile de la aceste interdicții, multe dependente de dreptul intern al statelor membre. Iată câteva dintre aceste excepții într-o trecere în revistă succintă:

  • operatorul are consimțământul explicit din partea persoanei vizate pentru unul sau mai multe scopuri specifice;
  • prelucrări autorizate în domeniul ocupării forţei de muncă, al securităţii sociale şi protecţiei sociale;
  • protejarea intereselor vitale atunci când persoana vizată se află în incapacitate fizică sau juridică de a-şi da consimţământul;
  • activităţi legitime şi garantate ale unor fundații sau asociaţii, dar numai pentru membrii organismului respectiv;
  • persoanele vizate fac publice în mod manifest date cu caracter personal;
  • constatarea, exercitarea sau apărarea unui drept în instanţă;
  • motive de interes public major;
  • scopuri legate de medicina muncii, stabilirea unui diagnostic medical, furnizarea de asistenţă medicală sau socială sau gestionarea sistemelor de sănătate sau asistenţă socială;
  • motive de interes public în domeniul sănătăţii publice;
  • scopuri de arhivare în interes public, cercetare ştiinţifică, istorică sau statistică.

O altă categorie specială de informații se referă la datele personale asociate unor condamnări penale, infracţiuni sau măsuri speciale de Securitate. Așa cum prevede Art.10: ”Prelucrarea de date cu caracter personal referitoare la condamnări penale şi infracţiuni” se face numai sub controlul unei autorităţi de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern și se aplică garanții suplimentare.

În fine, o precizare care ține de situații destul de întâlnite în realitate. În Considerentul 27 se specifică faptul că GDPR ”nu se aplică datelor cu caracter personal referitoare la persoane decedate.” Statele membre pot să prevadă norme speciale privitoare la această categorie de date.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready! În următorul articol ne vom ocupa de Principiile GDPR.

Articole anterioare:

GDPR explicitat (1): Cine se va supune noului regulament și Unde?

AU MAI RĂMAS: 328 zile

GDPR Ready! este o inițiativă care își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Inițiativa GDPR Ready! își propune să vă ofere accesul deschis la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

După o serie de articole introductive intitulate ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?” și ”GDPR Prima sursa de informare Portalul UE” continuăm seria de materiale exploratorii referitoare la noul Regulament EU 2016/ 679 privitor la Protecția Datelor Personale. În articolele menționate am făcut o scurtă analiză asupra  importanței și obiectivelor noului Regulament, o trecere în revistă a direcțiilor de acțiune și o prezentare generală a conținutului site-ului Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), respectiv o prezentare a sursei de informare primară: Portalul General Data Protection Regulation, administrat de Uniunea Europeană, care este gândit ca o pagină oficială a regulamentului UE 2016/ 679.

Acestea au fost informațiile generale. Vom continua acum cu o serie de analize și comentarii pe textele extrase din legislația oficială, menite să clarifice acele aspecte practice și de fond pe care orice operator sau procesator de date trebuie să le ia în considerație.

Cine trebuie să fie compatibil GDPR?

Este o întrebare esențială pentru orice companie care vrea să vadă în ce măsură activitățile de prelucrare a datelor personale pe care le derulează se aliniază sau nu cu prevederile noului regulament european.

Potrivit EU 2016/ 679, noile reguli GDPR se aplică “controlorilor/ operatorilor” și “procesatorilor” de date. Cum se definesc aceste noțiuni? Potrivit Art.4, Par.7-10, părțile implicate într-un proces de prelucrare a datelor personale sunt definite astfel:

“operator sau controlor” – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care – singur sau împreună cu altele – stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite print-o prevedere a Uniunii Europene sau o prevedere a legislației naționale, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul UE sau în dreptul intern;

“procesator” – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului, printr-o împuterncire de partea acestuia;

“destinatar sau recipient” – persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate date cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul UE sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;

“parte terţă” – o persoană fizică sau juridică, autoritate publică, agenţie sau organism, altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

Dar ce se înțelege prin ”persoana vizată”? Pentru acest termen nu am găsit o definiție explicită în Regulament, dar putem presupune în mod implicit că:

persoana vizată ” – este persoana fizică ale căror date personale sunt supuse prelucrării. Adică este chiar persoana pentru care a fost construit întregul mecanism GDPR. Prin persoană fizică se înțelege orice individ în viața, care conform Art.1 are dreptul la:

  • Protecția datelor cu caracter personal
  • Protecția prelucrării datelor cu caracter personal
  • Libera circulație nerestricționată a datelor cu caracter personal în cadrul UE

Revenind la noțiunile de operator și procesator, dacă sunteți un operator de date personale GDPR preia vechile obligații legale specifice activității derulate, venind cu noi cerințe precum:

  • obligativitatea de a păstra evidența datelor cu caracter personal și a activităților de procesare
  • răspundere juridică semnificativă dacă sunteți responsabil pentru o încălcare.

Rețineți că un operator nu este scutit de obligații în cazul în care colaborează cu un procesator de date.

Care este acoperirea geografică a GDPR?

Una dintre noutățile regulamentului o constituie extinderea ariei geografice de aplicabilitate. Noile reglementări nu se aplică numai prelucrărilor efectuate de organizații care operează în cadrul UE, ci sunt extinse și asupra oricărei organizații din afara UE care oferă bunuri sau servicii persoanelor fizice din UE.

Conform Art.3 – Domeniul de aplicare teritorial, noul regulament ”se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.”

Ce fel de activități de prelucrare sunt supuse acestor reguli? GDPR se aplică ”prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

  • oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată;
  • monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.

Totodată, regulamentul se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.

O mai bună explicitare despre prevederile Art.3 pot fi găsite în considerentele publicate în prima parte a documentului oficial EU 2016/679, unde se spune că:

Considerentul 22: ”Orice prelucrare a datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator din Uniune ar trebui efectuată în conformitate cu prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii. Sediul implică exercitarea efectivă şi reală a unei activităţi în cadrul unor înţelegeri stabile. Forma juridică a unor astfel de înţelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privinţă.”

Considerentul 23: ”Pentru a se asigura că persoanele fizice nu sunt lipsite de protecţia la care au dreptul (…) prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu îşi are sediul în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activităţile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacă acestea sunt sau nu legate de o plată. Pentru a determina dacă un astfel de operator sau o astfel de persoană împuternicită de operator oferă bunuri sau servicii unor persoane vizate care se află pe teritoriul Uniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită de operator intenţionează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. Întrucât simplul fapt că există acces la un site al operatorului, al persoanei împuternicite de operator sau al unui intermediar în Uniune, că este disponibilă o adresă de e-mail şi alte date de contact sau că este utilizată o limbă folosită în general în ţara terţă în care operatorul îşi are sediul este insuficient pentru a confirma o astfel de intenţie.”

Considerentul 24: ”Prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu îşi are sediul în Uniune ar trebui, de asemenea, să facă obiectul prezentului regulament în cazul în care este legată de monitorizarea comportamentului unor astfel de persoane vizate, în măsura în care acest comportament se manifestă pe teritoriul Uniunii. Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca “monitorizare a comportamentului” persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferinţele personale, comportamentele şi atitudinile acesteia.”

Considerentul 25: ”În cazul în care dreptul unui stat membru se aplică în temeiul dreptului internaţional

public, prezentul regulament ar trebui să se aplice, de asemenea, unui operator care nu este stabilit în Uniune, ci, de exemplu, într-o misiune diplomatică sau într-un oficiu consular al unui stat membru.”

Vom continua explicitarea GDPR în articolele următoare. Urmăriți articolele și activitățile derulate în cadrul inițiativei GDPR Ready!

Articole anterioare:

The Disruptive Effect of GDPR

The entry into force of the new Personal Data Protection Regulation on May 25th, 2018 is already perceived as one of the major critical events of the next year. It will be “Day – O”, with apocalyptic effects for many companies that will not have the resources and time to become GDPR compliant?

Do you remember “2000 Year Virus” or “Millennium Problem”? It was a tremendous strategic move to upgrade infrastructure and computer equipment based on a technological challenge of expanding the number of digits. In January 2000 1st, there was very few downtime in some legacy computing systems with minor losses, but everyone gained through the boom of investments in new equipment and infrastructure…

For many organisations, the new EU regulation 2016/679 comes with the force of an unprecedented change. It seems to have a much greater disturbing effect than the digital wave. GDPR genesis was not easy. Considered as an absolutely necessary update of Directive 95/46 / EC, GDPR consolidated after 4 years of debate and 3000 amendments. Over 80 new requirements have emerged from the old directive. Many companies will have to make radical changes in business models. Some analysts say we will have to radically rethink the current marketing processes. According to the Digital Clarity GroupThe GDPR could be a mortal threat to your company’s existence — and it makes fundamental decisions about data collection, processing, and storage into key strategic business issues.”

An essential vector of the new regulation is the worldwide applicability area. Previously there were regional treaties such as “Safe Harbour” that offered US companies the necessary comfort to process customer data in Europe. Safe Harbour’s privacy principles were abolished by the European Court of Justice on October 24, 2015, after a customer complained that their Facebook data was insufficiently protected. GDPR has suddenly become a major challenge for all multinationals.

Other major provisions of the new regulation with possible disruptive effects would be:

Fines – Penalties are overwhelmingly high, with a maximum of 4% of annual global turnover. Note that these provisions apply to both data handlers and processors – which extend the GDPR requirement to hosting companies or Cloud providers as well.

Consent – Companies will no longer be able to use GDPR incompatible contractual terms or hard-to-get clauses. Consent must be clear and free from any taxation, and intelligent request and a solid argumentation of the purpose of the data processing.

Notification of security breaches – becomes mandatory for all member countries of the community. Any incident must be communicated to the reporting authorities within 72 hours of the occurrence of the breach. Processors will also have to notify their customers as soon as it turns out that the security incident has affected their personal data.

Right to access – part of the extended rights of citizens in the new GDPR format refers to their right to require processors or data controllers to confirm the way personal data is processed, where and for what purpose.

Right to be forgotten – also known as “the right to be deleted“, ensures full confidentiality by deleting all personal records, even in situations of data dissemination or potential use by third parties.

Data portability – refers to the right of any citizen to receive personal data in a readable, readable format by any device that can be transmitted at the request of the owner of another data processor.

Privacy by Design – is a long-standing concept that is just now part of the GDPR requirements package. Essentially, it consists of including data protection tools from the very beginning, from designing a computer system.

Data Protection Officers (DPO) – An IAPP study estimates a need of more than 28,000 DP officers across Europe. The holder of this position will be the GDPR compliance trustee and will accumulate legal, operational and IT expertise.

There are also analysts who see GDPR as a business-friendly test. Any company that has made efforts and invested in compliance measures has gone a long way in its digital transformation.

GDPR: Prima sursă de informare – Portalul UE

 

AU MAI RĂMAS: 345 zile

GDPR Ready! este o inițiativă care își propune să ofere asigure un transfer deschis de know-how către toți cei interesați de obținerea compatibilității cu Regulamentul Uniunii Europene 679/ 2016, care va intra in vigoare pe 25 mai 2018. Prin această inițiativă se dorește catalizarea eforturilor unui număr cât mai mare de organizații guvernamentale și private care oferă servicii de evaluare și consultanță tuturor celor care operează cu date personale.  

După un prim articol introductiv intitulat ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?” continuăm seria de materiale exploratorii referitoare la noul Regulament EU 2016/ 679 privitor la Protecția Datelor Personale. În articolul menționat, am făcut o scurtă analiză asupra  importanței și obiectivelor noului Regulament, o trecere în revistă a direcțiilor de acțiune și o prezentare generală a conținutului site-ului Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Vom continua acum cu prezentarea sursei de informare primară, Portalul General Data Protection Regulation administrat de Uniunea Europeană, care este gândit ca o pagină oficială a regulamentului UE 2016/ 679.

Puțină istorie

După patru ani de intense dezbateri și peste 3000 de amendamente, noul regulament GDPR intră în funcțiune pe 24 Mai 2016, la 20 de zile după aprobarea de către Parlamentul European, oferind tuturor țărilor un răgaz de aplicare de 2 ani, cu dată limită de asigurare a conformității pe 25 Mai 2018. Dar preocupările legislative privitoare la protecția datelor personale au o lungă istorie în Europa. Iată câteva repere în timp:

1981/ 2 Ianuarie – În cadrul Convenției 108 a Consiliului Europei se semnează primul tratat de protecție a cetățenilor europeni referitor la procesarea automată a datelor personale, care a intrat în vigoare pe 1 Octombrie 1985.

1995/ 24 Octombrie – Este creată Directiva 95/46/EC, prima directivă europeană privitoare la procesarea și protecția datelor personale și libera circulație a acestora, ca element esențial drepturilor personale ale cetățenilor europeni. Directiva devine valabilă în 13 Decembrie 1995 și le-a oferit statelor membre un răgaz de aplicare până la 24 Octombrie 1998.

2012/ 25 Ianuarie – Comisia Europeană propune o reformare comprehensivă a Directivei EC 95/46 pe linia progresului tehnologic și a globalizării care au afectat felul în care sunt colectate, accesate și folosite datele personale.

2012/ 23 Martie – Grupul de lucru intitulat ”Article 29 Data Protection” și-a publicat Opinia 01/ 2012 ca sinteză a discuțiilor și dezbaterilor legate de noile imperative legate de protecția datelor personale în noul context al unei politici europene unitare pentru o piață unică digitală.

2012/12 Aprilie – germanul Jan Philipp Albrecht, membru al Committee for Civil Liberties, Justice and Home Affairs (LIBE) este numit oficial ca Raportor al Parlamentului European pentru GDPR.

2016/ 2 Februarie – Grupul de Lucru ”Articolul 29” lansează un plan de acțiune pentru implementarea GDPR care reanalizează un mare număr de drepturi existente și stabilește unele noi la nivel individual, precum dreptul la portabilitatea datelor și dreptul ca datele personale să nu fie procesate în alte scopuri decât cele legale sau cele prevăzute printr-un contract.

2016/ 24 Mai – Noul Regulament UE 2016/ 679 înlocuiește vechea Directivă 95/46/EC și are ca menire armonizarea legislației privitoare la protecția datelor personale din întreaga Europă.

Care sunt principalele modificări

Iată o trecere în revistă a principalelor modificări ale vechii legislații, care poate fi citită pe Portalul GDPR: Principalul scop al noului Regulament de Protecție a Datelor Personale este de a oferi cetățenilor europeni cadrul modern legal necesar pentru protejarea datelor personale într-o economie tot mai dependentă de mobilitate și tehnologii digitale.

Aplicabilitatea extra-teritorială – una dintre cele mai importante modificări legislative se referă la extinderea jurisdicției GDPR, care devine aplicabil pentru toate companiile care procesează date personale ale cetățenilor care au reședința în Uniunea Europeană, indiferent de locația geografică a companiei. În versiunea precedentă, aplicabilitatea teritorială a directivei era ambiguă și se referea la procesarea datelor doar ”în contextul unei instituții”, ceea ce a generat o serie amplă de dezbateri și numeroase cazuri nerezolvate în justiție.

Amenzile – Penalizările financiare pentru nerespectarea prevederilor Regulamentului sunt copleșitor de mari, cu maxime ce se referă la 4% din cifra de afaceri globală anuală sau maximum 20 milioane de euro pentru situațiile în care operatorul de date nu are consimțământul clienților într-o proporție suficientă sau afectează elementele cheie de confidențialitate prin-o abordare eronată a conceptului. Cele mai puțin aspre penalități prevăd amenzi de 2% din cifra de afaceri anuală pentru o slabă gestionare a înregistrărilor referitoare la prelucrarea datelor (Articolul 28), pentru ne-notificarea autorității de supraveghere în situația apariției unei breșe, sau pentru neafectarea de evaluări de impact. De notat că aceste prevederi se aplică atât celor care gestionează datele, cât și celor care le procesează – ceea ce extinde obligativitatea GDPR și asupra companiilor care oferă servicii de hosting sau furnizorilor de Cloud.

Consimțământul – condițiile de obținere a unui consimțământ din partea clienților s-au înăsprit, iar companiile nu vor mai putea folosi termeni contractuali necompatibili GDPR sau în condiții greu de probat. Consimțământul trebuie să fie clar și liber de orice impunere și solicitat într-un format inteligibil și ușor de accesat, fiind însoțit de o explicare clară a scopului pentru care se procesează datele. Limbajul trebuie să fie simplu și clar, iar consimțământul trebuie să fie la fel de simplu de solicitat și de acordat.

Notificarea breșelor de securitate – devine obligatorie pentru toate țările membre ale comunității, unde prin breșă se înțelege ”orice incident de securitate care induce un risc pentru drepturile și libertățile individuale”. Orice incident trebuie comunicat către autoritățile de raportare într-un interval de maximum 72 de ore, de la momentul în care breșa a fost constatată. Procesatorii vor trebui de asemenea să își anunțe clienții, fără nici-o întârziere, imediat după ce s-a dovedit că incidentul de securitate a afectat datele personale ale acestora.

Dreptul la acces – parte din drepturile extinse ale cetățenilor în noul format al GDPR se referă la dreptul acestora de a solicita procesatorilor sau controlorilor de date confirmări legate de modul în care datele personale sunt procesate, unde și în ce scopuri. Mai mult, operatorii vor trebui să furnizeze gratuit o copie a datelor personale, într-un format electronic.

Dreptul de a fi uitat – cunoscut și ca ”dreptul de a fi șters”, asigură cetățenii de posibilitatea de a își asigura deplina confidențialitate prin ștergerea tuturor înregistrărilor cu caracter personal, chiar și în situațiile de diseminare de date sau folosirea potențială de către o terță parte. Condițiile de ștergere sunt prevăzute în Articolul 17, fiind valabile pentru situațiile în care datele devin irelevante pentru scopurile asumate inițial sau când posesorul datelor își retrage consimțământul. De notat aici, că există încă unele neclarități asupra moduli în care unii operatori de date pot considera aceste date de interes public, situații în care datele trebuie să rămână disponibile.

Portabilitatea datelorse referă la dreptul oricărui cetățean de a primi datele personale într-un format prestabilit, ușor de citit de către orice dispozitiv, care poate fi transmis la solicitarea posesorului unui alt procesator de date.

Confidențialitate prin design
– ”Privacy by design” este un concept care se folosește de mult, dar care abia acum devine parte din pachetul de cerințe GDPR.  În esență, acest concept constă în includerea instrumentelor de protecție a datelor încă de la început, de la proiectarea unui sistem informatic. Mai exact, un operator de date personale trebuie să adopte cerințele tehnice și operaționale într-o manieră efectivă, pentru a corespunde cerințelor regulamentului și a proteja datele personale ale clienților. Articolul 23 recomandă operatorilor să păstreze și să proceseze doar datele absolut necesare pentru îndeplinirea sarcinilor (minimizarea datelor), precum și să limiteze accesul celor interesați de prelucrarea datelor în alte scopuri.

Data Protection Officers (DPO) – în mod curent, operatorii de date erau obligați să notifice activitățile de procesare a datelor către diferite autorități, ceea ce a condus la generarea multor probleme birocratice, în special pentru companiile multinaționale, obligate să trimită multiple feluri de notificări către diferite autorități. Conform noului Regulament, nu va mai fi necesar ca o multinațională să trimită notificări către fiecare autoritate de supraveghere și nici nu va fi o cerință de notificare / obținere a aprobării transferurilor pe baza unui Model Contract Clauses (MCC). În schimb, vor exista cerințe interne de păstrare a înregistrărilor. Numirea unui responsabil Data Protection Offcier devine obligatorie doar pentru acei operatori care au ca activitate de bază operațiuni de procesare care necesită monitorizarea regulată și sistematică a datelor la scară largă, sau doar pentru anumite categorii de date legate de activitățile ce intră sub incidența legii.

 Numirea unui DPO se va face după un set riguros de criterii:

  • Alegerea DPO trebuie făcută pe baza unor calități profesionale foarte clare, ce în bună parte presupune și un nivel mediu de cunoaștere a legilor și practicilor de protecție a datelor.
  • Poate fi un angajat propriu sau un furnizor extern de servicii
  • Detaliile de contact trebuie furnizate autorității de supraveghere
  • Trebuie să raporteze direct, la cel mai înalt nivel de management
  • Nu trebuie să I se atribuie nicio altă sarcină care ar putea intra în conflict de interese cu protecția datelor personale.

Urmăriți viitoarele articole din categoria GDPR Ready!

INIȚIATIVA ”GDPR READY!”

Inițiativa GDPR Ready!  își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Prin GDPR Ready! aveți acces la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

Asigurarea conformității cu GDPR la nivel organizațional este o activitate extrem de complexă ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Inițiativa GDPR Ready! își propune să vă ofere accesul deschis la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în prctică sub cele mai bune auspicii.

Nevoia de inițiativă

Pornind de la importanța majoră a asigurării unei tranziții unitare, la scară națională, către îndeplinirea condițiilor de compatibilitate cu Regulamentul 679/ 2016 de către marea majoritate a companiilorf care operează cu date personale, a fost gândită lansarea unei inițiative ”GDPR Ready!”, care să susțină și să completeze eforturile de promovare și conștientizare depuse de Autoritate și alte instituții publice și private.

Ce trebuie să știe companile care operează cu date personale din România?

Mai este mai puțin de un an până la data de 25 mai 2018 și sunt încă foarte multe lucruri de făcut. Cu toate eforturile inițiate de ANSPDCP, comunitatea operatorilor de date resimte nevoia acută a unor acțiuni mai ample, care să ofere răspunsuri mai clare privitoare la ceea ce au efectiv de făcut. Din discuțiile avute cu membrii diferitelor comunități din industria IT&C, reiese că în piață există încă multe incertitudini. Mulți operatori de date nu știu încă ce au de făcut, iar furnizorii de servicii Internet și Cloud au și mai multe probleme legate de procesarea și guvernanța datelor.

Ce tipuri de acțiuni trebuie extinse și aprofundate la nivelul tuturor operatorilor de date? 

Comunitățile și industriile simt nevoia acută să cunoască mai bine ce au de făcut și să înceapă activitățile ce vor asigura premisele de obținere a conformității. De aceea toate activitățile care vor fi propuse și efectuate sub umbrela inițiativei ”GDPR Ready” vor avea ca obiectiv:

  • Conștientizarea importanței GDPR în contextul transformărilor digitale
  • Înțelegerea noilor prevederi ale GDPR
  • De ce e nevoie ca operatorii de date personale să devină compatibili cu noile reglementări
  • Care sunt sancțiunile
  • Care sunt problemele pe care le au de rezolvat operatorii de date personale ce oferă servicii online sau bazate pe Cloud
  • Care sunt problemele legale și administrative
  • Care sunt problemele operaționale
  • Care sunt problemele tehnice
  • Care sunt pașii pentru pregătirea și obținerea compatibilității
  • Cine ne consiliază
  • Cine ne certifică GDPR Ready?
  • Cui alocam responsabilitatile de DPO (Data Protection Officer)?

Ce acțiuni va iniția și susține cloud☁mania în cadrul inițiativei ”GDPR Ready!”

  • Articole și materiale de popularizare ale inițiativelor publice ANCPDCP, MCTI, asociatii guvernamentale si profesionale
  • Popularizarea inițiativelor private: vendori și furnizori IT&C, furnizori de servicii, consultanță și audit
  • Susținerea de prezentări și workshopuri la întrunirile asociațiilor profesionale și evenimente din industria IT
  • O atenție specială va fi acordată în mod firesc măsurilor pe care trebuie să le aibă în vedere furnizorii de servicii Cloud, operatorii telecom și data networking, providerii de servicii Internet, producătorii independenți de software, operatorii de servicii data center, procesatorii de plăți online, magazinele online, analiștii de date, companiile de data insurance, furnizorii de servicii de securitate, etc.
  • Alte proiecte vor fi demarate în parteneriat cu diferite entități și vor fi anunțate din timp.

Note:

  • Conținutul acestui landingpage reprezinta un blue-print si va fi îmbunătățit pe măsură ce alți particpanți își vor manifesta interesul pentru Inițiativa GDPR Ready.
  • Oricine este interesat ma poate contacta completand formularul online.

IDC Security Roadshow 2017; in Bucharest a Real Show!

 

Keeping the same direct dialogue style from announcing article “IDC Roadshow 2017 is coming in Bucharest”, I want to ask yesterday participants if all I promised was happen. Did you think my participation invitation arguments have not been confirmed by the event? Anyone is free to complain posting personal opinions on the comments area… What I want, and I consider it more important, is to show those who could not come, what they had to lose…

So, it was 2017 edition of IDC Roadshow, and Bucharest was the 10th location in CEE region. I don’t know what’s happening in other cities, but I can confirm in Bucharest it was a real show! And here are my key arguments:

First, through the new approach to IT security issues, a field where never-ending novelty is no longer new… We are in a multi-platform era and any CISO should think to data security challenges from duality perspective.  How to improve security posture and resource efficiency at the same time. Data protection is at the same time a management and an IT challenge, covering a lot of vulnerabilities points from access controls and privileged user management, to data encryption and prevention, to policy and compliance deploying, and development of an effective data security culture for the whole company.

Second, the Conference Agenda, which balanced and alternated in a natural way keynotes speeches and new security concepts (Mark Child – CEE Security Practice Lead IDC, Liviu Stoica – president Agency for Romanian Digital Agenda, Gabriel Nicolaescu – Novatech, Puiu Leontescu – Palo Alto Networks, Marian Gheorghe – Telekom)  with discussion panels (CISO perspective: CEC Bank, Omniasig VIG, Dacia Renault and Client and the Vendor: Urgent Targus, Novatech, Palo Alto Networks) , live demo  and two dedicated breakout sessions focusing on of hottest  subject of the moment: The WannaCry Impact for security industry and the new EU regulation 2016/ 679 concerning the personal data privacy (GDPR).

Third, the professional quality of the speakers and discussion panels participants. Personal, for me, it was a very nice surprise to hear and to meet top level professionals, with long-time and rich expertise in their activity areas like Gabriel Nicolaescu – BDM Novatech, Puiu Leontescu – System Engineer Palo Alto Networks, Cristina Metea – Legal Adviser Microsoft Romania, Catalina Dodu – Country Manager Atos Romania, Adrien Viaod – Field Application Engineer Kingston, Emil Gagala – Network and Security Architect VMware, and Alex Balan – Chief Security Researcher Bitdefender.

Fourth, and somewhat related to the previous one, was the active presence with presentations and especially comments on the personal experience of a very representative CISO & CIO pool, from all essential industries for protecting information, like banking (Razvan Grigorescu – Information Security Manager/ CISO CEC Bank, Cristian Goiceanu – CSO & Executive Director, BCR, and Andrei Vilcan – Head of Information Security, Banca Transilvania),  insurance (Adrian Baciu – CISO Omniasig VIG), manufacturing (Daniel Dinu – CISO Dacia Renault), utilities (Eusebiu Rotaru – IT Infrastructure Manager Electrica Distributie), telecom (Marian Gheorghe – Business Segment ICT and Sales Key Accounts Director Telekom) and logistic services (Marian Pletea – CIO Urgent Cargus), until to the governmental representatives (Liviu Stoica – President. Agency for the Romanian Digital Agenda).

Fifth, the professional involvement of IDC staf, which well managed a very difficult event. I know from my own experience the necessary efforts to better organize such international event. It was a nice surprise for me to note the professional infusion brought by the new team of  IDC Romania, active represented during all conference by Alina Georgescu – Country Manager and Razvan Savu – Senior Consultant & Senior Research Analyst. Besides the effervescence of the young team, a great value contribution to the event success was conferred by the presence of Mark Child, a regional information security expert with a rich experience in IDC’s research projects since 2004.

So, is not time and space to write here more details about the Roadshow presentations. This will be included in next articles. What I consider important to point here are three moments with large impact for all audience.

The hacking live demo sustained by Senior Information Security Consultants Gabriel Avramescu from Bucharest and Radu Stăneascu from Bruxelles show us how simple is for a hacker to penetrate our computers and to destroy/ steal critical data, by a simple access on a malicious site. It was a very simple technical live demo showing how easy is for any medium experienced hacker to penetrate our systems In the absence of elementary protection measures and cyber security culture.

Another interesting moment was the discussions panel moderated by Razvan Savu from IDC, dedicated to a real case: the business transformation process faced by Urgent Cargus, a former Romanian company acquired by Deutsche Post DHL in 2008.  Operational problems and the challenges caused by the lack of integration of the platforms and systems was the main discussion subjects, and in the same time, the challenging issues opened by Marian Pletea – CIO Urgent Cargus to Gabriel Nicolaescu from Novatech, and Puiu Leontescu from Palo Alto Networks. Both specialists offered their general strategy for the concrete case solving, commented and amended by the Urgent Cargus CIO.

Finally, a few words about a special panel session dedicated to GDPR, moderated by Andreea Lisievich – Data Privacy Lawyer and having as guests Cristina Metea from Microsoft, Catalina Dodu from Atos, and  Cristian Goiceanu – CSO & Executive Director at BCR. As I know it was one of the first UE regulation debate sustained by private company representants, included in a security conference. After a short introduction in the new GDPR regulation made by Andreea Lisievich, participants discussed the vital importance for any company to become compliant with this regulation. Special attention has been given to the new provisions of the regulation that will enter into force on May 25, 2018, and what attitude must be adopted by any company operating with personal data to comply with the new provisions. Other important issue discussed:

  • Errors of interpretation that may arise from the current Romanian translation of the Regulation
  • What are personal data involved
  • Who and How is processing personal data
  • Which are the situations a DPO role is necessary?
  • Which competencies should a DPO have?
  • How important are the data incidents announcements
  • When is necessary to announce the citizens about a possible personal data incident?
  • How should citizens react when they receive a possible incident notification?
  • Which are specific problems for a Cloud services provider?
GDPR is a big challenge for any personal data operating companies. There are a lot of unclear issues related to “What we have to do” action plan. Follow the actions proposed by the GDPR Ready initiative to get answers to the issues raised by personal data processing compliance in real time.

 

Concluding, IDC Security Roadshow, 2017 edition was something new. A new event concept for a very sensitive subject: information security. A well balanced and interesting Agenda. A very high professional level of participants. professional high level. A very representative presence of big companies CISO. A very important contribution to IDC organising team during all the event.

The Digital transformation hurricane is involving a lot of new technologies, opening the Pandora’s Box for a lot of new threats to cyber security. In order to prevent and to limit any vulnerability, important is to know this threat, to manage the associated risks, to develop a company culture for data protection, and to implement a business continuity strategy.  

IDC Security Roadshow 2017 is coming in Bucharest

Just one week until the new edition of IDC Security Roadshow, transforming Bucharest for one day in the Europen capital of cyber security. Reflecting the trend of recent years that attracted a multitude of border technologies in the hurricane of digital transformation, opening the Pandora’s Box for new threats of cyber security, this year edition of IDC Security Roadshow will focus on the information security issues in multi-platform era.

It is true, a lot of cyber security conferences were organised in the last period. And this is perfectly normal, thinking to the strategic importance of the field. If you still have doubts, if you are not yet clear that it is worth attending the IDC Roadshow, take a look at the event Agenda and you will see it worth it. The main security market trends in CEE will be analysed in the opening keynote ”Information Security in the Multi-Platform Era”, sustained by Mark Child, CEE Security Practice Lead at IDC CEMA. After that Gabriel Nicolăescu, Business Development Director at NOVATECH will conduct us in a CISO strange adventure in Alice (and Bob) In The New Wonderland. The misadventures of a CISO in the brave new world of…”

If I have not convinced you so far, maybe a hacking demonstration could be a good reason for you to postpone your business routines in another day and to come to the IDC Roadshow on June 8th. Come to assist two Senior Information Security Consultants Radu Stăneascu and Gabriel Avramescu in their “Live Demo Hacking.”

Are your organisations in a permanent search for solutions to consolidate your security infrastructure? See how Palo Alto Networks Next-Generation Security Platform, presented by Puiu Leontescu, can help you to address your company cutting costs with superior security solution and an effective TCO.

Okay, you might say: ”maybe it’s worth writing at least for the first part of the conference, and after that, I go back to my office to resolve my affairs.” Don’t rush …, look again on the agenda and you will see that the themes approached by the two parallel sessions in the second half of the program will make you regret that you can not split into two. In this case, the ideal solution is to convince a colleague to come to the IDC Roadshow. So you will be able to participate each one at one breakout session and then share the information. These sessions will cover two subjects with a strategic role in any CSO activity: End-point defence and Data-Centric Security.

Guerrilla fights with cyber criminals never end, and it’s enough to think of the nightmare weekend created by WannaCry, described by Eugene Kaspersky as ”a ransomware with a very low code quality, and a lot of bugs that gives victims a chance to restore data using free utilities for file recovery”… End-point defence session will cover ”The WannaCry Impact” analysed by Mark Child from IDC, a Novatech Case Study presented by Marius Marinescu, CTO at Novatech, the last development brief ”Bitdefender – Trademark For Innovation!” made by Alex Balan, Chief Security Researcher, and another Case Study presented by Eusebiu Rotaru, Manager IT Infrastructure at Electrica Distribution.

Regulations achievement and standards compliance could be other nightmare reasons for a CIO or a CSO. And speaking about the new EU regulation concerning the personal data privacy (GDPR), the issues become more critical. Of course, you can think that GDPR is not your problem, but the company’s administrators and lawyers. Don’t think like this because in the new European regulation there is an important amount of specifications that directly target the technological and operational components in any organisation is managing personal data. And this should interest you directly. Don’t forget: until the implementation of the new EU Regulation 679/2016 (25 May 2018), we have less than one year… IDC invited Alexei Proskura – Security Program Director at IDC CEE, Catalina Dodu – Country Manager Atos IT Solutions and Services, Cristina Metea – Legal Advisor at Microsoft Romania, and Andreea Lisievici – Data Privacy Lawyer to discuss a critical issue related to EU Regulation compliance for any company is processing personal data.

So, hoping I already convinced you, don’t forget we have just one week until the event. All you have to do is to sign up on the special page created by IDC at http://idcitsecurity.com/bucharest/registration

 

GDPR Ready? AMR 1 AN!

 

Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?

Nisipul din clepsidră se efilează ireversibil. Fix peste un an (fără câteva zile deja), pe 25 mai 2018, va intra in vigoare noul regulament privitor la protecția datelor personale propus de Uniunea Europeană. Votat de Parlamentul European în aprilie anul trecut, Regulamentul 679/ 2016 privind protecția datelor personale și libera circulație a acestor date este cunoscut sub denumirea generică de GDPR, adică mai pe înțelesul nostru Regulamentul General privind protecția Datelor Personale.

Parlamentul European a acordat procesatorilor de date personale un răgaz de 2 ani, suficient pentru a se pune la punct cu noile reglementări. Pentru a sublinia importanța acestui demers, au fost anunțate penalități usturătoare pentru cei care nu vor putea deveni compatibili. Mulți analiști spun că cifrele vehiculate ”sunt așa, doar de înfricoșare”, dar cine își poate permite să riște o amendă de 10 milioane de euro sau minim 2% din cifra de afaceri pe un an?

De ce este atât de important Regulamentul 679/2016?

În primul rând pentru că reprezintă o inițiativă europeană la care vor trebui să se alinieze atât operatorii de date personale din Uniunea Europeană, cât și toți ceilalți care sunt implicați în schimburi de date cu aceștia.

Regulamentul a apărut ca o reacție firească la stabilirea unor noi cadre de reglementare unitară, nu numai pentru viitorul digital al Europei, ci și pentru a corespunde unor modele de business online, proliferării serviciilor Cloud și rețelelor sociale. Toată această cavalcadă de digitalizare, globalizare și migrare în Cloud pune într-o nouă perspectivă siguranța datelor personale.

Apariția Directivei NIS (Rețeaua și Securitatea Informației) și noul GDPR, oferă noi perspective, dar și o foarte mare responsabilitate, tuturor organizațiilor procesatoare de date personale din UE, precum și întregului ecosistem de afaceri în care acestea sunt angrenate.

Care sunt obiectivele noului regulament?

Prin date cu caracter personal se înțeleg  orice informații privind o persoană fizică identificată sau identificabilă. O persoană fizică identificabilă este aceea care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume,un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice,culturale sau sociale.

În România, noul regulament înlocuiește Legea 667/ 2001. GDPR reprezintă o schimbare fundamentală în legislația UE în ceea ce privește datele și intimitatea personală. Regulamentul are doua obiective majore:

  • Actualizarea legislației privind protecția datelor pentru a reflecta noile comportamentele digitale și valorile societății;
  • Armonizarea regulilor privind protecția datelor la nivelul UE, deoarece vechea Directivă privind Protecția Datelor a fost abordată și implementată în maniere diferite de statele membre, adaptată la propriile culturi, nevoi și preferințe. Asta a influențat o inhibare a comerțului și activităților cross-border, acționând ca o frână în calea unei viitoare piețe unice digitale.

Care sunt activitățile asupra cărora GDPR va avea un impact major?

În primul rând sunt vizați toți operatorii de date. Mulți procesatori de date existenți vor trebui să își schimbe radical procedurile și garanțiile de prelucrare a datelor.

Apoi, orice organizație, indiferent de mărime și domeniu de activitate, care execută activități de procesare a datelor, pentru că noul regulament se aplică datelor personale ale cetățenilor UE, indiferent dacă cel care controlează sau datele are prezență fizică în UE sau nu.

Cine este vizat de noul regulament?

Iată doar câteva exemple de domenii unde există operatori de date personale:

  • financiar bancar: bănci, asiguratori, administratori ai fondurilor de pensii, companii de servicii financiare, societăți de leasing, etc.;
  • utilități: energie, gaze, apă, salubritate, transport public;
  • furnizori de produse și servicii IT: producători de software, furnizori de servicii de telecomunicații, Internet, cablu TV, rețele și servicii de hosting și Cloud, operatori de data centers, operatori de plăți online, magazine online, furnizori de soluții de Securitate HW și SW
  • organizații din sănătate: spitale, policlinici, case de asigurări, instituții de studii clinice, medici de familie, farmacii, etc.;
  • companii comerciale de retail, distribuție, magazine online;
  • organizații media, agenții de marketing și PR, agenții de publicitate, cabinete de consultanță tehnică, economică sau juridică, agenții de jocuri și concursuri, companii de training și cursuri de perfecționare;
  • autorități și instituții publice.

Care sunt direcțiile de acțiune ale operatorilor pentru a asigura implementarea noului regulament?

  • În primul rând elaborarea unui plan de asigurare a tuturor măsurilor necesare pentru îndeplinirea compatibilității;
  • pregătirea aplicării efective a Regulamentului;
  • obținerea resurselor financiare și umane adecvate pentru realizarea efectivă a competențelor solicitate;
  • elaborarea unui Studiu de impact – în cazul procesărilor de date care presupun un risc ridicat pentru viața privată a persoanelor, cum ar fi cele din sănătate;
  • înființarea funcției Data Protection Officer (DPO), ca persoană care răspunde de/ coordonează siguranța datelor personale la nivelul operatorului de date;
  • conștientizarea riscurilor asociate cu penalitățile extrem de severe anunțate pentru neconformare – 10 – 20 milioane de euro sau între 2% şi 4% din cifra de afaceri la nivel internațional.

Cum au evoluat preocupările legate de GDPR în România?

După febra inițială a anunțului legat de aprobarea Regulamentului 679/ 2016, trebuie să recunoaștem că a fost un prim an destul de liniștit. Ne-am fi așteptat la o mobilizare mai mare, încă din vara lui 2016. Cu puține excepții pe care le vom enumera mai jos, activitățile au fost destul de discrete, fără să se bucure de o reflectare adecvată în presă, pe grupurile de discuții sau în mediile sociale… Am discutat cu diferiți reprezentanți ai organismelor guvernamentale care ar trebui să manifeste o implicare mai activă în asigurarea unui bun climat pentru adoptarea noului regulament. Aproape de fiecare dată mi s-a explicat că problema e conștientizată și că va fi tratată cu toată considerația. Nici implicarea segmentului privat nu a fost prea dinamică în primul an. Puținele dezbateri publice din 2016 au vizat cu precădere discutarea textului de regulament și, foarte puțin, măsurile care s-ar impune.

Avem o Autoritate Națională

În România, organismul care coordonează problemele legate de securitatea datelor personale este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Citând din prezentarea generală a instituției și a obiectivului de activitate publicate pe site-ul Autorității http://www.dataprotection.ro/:

”Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în calitate de autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor personale, reprezintă garantul respectării drepturilor fundamentale la viaţă privată și la protecţia datelor personale, statuate cu precădere de art. 7 și 8 din Carta Drepturilor Fundamentale a Uniunii Europene, de art. 16 din Tratatul privind Funcționarea Uniunii Europene și de art. 8 din Convenția europeană pentru apărarea drepturilor omului și libertăților fundamentale.”

Din aceeași sursă reținem faptul că Autoritatea își asumă rolul extrem de important de catalizator al tuturor eforturilor de aplicare a prevederilor noului Regulament care implică ”o evaluare complexă a instrumentelor specifice asigurării protecției datelor personale, în scopul adaptării cadrului normativ național și pregătirii instituționale pentru aplicarea noilor reglementări europene, inclusiv sub aspectul realizării unei cooperării eficiente cu Comitetul european pentru protecția datelor și cu celelalte autorități în domeniu din Uniunea Europeană.”

Pe pagina de Web dedicată noului Regulament UE 679/ 2016 este publicat un abstract legat de noua legislație, cu referire specială la:

  • Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
  • Directiva (UE) 2016/680 referitoare la protecția datelor personale în cadrul activităţilor specifice desfășurate de autoritățile de aplicare a legii.

precum și linkuri către o serie de documente importante:

Toate documentele la care se face referire sunt redactate în limba română, pot fi consultate și descărcate online.

O altă secțiune importantă a paginii dedicate noilor reglementări europene se referă la activitatea Grupului de Lucru Articol 29. Acest grup de lucru a fost creat în temeiul Articolului 29 din Directiva 95/46/CE și este un organ consultativ european independent care se ocupă cu protecția și confidențialitatea datelor.

Art. 20 din Regulamentul General privind Protecția Datelor (GDPR) introduce un nou drept la portabilitatea datelor. Acest drept permite persoanelor vizate să primească datele cu caracter personal pe care le-au furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și să transmită respectivele date altui operator, fără obstacole.

Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate), precum și  celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 („WP29”) încurajează aceste eforturi voluntare.

Cele mai importante documente care reprezintă activitățile specifice acestui grup de lucru sunt o serie de Ghiduri destinate asigurării unei aplicări unitare, realizate prin consultări publice care au demarat în luna decembrie a anului trecut și au fost adoptate în cadrul Plenarei din luna aprilie 2017 a Grupului de Lucru Art. 29 :

E important de menționat că în cursul aceleiași Plenare, s-a adoptat Opinia nr. 1/2017 privind propunerea de Regulament a Comisiei Europene referitor la comunicațiile electronice – Regulament ePrivacy. Acest Regulament are menirea de a defini politicile de protecție a comunicațiilor și echipamentele terminale, care au caracteristici particulare care nu sunt adresate de GDPR.

În aceeași Plenară a fost adoptată și o Declarație a Grupului de Lucru Art. 29 pentru revizuirea Regulamentului 45/2001 ce viza protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organismele comunitare și libera circulație a acestor date.

Continuând descrierea conținutului paginii de Internet a ANSPDCP, foarte importantă este prezentarea – sub formă de comunicate de presă, a principalelor activități de popularizare a Regulamentului  la care Autoritatea a participat sau pe care le-a organizat începând cu vara anului 2016.

Dar despre aceste activități de promovare și ce alte tipuri de acțiuni sunt proiectate pentru perioada următoare vom scrie într-un viitor articol.

Ce alte tipuri de acțiuni ar mai fi utile pentru operatorii de date din România?

Mai este un an și sunt încă foarte multe lucruri de făcut. Cu toate eforturile inițiate de ANSPDCP, comunitatea operatorilor de date resimte nevoia acută a unor acțiuni mai ample, care să ofere răspunsuri mai clare privitoare la ceea ce au efectiv de făcut. Din discuțiile avute cu membrii diferitelor comunități din industria IT&C, reiese că în piață există încă multe incertitudini. Mulți operatori de date nu știu încă ce au de făcut, iar furnizorii de servicii Internet și Cloud au și mai multe probleme legate de natura transmiterii, prelucrării, stocării și procesării datelor.

INIȚIATIVA ”GDPR READY”

Pornind de la importanța majoră a asigurării unei tranziții unitare, la scară națională, către îndeplinirea condițiilor de compatibilitate cu Regulamentul 679/ 2016 de către marea majoritate a operatorilor de date personale, ne-am gândit la lansarea unei inițiative ”GDPR Ready”, care să susțină și să completeze eforturile de promovare și conștientizare depuse de Autoritate și alte instituții publice și private.

Această inițiativă își propune să catalizeze interesul celor implicați în acțiuni de asigurare a compatibilității cu Regulamentul 679/ 2016: organizații guvernamentale și private, asociații profesionale, companii de consultanță, instituții de cercetare și educație, furnizori de soluții și servicii IT&C, operatori de centre de date, case de software, reselleri și distribuitori, magazine online, și alții…

Ce tipuri de acțiuni trebuie extinse și aprofundate la nivelul tuturor operatorilor de date? 

Comunitățile și industriile simt nevoia acută să cunoască mai bine ce au de făcut și să înceapă activitățile ce vor asigura premisele de obținere a conformității. De aceea, principalele activități care vor fi propuse și efectuate sub umbrela inițiativei ”GDPR Ready” vor avea ca obiectiv:

  • Conștientizarea importanței GDPR în contextul transformărilor digitale
  • Înțelegerea noilor prevederi ale GDPR
  • De ce e nevoie ca operatorii de date personale să devină compatibili cu noile reglementări
  • Care sunt sancțiunile
  • Care sunt problemele pe care le au de rezolvat operatorii de date personale ce oferă servicii online sau bazate pe Cloud
  • Care sunt problemele legale și administrative
  • Care sunt problemele tehnice și operaționale
  • Care sunt pașii pentru pregătirea și obținerea compatibilității
  • Cine ne consiliază
  • Cine ne auditează

Ce acțiuni va iniția și susține cloud☁mania în cadrul inițiativei ”GDPR Ready”?

  • Articole și materiale de popularizare ale inițiativelor publice ANSPDCP, MCTI, ministere
  • Popularizarea inițiativelor private: vendori și furnizori IT&C, furnizori de servicii, consultanță și audit
  • Susținerea de prezentări și workshopuri la întrunirile asociațiilor profesionale și evenimente din industria IT
  • O atenție specială va fi acordată în mod firesc măsurilor speciale pe care trebuie să le aibă în vedere furnizorii de servicii Cloud, operatorii telecom și data networking, providerii de servicii Internet, producătorii independenți de software, operatorii de servicii data center, procesatorii de plăți online, magazinele online, analiștii de date, companiile de data insurance, furnizorii de servicii de securitate, etc

O serie de alte proiecte vor fi demarate în parteneriat cu diferite entități și vor fi anunțate din timp.

%d bloggers like this: