GDPR CATALOG2: LAST MINUTE REGISTRATION

This week we are preparing to close the subscriptions for the GDPR Catalog – the first GDPR publishing project in Romania. The Catalog will be released in February 2018, in both versions print and online. Any GDPR conformity solutions and services provider could send us last minute participation request.

What’s the point?

After the success of the first GDPR Ready Catalog published in October 2017 (A5 size, 96 pg), AGORA Group and cloud☁mania knowledge platform decided to continue to support data operators in Romania, doing just a little more than simply raising awareness.

In this spirit, the second edition of the GDPR Catalog will be dedicated to personal data protection processes and solutions focusing on the practical aspects of implementing the GDPR compliance process.

Like the previous edition, the GDPR Practical Catalog consists of two parts:

  • A Good Practice Guide that will offer recommendations from experts on concrete issues such as: How do we choose a DPO? How do we map data? What are the roles of operators and processors? How do we start the impact analysis? How do we conduct incidents management? Who, when and to who is reporting?
  • A Catalog of Offers for GDPR compliant solutions, consultancy, audit and certification services currently provided on the Romanian market.

By participating in the GDPR Practical Catalog, we offer you the chance to turn the market anxiety towards a Regulation that will affect 98% of Romanian companies in the opportunity to show your clients and prospects the value of the solutions and the expertise of the services provided for fast, and long-term compliance with GDPR.

Sounds interesting to you?

You can view the online edition of the first GDPR Ready Catalog here: https://issuu.com/agoramedia/docs/catalog_cloud_2017_ed7_gdpr

For the last minute registration, fill out the form below  

Advertisements

Impactul GDPR asupra furnizorilor de servicii Data Center

 

De la bun început, noile prevederi ale Regulamentului EU 2016/267 au mărit gradul de expunere al tuturor procesatorilor de date personale, punând însă o presiune ceva mai mare pe câtva categorii speciale de operatori. Furnizorii de soluții și servicii Data Center (DCSP) se numără printre operatorii de date care trebuie să acorde o atenție specială îndeplinirii condițiilor de conformitate.

O categorie specială de operatori și procesatori

Indiferent că e vorba de servicii de găzduire administrate sau de hosting, de Cloud privat sau Hibrid, furnizorii de servicii Data Center au aceleași probleme cu GDPR. Una dintre probleme este securitatea datelor, considerate mult timp un adevărat punct vulnerabil în special pentru furnizorii de infrastructură Cloud. Încrederea utilizatorilor în garanțiile de Securitate oferite de găzduirea datelor în Cloud a frânat multă vreme accelerarea ratei de adopție a serviciilor Cloud la nivel enterprise.

Extinzând caracterul special al serviciilor de Cloud, practic orice înseamnă servicii de infrastructură care oferă găzduire în medii fizice și/ sau virtuale ridică aceleași probleme de securitate și confidențialitate pentru procesarea și stocarea datelor cu caracter personal.

Încă din anul 2012, prin Avizul nr. 5 privind  Cloud computing, Grupul de lucru Articolul 29 atrăgea atenția asupra unei serii de implicații negative pentru furnizorii de servicii de tip Cloud asupra protecției datelor cu caracter personal legate de lipsa controlului utilizatorului asupra datelor respective, precum și ambiguitatea informațiilor cu privire la modalitatea, locul și entitatea de prelucrare a datelor.

Care sunt riscurile asociate în mod tradițional cu serviciile de Cloud?

  • Lipsa transparenței asupra lanțului de externalizare/subcontractare a prelucrării de date cu caracter personal de către furnizorul de servicii Cloud
  • Incertitudini legate de transferul de date cu caracter personal către furnizorii de servicii de Cloud computing stabiliți în afara UE.
  • Lipsa unui cadru global comun al portabilității datelor

Domenii cheie pe care furnizorii de servicii Data Center trebuie să le abordeze pentru nevoile GDPR

Orice DCSP este procesator de date personale dar și operator – furnizorii de servicii Data Center trebuie să conștientizeze faptul că și petru fluxurile de date în care joacă rolul de procesator sunt acum expuși răspunderii juridice a GDPR ca procesatori de date. Până acum responsabilitatea revenea numai operatorilor.

Furnizorii trebuie să asigure respectarea propriilor standarde GDPR  – în calitate e operatori de date personale pentru angajați sau clientii individuali care contractează servicii Data Center individuale, precum căsuțe de e-mail sau spații de stocare personale.

Creșterea nivelului de transparență – furnizorii vor trebui să devină mai transparenți – deoarece clienții devin tot mai diligenți în privința suveranității datelor, a securității, a stocării datelor, precum și a controlului și distrugerii datelor pentru care au responsabilitatea.

Soluții as-a-Service  conforme GDPR pentru clienți – furnizorii de servicii Data Center vor trebui să se asigure că ofertarea de servicii în sine, atunci când sunt utilizate de un client, permite clientului să rămână conform. Tot mai multe aplicații de stocare, backup și desaster recovery sunt oferite ca aplicații SaaS găzduite de către DCSP sau chiar dezvoltate de aceștia.

Sfaturi practice pentru furnizorii de servicii Data Cnter

Revizuirea relațiilor contractuale cu opertorii de date – Operatorii sunt cei care trebuie să ofere instrucțiuni specifice procesatorilor, iar astfel de instrucțiuni trebuie să fie documentate în așa-numitele „Acorduri de prelucrare a datelor”. Deși aceste acorduri erau prevăzute și de legislația aflată încă în vigoare, în practică sunt destul de greu de găsit acorduri concrete și corecte.  Articolul 28 din GDPR menționează în mod specific acordurile de prelucrare a datelor și arată în detaliu ce ar trebui să includă ca instrucțiuni pentru furnizorii DCSP în calitate de procesatori.

Atenție specială subcontractorilor – furnizorii de servicii Data Center apelează adesea la proprii lor subcontractori, care devin sub-procesatori pentru clienții care au rol de operatori. Orice furnizor de servicii DC trebuie să ceară permisiunea operatorului de a utiliza subprocesatori, ceea ce ar trebui să se regăsească și în acordul de procesare a datelor. Utilizarea de subprocesatori poate fi acoperită printr-o permisiune generică sau o permisiune specifică pentru fiecare subprocesator. Procesatorul rămâne responsabil, astfel încât acordurile cu subprocesatorii trebuie să aibă un grad ridicat de încredere pe lista furnizorilor DC.

Înregistrarea activităților de prelucrare – în calitate de operator, fiecare DCSP trebuie să mențină o evidență a activităților de procesare: un instrument de evidență sau un document care detaliază diferitele activități de prelucrare a datelor cu caracter personal din cadrul organizației (HR, vânzări directe, service). O versiune mai puțin riguroasă a acestei evidențe trebuie să fie menținută pentru fluxurile de date în care DCSP acționează ca un procesator, dar care totuși trebuie să includă toate activitățile de procesare derulate pentru clienții săi. Crearea unei astfel de evidențe a activităților de procesare va oferi o cunoaștere valoroasă în identificarea datelor pe care le procesați și ar trebui să fie una dintre primele acțiuni într-un plan de implementare GDPR.

Transferurile de date în afara UE – atunci când datele cu caracter personal ale clienților din UE sunt transferate de către un procestor în țări din afara Uniunii este important ca datele să beneficieze de aceleași sisteme de protecție și garanții ca și în interiorul granițelor UE. Pentru a facilita astfel de transferuri, GDPR include mai multe mecanisme printre care care se numără:

  • Deciziile de adecvare – atunci când UE a stabilit că o țară din afara UE (sau un acord specific cu o astfel de țară, de ex. Privacy Shield cu SUA) oferă o protecție adecvată.
  • Regulile corporative obligatorii (Binding Corporate Rules) –  multe companii multinaționale au subsidiare în țări din afara UE, oferind aceleași garanții de protecție. Autoritățile de protecție a datelor trebuie să valideze BCR înainte ca prevederile să fie aplicate.
  • Clauze contractuale standard (Standard Contratual Clauses) – sunt contracte predefinite, validate de Comisia Europeană, ce conțin toate garanțiile de protecție necesare pentru transferurile în afara UE.

Securitatea informațiilor – asigurarea informațiilor împotriva accesului neautorizat, pierderii sau distrugerii este un aspect foarte important în cadrul GDPR și poate fi aplicat prin menținerea confidențialității, integrității și disponibilității (CIA). Orice încălcare a acestor principii ale CIA poate atrage o notificare către operator, care, la rândul său, va trebui să notifice autoritatea de supraveghere și persoanele vizate, dacă riscurile potențiale ale unei breșe  sunt destul de ridicate.

Tematica acestui articol a cosntituit subiectul prezentarii sustinute de autor in cadrul conferintei ”Data Centers and IT Infrasructure Management”, organizata de Agora Media in 12 decembrie 2017.

Top cloud☁mania articles in 2017

Let’s start the new (GDPR Ready) year 2018 with the traditional review of cloudmania’s activity in 2017. The 5th year of our knowledge platform was one of the records: 96 published articles, 60% increase of views number, and 39% of visitors number, comparing 2016, and a focussed GDPR dedicated section well received by Romanian and international communities.

Despite the fact the small majority of our readers are Romanians (58%), we still have a strong international community readers, where 30% are from the US, 13% from India, 8% from the UK, 5% from Germany, and 4% from France, respectively Canada.

As usual, here are few selections of most popular articles grouped into three main categories: international articles, Romanian articles (excepting GDPR), and Romanian GDPR Articles.

Most popular international articles:

#1: “Datacenter Forum 2017 the Pole of the Modern Infrastructure Technologies” – May 2017

#2: “TOSS C3 Interview: From Underground Research to Digital Transformation” – June 2017

#3: “The first GDPR Catalog in Romania” – October 2017

#4: “What cloud providers need to focus on for GDPR compliance” – Bart van Buitenen’s contribution for GDPR Catalog – October 2017

#5: “Freight Monitoring, Industry 4.0 and Smart Grids: Main Drivers for EMEA’s IoT Spending until 2020” – January 2017

Most popular Romanian (non GDPR) articles

 #1: “About Hybrid Cloud with Mr Ravan Stoica” – original title: “Despre Cloudul hibrid cu domnul Razvan Stoica – May 2017

#2: “Ford is managing HR resources in Cloud using Oracle HCM platform” – original title: “Ford își administrează resursele umane din Cloud pe platforma Oracle HCM – February 2017

#3: “Europe’s digital future is based on the 4th Industrial Revolution” – original title: “Viitorul digital al Europei se bazeaza pe cea de-a patra revolutie industriala – August 2017

#4: “ROcS 2.0: Technologies without age and without borders” – original title: “Tehnologii fara varsta si fara frontiere” – November 2017

#5: “Cloud Conference: Let’s speak about adoption, development, migration, business continuity, and GDPR” – original title: “Conferinta de Cloud: haideti sa vorbim despre adoptie, dezvoltare, migrarem continuitate in business si GDPR – November 2017

 

Most popular Romanian GDPR articles

#1: “First Romanian GDPR Catalog was released” – original title: “A aparut primul Catalog GDPR din Romania – October 2017

#2: “GDPR: personal data security from information security perspective” – original title: “GDPR: afectarea securității datelor cu caracter personal din perspectiva securității informatice” – a CERT.RO contribution to GDPR Catalog, November 2017

#3: How can I achieve DPO certification in Romania” – original title: “Cum pot obtine certificarea DPO in Romania” – November 2017

#4: “GDPR Ready! Initiative” – original title: Initiativa GDPR Ready!” – June 2017

#5: “Good practice guides released by ANSPDCP (Romanian Personal Data Processing Surveillance Authority)” – original title: “Ghiduri de bune practici puse la dispozitie de ANSPDCP” – November 2017

Happy GDPR Compliancy New Year!

Why we need to build a GDPR Corporate Culture?

 

Many times the alignment with GDPR requirements is perceived as a compliance challenge only.  What few realize from the very beginning is that GDPR does not involve a push-up effort, after which the relaxation is coming. It’s not an IT project, nor any simple modification of privacy policy on an e-commerce site. GDPR is the beginning of a process that should become irreversible, and for this, it needs a source of energy to keep it moving. The energy source for maintaining GDPR compliance for the entire lifecycle of a business is the organization’s internal capacity to maintain compatibility. And this is called Company Culture.

We are talking about GDPR more and more. And this is good because we still need awareness. Unfortunately, most of the messages are focused on the punitive value of the regulation. And that’s right, because the fines announced are scary, even for a bigger company. For the vast majority, however, a penalty of € 10,000,000 actually means getting out of business. Those who will have what they pay will face a big black spot of reputation, which will affect the trust of their clients, which creates the premises of a threat even bigger than the fines themselves.

These threats should generate a big concern at the executive levels first. Here are no longer only quick steps to modify few web pages and ad-hoc staff training. Organizations need to change their mentality and decision-makers must be an example. The success of a long-term GDPR project is based on the building of an organization-wide culture where people first think about how they would like their personal information to be processed. Companies must adopt this attitude when handling the personal data of customers, employees, and other subjects. It’s not just about the threat of financial penalties. It’s a business continuity and building a trusting attitude.

Individuals need to trust the companies to whom they provide their personal information and need to trust that these data operators have the ability to manage this information properly and safely. One of the GDPR’s novelties is the introduction of the accountability principle. The concept is not new. But for the first time, it becomes an explicitly free principle. The GDPR accountability goes beyond compliance with data protection principles, as it involves a change of culture. Any data controller or data processor has to prove not only that they are responsible for personal data protection but also to prove that they can support this responsibility. In order for this extended responsibility to be assimilated into our organization, we need a cultural and organizational change.

To create a GDPR culture, companies need to adopt a proactive, methodical and responsible approach to compliance, a privacy culture for personal data protection. If you want people to change their behaviour, you have to motivate them to want to do this; they have to understand why it is important. This change is a challenge if they cannot connect privacy risks to their own roles and private lives. Personalized training for roles or characters and the use of relevant examples is, therefore, a good practice. To effectively educate your staff, work closely with and connect with internal teams – people from HR, accounting, logistics, technical teams, but especially from internal communication teams.

Now that you have built the data privacy culture, you need to embed and support it. To do this, you will need to:

  • Define clear periodic and point assignments;
  • Create regular campaigns;
  • Build awareness of privacy in new business environments or new employees.

If it has not already been made, compliance with GDPR should be a key priority for all organizations, regardless of size, industry, or geographic location.

GDPR Explicitat (15): Penalitățile cu care vine GDPR

Iată-ne ajunși la finalul serialului de articole GDPR Explicitat. A fost o încercare de analiză și parcurgere pe orizontală a celor mai importante articole din GDPR care au egală importanță pentru toți operatorii și procesatorii de date personale. Desigur se mai pot povesti și comenta multe despre toate subiectele abordate. Vom mai avea ocazia să le reluăm când vom face analizele pe verticale, pe grupe de companii sau pe anumite industrii.

Când se dau amenzile administrative?

Orice încălcare a noului regulament este supusă unui regim de sancțiuni financiare cu amenzi de până la 4% din cifra de afaceri globală anuală sau de 20 milioane EUR, oricare dintre acestea este mai mare. La stabilirea nivelului amenzii, autoritatea de supraveghere trebuie să ia în considerare o serie de factori, inclusiv gravitatea încălcării, dacă încălcarea a fost intenționată sau rezultatul neglijenței și orice măsuri luate pentru a atenua încălcarea. În plus, persoanele pot da în judecată organizațiile pentru compensare pentru a acoperi atât pagubele materiale, cât și cele nemateriale (de exemplu, suferință).

Având în vedere magnitudinea eventualelor amenzi, drepturile persoanelor fizice de a introduce cazuri și cererea de despăgubiri, precum și prevalența și eficacitatea criminalității cibernetice, riscul unei încălcări a datelor ar trebui să treacă direct în registrul de risc al consiliului, cu respectarea înaltă a ordinii de zi a conducerii superioare.

Conform Articolului 83 – ”Condiții generale de impunere a amenzilor administrative”, aplicarea penalităților va fi, în fiecare caz, eficace, proporțională și disuasivă (descurajantă). Amenzile administrative se acordă în funcție de:

  • Natura, gravitatea și durata încălcării;
  • Caracterul intenționat sau neglijent al încălcării;
  • Orice acțiune întreprinsă de operator sau de procesator pentru a diminua daunele suferite de persoanele vizate;
  • Gradul de responsabilitate al operatorului sau al procesatorului, ținând cont de măsurile tehnice și organizatorice implementate de aceștia;
  • Orice încălcări anterioare relevante;
  • Gradul de cooperare;
  • Categoriile de date cu caracter personal afectate de încălcare;
  • Modul în care încălcarea a devenit cunoscută;
  • Existența unor cazuri anterioare în care au fost ordonate competențe corective împotriva operatorului sau a procesatorului;
  • Respectarea codurilor de conduită aprobate sau a mecanismelor de certificare aprobate;
  • Existența unor alți factori agravanți sau atenuanți.

Care sunt situațiile în care amenda e de 2% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 10 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 2% din exercițiul financiar precedent (oricare dintre acestea este mai mare) în situațiile în care autoritatea de supraveghere constată încălcarea următoarelor Articole:

  • Obligațiile operatorului și ale procesatorului de date stabilite în Articolele 8, 11, 25 la 39, 42 și 43;
  • Obligațiile corpului de certificare conforme cu Articolele 42 și 43;
  • Obligațiile corpului de monitorizare aferente Articolului 41 (Alineat 4)

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

  • 8: Consimțământul copilului
  • 11: Prelucrarea care nu necesită identificare
  • 25: Protecția datelor prin design și implicit
  • 26: Operatori comuni
  • 27: Reprezentanți ai operatorilor care nu sunt stabiliți în UE
  • 26, 29 & 30: Prelucrarea
  • 31: Cooperarea cu autoritatea de supraveghere
  • 32: Securitatea datelor
  • 33: Notificarea încălcărilor autorității de supraveghere
  • 34: Comunicarea încălcărilor la persoanele vizate
  • 35: Evaluarea impactului protecției datelor
  • 36: Consultare prealabilă
  • 37-39: Protecția datelor
  • 41 (4): Monitorizarea codurilor de conduită aprobate
  • 42: Certificare
  • 43: Organisme de certificare

Care sunt situațiile în care amenda e de 4% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 20 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 4% în exercițiul financiar precedent (oricare dintre acestea este mai mare) în următoarele condiții de încălcare:

  • Principiile de bază ale procesării, incluzând condițiile pentru consimțământ, aferente Articolelor 5, 6, 7 și 9;
  • Drepturile subiecților aferente Articolelor de la 12 la 22;
  • Transferul datelor personale către un recipient dintr-o țară terță sau o organizație internațională, aferent Articolelor de la 44 la 49.

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

  • 5: Principii privind prelucrarea datelor cu caracter personal;
  • 6: Legalizarea procesării;
  • 7: Condiții pentru consimțământ;
  • 9: Prelucrarea categoriilor speciale de date cu caracter personal (adică date personale sensibile);
  • 12 -22: Dreptul la informație, accesul, rectificarea, ștergerea, restricționarea procesării, transferabilitatea datelor, obiectul, profilul;
  • 44 -49: Transferuri către țări terțe;
  • 58 alineatul (1): cerința de a oferi acces la autoritatea de supraveghere;
  • 58 (2): Comenzi / limitări privind prelucrarea sau suspendarea fluxurilor de date.

Norme privind sancțiunile impuse de fiecare stat membru

În Articolul 83, Alineatul 7 se mai specifică faptul că ”Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv.”

Mai departe se prevede că exercitarea de către autoritatea de supraveghere a competenţelor sale în temeiul Art.83 are loc cu condiţia existenţei unor garanţii procedurale adecvate în conformitate cu dreptul Uniunii şi cu dreptul intern, inclusiv căi de atac judiciare eficiente şi dreptul la un proces echitabil.

Dar acestea nu sunt toate sancțiunile prevăzute de GDPR. În Articolul 84: ”Sancţiuni”, Alineatul 1  se specifică faptul că statele membre au dreptul de a stabili normele privind alte sancţiuni aplicabile în caz de încălcare a Regulamentului, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul Articolului 83, şi iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancţiunile respective trebuie să fie eficace, proporţionale şi disuasive. Totodată, până la 25 mai 2018 fiecare stat membru trebuie să informeze Comisia cu privire la dispoziţiile de drept intern pe care le adoptă în temeiul alineatului (1), precum şi, fără întârziere, cu privire la orice modificare ulterioară a acestora.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 14) ale seriei GDPR Explicitat:

 

Realitatea Augmentată vine cu aplicabilitate nelimitată în industria producătoare

Augmented Reality (AR) este una dintre tehnologiile viitorului care a ieșit deja din sfera cercetărilor aplicative și din interfața platformelor de jocuri și își face drum cu pași siguri către aplicațiile industriale. Realitatea Augmentată este un concept în care lumea reală și modelele virtuale se suprapun într-o unică imagine.

Au devenit virale filmulețele de pe YouTube în care pasagerilor dintr-o stație de autobuz li se induce iluzia unor creaturi fioroase care se îndreaptă către ei. Iluzia este perfectă, iar reacțiile participanților la aceste experimente sunt cât se poate de reale.

Tocmai aceste valențe ale proiectării unor imagini virtuale peste o realitate existentă au început să fie preluate în diferite industrii. Aria de aplicabilitate este practic nelimitată, cu atât mai mult cu cât orice dispozitiv mobil poate fi utilizat pentru rularea aplicațiilor de vizualizare.

Valoarea extinsă oferită de Realitatea Augmentată în procesele digitale de producție

Realitatea Augmentată (AR) ajută inovatorii și dezvoltatorii să construiască experiențe imersive care transformă modul în care utilizatorii creează, operează și livrează produse în lumea inteligentă și conectată a producției digitale.

În noua industrie digitală, AR suprapune lumea digitală și cea fizică, având puterea de a schimba fundamental modul în care oamenii interacționează în fluxul de producție. Atunci când sunt asociate cu datele furnizate de sisteme IoT, aplicațiile AR pot deveni experiențe cu adevărat transformative, determinând multe întreprinderi să-și reconsidere complet modul în care își proiectează, produc, vând, exploatează și deservesc produsele.

Prin includerea AR în strategia IoT, companiile producătoare din întreaga lume oferă claritate și eficiență unei varietăți de inițiative din diverse industrii. Iată câteva exemple de activități în care tehnologia AR poate fi folosită în procesele de producție:

Scheme și Instrucțiuni de lucru – participanții la procesele de fabricație sau specialiștii atelierele de service din pot vizualiza detalii despre produsele aflate pe bandă sau asamblarea diferitelor componente. Beneficiile imediate sunt optimizarea proceselor de fabricație, scurtarea timpului de asamblare, creșterea preciziei și îmbunătățirea considerabilă a performanței.

Proiectare pe baza unui model unic digital – tehnologia AR facilitează colaborarea dintre ingineri și designeri prin facilitățile de vizualizare a prototipurilor virtuale. Folosind procedee de simulare și vizualizare AR echipele de designeri pot modifica în timp real parametrii produselor, obținând versiunea dorită printr-un număr minim de iterații, cu economi considerabile de timp și materiale asociate etapelor de testare.

Instruire specifică fiecărui loc de muncă – procesul educațional bazat pe tehnologii AR poate beneficia de instrumente de vizualizare 3D interactivă a desenelor de prototipuri sau schemelor tehnice, care facilitează etapele de învățare într-o manieră aplicativă.

Marketarea produselor – se știe că în marketingul industrial, o imagine bună vinde marfa. Echipele de marketing și vânzări pot beneficia și ele de avantajele tehnologiilor AR prin facilitarea organizării de demonstrații interactive, vizualizări și showroom-uri digitale unde clienții pot testa în mod virtual performanțele îmbunătățite ale produselor, chiar înainte de lansarea lor pe piață.

Îmbunătățirea eficienței în lanțul valoric prin vizualizarea digitală a produselor

În studiul publicat recent intitulat ”AR: Îmbunătățirea eficienței în lanțul valoric cu vizualizarea digitală a produselor”, compania de cercetare ABI Research explorează beneficiile tehnologiilor AR pentru dezvoltarea, producția și vânzarea produselor. Revizuirea designului și demonstrațiile virtuale au devenit din ce în ce mai importante pentru dezvoltarea și vânzarea produselor. Cu toate acestea, ABI Research a identificat o serie de obstacole care pot împiedica o companie să își valorifice pe deplin potențialul produsului.

Compania de cercetare a ales pentru explorare modul în care Realitatea Augmentată  îmbunătățește dezvoltarea produselor și vânzările în trei domenii cheie:

  • Vizualizarea și interacțiunea produsului: asigură reducerea timpului necesar pentru proiectarea, testarea și vânzarea produselor;
  • Colaborarea în timp real și serviciul la distanță: asigură reducerea costurilor de călătorie prin intermediul comunicațiilor de imagini AR;
  • Ghid de flux de lucru: determină creșterea eficienței lucrătorilor și reducerea ratelor de eroare.

ThingWorx Studio o soluție ce reunește tehnologii AR de vârf pentru mediile de lucru industriale

Unul dintre studiile de caz menționate de ABI Research în studiul amintit este soluția ThingWorx Studio dezvoltată de compania PTC. Soluția combină tehnologii de vârf pentru a crea rapid experiențe AR la o scară care permite adoptarea în fluxurile de producție ale companiilor industriale. ThingWorx Studio conectează spațiile de lucru fizice și digitale și îi ajută pe oameni să lucreze mai inteligent, mai rapid și mai sigur.

ThingWorx Studio oferă o soluție completă pentru clienți, combinând mediul de creație fără coduri, cu mediul UI, cu marcaje de identificare unice numite ThingMarks și o aplicație de vizualizare la nivel de întreprindere numită ThingWorx View. Ca parte a platformei ThingWorx mai mari, ThingWorx Studio oferă tot ceea ce este necesar pentru orice creator de conținut să conecteze rapid “lucrurile” specifice cu informații contextualizate în timp real și să furnizeze mai multe experiențe imersive și semnificative pentru utilizatorii finali din cadrul întreprinderii.

Folosind ThingWorx Studio, creatorii de conținut pot:

  • beneficia de colaborarea la distanță și publicarea experiențelor de design în câteva minute, fără a fi nevoie de scrierea de coduri;
  • Dezvoltatarea de experiențe AR de pregătire pentru producție, folosind Microsoft Hololens
  • Crearea cu ușurință a imaginilor augmentate de înaltă definiție, cu suport pentru Apple ARKit și Google ARCore;
  • Utilizarea conținutului 3D existent pentru a reduce costurile și complexitatea creării de conținut;
  • Simplificarea schimbului de experiență între companiile producătoare, folosind o singură aplicație de vizualizare universală;
  • Importul rapid de imagini vizuale;
  • Îmbunătățirea experiențelor în domeniul Internetului și a sistemelor de business prin intermediul platformei ThingWorx.

Componentele platformei ThingWorx:

ThingWorx Studio – un mediu rapid și eficient din punct de vederea al costurilor ce permite crearea de experiențe AR fără a scrie măcar un cod.

Experience Service –  instrument de administrare a experiențelor AR, oferind informații relevante, contextualizate și analiză pentru fiecare obiect unic identificabil.

ThingWorx View – aplicație pentru un singur utilizator, ce oferă o bogată experiență 3D pentru telefoanele inteligente, tablete sau altfel de dispozitive mobile, ușor de partajat la nivelul unei companii industriale.

ThingMark – Un ThingMark este o imagine unică, plasată pe un obiect fizic, care identifică și declanșează experiențele relevante pentru ThingWorx View.

Photos source: www.ptc.com

GDPR Explicitat (14): Coduri de Conduită și Mecanisme de Certificare

GDPR recomandă utilizarea Codurilor de Conduită și a Mecanismelor de certificare pentru a demonstra că vă conformați. Trebuie luate în considerare nevoile specifice ale microîntreprinderilor, întreprinderilor mici și mijlocii.

Înscrierea pentru adoptarea unui Cod de Conduită sau la o schemă de certificare nu este obligatorie. Dar, dacă sunteți dispuși să adoptați un Cod de Conduită aprobat sau o schemă de certificare care să acopere activitatea dvs. de prelucrare, vă recomandăm să luați în considerare acest demers ca o modalitate de a demonstra conformitatea.

Respectarea Codurilor de Conduită și a schemelor de certificare aduce mai multe beneficii în plus pentru a demonstra că vă conformați. Prin adoptarea unui cod de conduită și a unui mecanism de certificare puteți să obțineți următoarele beneficii:

  • îmbunătățirea transparenței și responsabilității – care poate spori încrederea ca organizație ce îndeplinește cerințele legii și în care procesarea și păstrarea datelor personale este de încredere;
  • asigurarea de circumstanțe în situația în care ar putea exista incidente urmate de măsuri de executare;
  • îmbunătățirea standardelor de organizație prin stabilirea celor mai bune practici;
  • un criteriu de calitate și încredere în procesul de contractare a terților sau a procesatorilor.

Care sunt Codurile de Conduită recomandate?

Conform Articolului 40: ”Coduri de conduită”, Alineatul 2,”Asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot pregăti coduri de conduită sau le pot modifica sau extinde pe cele existente”, în ceea ce priveşte:

  • prelucrarea în mod echitabil şi transparent;
  • interesele legitime urmărite de operatori în contexte specifice;
  • colectarea datelor cu caracter personal;
  • pseudonimizarea datelor cu caracter personal;
  • informarea publicului şi a persoanelor vizate;
  • exercitarea drepturilor persoanelor vizate;
  • informarea şi protejarea copiilor şi modalitatea în care trebuie obţinut consimţământul titularilor răspunderii părinteşti asupra copiilor;
  • măsurile şi procedurile menţionate la articolele 24 şi 25 şi măsurile de asigurare a securităţii prelucrării, menţionate la articolul 32;
  • notificarea autorităţilor de supraveghere cu privire la încălcările securităţii datelor cu caracter personal şi informarea persoanelor vizate cu privire la aceste încălcări;
  • transferul de date cu caracter personal către ţări terţe sau organizaţii internaţionale;
  • proceduri extrajudiciare şi alte proceduri de soluţionare a litigiilor.

Cine proiectează și monitorizează un Cod de Conduită?

Guvernele și autoritățile de reglementare pot încuraja elaborarea de Coduri de Conduită. Acestea pot fi create de asociații profesionale sau de organisme reprezentative. Codurile ar trebui elaborate prin consultare cu părțile interesate relevante, inclusiv cu persoanele vizate (GDPR – Considerentul 99).

Codurile trebuie aprobate de autoritatea de supraveghere competentă și în cazul în care prelucrarea este transfrontalieră, de Comitetul european pentru protecția datelor (EDPB). Codurile existente pot fi modificate sau extinse pentru a se conforma cerințelor din GDPR.

Potrivit Articolului 41: ”Monitorizarea codurilor de conduită aprobate”, Alineatul 1, monitorizarea respectării unui cod de conduită poate fi realizată de un organism care dispune de un nivel adecvat de expertiză în legătură cu obiectul codului şi care este acreditat în acest scop de autoritatea de supraveghere competentă.

Un astfel de organism poate fi acreditat pentru monitorizarea respectării unui Cod de Conduită dacă:

  • Demonstrează autorităţii de supraveghere competente independenţa şi expertiza sa în legătură cu obiectul Codului;
  • Are proceduri care îi permit să evalueze eligibilitatea operatorilor şi a procesatorilor în vederea aplicării Codului, să monitorizeze respectarea de către aceştia a dispoziţiilor Codului şi să revizuiască periodic funcţionarea acestuia;
  • Vine cu proceduri pentru tratarea plângerilor privind încălcări ale Codului sau privind modul în care Codul a fost sau este pus în aplicare, precum şi pentru asigurarea transparenţei acestor proceduri pentru persoanele vizate şi pentru public;
  • Demonstrează autorităţii de supraveghere că sarcinile şi atribuţiile sale nu creează conflicte de interese.

Care sunt implicațiile practice ale adoptării unui Cod de Conduită?

Dacă vă înscrieți în regulile statuate printr-un Cod de Conduită, veți fi supus unei monitorizări obligatorii de către un organism acreditat de autoritatea de supraveghere. Dacă încălcați cerințele codului de practică, puteți fi suspendat sau exclus și autoritatea de supraveghere va fi informată. De asemenea, riscați să fiți supus unei amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală. Pe de altă parte, aderarea la un Cod de Conduită poate servi drept factor atenuant atunci când o autoritate de supraveghere are în vedere o acțiune de executare printr-o amendă administrativă.

De reținut faptul că la Codurile de Conduită specifice unei anumite industrii verticale pot adera organizații care nu se află pe teritoriul UE în scopul de a oferi garanţii adecvate în cadrul transferurilor de date cu caracter personal către ţări terţe sau organizaţii internaţionale în condiţiile menţionate la Articolul 46. Aceşti operatori sau procesatori îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicării garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

Ce sunt mecanismele de certificare?

Statele membre, autoritățile naționale de supraveghere, forul de supraveghere european sau Comisia Europeană trebuie să încurajeze instituirea unor mecanisme de certificare pentru a spori transparența și conformitatea cu regulamentul. Certificarea va fi emisă de autoritățile de supraveghere sau de organismele de certificare acreditate.

Potrivit Articolului 42: ”Certificare”, Alineatul 2, Mecanismele de certificare din domeniul protecţiei datelor, sigiliile sau mărcile sunt instituite nu numai pentru a fi respectate de operatorii și procesatorii care fac obiectul GDPR, ci şi pentru a demonstra existenţa unor garanţii adecvate oferite de operatorii sau procesatorii care nu fac obiectul prezentului regulament, în cadrul transferurilor de date cu caracter personal către ţări terţe sau organizaţii internaţionale. Aceştia  îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicării garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

Care este scopul unui mecanism de certificare?

Un mecanism de certificare este o modalitate prin care demonstrați că respectați, și în special că ați pus în aplicare măsuri tehnice și organizatorice. De asemenea, poate fi instituit un mecanism de certificare care să demonstreze existența unor garanții legate de caracterul adecvat al transferurilor de date. Acestea sunt destinate să permită persoanelor fizice să evalueze rapid nivelul de protecție a datelor pentru un anumit produs sau serviciu.

Iată câteva dintre implicațiile practice ale aplicării unor mecanisme de certificare:

  • Certificarea nu vă reduce responsabilitățile legate de protecția datelor;
  • Certificarea este voluntară şi disponibilă prin intermediul unui proces transparent;
  • Trebuie să furnizați organismului de certificare toate informațiile necesare și accesul la activitățile dvs. de procesare, pentru a putea efectua procedura de certificare;
  • Orice certificare va fi valabilă pentru maximum trei ani;
  • În cazul în care nu mai sunt îndeplinite cerinţele, certificarea vă poate fi retrasă de organismele de certificare sau de autoritatea de supraveghere competentă;

Care sunt organismele care ne pot atesta o Certificare?

Conform Articolului 43: Organisme de certificare,  organismele de certificare care dispun de un nivel adecvat de competenţă în domeniul protecţiei datelor pot informa o autoritatea de supraveghere pentru a-i permite să îşi exercite competenţele de emitere și reînoire a unei Certificări, în temeiul Articolului 58.2.h. Statele membre trebuie să se asigură că aceste organisme de certificare sunt acreditate de către una sau amândouă dintre următoarele entităţi:

  • autoritatea de supraveghere care este competentă în temeiul Articolului 55 sau 56;
  • organismul naţional de acreditare desemnat în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European în conformitate cu standardul ENISO/ IEC 17065/2012 şi cu cerinţele suplimentare stabilite de autoritatea de supraveghere competentă.

Un organism de certificare poate fi acreditat numai dacă:

  • a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, independenţa şi expertiza sa în legătură cu obiectul certificării;
  • s-a angajat să respecte criteriile menţionate la Articolul 42;
  • a instituit proceduri pentru emiterea, revizuirea periodică şi retragerea certificării, a sigiliilor
  • şi mărcilor din domeniul protecţiei datelor;
  • a instituit proceduri şi structuri pentru tratarea plângerilor privind încălcări ale certificării
  • sau privind modul în care certificarea a fost sau este pusă în aplicare de un operator sau un procesator, precum şi pentru asigurarea transparenţei acestor proceduri şi structuri pentru persoanele vizate şi pentru public;
  • a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, că sarcinile
  • şi atribuţiile sale nu creează conflicte de interese.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 12) ale seriei GDPR Explicitat:

GDPR Explicitat (13): Notificarea breșelor de securitate

Continuăm seria de articole dedicate analizei orizontale a prevederilor GDPR cu o problematică esențială pentru GDPR. Am constatat sau am fost anunțați că în sistemul nostru în care deținem date cu caracter personal a apărut o breșă de securitate. Ce avem de făcut mai întâi și mai întâi? Pe cine trebuie să anunțăm, când și cum? Ce măsuri trebuie să luam pentru limitarea eventualelor daune?

Sunt câteva întrebări foarte importante pentru luarea primelor măsuri. Haideți să vedem despre ce e vorba.

 Cum notificăm apariția unei breșe de securitate?

Creșterea numărului mare de atacuri cibernetice se reflectă în obligațiile sporite privind securitatea datelor în regulament și în obligațiile paralele, precum cele conținute de Directiva privind securitatea rețelelor informatice și a datelor (Networks and Information Security – NIS).

Conform Articolului 33 din GDPR va fi obligatoriu ca o organizație cu rol de operator să raporteze autorității sale de supraveghere orice breșă de securitate a datelor personale în termen de 72 de ore de la conștientizarea acesteia. Dacă această cerință nu este îndeplinită, raportul final trebuie însoțit de o explicație a întârzierii. Notificarea trebuie să includă informații specifice, inclusiv o descriere a măsurilor luate pentru a soluționa breșa și pentru a atenua posibilele efecte secundare.

În cazul în care breșa poate avea ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice, indivizii înșiși trebuie să fie contactați „fără întârzieri nejustificate”. Acest contact nu va fi necesar dacă există măsuri de protecție adecvate – în esență, criptare – pentru a elimina pericolul pentru persoanele vizate.

În Articolul 33 – Notificarea unei încălcări a datelor cu caracter personal către autoritatea de supraveghere, se specifică foarte clar că:

  • Raportarea în situația apariției unor breșe de securitate este obligatorie pentru orice operator de date personale;
  • Operatorii trebuie să raporteze către autorităților de supraveghere competente orice încălcare a condițiilor de siguranță fără întârzieri nejustificate;
  • Dacă este posibil, nu mai târziu de 72 de ore de la prima conștientizare;
  • Dacă raportarea nu este făcută în termen de 72 de ore, trebuie furnizată o justificare a întârzierii;
  • Nu este necesară notificarea cazurilor în care încălcarea este «puțin probabil să ducă la un risc pentru drepturile și libertățile» persoanelor vizate;
  • Dacă breșa de securitate este constatată de către un procesator de date, acesta trebuie să notifice operatorul cu care colaborează fără întârzieri nejustificate.

Ce informații trebuie să conțină notificarea unei breșe de securitate?

Elementele esențiale care trebuie să se regăsească într-o notificare se referă la:

  • natura încălcării datelor cu caracter personal;
  • categoriile și numărul aproximativ al persoanelor implicate;
  • categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
  • numele și datele de contact ale responsabilului cu protecția datelor (în cazul în care organizația dvs. dispune de unul) sau orice alt punct de contact de unde pot fi obținute mai multe informații;
  • descriere a consecințelor probabile ale încălcării datelor cu caracter personal;
  • descriere a măsurilor luate sau propuse a fi luate pentru a face față încălcării datelor cu caracter personal dacă este cazul, o descriere a măsurilor luate pentru a atenua eventualele efecte adverse.

Ce trebuie să pregătim pentru raportarea breșelor?

Nimeni nu își dorește asta, dar o bună pregătire pentru situațiile de urgență implică și stabilirea clară a responsabilităților și procedurilor de urmat. Cum vă puteți pregăti mai bine pentru raportarea încălcărilor de securitate?

  • În primul rând ar trebui să vă asigurați că personalul dvs. înțelege ce reprezintă o încălcare a datelor și că aceasta este mai mult decât o pierdere de date cu caracter personal;
  • Apoi, ar trebui să vă asigurați că aveți o procedură de raportare internă a breșelor. Acest lucru va facilita luarea deciziilor cu privire la necesitatea notificării autorității de supraveghere sau a persoanelor vizate;
  • Nu în ultimul rând, având în vedere perioadele scurte de timp pentru raportarea unei breșe, este important să existe proceduri robuste de detectare a incidentului, investigații și proceduri de raportare internă.

Când nu suntem obligați să notificăm persoanele vizate?

În Articolul 34: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal, Alineatul 3 regulamentul stipulează că informarea persoanei vizate nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:

  • operatorul a implementat măsuri de protecţie tehnice şi organizatorice adecvate, iar acestea au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
  • operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile şi libertățile persoanelor vizate nu mai este susceptibil să se materializeze;
  • informarea ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

Ghidul recomandărilor legate de anunțarea breșelor de Securitate

De pe site-ul oficial al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate fi descărcat Ghidul privind notificarea încălcărilor de securitate”, un instrument deosebit de util în implementarea condițiilor impuse de GDPR elaborate de Grupul de Lucru Articolul 29.

Tot de pe site-ul Autorității Naționale pot fi accesate și consultate formularele utilizate deja în notificarea breșelor de securitate conform legislației actuale.

Dacă nu este soluţionată la timp şi într-un mod adecvat, o încălcare a securităţii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 12) ale seriei GDPR Explicitat:

GDPR Explicitat (12): Transferul internațional de date

După o pauză mai mare de o lună în care s-au întâmplat fel de fel de lucruri legate de evenimente, cursuri, preluări de articole apărute în Catalogul GDPR Ready, reiau seria de articole dedicate analizei orizontale a prevederilor GDPR.

Mai sunt câteva lucruri de discutat la modul general, precum Transferul internațional de date, notificarea breșelor de Securitate, aplicabilitatea regulilor corporative și demitizarea unei amenințări cu care mulți încearcă să vă sperie: penalitățile care se aplică pentru nerespectarea regulilor GDPR. Pentru început, să aruncăm o privire către ce înseamnă transferul internațional de date.

Ce spune principiul transferului de date?

GDPR impune restricții privind transferul de date cu caracter personal în afara Uniunii Europene, țărilor terțe sau organizațiilor internaționale. Aceste restricții sunt în vigoare pentru a se asigura că nivelul de protecție a persoanelor acordat de GDPR nu este subminat.

În Articolul 44 – ”Principiul general al transferurilor” se specifică faptul că: „Orice transfer de date cu caracter personal care sunt supuse procesării sau care sunt destinate prelucrării după transferul într-o țară terță sau într-o organizație internațională are loc numai dacă, sub rezerva celorlalte dispoziții din prezentul regulament, sunt respectate condițiile stabilite de către operator și de către procesator, inclusiv pentru transferurile ulterioare de date cu caracter personal din țara terță sau de la o organizație internațională către o altă țară terță sau la o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.”

Ce este important să reținem este că orice transfer internațional de date cu caracter personal de către un operator sau un procesator are loc numai dacă sunt îndeplinite anumite condiții:

  • Transferuri pe baza adecvării;
  • Transferuri supuse garanțiilor adecvate
  • Aplicabilitatea unor reguli corporative obligatorii.

Toate prevederile vor fi aplicate pentru a asigura faptul că protecția persoanelor fizice nu este subminată.

Când se poate face transferul de date în afara Uniunii Europene?

Regulamentul interzice transferul de date cu caracter personal în afara UE într-o țară terță care nu dispune de o protecție adecvată a datelor. Comisia Europeană are competența de a aproba anumite țări pentru a asigura un nivel adecvat de protecție a datelor, luând în considerare legislația privind protecția datelor în vigoare în țara respective și angajamentele internaționale ale acesteia.

În Articolul 45 – ”Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecţie”, Alineatul 1 se spune că: ”Transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională se poate realiza atunci când Comisia a decis că ţara terţă, un teritoriu ori unul sau mai multe sectoare specificate din acea ţară terţă sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesită autorizări speciale.”

Conform Considerentului 103 din GDPR, Comisia poate decide că o ţară terţă oferă un nivel adecvat de protecţie a datelor, asigurând astfel securitate juridică şi uniformitate în Uniune în ceea ce priveşte ţara terţă sau organizaţia internaţională care este considerată a furniza un astfel de nivel de protecţie. În aceste cazuri, transferurile de date cu caracter personal către ţara terţă sau organizaţia internaţională respectivă pot avea loc fără a fi necesar să se obţină autorizări suplimentare.

În prezent, pe listă țărilor considerate de UE că pot oferi un nivel adecvat de protecție a datelor personale putem întâlni următoarele 11 state, clasificate pe zone geografice.

  • Europa: Andora, Elveția, Insulele Feroe, Guernsey, Insula Man, Jersey
  • Orientul Mijlociu: Israel
  • America de Nord: Canada
  • America de Sud: Argentina și Uruguay
  • Asia-Pacific: Noua Zeelandă.

Sursa: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

Pentru transferurile de date dintre UE și Statele Unite există acordul internațional bine cunoscut sub denumirea de EU-US Privacy Shield. Un acord de cooperare cunoscut ca EU-US Safe Harbor exista încă din anul 2000. După o evoluție destul de controversată, cu o scurtă perioadă de întrerupere datorată unor litigii internaționale, în 12 iulie 2016 Comisia Europeană recunoaște caracterul adecvat de protecție asigurat de acest acord prin Decizia 1250/ 2016.

Dar ce ne facem cu transferurile de date către orice țară care nu este pe listă? În principiu, fiecare transfer de date către o țară care nu beneficiază în mod explicit de aprobarea UE pe bază de acorduri internaționale sau condiții de adecvare se poate realiza numai după solicitarea acordului pentru transfer. Ţara terţă ar trebui să ofere garanții care să asigure un nivel adecvat de protecţie, echivalent cu cel asigurat în cadrul Uniunii. Țara terţă ar trebui să asigure o supraveghere efectivă independentă în materie de protecţie a datelor şi să prevadă mecanisme de cooperare cu autoritățile statelor membre, iar persoanele vizate ar trebui să beneficieze de drepturi efective şi opozabile şi de reparaţii efective pe cale administrativă şi judiciară.

Conform Considerentului 108 din GDPR: ”În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, operatorul sau procesatorul ar trebui să adopte măsuri pentru a compensa lipsa protecţiei datelor într-o ţară terţă prin intermediul unor garanţii adecvate pentru persoana vizată. Astfel de garanţii adecvate pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecţie a datelor adoptate de Comisie, a clauzelor standard de protecţie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garanţii ar trebui să asigure respectarea cerinţelor în materie de protecţie a datelor şi drepturi ale persoanelor vizate corespunzătoare prelucrării în interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate şi a unor căi de atac eficiente, printre care dreptul de acces la reparaţii efective pe cale administrativă sau judiciară şi dreptul de a solicita despăgubiri, în Uniune sau într-o ţară terţă. Acestea ar trebui să se refere în special la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protecţiei datelor începând cu momentul conceperii şi principiul protecţiei implicite a datelor.”

Care sunt condițiile unui transfer în siguranță?

Conform Articolului 46 ”Transferuri în baza unor garanții adecvate” puteți transfera date cu caracter personal în cazul în care organizația care primește datele personale a furnizat garanții de siguranță adecvate. Drepturile persoanelor trebuie să fie executorii și ca urmare a transferului trebuie să fie disponibile căi de atac efective pentru persoanele fizice.

Se pot asigura garanții adecvate prin:

  • un instrument obligatoriu din punct de vedere juridic şi executoriu între autorităţile sau organismele publice;
  • reguli corporatiste obligatorii în conformitate cu articolul 47;
  • clauze standard de protecţie a datelor adoptate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
  • clauze standard de protecţie a datelor adoptate de o autoritate de supraveghere şi aprobate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
  • un cod de conduită aprobat în conformitate cu articolul 40, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate;
  • un mecanism de certificare aprobat în conformitate cu articolul 42, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate.

Sub rezerva autorizării din partea autorităţii de supraveghere competente, garanţiile adecvate menţionate la Alineatul (1) pot fi furnizate de asemenea, în special, prin:

  • clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din ţara terţă sau organizaţia internaţională;
  • dispoziţii care urmează să fie incluse în acordurile administrative dintre autorităţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate.

Ce se întâmplă cu transferurile bazate pe evaluarea unei organizații privind adecvarea protecției? GDPR vă limitează capacitatea de a transfera date cu caracter personal în afara UE, în cazul în care aceasta se bazează numai pe propria evaluare a caracterului adecvat al protecției acordate datelor cu caracter personal. Conform Articolului 84.5.c orice altă încercare de transfer, care nu se încadrează în prevederile Articolelor 44-49 este pasibilă de pedeapsa administrativa maximă.

Care sunt excepțiile aprobate?

Dar ne-am obișnuit ca orice reglementare strictă să vină și cu o serie de excepții. Care sunt excepțiile acceptate pentru transferul internațional de date? Potrivit Articolului 49 ”Derogări pentru situații specifice”, se poate efectua un transfer sau un set de transferuri în cazul în care transferul este:

  • făcut cu consimțământul informat al persoanei;
  • necesar pentru îndeplinirea unui contract între individ și organizație sau pentru măsurile precontractuale luate la cererea persoanei;
  • necesare pentru executarea unui contract încheiat în interesul persoanei fizice între operator și o altă persoană;
  • necesare din motive importante de interes public;
  • necesare pentru stabilirea, exercitarea sau apărarea revendicărilor legale;
  • necesare pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul;
  • făcut dintr-un registru care are drept scop furnizarea de informații publicului

De reținut că primele trei derogări nu sunt valabile pentru activitățile autorităților publice în exercitarea puterilor lor publice.

În fine, în cazul transferurilor de date neautorizate de dreptul Uniunii Europene, Articolul 48 din GDPR specifică faptul că orice hotărâre a unei instanţe sau a unui tribunal şi orice decizie a unei autorităţi administrative a unei ţări terţe care impun unui operator sau procesator de operator să transfere sau să divulge date cu caracter personal ”poate fi recunoscută sau executată în orice fel numai dacă se bazează pe un acord internaţional, cum ar fi un tratat de asistenţă judiciară reciprocă în vigoare între ţara terţă solicitantă şi Uniune sau un stat membru”.

Celor care nu le-au citit încă, le recomand precedentele articole ale seriei GDPR Explicitat:

ondițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

RoCS 2.0 – Tehnologii fără vârstă și fără frontiere

 

Pe 23 Noiembrie, la sediul DB Global Technology din București, a avut loc a 23-a ediție a RoCS, cel mai longeviv eveniment din industria IT. Tematica abordată în acest an a fost ”Reinventing IT: Technologies Without Borders and Beyond Ages”. Partenerii acestei ediții: DB Global Technology – partener principal, IBM, INFOWORLD, ABBYY și ESRI.

Din suflet, de suflet despre RoCS

Iată că a mai trecut un an. Cum am observat asta? Păi am mai participat la o ediție RoCS… Am fost la RoCS 2017 și am constatat cu bucurie că spiritual RoCS-ului nu s-a pierdut, desi industria este într-o continuă transformare. Marele merit al RoCS-ului, la venerabila vârstă de 23 de ani, este că a știut să se reinventeze, să se adapteze continuu la ce e nou, dar și să își păstreze, în același timp, esența. RoCS-ul a fost întotdeauna un loc unde oamenii au venit cu plăcere, să vadă ce mai e nou în IT, dar mai ales să discute despre integrarea acestor noutăți în viața de zi cu zi. Dar să nu uităm că RoCS-ul nu ar fi posibil fără implicarea unui grup inimos de organizatori, oameni cu experiență în industria de media din zona IT din grupurile iBusiness România și Agora Media, coordonate de carismatica și implicata organizatoare Mihaela GORODCOV, fondator și organizator al tuturor celor 23 de ediții. La multe RoCS-uri inainte, Mihaela!

Subiecte de avangardă, atmosfera colocvială

Marian Popa – General Manager DB Global Technology

Ediția din acest an nu s-a dezmințit. Leitmotivul prezentărilor a fost continua diversificare, reinventarea, transformarea, schimbarea… Parteneriatul special cu DB Global Technology s-a resimțit nu numai la buna organizare – o sală superbă, cu dotare de ultimă oră, dar care conferă participanților o atmosferă colocvială, de amfiteatru academic, ci și prin caracterul de interes al prezentărilor. În sesiunea plenară, domnul Marian Popa – General Manager DB Global Technology și un veteran al comunității de business IT din România, s-a referit la bankingul fără frontiere, un subiect de larg interes în contextul globalizării și al provocărilor tehnologice legate de asigurarea unor servicii cu largă acoperire geografică. Alte prezențe DB apreciate au fost prezentările susținute de Răzvan Cioc – Information Security Specialist la DB Global Technology, care a discutat despre provocările de Securitate în contextual procesului ireversibil de a oferi Totul-ca-și-serviciu și Robert Grozea – Technology Manager la DB Global Technology, care a vorbit despre importanța adoptării tehnologiilor Cloud în sectorul bancar, din perspectiva condițiilor speciale de Securitate și a garanților de confidențialitate specifice pentru această zonă.

Ca invitați speciali din zona guvernamentală au participat domnii Robert Rucăreanu – Consilier de Stat în Guvernul României, specialist cu ani buni de experiență în industria de soluții de telecom, networking și securitatea datelor și Mihail Cazacu – Director de Cabinet în cadrul CIO Office de pe lângă Guvernul României. Ambele discursuri au vizat importanța strategică a domeniului IT&C și provocările la cae va trebui să rasundem, atât prin evoluția tehnologică, cât și în calitate de membrii ai Uniunii Europene.

Sesiunea plenară a RoCS-ului a mai conținut două prezentări de mare interes, legate de dezvoltarea pieței din România. Eugen Schwab-Chesaru, vicepreședinte CEE la PAC a susținut o analiză generală a schimbărilor intervenite pe piața de IT&C din România, unde tehnologiile asociate cu comunicațiile mobile, IoT și transformarea digital prezintă cele mai spectaculoase perspective, în timp ce Cloudul și creșterea maturității în business se mențin pe un trend optimist, în ciuda unor ponderi considerabile ale factorilor de risc, iar standardizarea este cea mai puțin accelerate tendință adoptată.  A doua prezentare a avut ca temă un studiu al evoluției sectorului IT&C din România din perspectiva contribuției la PIB-ul României, realizat de Direcția de modelare și prognoze macroeconomice din cadrul BNR. Contribuția cumulată a sectoarelor radio-tv, telco și IT pentru prima jumătate a anului 2017, reprezintă 6% din PIB-ul nominal al României. Principalii factori care au contribuie la această realitate sunt volumul și buna pregătire a forței de muncă, calitatea infrastructurii și apartenența la UE. Peste 10000 de noi angajați au fost înregistrați anual în perioada ultimilor 5 ani. Într-o proiecție până în anul 2025, bazată pe o modelare de analiză și prognoză pe termen mediu, reiese că sectorul IT&C va avea o pondere de 12,1% din PIB – dacă se păstrează ritmul de creștere din 2016, respectiv 9,6% în alte două scenarii în care se ia în calcul media pe ultimii 5 ani, respectiv ultimii 10 ani.

Alte două intervenții au întregit sesiunea plenară din cadrul RoCS 2017: Dragoș Mateescu – consultant de business, un alt veteran al industriei de IT din România, s-a referit la importanța impactului schimbărilor din tehnologie și, implicit, modul în care inovația tehnologică acționează asupra evoluției indivizilor. O altă prezentare interesantă, care ne trimite la viitorul tehnologic nu prea îndepărtat a fost susținută de Răzvan Popescu – senior manager E&Y, care  s-a referit la tendința în continua creștere de  asimilare a roboților, atât în industrie, cât și in domenii ce țin de zona de consumer. Cum trebuie să privim folosirea roboților software: ca pe o oportunitate sau ca pe o amenințare?

Despre protecția datelor personale

Tematica GDPR nu putea să lipsească de la RoCS, fiindu-i dedicată o sesiune specială care a conținut patru prezentări. În prima intervenție, intitulată ”10 elemente distruptive aduse de GDPR”, am ales ca temă de discuții importanța momentului GDPR văzută prin prisma efectului disruptiv pe care îl are asupra tuturor organizațiilor care prelucrează date cu caracter personal, indiferent de mărime și domeniul de activitate. Căci noul regulament EU 2016/ 679 vine cu o forță  schimbării fără precedent, care va produce mutații majore, continue și ireversibile pentru multe companii. GDPR nu este un simplu proiect IT. Este un amplu proces de business. După trecerea în revistă a principalelor elemente de noutate cu care vine GDPR, am încheiat expunerea cu un mesaj optimist, legat de beneficiile majore pe care îndeplinirea condițiilor de performanță stipulate de GDPR le va avea asupra eficientizării proceselor de afaceri. Căci GDPR nu trebuie privit doar ca pe o obligație birocratică sau un simplu proiect de upgrade a soluțiilor de siguranță a datelor. GDPR ne oferă marea oportunitate să parcurgem cea mai grea etapă din amplul proces de transformare digitală.

Ca o continuare firească a tematicii abordate, Fernanda Velter – GDPR Readiness Coordinator în cadrul IBM Client Innovation Centers Europe, a prezentat provocările cu care se confruntă furnizori de IT în implementarea EUGDPR. Puțini știu că IBM a demarat încă de acum 10 ani un program de protecție și siguranță a datelor, care fundamenta cele mai importante prevederi ale GDPR, dar la nivelul întregului proces de business. Astăzi IBM este conștient de importanța GDPR și derulează o serie de activități care vin în sprijinul comunităților de parteneri și de clienți, pentru continuitatea și eficientizarea proceselor de business.

Aceeași sesiune a găzduit o altă prezentare cu o tematică extrem de sensibilă în conjunctura GDPR. Daniel Nistor – CEO Infoworld a vorbit despre importanța păstrării echilibrului între intimitate și securitate în sistemele de eHealth. Infoworld este printre puținele companii din România specializată în soluții pentru domeniul medical, unde deține o vastă experiență în proiecte europene sau chiar în implementări în Statele Unite. Companie este membru al organizației HL7 Internațional și fondator al Asociației Naționale HL7 Romania.

O altă prezentare specializată a fost susținută de Bogdan Chevereșan – Business Development Manager la ESRI România care a discutat despre importanța activităților de observare ale terrei, ca unul dintre vectorii dezvoltării smart city și a unei societăți sigure și inteligente. Prezentarea a fost însoțită de ample discuții și comentarii referitoare la lipsa de interes pentru soluțiile geospațiale la nivelul multor organizații publice locale, confruntate cu probleme serioase legate de coordonatele diferitelor parcele sau chiar de hărțile digitale ale localităților care nu conțin adresele reale.

RoCS-ul în sine este cel mai bun exemplu de continuă adaptare și transformare, într-o industrie care evoluează nebunește. La RoCS puțini sunt cei care vin să vândă. Rar vezi o prezentare stereotipă de corporație. Fiecare ediție a reprezentat o reinventare, prin alegerea subiectelor de cea mai fierbinte actualitate. Așa cum scriam și într-un articol de anul trecut (vezi referințele din final) la RoCS se vorbește pe bune despre fiecare subiect. Pe bune, cu bune și cu rele. Oamenii se regăsesc în aceste subiecte și participă spontan la discuții.

Articole cu tematică asemănătoare:

”RoCS 2016: pe bune despre transformarea digitală a României”

”Despre RoCS din fața, dar mai ales din spatele cortinei”

 

Conferința de Cloud – o dovadă incontestabilă a maturizării pieței de Cloud din România

 

Una dintre primele impresii de la Conferința de Cloud a fost: ”Iată, în sfârșit un eveniment dedicat 100% Cloudului. Nu numai tehnologiilor Cloud, ci și implicațiilor de business pe care le generează”. Căci astăzi, Cloudul înseamnă tot mai mult pentru toți, fie că ne dăm seama de asta sau nu.

Contemporani cu evoluția Cloudului

Istoricul meu profesional este strâns împletit cu evoluția Cloudului. Am scris despre Cloud, despre beneficiile sale pentru business, dar și despre punctele sale critice de câțiva ani buni. Am făcut campanii de marketing și am vorbit cu oamenii la telefon despre beneficiile de a avea la dispoziție resurse 24 de ore/ 24. Am inițiat primele vânzări, timide, de Cloud într-o vreme în care nimeni nu se pricepea la asta, iar utilizatorii nu se simțeau prea confortabil cu stocarea datelor ”într-un loc al nimănui”… În fine, de peste 4 ani CloudMania s-a transformat dintr-un hobby într-o platformă de knowledge și servicii oferind celor care au nevoie informații și recomandări despre adoptarea, migrarea sau dezvoltarea soluțiilor Cloud.

În toată această perioadă, poziționarea Microsoft față de Cloud a evoluat de la primii pași timizi de susținere a produsului Business Productivity Online Suite, la strategia gândită de Satya Nadella, prin care se redefinește modul în care companiile fac afaceri în Cloud. M-am bucurat să regăsesc la Conferința de Cloud o comunitate românească de parteneri care dezvoltată și promovează soluțiile Microsoft pentru Cloud.

Mihai Tătăran – Azure MVP și CEO Avaelgo

Efectul disturbator generat de tehnologiile Cloud computing a ajutat multe companii să-și transforme practicile IT în ultimii ani. Experții sunt de acord că piața se pregătește pentru al doilea val de dezvoltare, odată cu adoptarea tot mai intensivă a serviciilor Cloud publice, private și hibride. Un sondaj Forrester Research relevă că 38% dintre factorii de decizie declară că mizează pe soluții Private Cloud, în timp ce 32% adoptă servicii de Cloud Public, iar restul planificând să pună în aplicare o formă de tehnologie Cloud în acest an. Soluțiile de Cloud Hybrid se bucură de cea mai spectaculoasă dinamică de evoluție, oferind o alternative care este pe placul tuturor. Conform Forrester, piața globală de Cloud Public va ajunge în 2018 la peste 178 miliarde de dolari, cu o creștere anuală de peste 22%, în timp ce platformele de Cloud Public vor genera în 2018 peste 44 miliarde de dolari.

Un eveniment făcut de profesioniști pentru profesioniști

Revenind la Conferința de Cloud, organizată de compania Avaelgo și partenerii săi în București pe 23 Noiembrie, a fost un eveniment al comunității Azure din România, făcut de profesioniști IT cu o mare experiență de piață, pentru profesioniști interesați de integrarea avantajelor oferite de Cloud în procesele lor de afaceri. Văzând entuziasmul speakerilor și concentrarea celor prezenți, mi-am amintit primele evenimente în care, în calitate de partener Silver, prezentam pentru prima oară soluțiile Cloud de la Microsoft, într-o perioadă de maximă glorie a soluțiilor dezvoltate on-premises. Și nu sunt prea mulți ani de atunci…

Am apreciat modul de abordare gândit de organizatori, care au grupat auditoriul în două secțiuni paralele, una de business și cealaltă tehnică. Trebuie să mărturisesc, că deși la început am fost interesat cu precădere de sesiunile de business am schimbat de mai multe ori cele două secțiuni, care au reunit 13 sesiuni, susținute de 16 experți, dintre care 4 Microsoft Most Valuable Professionals (MVPs).

După cum era și firesc, în zona de business s-a vorbit cu precădere despre adopția accelerată a soluțiilor Cloud și monitorizarea consumului acestora, definirea strategiilor de migrare a soluțiilor și a organizațiilor în Azure, migrarea soluțiilor în Microsoft Azure cu Lift & Shift, Microsoft Azure ca și soluție pentru Disaster Recovery, precum și meridianele Cloud – Rețele virtuale și compozite. O remarcă specială pentru prezentarea profesională a avantajelor migrării la platforma Azure, abordată în prezentările susținute de Mihai Tătăran – Azure MVP și CEO Avaelgo, Daniel Popescu – Senior Cloud Architect la Avaelgo și Alex Ricoban – Information Security Manager la Fortech. S-a vorbit aici despre situațiile în care Cloud-ul are sens, care sunt lucrurile la care trebuie să te gândești când se alege migrarea unei soluții în Cloud sau despre cum putem defini o strategie Cloud la nivel de organizație. Migrarea cu succes a proceselor de afaceri către Cloud este total diferită pentru fiecare companie. Aici nu există rețete de copiat. Sunt companii care preferă migrarea spre Cloud cu abordarea Lift and Shift, adică urcarea soluțiilor existente în Cloud, fără a le schimba arhitectura. O altă soluție este oferită de Microsoft 365, care asigură optimizarea managementului IT-ului prin creșterea eficienței globale și reducerea forței de muncă aferente.

O altă valență oferită de infrastructura Microsoft Azure pentru clienți este folosirea ca soluție pentru Backup și Disaster Recovery. Tudor Damian de la Avaelgo a susținut o pledoarie pentru ceea ce înseamnă cu adevărat continuitatea afacerii și recuperarea în caz de catastrofe. Continuitatea în business este o cerință critică esențială, în special în contextual noului regulament European pentru protecția datelor personale.

Invitații panelului GDPR

De altfel, tematica GDPR a devenit extrem de fierbinte, în special în industria de Cloud. Sesizând importanța subiectului și a momentului, Conferința de Cloud a avut două sesiuni dedicate acestei tematici. Prima a fost un Open Panel moderat de Tudor Damian – Cloud and Datacenter Management MVP & CIO  la Avaelgo la care au participat Cristiana Fernbach – Avocat cu specializare în IT și protecția datelor, Oana Terteleac – Enterprise Channel Manager și GDPR Advisor la Microsoft și Tudor Galoș senior consultant. Invitații prezenți la panelul “Pregătiți pentru GDPR” au prezentat o imagine de ansamblu, atât pe parte juridică și de securitate cibernetică, cât și pe parte operațională, prin abordarea schimbărilor necesare în cadrul companiilor pe parte de procese, proceduri și instrumente interne.

A doua, a abordat tematica GDPR și principalele provocări identificate de PwC, prezentate de Robert Stoicescu – Manager Servicii Securitate Informatică în cadrul PwC România.  Conform companiei de consultanță, cele mai multe provocări, cu care se confruntă marea majoritate a companiilor din România sunt legate de lipsa unor concepte teoretice de bună practică, care să poată fi puse în aplicare prin procese și funcționalități. Una dintre marile provocări ale adoptării GDPR în România va fi conștientizarea angajaților în privința răspunderii lor la procesarea datelor personale, și la implementarea unor coduri de conduită bazate pe regulile de bază din securitatea informațiilor.

Brian Kainec – Global Head Presales, COMPAREX

În contextual amplelor transformări pe care trebuie să le parcurgem, o altă prezentare interesantă din secțiunea de business a fost expunerea susținută de Brian Kainec – Global Head of Presales, UCM & CCM la COMPAREX care a abordat procesul de accelerare a transformării digitale prin adopția celor mai performante tehnologii. Asta înseamnă adopția tehnologiilor digitale la procese, produse și valorile companiei pentru a crește eficiența în business și nivelul de retenție al clienților.

Desfășurată în paralel, secțiunea tehnică a reunit prezentări ce au abordat soluțiile arhitecturale de tip Azure IaaS și PaaS, facilitățile de automatizare a dezvoltării integrate de platforma Azure, funcționalitățile Site Recovery & Backup oferte de Microsoft Azure. O mențiune specială pentru prezentarea susținută de Cornel Popescu – System Engineer la Veeam care a discutat despre protecția datelor în structurile de tip Cloud Hibrid. S-a pus accentul pe opțiunile de recuperare și disponibilitate a datelor, precum și pe strategiile legate de modul în care se poate asigura deplina disponibilitate a datelor.

O altă prezență interesantă a fost Chaim Shachar – Vicepresident Sales la compania AudioCodecs, care a prezentat ”To Cloud or not to Cloud?” – un ghid practic pentru adoptarea noilor tehnologii de comunicații. Cea mai convenabilă modalitate de protecție a investițiilor este alegerea unei soluții hibride de comunicații, care permite beneficiile comunicațiilor unificate, cu o migrare la soluțiile de voce în Cloud, atunci când vor fi disponibile.

Felicitări, încă o dată, echipei Avaelgo pentru ideea și eforturile depuse pentru organizarea Conferinței de Cloud, un eveniment care ar putea fi reluat cu succes în fiecare an. Partenerii care au susținut Avaelgo la Conferința de Cloud au fost Microsoft, Comparex, ALEF Distribution, PwC, Veeam, Yalos Solutions și AudioCodecs.  

Photo credit: Avaelgo – Conferința de Cloud

Cum poate organizația dumneavoastră să beneficieze de pe urma GDPR?

Autor: Scott REGISTER, Vice President of Product Management for Security and Cloud, Ixia Solutions Group, a Keysight business

GDPR (Regulamentul general privind protecția datelor) va intra în vigoare în spațiul Uniunii Europene în data de 25 mai 2018. Scopul principal al acestei reglementări este protecția datelor utilizatorului și acordarea controlului efectiv al utilizatorilor asupra acestor date.

Unul dintre principalele ingrediente ale GDPR este „pseudonimizarea” datelor, ceea ce înseamnă că, dacă cineva obține date aparținând unui utilizator, acestea nu trebuie să aibă capacitatea de a conecta acele date cu un anumit utilizator. Aceasta se poate realiza prin criptarea sau mascarea datelor și ar trebui efectuată cât mai curând posibil pentru a asigura protecția maximă. Companiile care încalcă GDPR prin protecția necorespunzătoare a datelor utilizatorului riscă amenzi mari, care pot merge până la 4% din venitul anual.

Deși acest lucru poate constitui o problemă pentru organizații în procesul de recuperare și reconstituire a datelor, acest proces nu este in mod necesar negativ, şi aceasta din mai multe motive. În primul rând, acesta înlocuiește un mozaic de reglementări naționale cu un singur set de reguli la nivelul UE, ceea ce face conformitatea mult mai facilă și mai puțin costisitoare pentru corporațiile multinaționale. În al doilea rând, poate fi folosit ca o oportunitate de a reglementa procesele interne și de a îmbunătăți securitatea, ceea ce are beneficii atât pe termen scurt, cât și pe termen mediu și lung.

Datele care au trecut prin procesul de „pseudonimizare”, criptarea acestora și constrângerile de audit (și de trasabilitate) sunt mai mult decât provocări tehnologice, întrucât tehnologia adecvată este disponibilă pe scară largă în produsele off-the-shelf. Acestea ar trebui văzute de drept ca provocări legate de gestionarea datelor. Pentru a asigura protecția și evidența datelor personale ale utilizatorilor în toate etapele procesării, trebuie stabilit un singur flux de proces pentru achiziționarea, manipularea, prelucrarea, stocarea și dispunerea datelor respective într-un singur flux de lucru.

Specialiștii IT știu că integrarea datelor – combinarea și compararea datelor din mai multe surse, cum ar fi bazele de date disparate – este una dintre cele mai dificile provocări operaționale cu care se confruntă și implică adesea multă muncă. Multe organizații ar putea fi chiar puse în încurcătura dacă ar trebui să dezvăluie că gestionarea și prelucrarea datelor cheie se realizează prin completarea manuală a unei foi de calcul, care nu este automatizată, eficientă, foarte sigură sau ușor de auditat.

GDPR oferă un catalizator extern prin care IT-ul poate avea un avantaj pentru a forța îmbunătățirile procesului de gestionare a datelor. Începând din luna mai a anului următor, organizațiile vor fi obligate să localizeze datele utilizatorilor într-un spațiu protejat și să monitorizeze cu atenție accesul la acesta – care este scopul final al personalului IT de securitate. Aceasta nu mai este o dezbatere cu privire la probabilitatea sau costul unei breșe reale. Simpla eșuare de a proteja datele în mod corespunzător va fi pedepsită și va fi costisitoare. Mai mult decât atât, spre deosebire de un atac de scurtă durată sau unul de tip DDoS, GDPR este larg mediatizat, ușor de înțeles în esența lui și foarte clar în privința faptului că fiecare organizație care operează în UE este supusă acestuia.

Un beneficiu suplimentar la această cerință îl reprezintă reducerea IT-ului din umbră, deoarece datele stocate în depozitele disparate nu pot fi ușor pseudonimizate sau auditate. Organizația inteligentă nu va utiliza GDPR ca pe un mijloc (sau a unui pretext) pentru a iniția cheltuieli majore de noi soluții de securitate, ci ca pe un laser pentru a re-imagina conductele lor de prelucrare a datelor având securitatea ca punct central, cu multe avantaje convingătoare:

1 Achiziționarea de date – în cadrul GDPR, va fi esențial ca datele utilizatorilor care stau în jurul punctelor de colectare (cum ar fi terminalele Point of Sale) să nu fie lăsate mai mult decât este necesar și ca acestea să fie criptate cât mai curând posibil. Acest lucru va reduce cerințele distribuite de stocare, va îmbunătăți securitatea și va facilita transferuri mai rapide de date de la punctele de colectare către miezul afacerii – fapt ce are avantajul de a permite o înțelegere mai rapidă a afacerilor în timp real. Într-o organizație de retail, de exemplu, nu ar fi mai bine să se știe în câteva minute că magazinele văd o creștere a vânzărilor unui anumit pulover, mai degrabă decât în câteva zile?

2 Transferul de date – până în prezent, majoritatea organizațiilor au implementat tehnologia VPN, însă pentru cei ramași în urmă acest lucru va alimenta IT-ul pentru a forța actualizarea.

3 Prelucrarea și stocarea datelor – GDPR cere ca datele să fie pseudonimizate cât mai curând posibil, ceea ce înseamnă că nu trebuie să fie posibilă corelarea unui anumit utilizator cu un set de date; de exemplu, datele ar putea arăta că 180 de cumpărători se aflau într-o anumită sucursală a unei bănci într-o zi, dar nu și cine erau acei utilizatori. Acest lucru poate determina o reconsiderare atentă a datelor colectate, modul în care acestea sunt stocate și asigurarea faptului că deciziile critice bazate pe utilizatori (cum ar fi direcționarea anunțurilor către un anumit client pe baza comportamentului acestuia) se fac cât mai repede posibil – cu rezultate de afaceri foarte benefice. Și prin automatizarea acestei procesări vs. Cea manuală se realizează o protecție mult mai ușoară și mai controlată a datelor.

4 Stocarea și dispunerea datelor – orice date stocate de utilizator prezintă un risc de compromis. Îndepărtarea mai agresivă a datelor utilizatorilor, în special a celor detaliate și non-pseudonimizate, va reduce atât costurile de stocare, cât și dictarea unor controale mai stricte privind gestionarea datelor (cum ar fi dispunerea copiilor de rezervă). În special, acești pași trebuie să fie clar documentați și auditați în mod regulat, fapt ce va intra adesea în sarcina responsabilului cu protecția datelor Data Protection Officer (DPO). Traseul de audit va deveni deosebit de important dacă practica unei organizații este contestată în instanță, deoarece un jurnal de audit clar și consecvent va oferi o apărare robustă a protecției datelor organizației și respectării GDPR.

Bazându-se pe publicitatea din jurul inițiativei de a face ca organizația să răspundă și cu deadline-ul apropiindu-se rapid, magazinele IT trebuie să facă din GDPR o prioritate urgentă. Piatra de temelie a unei abordări eficiente și productive în cadrul strategiei GDPR nu este de a descompune procesul actual în pași discreți și de a implementa soluții de securitate punct pentru a face ajustări de securitate necoordonate pe parcursul acestor pași. Cea mai bună abordare este de a lua în considerare și de a răspunde la următoarele întrebări:

  • Ce date colectăm despre utilizatorii noștri?
  • Cum le colectăm?
  • Cât de rapid le putem muta din punctul de colectare către centrul de date pentru procesare?
  • Cum procesăm acele date și cât timp trebuie ca elementele de date să fie identificabile
  • personal?
  • Cât de repede putem renunța la toate sau la o parte din ceea ce am colectat?
  • Cum putem proteja și pseudonimiza acele date într-un mod holistic și ușor de verificat?

Organizația care abordează GDPR ca pe o re-imaginare a proceselor de afaceri, mai degrabă decât ca pe o erupție a cheltuielilor noi de securitate, va constata că beneficiile pe termen lung depășesc cu mult securitatea și că atitudinea lor generală in privința securității este mult îmbunătățită.

Articol publicat de compania IXIA în Catalogul GDPR Ready, Octombrie 2017.

Abordarea „D(atelor)” în GDPR

 

Acest articol a fost publicat de compania Relational în Catalogul GDPR Ready

Relational este un integrator de software internațional, fiind cel mai important distribuitor al Informatica INC. în România.

 

Pentru a ajuta la înțelegerea regulamentelor, Informatica identifică următoarele puncte, care evidențiază provocările GDPR:

1 Descoperirea datelor sensibile și analiza riscurilor – caracterizată ca fiind un caz de detectare și protecție. Aceste capabilități furnizează informații despre unde sunt datele sensibile din domeniul de aplicare și unde se proliferează, cu informații analitice.

Soluții tehnologice: Informatica Secure@Source poate descoperi locația datelor, să le clasifice, să monitorizeze proliferarea datelor și să aloce scorurile de risc. Urmărind în timp aceste informații, putem aprecia modul în care modificările influențează pozitiv sau negativ eforturile de conformitate.

2 Interpretarea politicilor – caracterizată ca fiind un caz de Enterprise Data Governance. Aceste capabilități oferă o vizualizare completă a gestionării organizaționale a datelor, legând viziunea informațiilor între Business şi IT.

Soluții tehnologice: soluțiile de Enterprise Data Governance permit funcțiilor din Business și IT să colaboreze în vederea atingerii scopului comun al administrării datelor. Soluțiile, precum Informatica Axon, sunt concepute pentru a uni vizibilitatea datelor pentru Business și IT, și pentru a crea o legătură între data asset-urile logice și fizice.

3 Gestionarea datelor personale – caracterizată ca fiind un caz de potrivire si legare a datelor. Acestea sunt capabilități pentru identificarea în sisteme a înregistrărilor datelor persoanelor vizate și pentru oferirea unei vizualizări încrucișate a datelor, prin potrivirea și crearea de legături între ele.

Soluții tehnologice: ajuta la descoperirea înregistrărilor persoanelor vizate din toate domeniile de date, utilizând algoritmi avansați pentru a se potrivi cu toate datele referitoare la același subiect de date, indiferent de locul în care sunt stocate datele. Informatica Relate 360 utilizează algoritmi avansați pentru identificarea datelor asociate aceleiași persoane, iar Master Data Management oferă cadrul pentru menținerea și gestionarea unei vizualizări comune a datelor privind persoanele vizate.

4 Activarea controlului consimțământului – caracterizat ca fiind un caz de detectare și protecție a utilizării. Acestea sunt capabilități de bază pentru protejarea și securizarea accesului la date, aplicarea unor controale centrate pe date, precum mascarea, criptarea și controlul accesului, gestionarea ciclului de viață al datelor, inclusiv arhivarea, ștergerea datelor și a aplicației.

Soluții tehnologice: pot contribui la gestionarea ciclului de viață al activelor de date și pot aplica controale asupra acestor active. Informatica Permanent/Dynamic Data Masking şi Data Archiving pot fi utilizate pentru a limita automat numărul de persoane și sistemele care au acces nerestricționat la datele cu caracter personal.

PENTRU DETALII: RELATIONAL ROMANIA SRL, Address: 4, Splaiul Unirii, Bloc B3, Tronson 2, Bucuresti, Sector 4, Phone: 021/ 3155730, 021/3155731, Fax: 021/3155733, Email: sales@relational.ro; alexandru.stroia@relationalfs.com; http://www.relationalfs.com

Provocarea GDPR: de la oameni, la procese și tehnologie

Cât de pregătiți sunteți?

Pe lângă provocările de ordin procedural (consimțământ, training-ul angajaților, codurile de conduită, certificări, notificări în caz de incidente), noul regulament, GDPR, vine și cu provocări de ordin tehnic: securizarea, clasificarea datelor, definirea utilizatorilor, a accesului. Toate acestea reprezintă subiecte cărora trebuie să le acordam o atenție sporită, deoarece este vorba de implementări de soluții software care necesită bugetări, aprobări speciale pentru achiziție, POC-uri, instalări, într-un cuvânt, TIMP, iar în acest moment suntem la doar câteva luni până la aplicarea sancțiunilor (2% din CA globală sau până la 20 milioane de euro).

Știți unde să vă concentrați atenția? Știți unde se află datele necesare pentru a evalua dacă îndepliniți cerințele de conformitate cu GDPR? Toate tehnologiile pe care le implementați pentru a obține conformitatea cu GDPR vă vor ajuta să îmbunătățiți strategia generală de securitate, astfel încât să puteți avea o afacere mai bună și mai competitivă.

Pașii unui proiect de conformitate cu GDPR:

1.Descoperirea datelor și evaluarea riscurilor – Identificați datele personale și unde se află acestea în mediile dumneavoastră de tip cloud/local. Acest lucru ar putea dura luni și implică colaborarea cu toate departamentele pentru a înțelege ce date sunt utilizate, stocate și tranzacționate.

2.Audit de protecție a datelor – Acum că știți unde se găsesc toate datele dumneavoastră, trebuie să evaluați dacă există tehnologii și procese potrivite pentru a vă ajuta să controlați accesul la sistemele dumneavoastră.

3.Evaluarea securității – Evaluați soluțiile de securitate existente pentru a stabili dacă tehnologiile pe care le aveți în utilizare oferă o protecție adecvată, în timp real, construită pentru amenințările actuale. Ca de exemplu, malware-urile complexe care sunt concepute pentru a ocoli măsurile tradiționale de securitate bazate pe semnături. Identificați toate vulnerabilitățile și lacunele. Experții noștri vă vor ajuta să creați un sistem de securitate integrat și actual.

4.Planul de răspuns la incidente – Aplicați tehnologiile și procesele de securitate pentru a opri un incident, pentru a atenua impactul și a îl raporta. Raportul dumneavoastră către autorități trebuie să includă consecințele posibile ale încălcării și acțiunea pe care o veți lua pentru a atenua posibilele efecte negative asupra persoanelor vizate.

Romsym Data, prin intermediul partenerilor și a specialiștilor săi, vă propune un program de conformitate care vă va ajuta să înțelegeți:

  • Cât de pregătit sunteți;
  • La ce riscuri ar putea fi expusă organizația dumneavoastră;
  • Principalele proiecte și implementări de tehnologii pe care le-ați putea întreprinde în pregătirea pentru GDPR.

Acest articol a fost publicat de compania Romsym Data în Catalogul GDPR Ready

Sunt furnizor de Cloud. Cum pot obține conformitatea GDPR?

Bart van Buitenen

Bart van Buitenen

 

Bart van Buitenen este managing partner al White Wire, o firmă de consultanță de tip boutique specializată în servicii de protecție a datelor pentru organizațiile de îngrijire a sănătății, IMM – uri și companii de tehnologie din întreaga UE.

 

 

Dacă sunteți un furnizor de Cloud, cu sau fără sediu în UE, este foarte probabil că o parte din datele pe care le prelucrați sunt pe teritoriu european sau privesc persoane care au un domiciliu stabil în UE, și atunci trebuie să vă aliniați la reglementările GDPR. Termenul specific care indică un furnizor care procesează date personale în numele unei organizații este cel de Procesator.

Până acum, o mare atenție se punea pe rolul de “Operator”, adică organizația care este responsabilă cu determinarea mijloacelor și scopurilor procesării, fără să se acorde o prea mare atenție rolului procesatorului. Și iată că față de legislația anterioară, GDPR schimbă multe lucruri în legătură cu obligațiile procesatorului, de exemplu în ceea ce privește răspunderea, responsabilitate și o serie de noi obligații. Iată câteva dintre cele mai importante aspecte pe care cred că furnizorii de Cloud ar trebui să le aibă în vedere, cu toată seriozitatea, până pe 25 mai 2018.

1. Acordurile de prelucrare a datelor

Operatorii sunt cei care trebuie să ofere instrucțiuni specifice procesatorilor, iar astfel de instrucțiuni trebuie să fie documentate în așa-numitele “Acorduri de prelucrare a datelor”. Astfel de acorduri nu sunt noi: ele au fost, de asemenea, impuse în temeiul legislației europene anterioare privind protecția datelor (Directiva 95/46 și, prin urmare, au devenit aplicabile prin legislația fiecărui stat membru), dar în practică acorduri corecte și concrete sunt destul de greu de găsit… Cele mai multe organizații nu au fost conștiente de cerința unor acorduri de procesare a datelor, iar pentru furnizorii de Cloud, acest lucru însemna, de obicei, mai multă muncă și responsabilități, fără prea multe avantaje în schimb.

Acest lucru s-a schimbat în GDPR: Articolul 28 menționează în mod specific acordurile de prelucrare a datelor și arată în detaliu ce ar trebui să includă. Spre deosebire de anii precedenți, furnizorii de Cloud au acum un stimulent clar pentru a încheia acorduri de prelucrare. Acordul trebuie să includă instrucțiunile pentru furnizorul de Cloud și, ca atare, devine un factor foarte important în stabilirea răspunderii. (Articolul 82, Alineatul 2).

Sfaturi:

  • Fiți proactivi, nu așteptați ca operatorul să va propună primul acordul de procesare a datelor! Astfel, veți avea posibilitatea de a vă propune propriul model de contract și, în același timp, veți arăta clientului că pentru dvs. nu există secrete în GDPR.

2. Subcontractorii

Acordurile de prelucrare a datelor trebuie să fie încheiate cu clienții dvs., dar furnizorii de Cloud au adesea proprii lor subcontractori. În lumea IT, utilizarea subcontractorilor este ceva normal, iar mulți subcontractori vor fi într-adevăr procesatori pentru furnizorul de Cloud. Din perspectiva clienților care folosesc Cloudul (operatorii), acești subcontractori sunt deci ”subprocesatori”. Un furnizor de Cloud trebuie să ceară permisiunea operatorului de a utiliza subprocesatori, ceea ce ar trebui să se regăsească și în acordul dvs. de procesare (a se vedea secțiunea 1). Utilizarea de subprocesatori poate fi acoperită printr-o permisiune generică sau o permisiune specifică pentru fiecare subprocesator. Procesatorul rămâne responsabil, astfel încât acordurile cu subprocesatorii trebuie să aibă un grad ridicat de încredere pe lista furnizorilor de Cloud.

Sfaturi:

  • Solicitarea unei permisiuni specifice poate fi un o provocare. Cereți o permisiune generică și oferiți clienților posibilitatea de a consulta oricând o listă completă de subprocesatori, de ex. prin publicarea acestei liste pe o pagină dedicată de pe site-ul dvs.

 3. Înregistrarea activităților de prelucrare

Fiecare operator trebuie să mențină o evidență a activităților de procesare: un instrument de evidență sau un document care detaliază diferitele activități de prelucrare a datelor cu caracter personal din cadrul organizației. O versiune mai puțin riguroasă a acestei evidențe trebuie să fie menținută de procesator, dar care totuși trebuie să includă toate activitățile de procesare derulate pentru clienții săi.

Sfaturi:

  • Crearea unei astfel de evidențe a activităților de procesare va oferi o cunoaștere valoroasă în identificarea datelor pe care le procesați și ar trebui să fie una dintre primele acțiuni într-un plan de implementare GDPR.
  • Organizațiile se pierd, uneori, în detalii; rețineți că GDPR nu vă cere să mapați fiecare câmp de date, este vorba despre evidența activităților care se mapează destul de strâns cu serviciile oferite clienților.
  • Nu păstrați un registru pentru fiecare client; doar asigurați-vă că puteți asocia clienții cu activitățile de procesare prin includerea serviciilor pe care le oferiți pentru fiecare client în sistemul dvs. CRM sau în baza de date cu clienții.

4.Transferuri în afara UE

Atunci când datele cu caracter personal ale clienților din UE sunt transferate în țări din afara Uniunii este important ca datele să beneficieze de aceleași sisteme de protecție și garanții ca și în interiorul granițelor UE.

Sfaturi: Pentru a facilita astfel de transferuri, GDPR include mai multe mecanisme care fac acest lucru posibil, dintre care cele mai răspândite sunt:

  • Decizii de adecvare: atunci când UE a stabilit că o țară din afara UE (sau un acord specific cu o astfel de țară, de ex. Privacy Shield cu SUA) oferă o protecție adecvată.
  • Reguli corporative obligatorii (BCR – Binding Corporate Rules): multe companii multinaționale au subsidiare în țări din afara UE. Documentația BCR asociată unei organizații trebuie să se asigure că un transfer de date personale în afara UE, dar în cadrul aceleiași organizații, oferă aceleași garanții de protecție. Autoritățile de protecție a datelor trebuie să valideze BCR înainte ca prevederile să fie aplicate.
  • Clauze contractuale standard (SCC – Standard Contratual Clauses): sunt contracte predefinite, validate de Comisia Europeană, ce conțin toate garanțiile de protecție necesare pentru transferurile în afara UE.

5. Securitatea informațiilor sau protecția datelor

Securitatea informațiilor și protecția nu sunt aceleași. Securitatea informațiilor se referă la toate informațiile, care includ datele cu caracter personal. Protecția datelor se referă la toate aspectele legate de prelucrarea datelor cu caracter personal, care includ securizarea informațiilor. Deci, în același timp există o suprapunere clară, dar și o diferență semnificativă.

Acestea fiind spuse, asigurarea informațiilor împotriva accesului neautorizat, pierderii sau distrugerii este un aspect foarte important în cadrul GDPR. Pe scurt, acest aspect al GDPR poate fi rezumat prin menținerea confidențialității, integrității și disponibilității (cunoscută și sub numele de CIA) datelor personale pe care un furnizor de Cloud le procesează. Rețineți că orice încălcare a acestor principii ale CIA (de exemplu, încălcări ale datelor) va trebui să ducă la o notificare către operator, care, la rândul său, va trebui să notifice autoritățile de protecție a datelor și persoanele vizate, dacă riscurile potențiale ale încălcării sunt destul de ridicate.

Sfaturi:

  • Alinierea inițiativelor GDPR la guvernarea securității informațiilor. De exemplu, standardul ISO27001 poate fi combinat cu principiile de protecție a datelor pentru a oferi un cadru care să abordeze atât securitatea informațiilor, cât și protecția datelor.
  • Gândiți și documentați o procedură de notificare înainte de a avea practic nevoie de ea.
  • Examinați necesitatea de numi un ofițer de protecție a datelor (DPO). Chiar și atunci când clienții individuali nu sunt obligați să numească unul, este posibil ca un furnizor de Cloud să fie nevoit să numească unul.

6. Obligația de asistare și notificare

Procesatorii sunt obligați să asiste sau să notifice operatorii atunci când au informații despre faptul că un operator trebuie să îndeplinească cerințele GDPR, cum ar fi executarea DPIA sau notificările de încălcare a datelor menționate anterior.

Sfaturi:

  • Documentați (de exemplu, în contractul de procesare sau în alt contract) cum trebuie să aibă loc asistența: cum ar trebui să se facă o cerere, în ce termen va răspunde furnizorul de Cloud și dacă există costuri asociate asistenței.

7. Fiecare procesator este, de asemenea, un operator

Rețineți că este foarte probabil ca furnizorii de Cloud să fie în același timp și procesatori și operatori de date în nume propriu. Unele departamente precum HR, Furnizori, Clienți pot efectua prelucrări de date cu caracter personal, caz în care trebuie să se supună acelorași principii ale GDPR.

Sfaturi:

  • Păstrați înregistrări separate privind activitățile de procesare (vezi secțiunea 3) pentru activitățile de operator și procesator.

 

Acest articol a fost publicat in primul Catalog GDPR Ready editat in Romania. Puteti vedea versiunea online AICI. Catalog GDPR Ready, pag. 50-53, Agora Group & cloud☁mania, Bucuresti, Octombrie 2017

 

Sunteți pregătiți pentru GDPR? Noi suntem pregătiți să vă ajutăm

Acest articol a fost publicat de compania Omega Trust îCatalogul GDPR Ready, Octombrie 2017

Ce este GDPR? Regulamentul European privind Protecția Datelor (GDPR) stabilește principii și măsuri de protecție a datelor cu caracter personal ale cetăţenilor Uniunii Europene pentru companiile și instituțiile care procesează astfel de date. GDPR reprezintă challenge-ul companiilor publice și private din următoarele 12 luni și este prima reglementare completă cu privire la protecția datelor emisă în ultimii 20 de ani care înlocuiește cadrul legislativ actual (Directiva 95/46/CE).

Pentru cine se aplică? Orice activitate instituțională desfășurată la nivelul Uniunii Europene ce procesează date cu caracter personal cu privire la angajați, clienți sau oricare alte entități cu care interacționează trebuie să se alinieze la cerințele GDPR.

Așadar, orice instituție publică sau privată de pe teritoriul Uniunii Europene sau din afara teritoriului Uniunii Europene (dacă manipulează date cu caracter personal ale unor cetățeni ai Uniunii Europene) care colectează, prelucrează și/sau stochează date cu caracter personal trebuie să răspundă prevederilor GDPR.

Ce reglementări aduce GDPR? Dreptul de a fi uitat și dreptul la portabilitatea datelor sunt printre principalele noi drepturi introduse ce vor impune prestatorilor de servicii să știe exact unde se află datele în sistemele lor și să ia măsuri privind ștergerea acestor date dacă este solicitat.

Nevoia de responsabil pentru protecția datelor GDPR mandatează ca toate organismele din sectorul public și cele implicate în monitorizarea sistematică și regulată a persoanelor vizate la scară largă sau în prelucrarea categoriilor speciale de date, vor trebui să angajeze un Responsabil cu Protecția Datelor (DPO).

Operatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

  • pseudonimizarea și criptarea datelor
  • capacitatea de a asigura confidențialitatea,
  • integritatea, disponibilitatea și rezistența sistemelor și serviciilor de prelucrare;
  • capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică;
  • un proces pentru testarea, evaluarea și aprecierea periodica a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării

Efectele neaplicării Neaplicarea prevederilor GDPR coroborată cu apariția unor incidente de securitate de natură să afecteze datele cu caracter personal poate atrage pentru instituții amenzi însemnate de până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală (în funcție de impactul incidentului produs).

Termen de implementare Regulamentul intră in vigoare la data de 25 mai 2018, dată până la care toate entitățile vizate de către GDPR trebuie să pună în aplicare prevederile specifice.

Cum putem sprijini procesul de aliniere la GDPR?

Oferim întregul suport necesar înțelegerii în primă etapă a prevederilor GDPR, a modului în care acestea trebuie transpuse și, ulterior, prin evaluarea modului în care se realizează prelucrarea datelor în companie și identificarea punctelor slabe, respectiv, prin asistarea selectării și implementării măsurilor tehnice și operaționale în cadrul organizației.

Serviciile noastre de consultanță pentru alinierea la GDPR se concentrează în jurul următoarelor module principale:

  • Modulul 1 – Cursuri de introducere și instruire, al căror scop este acela de a prezenta organizației și personalului component cerințele GDPR și modalitatea în care aceste cerințe trebuie puse în aplicare.
  • Modulul 2 – Analiza gap, al cărei scop este realizarea unei evaluari asupra conformității organizației și a sistemului de controale implementat în prezent în raport cu cerințele tehnice și operaționale specifice GDPR în urma căreia se va elabora un plan de acțiuni detaliat pentru corectarea acestor diferențe și, implicit, alinierea organizației la GDPR.
  • Modulul 3 – Analiza modelului de date utiliza, în cadrul căreia se analizează în detaliu impactul GDPR asupra organizației prin identificarea și punerea în evidență a datelor cu caracter personal procesate de organizație. Ca parte a acestei analize, urmărim identificarea activităților, proceselor și fluxurilor operaționale care colectează, prelucrează și stochează datele cu caracter personal. La finalul acestei analize, vom putea contura o imagine asupra datelor cu caracter personal, a tipologiei acestora și a dispunerii lor în cadrul organizației pentru a asigura o implementare uniformă și eficientă a măsurilor tehnice și organizaționale ale GDPR.
  • Modulul 4 – Definirea politicii de prelucrare a datelor cu caracter personal. În cadrul acestei etape, avem în vedere elaborarea pe seama informațiilor colectate în etapele anterioare și a prevederilor GDPR, politica de prelucrare a datelor cu caracter personal în cadrul organizației.
  • Modulul 5 – Implementarea politicilor și procedurilor GDPR. Avem în vedere suportul pentru implementarea într-o manieră uniformă și eficientă a politicilor și procedurilor privind managementul datelor cu caracter personal în cadrul organizației pentru o corectă aliniere la cerințele GDPR.
  • Modulul 6 – Implementarea sistemelor IT de securitate necesare. Putem răspunde necesităților organizației cu privire la sistemele IT de securitate (de exemplu: sisteme de detecție și prevenție a intruziunilor, sisteme de prevenire a scurgerii datelor etc.) prin furnizarea și implementarea unor soluții IT eficiente și potrivite pentru dimensiunea și particularitățile organizației.
  • Modulul 7 – Asigurarea poziției de Responsabil cu Protecția Datelor. Asigurăm experți calificați cu competențe în domeniul protecției datelor pentru îndeplinirea rolului de Responsabil cu Protecția Datelor și execuția responsabilităților specifice în cadrul organizației.

Date de contact: Cosmin Măcăneață, Managing Partner,

 cosmin.macaneata@omega-trust.ro, 0722812812

 

Info World – „Ready” pentru implementarea GDPR în domeniul medical

Cu peste 17 ani de experiență exclusivă în domeniul eHealth, atât în plan naţional, cât şi  internaţional, compania Info World are ca misiune protecţia şi securitatea datelor medicale. Acest regulament european şi, implicit adoptarea lui, vin de fapt să confirme ceea ce noi avem deja implementat în produsele şi serviciile noastre dedicate zonei medicale. 

Pe scurt, GDPR îşi propune să ofere cetățenilor Uniunii Europene controlul asupra datelor lor personale, iar pentru îndeplinirea acestui scop enunță anumite principii, unele cu impact asupra sistemului medical. În primul rând, pentru datele colectate şi pentru scopul utilizării acestora trebuie să existe un consimțământ valid, explicit din partea cetățeanului. Există totuși o serie de excepții, cum ar fi furnizarea de îngrijiri medicale sau sociale, tratament în scopul protejării intereselor vitale ale persoanei vizate.

O noutate care va avea impact major asupra sistemului medical şi chiar asupra cetăţeanului este reprezentată de oferirea posibilităţii ca persoana vizată să îşi administreze singură dosarul medical. Apare astfel dreptul persoanei vizate de a-şi transfera datele sale personale dintr-un sistem electronic de procesare în altul, fără a fi împiedicat de operatorul de date să facă acest lucru. Datele furnizate de operatorul de date trebuie să fie într-un format electronic standard, deschis şi utilizat în mod obișnuit.

În ceea ce priveşte domeniul sănătăţii, cel căruia Info World îi este integral dedicat, articolul 15 defineşte faptul că pacientul are dreptul să obţină de la operatorul de date confirmarea că datele sale personale sunt prelucrate sau nu, şi după caz, accesul la datele personale, precum şi o copie a acestor date care fac obiectul unei prelucrări. În cazul în care persoana vizată depune cererea prin mijloace electronice şi nu solicită altfel, informaţiile pot fi furnizate într-o formă electronică utilizată în mod obişnuit, ceea ce înseamnă un fişier uzual, de tip PDF sau alt format de uz general. Acest aspect permite persoanelor fizice să obţină şi să reutilizeze datele lor personale şi medicale în diverse scopuri, cum ar fi: a doua opinie medicală, schimbarea furnizorilor de asistenţă medicală, păstrarea datelor intr-un sistem de tip dosar personal de sănătate. În acest mod, persoanele vizate pot să copieze sau să transfere cu uşurinţă informaţiile dintr-un sistem informatic în altul.

Portabilitatea datelor se aplică acelor date cu caracter personal referitoare la persoana vizată şi anume:

  • Sunt procesate automat – chiar dacă pacientul beneficiază de dreptul de a-şi accesa toate înregistrările medicale, portabilitatea datelor este limitată doar la datele colectate în format electronic;
  • Sunt furnizate de persoana vizată – informaţii funizate verbal sau scris de pacient şi/sau rezultatul examinărilor, analizelor de laborator, investigaţii imagistice, etc.;
  • Sunt procesate pe baza consimţământului persoanei vizate sau pentru executarea unui contract – există excepţii care pot scoate datele medicale de sub dreptul de portabilitate, dar ca principiu general, orice procesare sau schimb de date care necesită consimţământul pacientului intră sub incidenta dreptului de portabilitate a datelor.

Considerăm că dreptul la portabilitatea datelor va genera un impact major asupra întregii activităţi medicale şi în special eHealth. Operatorii de date vor trebui să garanteze că datele cu caracter personal sunt transmise într-un format electronic standard, deschis şi utilizat în mod obişnuit şi vor trebui să asigure interoperabilitatea formatului de date în cazul unei solicitări de portabilitate a datelor.

Nivelul de cooperare dintre industria de eHealth şi asociaţiile profesionale va creşte datorită necesităţii de a elabora împreună un set de standarde şi formate de interoperabilitate pentru a îndeplini cerinţele dreptului la portabilitatea datelor.

Din punct de vedere tehnic, punerea la dispoziţia persoanelor vizate a datelor cu caracter personal se va putea face fie printr-un mecanism de transmitere directă a setului global de date al persoanei vizate, fie prin utilizarea unui instrument automatizat de extragere a datelor relevante.

Costurile generate de implementarea modificărilor nu vor putea fi imputate persoanelor vizate şi nici nu vor putea fi folosite ca justificare a refuzului de a răspunde solicitărilor de portabilitate a datelor. Desigur că intrarea în vigoare a acestui regulament, începând cu 25 mai 2018, presupune o pregătire amplă a infrastructurii la nivel gurvernamental şi privat în ceea ce priveşte furnizorii de servicii şi produse în domeniul eHealth.

«Info World „ready” înseamnă foarte mult. Dincolo de Privacy by design & Privacy by default, de gradul înalt de conformitate cu toate prevederile regulamentului european, de securitatea datelor şi de garanţia unor servicii care să onoreze experienta şi reputaţia consolidată în peste 17 de ani de actitivitate, Info World „ready” înseamnă investiţii, inovaţie, dialog şi comunicare cu toţi factorii implicaţi în proces, reacţie rapidă şi garanţia serviciilor şi aplicaţiilor la cele mai înalte standarde.» – Daniel Nistor, CEO Info World

Articol publicat de compania Info World în Catalogul GDPR Ready, Octombrie 2017

There are three key areas cloud providers need to address the needs of GDPR

One of the most discussed problems concerning GDPR issues is associated with the Cloud providers action plan elements in order to achieve GDPR compliance. The critical elements are associated with personal data transparency, data security, physical location identification, physical servers storage, or international data transfers. Working for GDPR Ready Catalog content, I asked few experts in Cloud and GDPR to share with us their recommendations for Cloud services providers.

Here we have the valuable contribution of Ian Moyse, one of the most active Cloud specialist in social media, and recognised influencers in Cloud Computing social ecosystem:

Ian Moyse

Firstly, cloud providers need to take heed that they are now also on the hook for GDPR legal liability as a Data Processor. Data laws previously put the responsibility to the Data Controller (the customer), but this changes in GDPR.

Secondly, providers also need to ensure their own GDPR compliance as customers will expect and need supply chains of theirs to comply with GDPR in its fullest. This will be needed to ensure they are only sharing any data they hold with GDPR compliant partners and thus protecting their own GDPR processes and compliance.

Cloud providers will also need to become more transparent, as customers become even more diligent around data sovereignty, security, data storage and the controls and destruction of data they have responsibility for.

Thirdly, cloud providers are going to need to ensure their service offering itself, when used by a customer, allows the customer to remain compliant. For example, if your solution stores customer data in it, providing the ability to remove data in full for ‘Right to be Forgotten’ compliance.

You cannot get your product or service GDPR certified, but you can ensure that its use allows a customer to meet GDPR requirements and not hinder them.

Ian Moyse,

Sales Director Natterbox, Board Member Cloud Industry Forum

The Romanian version of this article was published in GDPR Ready Catalog, Bucharest, November 2017 

ANSSI implicată activ în conștientizarea și promovarea conformității GDPR

Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației.

ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului.

ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.

Toma Cîmpeanu, CEO ANSSI

 

„În ultima perioadă ANSSI a avut o implicare activă în evenimentele și inițiativele legate de noul Regulament European de Protecție a Datelor Personale. Participarea la acest proiect de realizare a primului Catalog dedicat ofertelor GDPR din România prin materiale pregătite de câțiva dintre membrii noștri este un exemplu elocvent al implicării noastre în inițiativele comunității profesionale din România,” Toma Cîmpeanu, Director Executiv Asociația Națională pentru Securitatea Sistemelor Informatice.

 

 

În continuare prezentăm opiniile și recomandările făcute de câțiva dintre membrii ANSSI.

 Cât de pregătiți sunteți pentru RGPD?

de Diana Comanici

Sunteți operator de date/persoană împuternicită de operator care procesează date ale cetățenilor din UE? Aveți un program implementat pentru protecția datelor și puteți dovedi alinierea la cerințele RGPD? Integrați cerințele privind protecția datelor și a confidențialității în crearea proceselor de business noi sau în dezvoltarea de sisteme/ aplicații noi? Realizați o monitorizare sistematică pe scară largă (inclusiv a datelor angajaților)? Procesați volume mari de date personale sensibile?

Cum veți trata „dreptul de a fi uitat”, dreptul la portabilitatea datelor și dreptul de opoziție la crearea de profiluri ale persoanelor vizate? Sunteți în măsură să notificați ANSPDCP în cel mult 72 de ore de la producerea unei potențiale încălcări a securității datelor cu caracter personal?

Indiferent în ce stadiu vă aflați, există câțiva pași de urmat pentru conformitatea cu GDPR. Pentru a putea fi aliniați la cerințele GDPR este vital să identificați care sunt toate datele cu caracter personal pe care le procesați în cadrul organizației, unde se află acestea, de unde şi până unde circulă şi care sunt dispozitivele de Securitate care controlează/ filtrează accesul la aceste date, pe toata durata lor de viață. Ca principale etape în procesul de aliniere la RGPD vă recomandăm:

  • GDPR Quick Scan – este o evaluare rapidă/ workshop cu părțile cheie interesate de identificarea diferențelor fluxurilor principale, estimării de efort și durata de implementare;
  • Analiză – Evaluarea completa a conformității cu cerințele GDPR – este o evaluare detaliată a conformității și maturității;
  • Implementare – Implementarea Programului de Protecție a Datelor – este un program holistic pentru realizarea conformității cu GDPR.

Între activitățile principale ale acestor etape se numără și realizarea Evaluării Impactului asupra Securității Datelor (DPIA) si Inventarul Datelor cu Caracter Personal (un inventar al datelor si fluxurilor de date din cadrul organizației).

Diana COMANICI este Director Executiv la compania Smart Factor. diana.comanici@smartfactor.ro

 

GDPR o bună ocazie pentru eficientizarea activității, nu o presiune în plus

de Maria-Cristina Murgoci

25 mai 2018 este termenul-limită pentru intrarea în vigoare a noilor reglementări din Regulamentul General al Uniunii Europene cu privire la Protecția Datelor. În această perioadă premergătoare, companiile care știu să-și valorifice resursele și competențele, vor pune mai mult și mai pregnant accentul pe modalitățile de colectare, gestionare și asigurare a confidențialității pentru datele personale de pe platformele informatice deținute.

Dacă în trecut acest aspect a fost tratat cu superficialitate de către unele companii sau instituții, acum este momentul ca fiecare deținător de date cu caracter sensibil, de la mic la mare, să pună în funcțiune un mecanism intern de bună practică și conformitate cu reglementările GDPR. Practic, tot ceea ce nu s-a putut realiza din lipsă de informații, resurse sau termene-limită, are acum oportunitatea celor mai bune implementări, nu atât sub imperiul amenzilor ce se vehiculează în caz de non-conformitate, ci mai ales din dorința firească de a pune lupa pe limitări și de a găsi soluții salvatoare, de care să beneficieze întreaga organizație, nu doar departamentele care sunt direct implicate în operațiunile cu date ce au caracter sensibil.

Companiile care vor reuși să privească reglementările GDPR drept un prilej pentru eficientizarea activităților, nu doar ca pe o presiune în plus, se vor putea deschide și la întâmpinarea oportunităților care derivă din buna lor implementare. Într-adevăr sunt prevederi cu caracter obligatoriu, care presupun resurse și investiții bănești consistente. Însă, acestea vin și cu beneficii pentru mediul de afaceri, printre care amintim simplificarea și armonizarea la nivel juridic și administrativ a protecției datelor în Uniunea Europeană, precum și stimularea inovației pentru tehnologiile care asigură stocarea și protecția datelor.

Departe de a fi doar un proces costisitor, asigurarea conformității cu noile măsuri GDPR este o etapă esențială de creștere și inovație pentru companiile care pot fructifica la maximum era digitală de astăzi.

Maria-Cristina MURGOCI este Marketing Manager la compania Q-East Software. Prin soluțiile de management și Securitate a sistemelor informatice furnizate, experții Q-East Software asigură companiilor și instituțiilor competențele necesare unor implementări eficiente pentru procesele de conformitate cu reglementările GDPR.

Noul regulament va face companiile mai responsabile pentru datele din posesia lor

de Florin Răducu

Florin RĂDUCU, director SmartFeel Solutions

Informația a devenit accesibilă oricui. Vrei să o cauți pe Internet? E gratis… Vrei cont de e-mail? Gratis… Instant messaging? Gratis. Rețele de socializare? Gratis. Puține lucruri mai costă bani pe Internet. Și totuși companiile care oferă aceste servicii sunt printre cele mai bogate de pe pământ… Cum își fac banii? Cu noi sau, mai degrabă, cu datele noastre… E mai rentabil să colecteze și să furnizeze terților informații despre tine, decât să îți vândă servicii.

Multe companii au profitat de lejeritatea cu care ne oferim datele personale pentru a câștiga bani, cote de piață și a construi noi modele de business. Ne expunem viața din ce în ce mai mult online și asta ne face vulnerabili. Astăzi criminalitatea cibernetică crește cu 38% în fiecare an, devenind a 2-a cea mai răspândită infracțiune economică.

Noua legislație GDPR și, în special cuantumul amenzilor stabilite prin acest regulament vor face companiile să fie mai responsabile cu datele personale din posesia lor. Un milion de conturi hackuite nu vor mai reprezenta o simplă statistică, atât timp cât pierderea sau folosirea abuzivă a datelor unei singure persoane pot duce la închiderea businessului. Consecința: tehnologiile moderne de cyber security nu vor mai fi un „nice to have” ci un „must have”.

Statistic, se dezvoltă un milion de noi feluri de malware în fiecare zi. Astăzi, timpul mediu în care un malware stă nedetectat într-o organizație este de 201 zile. Totuși, cu tehnologii moderne de EDR îl putem detecta în câteva secunde. În acest context, apare necesitatea unei schimbări a mentalității în privința modalității de apărare la un atac cibernetic. Organizațiile vor fi nevoite să facă trecerea de la o apărare cibernetică statică – de așteptare, la una dinamică – de prevenție, cu soluții de cyber security și cyber threat intelligence care le vor spune dacă sunt vizate de hackeri, modul în care vor fi atacate, momentul și durata atacului.

Florin RĂDUCU este Director General în cadrul companiei SmartFeel Solutions ce oferă soluții de securitate cibernetică și cyber threat intelligence sub brandul Cyberus. florin.raducu@cyberus.ro

Aceste materiale au fost puse la dispoziție de ANSSI și partenerii săi pentru Catalogul GDPR Ready, aparut în Octombrie 2017.

Conferința de Cloud: haideți să vorbim despre adopție, dezvoltare, migrare, business continuity și GDPR

Suntem martorii unei dezvoltări fără precedent a industriei de Cloud. Utilizarea aplicațiilor SaaS și a platformelor de dezvoltare în Cloud au un rol tot mai determinant în revoluția digitală și transformarea proceselor de business de astăzi. Conform Forrester, piața globală de Cloud Public va ajunge în 2018 la peste 178 miliarde de dolari, cu o creștere anuală de peste 22%. Platformele de Cloud Public – segmentul cu cea mai rapidă creștere – vor genera în 2018 peste 44 miliarde de dolari.  Peste jumătate dintre marile companii vor adopta platforme de Cloud Public până la sfârșitul acestui an.

Și totuși mai există multe reticențe legate de adopția modelelor Cloud. Este Cloudul util? Cum putem migra la o platformă Cloud? Cum ne poate ajuta o arhitectură Cloud la protecția datelor personale în contextul adopției GDPR? Ce strategii de migrare să alegem? Cum putem administra rețelele virtuale și cum putem asigura continuitatea afacerii?

La aceste probleme puteți afla răspunsuri din sursele cele mai competente, participând la Conferința de Cloud, organizată de compania Avaelgo și partenerii săi pe data de 23 Noiembrie la Hotelul Pullman World Trade Center din București.  După cuvântările de deschidere, conferința se va desfășura în două secțiuni paralele, ce vor reuni 11 sesiuni tehnice și de business, susținute de 16 experți, dintre care 4 Microsoft Most Valuable Professionals (MVPs).

În sesiunea de business se va vorbi despre adopția accelerată a soluțiilor Cloud și monitorizarea consumului acestora, definirea strategiilor de migrare a soluțiilor și a organizațiilor în Azure, migrarea soluțiilor în Microsoft Azure cu Lift & Shift, Microsoft Azure ca și soluție pentru Disaster Recovery, precum și meridianele Cloud – Rețele virtuale și composite.

Cum adoptarea cadrului GDPR a devenit un subiect extrem de fierbinte, în special în industria de Cloud, conferința va avea două sesiuni dedicate acestui subiect: un Open Panel la care participă o serie de invitați speciali, precum și o prezentre PwC despre principalele provocări GDPR identificate în România.

Secțiunea tehnică va reuni o serie întreagă de prezentări ce abordează Soluțiile  arhitecturale de tip Azure IaaS și PaaS, facilitățile de automatizare a dezvoltării integrate de plarforma Azure, funcționalitățile Site Recovery & Backup oferte de Microsoft Azure, de ce și cum se face protecția datelor în Cloud, precum și ” To Cloud or not to Cloud?” – Un ghid practic pentru adoptarea noilor tehnologii de comunicații.

Inițiatorul și organizatorul acestei Conferințe este compania Avaelgo, certificată Microsoft Gold Cloud Platform, Silver Cloud Productivity și Silver Application Development. Avaelgo oferă servicii complete ce înclud strategii de adopție și migrare Cloud, Managed Services, Securitate IT și instruire. Partenerii Avaelgo la Conferința de Cloud sunt: Microsoft, Comparex, ALEF Distribution, PwC, Veeam, Yalos Solutions și AudioCodecs.  cloud☁mania – platformă de knowledge și servicii pentru Cloud și business transformation este partener media la această conferință.

  • Pentru informații complete despre eveniment, agendă și speakeri, consultați site-ul Conferinta de Cloud.
  • Pentru înregistrare la Conferința de Cloud faceți click AICI.

GDPR prefigurează un viitor în care informația devine critică pentru supraviețuirea noastră

Răzvan Savu, Consultant IDC Romania

 

 

Răzvan Savu, Consultant IDC Romania

Informații despre tine. Colectate, stocate și procesate în mod automat de către algoritmi din ce în ce mai sofisticați. Informații pe care nu știai că le oferi. Informații pe care nu le puteai bănui că există. Informații despre tine, în feluri în care nu te-ai privit niciodată.

 

Strategiile pe termen scurt și mediu ale companiilor impun un ritm de creștere anuală, indiferent de industria pe care o observăm. Într-o lume în care nevoile de bază vor fi satisfăcute, consumul poate crește doar până într-un anumit punct, după care nu-i mai rămâne decât să devină cvasi-constant. Construcția economică a viitorului nu are alte opțiuni.

Oamenii o să-și dorească în fiecare an noi dispozitive, haine sau mașini, dar nevoi care să determine piețe uriașe nu se văd la orizont. Creșterea nu o să mai poată interveni decât în spațiul personal, în cel al nevoilor individuale ale fiecăruia dintre noi. Scopul este crearea unei experiențe personalizate în care produsul întrupează însăși macheta dorințelor și nevoilor noastre. Pentru asta, companiile se bazează pe datele pe care le producem și care construiesc mai mult decât o amprentă digitală individuală. Companiile extrapolează tipuri de comportament și opiniile personale din interacțiunea noastră cu lumea digitală, ajutându-le să se apropie constant de motivația deciziilor de a cumpăra ceva.

Regulamentul General pentru Protecția Datelor cu Caracter Personal prefigurează un viitor în care informația devine critică pentru supraviețuirea noastră. Într-o societate marcată de atacuri cibernetice și teroriste, cu cât entitățile colectează și distribuie mai multe date despre oameni, cu atât expunerea potențială crește exponențial. Noul motor al economiei globale poartă un vector de risc colosal, cu efecte în percepție, economie și chiar în siguranța fizică a omenirii.

Fiecare capitol din GDPR a fost disecat în conferințe, studii și articole online. Frica, confuzia și incertitudinea domină în mare parte atât mesajele furnizorilor, cât și acțiunile celor ce au de implementat dispozițiile regulamentului. Procesul se va clarifica cel mai probabil după o perioadă de ajustare a pieței, care nu se poate produce înainte de termenul limită fatidic pomenit în toate comunicările pe acest subiect.

Noul Regulament nu va putea fi considerat implementat prin redactarea maculaturii de către departamentul de QA. Nu există un panaceu care să fie înghițit de către organizații și acestea să se preschimbe în entități „GDPR-ready”, „GDPR-compliant” sau măcar „GDPR-aware”. Soluția nu se găsește în tehnologie sau procese.

Noul Regulament vestește o schimbare fundamentală a modului în care ne desfășurăm afacerile și presupune, contra-intuitiv, o schimbare asumată la nivel individual de fiecare dintre noi, respectând rolul informației într-un ecosistem global. Noul regulament cere ca indiferent de mizele financiare, drepturile fundamentale ale omului să fie respectate. Noul regulament cere ca fiecare dintre cetățenii europeni să ne comportăm responsabil cu privire la informațiile cu caracter confidențial, fie că suntem consumatori sau furnizori de astfel de date. Noul regulament cere să acționăm principial, nu hazardat, când luăm decizii pentru viitorul societății noastre.

Făcând un pas în spate, GDPR face parte dintr-o suită de legi introduse de Uniunea Europeană și de Comisia Europeană pentru mijlocul anului 2018 care vor să aducă mai aproape de realitate o Europă unită prin diversitate. Oamenii, mărfurile și – cel mai important aspect economic într-o eră digitală – informația, vor circula liber între statele membre, accelerând procesul inovativ, fără a uita însă de siguranța europenilor.

Scopul este catapultarea „bătrânului continent” în vârful jucătorilor globali de tehnologie pe o piață dominată în prezent de Vest și Est, mizând pe furnizarea unui cadru legal, onest, transparent (lawfullness, fairness and transparency). Companiile și statele pot folosi această oportunitate pentru a găsi motive să se ridice împotriva birocrației europene excesive și impunerilor de legi. Totodată, aceleași companii și state pot recunoaște în GDPR o șansă de a crea servicii și produse pentru întreaga Europă, având posibilitatea reală de a accesa piețe de desfacere inaccesibile până atunci. Pot face asta pornind de la principiile unei deschideri sigure a datelor, diminuând semnificativ riscurile unei expuneri de securitate, care afectează în final poziția economică a Europei în contextul digital-global.

Puse în acest context mai larg, mișcările UE par să se înscrie într-o strategie pe termen lung a asigurării relevanței la nivel mondial într-un viitor economic preponderent tehnologic. Pășind într-o lume digitală, sunt puțini cei care au îndrăzneala bezmetică să declare cu certitudine ce ne așteaptă, la nivel de cetățeni, angajați sau simpli indivizi. Indiferent de cine vom fi în viitor, principiile pe baza cărora vom acționa încep să fie scrise astăzi, învățând din greșelile trecutului.

IDC este compania cu cea mai lungă tradiție în analiza piețelor de tehnologie (IT&C), fiind prezentă inclusiv pe piața din România de 15 ani. Din poziția de observatori și mediatori ai pieței de tehnologie, experții IDC au acumulat experiența ciclicității dinamicii IT&C, înțelegând aspectele esențiale care determină succesul proiectelor ce se află întotdeauna la limita dintre tehnică și omenesc. IDC ajută dintr-o perspectivă independentă de industrie companiile ce achiziționează IT&C, decelând aspectele fundamentale pentru direcția strategică într-un univers al informațiilor într-o continuă expansiune.

Articol publicat în Catalogul GDPR Ready, Octombrie 2017

Cum să alegi inteligent în noua lume a GDPR-ului

Acest articol a fost publicat de Star Storage în Catalogul GDPR Ready, Octombrie 2017

Conformitatea cu reglementările impuse de Regulamentul General privind Protecția Datelor (GDPR) adoptat la nivelul Uniunii Europene in aprilie 2016 şi aplicabil din mai 2018 trebuie să reprezinte mai mult decât o nouă căsuță de bifat. Implementarea corectă a sistemelor și a procese lor solicitate de GDPR va ajuta organizațiile să evite penalizări potențiale semnificative, de până la 4% din cifra de afaceri globală, dar va fi de asemenea și o oportunitate pentru creșterea eficienței întregii afaceri.

Cu toate că suntem asaltați de o cantitate imensă de conținut pe această temă lucrurile sunt pe departe de a fi clare și încă planează o stare de confuzie în ceea ce privește soluțiile care pot ajuta la respectarea reglementărilor destul de stricte ale GDPR.

10 întrebări pe care să le ai în vedere când îți alegi furnizorul soluției tale de GDPR

1.Care sunt principalele provocări pentru a construi o politică proprie de gestionare a informației conformă cu GDPR? Câteva dintre provocările cheie care trebuie luate în considerare sunt:

  • Afectarea performanței datorată creșterii volumului de informații (număr, mărime, retenție, tipurile de documente care trebuie administrate);
  • Conținutul nestructurat – care reprezintă mai mult de 70% din volumul total de informații;
  • Diferite formate și sisteme – informații utile stocate într-o multitudine de sisteme (ERP, CRM,
  • Document Management, aplicații de business etc.) și în formate diferite;
  • Dispersia geografică – informații utile și sensibile stocate în diverse locații fizice și logice.

2.Organizația ta și potențialul furnizor înțeleg importanța metadatelor? Adevărul este că nu există conținut nestructurat ci doar conținut fără metadate. iar fără metadate, conținutul este o aglomerație de „ceva nediferențiat” care așteaptă să fie administrat. Metadatele sunt cheia, iar principalele direcții vizează:

  • Implementarea schemelor de metadate – definirea aspectelor relevante pentru diferite obiective specifice ale organizației tale;
  • Transformarea conținutului nestructurat în conținut valoros – prin tehnologii precum OCR (recunoașterea optică a caracterelor), ICR (recunoașterea inteligentă a caracterelor), „speech-to-text” și alte tehnologii care adresează extragerea de conținut.

3.Cum poate asigura soluția răspunsul prompt și eficient la solicitările de acces la date (DSAR)? Gestionarea corectă a metadatelor permite identificarea datelor și facilitează identificarea informațiilor corecte și relevante de către ofițerul de conformitate a datelor. Ai nevoie de o soluție care să ofere căutare avansată bazată pe metadate (șabloane de căutare, subscripții la șabloane de căutare, conceptul de „search in search”). Dar metadatele nu sunt suficiente – o căutare completă în text trebuie să fie rulată de mai multe ori atunci când conținutul sau metadatele sunt ascunse în documentele nestructurate. Pe lângă funcționalitățile de căutare trebuie avută în vedere și modalitatea în care se face navigarea și afișarea informațiilor căutate astfel încât utilizatorul să ajungă cât mai ușor la conținutul potrivit.

4.Cum permiți partajarea conținutului securizat între clienți/ parteneri și consultanți externi? Menținerea unui echilibru între acces (necesitatea de a cunoaște) și protecție / conformitate nu este ușoară. Trebuie luat în considerare schimbul de informații în afara companiei fără a pierde controlul sau a modifica locația informațiilor, dar și partajarea în siguranță a informațiilor folosind autentificarea în 2 pași pentru utilizatorii externi. În contextul GDPR soluția trebuie să respecte reglementările cu privire la datele cu caracter personal (trimiterea automată a notificărilor, acces temporizat) și să ofere suplimentar o experiență plăcută de utilizare (fără să fie nevoie de intervenția personalului IT).

5.În ce măsură ofițerii de conformitate ai companiei tale au vizibilitate asupra volumelor mari de informații în contextul noului regulament GDPR, astfel încât să poată lua decizii rapide și eficiente? Un tablou centralizator al indicatorilor GDPR care să ofere vizibilitate asupra cantităților mari de date va ajuta cu siguranță ofițerul de date să vadă imaginea de ansamblu, dar și să detalieze anumite subiecte specifice (distribuirea documentelor în funcție de tipul de informație cu caracter personal, topul politicilor de conformitate necorespunzătoare, active neconforme clasificate in funcție de tipul acestora și alte activități și notificări legate de GDPR: retragerea acordului, solicitări de acces, solicitări de ștergere a datelor, consimțământ parental).

6.Care este experiența utilizatorilor si cum va fi afectat departamentul IT după implementarea unei soluții de GDPR? Multe implementări la nivel enterprise au dat greș nu din cauza lipsei rigorii tehnice ci mai degrabă din cauza unei experiențe insuficiente la nivelul utilizatorilor. O soluție cu o interfață puternică, dar simplă, va crește gradul de adopție a utilizatorilor, fără a compromite funcționalitățile dedicate utilizatorilor și va reduce în același timp gradul de încărcare al departamentului IT.

7.Cine poate accesa datele de business, în ce circumstanțe și cu ce drepturi de vizualizare? Este acest proces auditabil? Recomandarea este să protejați conținutul în funcție de ceea ce este (metadate asociate) și nu în funcție de unde este acesta stocat astfel încât să plecați de la început cu avantajul unei soluții construită pe principiul „Privacy by Design”. Și în această situație metadatele stau la baza construirii politicilor dinamice de securitate care pot fi ușor definite și aplicate de către utilizatorii obișnuiți, fără intervenția personalului IT. Întreabă de asemenea dacă este complet auditabilă fiecare modificare asupra conținutului și meta datelor asociate pentru asigurarea conformității cu GDPR.

8.Cum se poate demonstra că o persoana și-a dat consimțământul asupra prelucrării datelor sale personale? O posibilă abordare este o soluție care sa permită managementul consimțământului cu ajutorul semnăturii biometrice (semnătura avansată) într-o manieră lizibilă / inteligibilă. Aceasta oferă o dovadă sigură, fiind legată în mod unic de semnatar și implicit de datele acestuia, astfel încât orice schimbare ulterioară a datelor este detectabilă.

9.Cum asigură soluția „dreptul de a fi uitat”? O mare parte din respectarea acestei cerințe se referă la politicile de păstrare a documentelor care pot fi aplicate conform nomenclatorului arhivistic, categoriei de conținut (bazat pe metadate) sau politicilor de distrugere a conținutului pe mai multe etape atunci când perioada de retenție expiră. Întreabă cum se face auditarea termenelor expirate pentru documentele care conțin date cu caracter personal și trimiterea notificărilor asociate excepțiilor, dacă soluția are funcționalități pentru criptarea metadatelor asociate datelor cu caracter personal și setări pentru distrugerea digitală a documentelor care conțin date cu caracter personal.

10.Unde trebuie instalată soluția GDPR? Un element cheie aici este păstrarea flexibilității la un nivel maxim pe măsură ce tehnologia se schimbă. Se poate folosi hardware-ul existent? Dacă alegi, poți să beneficiezi de puterea și scalabilitatea cloud-ului public? Este soluția la fel de ușor de folosit pe medii hybride, on-premise și cloud?

Ce este SEAL?

SEAL este un sistem integrat pentru administrarea unificată a arhivelor fizice și electronice care ajută companiile să protejeze, reutilizeze și partajeze în siguranță tot conținutul de afaceri, respectând normele legale și noile reglementări GDPR. Construit pentru era digitală, în care cloud-ul și mobilitatea reprezintă concepte cheie, SEAL redefinește experiența de utili zare printr-o interfață intuitivă și puternică disponibilă inclusiv pe iOS și Android pentru un nou nivel de productivitate.

 Mai multe detalii: http://www.seal-online.com


 

Ghiduri de bune practici GDPR puse la dispoziție de ANSPDCP

Acest articol a  fost publicat în Catalogul GDPR Ready, Octombrie 2017.

Autoritatea națională de supraveghere este o autoritate publică cu personalitate juridică, autonomă şi independentă față de orice alte autoritate a administrației publice, ca şi față de orice persoană fizică sau juridică din domeniul privat, care exercită atribuțiile ce îi sunt date în competență prin dispozițiile legale din domeniul prelucrării datelor cu caracter personal şi al liberei circulații a acestor date.

Atribuția principală a Autorității este aceea de garantare şi protejare a drepturilor şi libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal. Autoritatea monitorizează şi controlează sub aspectul legalității prelucrările de date cu caracter personal care cad sub incidența Legii nr. 677/2001.

Pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în cadrul secțiunii speciale dedicată RGPD, poate fi găsit un important volum de informații dedicate Regulamentului 2016/679, precum pliante, broșuri și ghiduri ale Grupului de Lucru Art. 29. Informații complete pe site-ul oficial al ANSPDCP

Ghid privind Responsabilul cu protecția datelor (DPO)

Acest ghid are menirea de a oferi tuturor operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor (DPO – Data Protection Officer), precum și principalele atribuții ale acestora. Ghidul a fost publicat în decembrie 2016 și a fost revizuit și adoptat în aprilie 2017.

Potrivit Regulamentului General de Protecție a Datelor (RGPD), este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un DPO. Aceasta va fi situația pentru toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate) și pentru celelalte organizații care au ca activitate principală monitorizarea sistematică și pe scară largă a persoanelor fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care RGPD nu impune în mod expres numirea unui DPO, organizațiile pot opta pentru desemnarea unui DPO în mod voluntar.

Cu toate că Directiva 95/46/CE3 nu impune niciunei organizații să numească un DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre. Anterior adoptării RGPD, grupul de lucru Articolul 29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a RGPD. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1). Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

Ghidul orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor

Lansat în septembrie 2017, acest Ghid este destinat să constituie un instrument util în activitatea tuturor operatorilor, pentru accelerarea eforturilor acestora de a atinge cele mai optime nivele de conformitate cu prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date.

Structura Ghidului orientativ de aplicare GDPR se axează pe prezentarea principalelor obligații care le revin operatorilor în contextual noului Regulament. Dintre aceste obligații se detașează:

  • Desemnarea unui responsabil cu protecția datelor
  • Rolul responsabilului cu protecția datelor
  • Cartografierea prelucrărilor de date cu caracter personal
  • Ce trebuie să conțină evidenta păstrată de operator
  • Prioritizarea acțiunilor de întreprins
  • Care sunt măsurile speciale de care trebuie să se țină cont
  • Gestionarea riscurilor
  • Organizarea procedurilor interne

Ca recomandare generală, Ghidul orientativ sugerează realizarea unei analize aprofundate a legislației privind protecția datelor și a cerințelor impuse de Regulamentul General privind Protecția Datelor, pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în funcție de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

În condițiile în care acest act normativ european aduce multiple elemente de noutate în peisajul juridic românesc și instituie noi obligații în sarcina operatorilor de date și/sau persoanelor împuternicite de operatori Autoritatea speră ca și acest ghid, împreună cu toate celelalte materiale informative postate pe site-ul Autorității Naționale de Supraveghere, să ajute operatorii în eforturile de conformare cu noile reguli de prelucrare a datelor personale.

GDPR: afectarea securității datelor cu caracter personal din perspectiva securității informatice

Articolul este realizat de specialiștii CERT.RO  și a  fost publicat în Catalogul GDPR Ready, Octombrie 2017. 

 

Conform Regulamentului, „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Regulamentul prevede la articolele 33 și 34 obligativitatea notificării încălcărilor securității datelor cu caracter personal către Autoritatea Națională de Supraveghere precum și direct către persoanele vizate ale căror date au fost compromise în anumite condiții, astfel:

  • Notificarea Autorității se face în cel mult 72 de ore conform Art. 33 și este obligatorie atunci când încălcările prezintă riscul de a pune în pericol drepturile și libertățile persoanelor putând duce la discriminarea, prejudicierea reputației, pierderi financiare, compromiterea confidențialității sau orice alt dezavantaj economic sau social semnificativ.
  • Notificarea trebuie să cuprindă: o descriere a încălcării, inclusiv categoriile și numărul aproximativ de persoane vizate acolo unde este posibil, categoriile de înregistrări și numărul acestora. La aceasta se adaugă descrierea consecințelor probabile ale încălcării și măsurile luate pentru a remedia situația și a atenua consecințele încălcării.
  • La acestea se adaugă datele de contact ale responsabilului cu protecția datelor sau alt punct de contact pentru mai multe informații.
  • Notificarea persoanei vizate se face conform Art. 34, fiind obligatorie în cazul în care încălcarea prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate. Informarea va conține descrierea încălcării într-un limbaj simplu precum și informațiile și măsurile de la Art. 33.
  • Termenul de notificare a autorității este de 72 de ore.

Pentru a putea realiza notificarea în termenul specificat este necesar ca operatorul să inventarieze, să organizeze și să cunoască categoriile de date colectate, sistemele în care acestea sunt stocate și prelucrate, circuitul datelor și persoanele care au acces. Aceasta presupune atât măsuri de inventariere cât și proiectarea sistemelor, a rețelelor și a accesului astfel încât informațiile relevante să fie rapid identificate în caz de încălcare, în vederea alcătuirii notificării și luării de măsuri în consecință.

Ce fel de încălcări ale securității datelor avem în vedere?

Principalele tipuri de încălcări ale securității datelor sunt:

  • publicarea în mod accidental;
  • erorile de configurare a sistemelor ce poate duce la scurgeri de informații;
  • pierderea sau furtul sistemelor sau a mediilor de stocare a datelor;
  • securizarea slabă;
  • infecții cu programe de tip malware;
  • atacuri fizice.

În România, conform raportului CERT-RO pe anul 2016 au rezultat următoarele date relevante cu privire la securitatea spațiului cibernetic național:

  • s-au primit și procesat peste 110 milioane de alerte;
  • 38% (2,9 milioane) dintre adresele IP publice din România au înregistrat cel puțin o alertă;
  • 81% (89 milioane) dintre alerte se referă la sisteme sau servicii vulnerabile;
  • 13% (14 milioane) dintre alerte se referă la sisteme infectate cu malware de tip botnet;
  • 639 de domenii web „.RO” au fost utilizate de site-uri web compromise.

Cum putem proteja datele cu caracter personal procesate?

Sub aspectul protejării datelor în format digital, deși percepția comună referitoare la obligațiile impuse de Regulament este cea a unor cerințe și obligații noi, în realitate măsurile necesare sunt cele standard din domeniul asigurării securității informatice.

Astfel, operatorul care are în vedere asigurarea securității rețelelor și sistemelor sale conform standardelor existente și adaptarea măsurilor proporțional cu amenințările, va îndeplini din start cerințele GDPR cu privire la datele cu caracter personal aflate în sistemele sale, soluțiile tehnice și politicile de securitate necesare celor două domenii coincizând în mare parte.

În vederea adoptării măsurilor necesare prevenirii încălcării siguranței datelor, din perspectiva securității cibernetice, trebuie avute în vedere o serie de recomandări practice, precum cele prezentate în rândurile următoare.

Măsuri de prevenire a incidentelor de securitate:

  • Securizarea terminalelor (stații de lucru, telefoane, tablete etc.) prin utilizarea unor soluții/tehnologii de tip antivirus/antimalware, DLP, sandbox și de criptare a datelor, inclusiv pentru terminalele care sunt proprietatea utilizatorilor (BYOD);
  • Securizarea infrastructurii de rețea prin segmentare adecvată (VLAN) și prin utilizarea unor soluții/tehnologii de protecție perimetrală precum cele de tip NGFW (Next Generation Firewall);
  • Asigurarea unei vizibilități adecvate în cadrul infrastructurii IT prin utilizarea unor soluții/tehnologii de monitorizare precum cele de tip SIEM (Security Information and Event Management);
  • Implementarea unor măsuri adecvate de securitate fizică, mai cu seamă în spațiile unde sunt procesate sau depozitate cantități mari de date;
  • Acordarea accesului diferențiat al utilizatorilor la resurse și la date în baza atribuțiilor acestora (principiul nevoia de a cunoaște);
  • Implementarea unei proceduri adecvate de backup (copii de siguranță) care să includă și verificarea periodică a integrității datelor și a procesului de restaurare;
  • Implementarea unei politici de securitate care să fie asumată și respectată de toți utilizatorii;
  • Utilizarea unor proceduri de răspuns la incidentele de securitate și de gestionare a vulnerabilităților;
  • Dispunerea de personal adecvat pentru securizarea infrastructurii IT și pentru a răspunde la incidentele de securitate;
  • Instruirea periodică a personalului cu privire la riscurile, amenințările și vulnerabilitățile de securitate, precum și cu privire la măsurile de contracarare a acestora;
  • Realizarea de audituri/evaluări periodice de securitate a infrastructurii IT, a personalului și a procedurilor.

GDPR deschide mari oportunități în distribuția IT

Alinierea la GDPR vine cu multe teme de îngrijorare pentru companiile dintr-un ecosistem de distribuție, dar și cu un imens potențial de vânzare a soluțiilor din portofoliu. Noul Regulament european privitor la protecția datelor poate avea un efect de bumerang. A apărut din nevoia de aliniere a drepturilor cetățeanului european la evoluția tehnologică a mijloacelor de recoltare, comunicare, procesare și stocare a datelor personale.

Deși cauza poate fi privită ca tehnologică prin excelență, punerea în aplicare a GDPR este un proces esențialmente de business, care prin implicații poate fi asimilat cu un mare pas înainte în procesul ireversibil de transformare digitală. Poate avea tandemul business-tehnologie un rol de perpetuum mobile? Cu siguranță, atâta timp cât în centrul oricărei politici de dezvoltare stă individul și drepturile sale fundamentale.

Keep Calm and Prepare for GDPR

Nu vă pierdeți cu firea. Totul trebuie privit cu optimism. Pentru o companie IT orice procedură și demers de obținere a unui nivel de confort echivalent cu conformitatea noului Regulament nu ar trebi să fie o problemă. La urma urmelor, implementarea GDPR este un proces de project management, similar cu procedurile de obținere a conformității cu diferite standarde.

Avantajul imens oferit de aderarea la GDPR reprezintă o uriașa oportunitate pentru companiile din IT. Demonstrați clienților că sunteți GDPR Ready și veți câștiga în fața concurenței. Ajutați clienții să își rezolve gap-urile tehnologice recomandându-le soluțiile voastre. GDPR vă facilitează accesul la o imensă piață. Deveniți partenerii clienților voștri și veți avea șansa  să vă promovați soluțiile din portofoliu.

Canalul de distribuție ca ecosistem de informații

Tipologia ecosistemului ce caracterizează o rețea de distribuție e foarte complexă: distribuitori, wholeselleri, reselleri, VAR-i, integratori de sistem, firme de servicii și consultanță, retaileri, showroom-uri, magazine online, precum și o complicată subrețea de furnizori de servicii de logistică, depozite, curierat, transporturi, case de credite și de asigurări, și altele. Și nu în cele din urmă, clienții.

Să luăm de exemplu un distribuitor de dimensiuni medii, care are contracte teritoriale de distribuție pentru 15-20 de branduri, cu proveniență din diferite zone ale lumii. Într-un proces clasic de distribuție rolul unui astfel de distribuitor este cel de procesator – sau intermediar, verigă într-un flux de date care vine dinspre cei care lucrează direct cu utilizatorul final, și merge către un vendor, care în majoritatea cazurilor are și rolul de operator de date.

Colectarea datelor personale este paralelă cu procesul de vânzare, multe dintre soluțiile distribuite având asociată obligativitatea furnizării de date despre utilizatorul final, fie elemente de identificare asociate cu licențele software perpetue, fie identificatori de logare – în cazul soluțiilor Cloud, fie date asociate documentelor de garanție și mentenanță specifice echipamentelor hardware.

Din punctul de vedere al atribuțiilor  GDPR, un distribuitor este în marea majoritate a cazurilor procesator de date, cu subordonare de business în relație cu vendorii, care au rolul de operatori. Păstrând această perspectivă, un reseller va avea întotdeauna o poziție de sub-procesator față de fiecare dintre distribuitorii cu care lucrează. De multe ori vendorii nu sunt nici ei beneficiari direcți ai datelor personale, având tot o poziționare de procesator în relațiile de distribuție cu alte entități.

Pe de altă parte, apare des situația în care un distribuitor sau un reseller poate fi chiar el operator de date. Să ne gândim doar la departamentele de resurse umane care gestionează relațiile cu angajații sau la cele de marketing, unde sunt generate campanii direct către clienții finali sau către rețelele de parteneri.

5 oportunități oferite de GDPR pentru canalele de distribuție

Iată câteva idei care ar trebui să stea la baza unei strategii de ofertare a celor mai adecvate soluții de aliniere la conformitatea GDPR:

Piața – un sondaj recent arată că 69% dintre companiile europene  nu numai că vor investi în tehnologii de securitate ca rezultat al GDPR, ci și în domenii precum partajarea, stocarea, arhivarea sau recuperarea datelor. Estimările IDC indică o oportunitate de piață de 3,5 miliarde de dolari pentru furnizorii de securitate și stocare și pentru partenerii lor.

Tehnologia – GDPR nu prescrie tehnologii de protecție a datelor – precum un anumit algoritm de criptare, de exemplu – și, prin urmare, nu le exclude automat pe altele. În schimb, se fac recomandări și se prescriu procese, ceea ce oferă mai multă libertate de a alege dintr-o paletă de soluții provenite de la o varietate de furnizori.

Depozite comune de date – nevoia de operativitate și eliminarea duplicatelor ridică oportunitatea consolidării unor depozite comune, unice de date, la care să aibă acces pe bază de protocoale securizate toți jucătorii din sistem, inclusiv posesorii datelor personale.

Marketing și PR – devine vitală pentru creșterea gradului de conștientizare a reglementărilor. Resellerii proactivi se pot adresa clienților înainte de termenul limită, prezentându-le riscurile  și promovându-și propria compatibilitate.

Încrederea  – demonstrați-vă vitalitatea GDPR și veți câștiga în primul rând încrederea clienților. Ajutații să înțeleagă că orice investiție în tehnologie nu îi va ajuta doar la reducerea riscului de, dar și să își asigure continuitatea în business.

Intrarea în vigoare a noului Regulament european poate fi o mare oportunitate pentru companiile din IT. Demonstrați clienților că sunteți GDPR Ready și veți câștiga în fața concurenței. Ajutați clienții să își rezolve handicapurile operaționale și tehnologice recomandându-le soluțiile voastre. GDPR vă facilitează accesul la o imensă piață. Deveniți partenerii clienților voștri și veți avea șansa  să vă promovați soluțiile din portofoliu.

%d bloggers like this: