A APĂRUT EDIȚIA A TREIA A CATALOGULUI GDPR

 

 

 

Trustul de presă AGORA Group și inițiativa publică GDPR READY anunță publicarea celei de-a treia ediții a Catalogului GDPR – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Actuala ediție a Catalogului GDPR este dedicată soluțiilor specific pentru diferite epartamentesau verticale industriale.

 

 

 

Ceea ce se întâmplă la aproape o lună după intrarea în vigoare a noului Regulament EU 2016/ 679 demonstrează că piața românească nu este încă pregătită pentru importanța momentului. Departamentele de HR nu sunt conștiente de rolul lor de operator de date senzitive. Oamenii de marketing nu știu ce să facă cu vechile baze de date. Forțele de vânzări nu sunt instruite pentru introducerea prospecților în CRM.  Foarte puține contracte conțin clauze explicite de confidențialitate a datelor personale. Majoritatea site-urilor comerciale condiționează consimțământul clienților de accesul la conținut. Firmele mici habar nu au ce e de făcut.

Câteva constatări după momentul 25 mai:

  • Inexistența unei Politici elementare de IT la nivelul unor organizații mijlocii și mari. Chiar și acolo unde există niște norme interne, acestea nu se aplica.
  • O mare harababură privind procesarea, păstrarea și transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților.
  • Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază și se aplică șabloane culese de pe site-uri, fără a se înțelege esența principiilor GDPR.
  • Lipsa de interes a unor manageri de departamente – altele decât HR, FINANCIAR, Juridic, IT – care cred ca ei nu au nicio responsabilitate și că e treaba altora să își bata capul cu asta…
  • Inexistența unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea și transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele lor în business, închistați fiind de necunoaștere, neînțelegere si preluarea inadecvată a unor “sfaturi de bine”. ”GDPR nu e pentru noi”, ”Nimeni nu e fericit cu GDPR-ul acesta” sau ”Suntem prea mici ca să ni se întâmple ceva” sunt expresii des întâlnite în piață.

Prin ”GHIDUL GDPR PE VERTICALE” vrem să vă oferim câteva elemente despre activitățile concrete pe care trebuie să le abordăm în funcție de problemele specifice și provocările cu care se confruntă departamentele cheie dintr-o companie, precum resursele umane, marketingul și vânzările,  de la maparea proceselor de business și a datelor, la analizele de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație.

>> CITIȚI AICI CATALOGUL GDPR ONLINE!

Printre subiectele abordate în cadrul acestui Ghid sub forma a 25 de întrebări și răspunsuri despre B2B, IMM, HR, Marketing, Data Centere, Distribuție, ISO 27001 și Cultura GDPR pot fi menționate:

  • Ce înseamnă GDPR pentru B2B
  • Ce trebuie să facă o companie IMM pentru asigurarea conformității
  • Importanța GDPR pentru resursele umane și administrarea relațiilor cu angajații
  • Care sunt fluxurile de date în ecosistemele HR
  • Provocări pentru marketingul direct sub GDPR
  • Elemente de referință pentru o nouă strategie de marketing
  • Cum scăpăm de miturile legate de obligativitatea consimțământului
  • Impactul GDPR asupra furnizorilor de servicii datacenter și Cloud
  • Cum ne ajută standardul ISO27001 la implementarea mai ușoară a GDPR
  • Care sunt noile reguli privitoare la supravegherea video
  • Cultura GDPR și importanța pentru păstrarea conformității pe termen lung.

Ca și la edițiile anterioare, Ghidul este însoțit de recomandările unor specialiști din diferite domenii, care în actualul ghid vorbesc despre:

  • Dana Cristina MATACHE –”Aplicarea GDPR pentru departamentele de resurse umane și recrutare”
  • Tudor GALOS -”Cei 7 ani de acasă în politica de Cookies
  • Anca CRAHMALIUC –”Despre GDPR și respectul pentru interlocutor
  • Iulian MATACHE –”Provocări aduse de datele cu caracter personal in industria telecom
  • Dan Cristian MATEI –”ISO 27001 – un sprijin real pentru conformitatea  GDPR/RGPD
  • Daniel SUCIU –”Rolul și problemele departamentului IT în implementarea GDPR
  • Ion IORDACHE –”Australia, o țară non-UE conștientizează impactul GDPR asupra mediului său de afaceri

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de tehnologia informației.

Le mulțumim partenerilor de la AXIS Communications, BENTO, BINBOX, High Tech Systems & Software, Romsym Data, Star Storage, Tryamm, Veritas și Zitec pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate în secțiunea GDPR Ready de pe site-ul cloud☁mania
  • Ghidul de orientare rapidădin Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPRdin Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Readype LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

Ca o concluzie la o lună după 25 mai, aș puncta faptul ca dincolo de inexistenta unor tehnologii adecvate care pot rezolva o bună parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frână în adopția GDPR sunt oamenii, care nu sunt învățați sa respecte niște norme și proceduri elementare. Și plecând de la aceasta, nu atingerea unor condiții de conformitate GDPR va fi principala problemă în orice companie, ci păstrarea acestora pe termen lung…

 

Advertisements

V-AȚI NUMIT DEJA UN DPO?

Dacă DA, felicitări! Aveți acum un ghid să vă conducă prin labirinctul procedurilor, proceselor, politicilor, metodologiilor, recomandărilor, normelor, standardeor și reglementărilor menite să ne faciliteze conformitatea GDPR.

Dacă nu ați făcut-o încă, aveți posibilitatea să îl înregisitrați oficial. Autoritatea Națională de Supraveghere a postat pe site Formularul de înregistrare a Responsabilului cu Protecția Datelor Personale (Data Protection Officer – DPO).

Cum procedura de selecție și de numire a acestui personaj important continua să rămână unul dintre cele mai dezbătute subiecte pre și post 25 Mai, vă propun un acces rapid la o serie de articole care au avut ca principal tematică condițiile de numire a ofițerului cu protecția datelor.

GDPR EXPLICITAT (11) – UN PERSONAJ IMPORTANT: DATA PROTECTION OFFICER, Octombrie 2017

CUM POT OBȚINE CERTIFICAREA DPO ÎN ROMÂNIA?Noiembrie 2017

AVEM UN DPO – CUM ÎL CERTIFICĂM?, Ianuarie 2018

Ghidul Grupului de Lucru Articolul 29 privitor la Responsabilul cu protecția datelor poate fi descărcat de aici:

http://www.dataprotection.ro/servlet/ViewDocument?id=1384

 

 

WORKSHOPURI GDPR SPECIALIZATE PENTRU HR ȘI MARKETING

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. În cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Plecând de la cerințele pieței, am inițiat un Program  de Cursuri de formare profesională organizate pe model workshop care se focalizează pe principalele provocări GDPR pentru activități/ departamente/ organizații cu expunere mai ridicată.

Pentru început, GDPR READY ACADEMY vă oferă două categorii de workshopuri dedicate activităților de

  • Resurse Umane & Recrutare
  • Marketing & Vânzări

În zilele de 23 și 24 mai, GDPR Ready ACADEMY și iBusinesss România orgnizează workshopurile tematice:

Provocări GDPR pentru departamentele de HR și Agențiile de Recrutare,  în data de Miercuri, 23 Mai, la DoubleTree by HiltonStrada Nerva Traian nr.3 A, Sector 3, București, 4 secțiuni în 6 ore, pauzele de cafea și masa de prânz incluse, preț – 350 lei, înregistrarea se face la:

https://ibusinessevents.ro/curs-gdpr-pentru-departamentele-de-resurse-umane-si-agentiile-de-recrutare/

Provocări GDPR în Marketing și Vânzări, va avea loc Joi, 24 Mai, aceeași locație, 4 secțiuni în 6 ore, pauzele de cafea si masa de prânz incluse, preț – 350 lei, înregistrarea se face la: https://ibusinessevents.ro/curs-gdpr-in-marketing-vanzari/

Participând la curs, veți înțelege și rezolva toate problemele cheie pentru activitățile specifice departamentelor aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, analizate  din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate din situații reale.

ANGAJAȚII CEL MAI PREȚIOS ASSET AL UNEI COMPANII: HAIDEȚI SĂ LE PROTEJĂM MAI BINE DATELE PERSONALE!

De ce e nevoie să ne aliniem la GDPR în Recrutare și Resurse Umane?

Orice specialist angrenat în activități de recrutare și administrare a resurselor umane trebuie să înțeleagă importanța noului Regulament EU 2016/ 679 pentru activitățile curente și trebuie să adopte toate măsurile necesare pentru asigurarea alinierii serviciilor oferite cu prevederile GDPR. Tratarea superficială a acestor probleme poate genera situații nedorite prin care renumele organizației și credibilitatea în relațiile de business pot fi serios afectate, pe lângă posibilele sancțiuni de ordin financiar.

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. Există o serie de industrii în care operațiunile curente de prelucrare a  datelor cu caracter personal (financiar – bancar, asigurări, IT&C, telecom, media, etc.) necesită o cunoaștere aprofundată a prevederilor noului regulament.

În același timp, în cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Care este  obiectivul workshopului?

Cursul integrează elementele principale ale regimului juridic privind protecția datelor cu caracter personal, atât prin prisma legislației dreptului intern cât şi al dreptului UE, având în centrul său Regulamentul General UE privind protecția datelor cu numărul 679/2016 dar şi cu legislația specifică  activității de muncă (Codul Muncii).

Din perspectiva proceselor de business, orice companie poate să joace atât rol de operator, cât și de procesator de date personale. Indiferent de profilul activităților principale dintr-o companie, departamentul de resurse umane joacă întotdeauna un rol de operator prin funcția specifică de administrare a tuturor datelor personale ale angajaților, candidaților și foștilor angajați.

Cursul abordează toate activitățile specifice specialiștilor în recrutare de personal și de administrare a resurselor umane dintr-o organizație sau dintr-o agenție care deservește mai multe companii, analizate  din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate de situațiile reale.

Cui ne adresăm?

Acest pachet de instruire a fost gândit pentru specialiștii în recrutare de personal și administrare a resurselor umane din departamentele HR sau agenții specializate, precum și personalului care se ocupă de serviciile auxiliare legate de administrarea angajaților, precum specialiști în pontaje și plăți de salarii, evaluatori de bonificații, inspectori de protecția muncii și medicina muncii, cabinete medicale de întreprindere și administratori.

 Ce subiecte vom aborda

 Workshopul este structurat în 4 secțiuni cu o durată totală de 6 ore – inclusiv pauzele: 

  1. Efectul disruptiv al GDPR – 10 elemente cheie care diferențiază GDPR de legislația actuală – 1 oră
  2. GDPR pentru toți – aspect esențiale ale GDPR care trebuie cunoscute de toți cei care sunt implicați în activități de prelucrare de date cu caracter personal. 5 ore
  3. Provocări specifice GDPR pentru activitățile de recrutare și resurse umane: ce facem cu CV-urile tuturor aplicaților la o poziție, care este relația recrutare – angajare, cum se procesează și administrează bazele de date ale angajaților și dosarele ce conțin documente pe suport de hârtie, cum pot fi minimizate și anonimizate datele angajaților, ce măsuri elementare de securitate trebuie să păstrăm pentru procesarea și salvarea fișierelor cu date personale, cum comunicăm în siguranță cu partenerii de procesare a datelor precum agențiile partenere, solicităm consimțământul angajaților pentru situațiile în care nu avem un alt temei legal, cum administrăm datele personale cu caracter special –  2 ore
  4. Discuții pe cazuri reale și autoevaluarea cunoștințelor acumulate la workshop – 1 oră.

Care sunt cele 5 beneficii ale participanților 

  1. Însușirea cunoștințelor esențiale despre GDPR
  2. Discutarea și înțelegerea problemelor cheie pentru specificul activităților de recrutare și administrare a resurselor umane
  3. Kit Materiale suport
  4. Diplomă participare workshop
  5. Self Assessment – Evaluare nivel de pregătire GDPR

PARTICIPAȚI LA WORKSHOPUL GDPR READY ACADEMY ȘI VEȚI PUTEA RĂSPUNDE CELOR MAI DIVERSE PROVOCĂRI RIDICATE DE PROBLEMA PROTECȚIEI DATELORR PERSONALE ÎN RECRUTARE ȘI RESURSE UMANE

 

EXISTĂ MARKETING ȘI DUPĂ GDPR: SERVICII DE ÎNCREDERE ȘI DE CALITATE CRESCUTĂ

De ce e nevoie să ne aliniem la GDPR în marketing și vânzări

Orice agenție sau departament de marketing și vânzări trebuie să înțeleagă importanța noului Regulament 2016/ 679 pentru activitățile curente și trebuie să adopte toate măsurile necesare pentru asigurarea alinierii serviciilor oferite cu prevederile GDPR. Tratarea superficială a acestor probleme poate genera situații nedorite prin care renumele organizației și credibilitatea în relațiile de business pot fi serios afectate, pe lângă posibilele sancțiuni de ordin financiar.

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. Există o serie de industrii în care operațiunile curente de prelucrare a  datelor cu caracter personal (financiar – bancar, asigurări, IT&C, telecom, media, etc.) necesită o cunoaștere aprofundată a prevederilor noului regulament.

În același timp, în cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Care este  obiectivul workshopului?

Cursul integrează elementele principale ale regimului juridic privind protecția datelor cu caracter personal, atât prin prisma legislației dreptului intern cât şi al dreptului UE, având în centrul său Regulamentul General UE privind protecția datelor cu numărul 679/2016 dar şi o legislație specială, care trebuie privită ca un sistem interdependent cunoscută sub numele de ePrivacy.

Cursul abordează toate activitățile specifice departamentelor  de marketing – vânzări din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate de situațiile reale.

Cui ne adresăm?

Acest pachet de instruire a fost gândit pentru specialiștii cu funcții manageriale în departamentele de marketing și vânzări: directori de vânzări, account manageri, agenți de teren, directori de marketing, manageri de comunicare, specialiști în relații publice, administratori site-uri comerț electronic, manageri de produs, manageri pentru relația cu partenerii, manageri de servicii de relații cu clienții, etc.

Ce subiecte vom aborda?

 Workshopul este structurat în 4 secțiuni cu o durată totală de 6 ore – inclusiv pauzele:

 Efectul disruptiv al GDPR – 10 elemente cheie care diferențiază GDPR de legislația actuală – 1 oră

  1. GDPR pentru toți – aspect esențiale ale GDPR care trebuie cunoscute de toți cei care sunt implicați în activități de prelucrare de date cu caracter personal. 5 ore
  2. Provocări specifice GDPR pentru departamentele de marketing și vânzări: ce facem cu vechile baze de date de clienți, ce trebuie să conțină notele de confidențialitate de pe paginile Web, portaluri pentru parteneri și clienți, cum putem asigura punerea în practică a principiilor GDPR, cum putem derula campanii media și activități de marketing direct, care sunt limitările asociate transferului internațional de date personale, cum putem realiza liste de prospecți și cum putem actualiza conturile vechi, asemănări și contradicții între GDPR și ePrivacy – 2 ore
  3. Discuții pe cazuri reale și autoevaluarea cunoștințelor acumulate la workshop – 1 oră.

5 beneficii ale participanților 

  1. Însușirea cunoștințelor esențiale despre GDPR
  2. Discutarea și înțelegerea problemelor cheie pentru specificul activităților de marketing și vânzări
  3. Kit Materiale suport
  4. Diplomă participare workshop
  5. Self Assessment – Evaluare nivel de pregătire GDPR

PARTICIPAȚI LA WORKSHOPUL GDPR READY ACADEMY ȘI VEȚI PUTEA RĂSPUNDE CELOR MAI DIVERSE PROVOCĂRI RIDICATE DE PROBLEMA PROTECȚIEI DATELOR PERSONALE ÎN MARKETING ȘI VÂNZĂRI

Welcome to DataCenter Forum 2018, 2nd Edition, Bucharest, 10th of May

Organised by Tema Energy, DataCenter Forum is the first exclusive event dedicated to professionals from data center area. More than 13 most important players from data center equipment industry will be present in this first edition of  DataCenter Forum hosted by  Willbrook Convention Center in Bucharest 10th of May.

The DataCenter Forum is offering to sponsor and participants a special indoor DataCenter technologies expo showing power, cooling, structured cabling, networking, fire suppression, IT furniture equipment, and a dedicated Mobile DataCenter Expo for turnkey fully equipped mobile DC provided by Tema Energy.

Between the Data Center providers which will present in this second edition of Datacenter Forum will be APC by Schneider, Bicsi, Cummins, Hoppecke, Leoch, Nexans, Pyralis, R&M, Riello, Rittal, Uniline, Uptime Institute, and Vertiv.

The Conference sessions Agenda is based on one panel and 13 keynotes, workshops and company presentations dedicated to data center industry evolution, edge computing, DC power and fire protection solutions,  practical guides in equipment selection, DC infrastructure management and operations best practices,  physical protection of data center and data rooms, and backup process optimisation.

The opening panel is dedicated to ”Future DataCenters: from Cloud and Hyperscale to Edge and Modular”, As special guest speakers in this opening session are announced: Cristian CUCU – CIO Romanian Government, Scott ROOTS – Uptime Institute, Miodrag KOVANOVIC – from BICSI, and Mihai MANOLE – CEO Tema Energy.

Like last year edition, one of the most interesting presences in Datacenter Forum event will be Uptime Institute, worldwide recognised authority for the creation and administration of the Tier Standards & Certifications for Data Center Design, Construction, and Operational Sustainability. Scott  ROOTS – Business Development Director Uptime Institute EMEA will present the results of “Uptime Institute 8th Annual Datacenter Survey Results.”

 

Scott Roots – Business Development Director Uptime Institute EMEA

Uptime Institute created the standard Tier Classification System as a means to effectively evaluate data center infrastructure in terms of a business’ requirements for system availability. The Tier Classification System provides the data center industry with a consistent method to compare typically unique, customised facilities based on expected site infrastructure performance, or uptime. Furthermore, Tiers enables companies to align their data center infrastructure investment with business goals specific to growth and technology strategies. The Data Center Site Infrastructure Tier Standard: Topology defines the requirements and benefits of four distinct Tier classifications for data center infrastructure. Each Tier aligns with a specific function in the business world and sets the appropriate criteria for power, cooling, maintenance, and capability to withstand a fault. Tiers are progressive; each Tier incorporates the requirements of all the lower Tiers. Additionally, Tiers has been demonstrated as a meaningful industry standard because Tiers allows a variety of solutions, allowing the flexibility to meet both the performance goals and comply with local statutes, codes, and regulations.

DataCenter Forum will present to the local participant’s solutions for the whole operational spectrum, available for both DC services providers, and for the organisations able to administrate their own infrastructure. Participants will have the possibility to evaluate and to discuss directly with specialists in cooling systems, UPS’, fire prevention, security, backup, data & disaster recovery, communication and networking, monitoring and maintenance, and more.

Tema Energy will present a mobile Data Center developed a proprietary concept and already implemented in some public and private organisations in Romania.  Established in 2002, Tema Energy is the leader in Romania in the Data Center and Power Supply system turn-key execution. What highly define our company are the management culture and our lasting experience in Integrated Systems and Solutions.

In line with the constant goal to promote new technologies and their benefits in the context of the digital transformation process, cloud☁mania will have an active presence at the DataCenter Forum 2018, as a media partner.

Join Free admission to DataCenter Forum 2018, hosted on May 10th by Willbrook Convention Center Bucharest, but don’t forget to REGISTER before.

CIO Council Romania aderă la asociația paneuropeană EuroCIO

Începând din anul 2018 CIO Council Romania s-a alăturat asociației pan-europene EuroCIO, reprezentând Corpul Național (National Bodies) al executivilor CIO din țara noastră la nivel european.

 

European CIO Association (EUROCIO) este o asociație independentă, non-profit, înregistrată în Bruxelles, și este singura asociație pan-europeană care reprezintă executivii CIO (Chief Information Officer) și directorii IT la nivel european. Ea are în componență peste 1.000 de membri din 16 țări europene. Comunitatea este formată atât din membri individuali, cât și din 13 asociații naționale care reprezintă peste 700.000 de specialiști din domeniul IT, cu bugete de peste 150 miliarde de euro anual.

EuroCIO militează pentru o platformă unică pentru executivii CIO și senior IT Professionals, în care aceştia pot schimba informații, împărtăși experiențe și studii de caz, pot stabili contacte și pot face networking la nivel european. Totodată, EuroCIO sprijină comunitatea de profesioniști IT în raport cu vendorii IT și autoritățile europene precum Comisia Europeană sau Parlamentul European, acordând sprijin în numeroase proiecte sau inițiative legislative europene din acest domeniu.

„Integrarea CIO Council Romania în marea asociație pan-europeană EuroCIO constituie o recunoaștere a valorii comunității IT din România și implicit a executivilor CIO din România. Aderarea la EuroCIO ne va permite să interacționăm în mod direct cu comunitatea CIO europeană, să schimbăm informații, să participăm și să influențăm proiectele și inițiativele legislative din domeniul tehnologiei informației ale Comisiei Europene”,  Yugo Neumorni, președinte CIO Council Romania.

Yugo Neumorni, CIO Hidroelectrica, reprezintă asociația CIO Council Romania în cadrul EuroCIO, fiind membru în Boardul asociației. Totodată, ocupă și funcţia de Cybersecurity Council Chairman. Reprezentanții EuroCIO vor fi prezenți la București pe 16 mai, în cadrul evenimentului CIO Council National Conference, ediția a VI-a, organizată de către CIO Council și Revista CARIERE.

CIO Council Romania a fost constituită în 2005 și este o asociație independentă, non-profit, care are în componența sa profesioniști IT din cele mai înalte poziții din ierarhia IT, numărând 85 de actuali și foști CIO.

FENOMENUL GDPR

Yugo NEUMORNI

Yugo Neumorni, CISA, EMBA este membru în Boardul asociației paneuropene EuroCIO și Chairman al Cybersecurity Council al EuroCIO. Este de asemenea președintele asociației CIO Council Romania, membru în British Computer Society Elite și Director IT al Hidroelectrica. A contribuit din poziția de CIO la ieșirea din insolvență a companiei Hidroelectrica și la transformarea în cea mai profitabilă companie din România. A coordonat cu succes implementarea unui proiect ERP complex pentru Hidroelectrica (300 utilizatori, 12 module) care a fost premiat cu Gold Winner in competiția SAP Quality Awards 2017 în categoria Fast Delivery. Anterior, Yugo a fost peste 10 ani Head of IT pentru Vimetco, cel mai mare producător de aluminiu din Europa de Sud-Est și peste 6 ani IT Manager în cadrul Deloitte Central Europe. Cu peste 24 de ani de experiență în industria IT, Yugo Neumorni este specializat în reorganizarea și dezvoltarea ecosistemelor IT din zona industrială și de manufacturing. Aria sa de expertiză include implementarea și dezvoltarea de proiecte ERP complexe, securitate IT și cybersecurity, sisteme SCADA și industrial control systems, IT audit și IT governance, modelare de procese în energie și manufacturing, COBIT framework. Este absolvent al Facultății de Automatizări și Calculatoare al Universităţii Politehnice Bucureşti și al programului EMBA de doi ani derulat în parteneriat de Asebuss și Kennesaw State University.

Practic de acum încolo toţi oamenii trebuie să gândească și să opereze zilnic în termenii GDPR, atât din perspectiva responsabilităţii ca angajat, dar și ca beneficiar în viaţa privată. Fenomenul GDPR apare într-un moment în care societatea s-a săturat de nenumăratele „accidente” prin care baze de date cu informații confidențiale ajung să circule liber în Internet, eliberate în mod voit, accidental sau sustrase prin atacuri de natura cibernetică.

Companii multinaționale de renume din toate sectoarele economice, alături de structuri din sectorul public sau de apărare, și-au văzut penetrate sistemele de securitate IT, având ca rezultat pierderea a sute de milioane de date medicale, financiare și alte informații cu caracter personal. Profilarea automată a persoanelor direct din instrumentele online sau prin rețelele sociale, agresivitatea vânzătorilor online și a departamentelor de marketing au devenit intens abuzive și constituie deja o intruziune nepermisă în viața privată a cetățeanului. Toate acestea au făcut ca societatea să ceară imperativ un control solid al operatorilor de date cu caracter personal și o schimbare de mentalitate asupra protecției datelor.

Interesant este că, deși legislațiile naționale dar și cea europeană aflate în vigoare acoperă de ani buni protecția datelor cu caracter personal, ele nu au fost popularizate și promovate până acum, rămânând practic necunoscute marelui public. Comasarea majorității actelor normative într-un singur regulament, optimizarea acestuia și promovarea ca directive europeană, dar mai ales creșterea considerabilă a cuantumului penalităților au făcut ca acest regulament GDPR să ajungă acum prioritate zero pentru companii.

Aplicarea regulamentului GDPR presupune schimbarea mentalității asupra protecției datelor, atât în companii, cât și în societate, în general. Ea implică cel puțin o procedurizare serioasă a proceselor de afaceri iar în multe situații o modificare substanțială a acestora. GDPR nu este un proces care se închide la 25 Mai ci, din contra, este un demers continuu care va modifica procesele operaționale ale companiilor. Practic de acum încolo toți oamenii trebuie să gândească și să opereze zilnic în termenii GDPR, atât din perspectiva responsabilității ca angajat, dar și ca beneficiar în viața privată.

În organizațiile insuficient de mature aplicarea GDPR este percepută în mod eronat ca fiind o responsabilitate a CIO când aceasta aparține, în realitate, Board-ului. La întreținerea acestei false percepții au contribuit din păcate și firmele de IT, care au văzut fenomenul GDPR ca o oportunitate de a vinde soluții de securitate IT.

Din perspectiva CIO, fenomenul GDPR aduce o mare provocare profesională și mult stres, dar și un sprijin și o argumentație în plus la constituirea bugetelor IT. Se știe de ani de zile despre dificultatea de „a vinde” securitatea IT către Board, mai ales în contextual în care operațiunile IT au fost mai mereu „pe verde”. Executivii nu acceptă cu ușurință nevoia de securitate IT în principal, pentru că este un element oarecum intangibil, și cu impact negativ în P&L. Regulamentul GDPR pune în mâna CIO, prin intermediul DPO, suficiente argumente pentru o bugetare corectă în domeniul securității IT și a protecției datelor personale.

GDPR este un fenomen eminamente pozitiv pentru societate, care deschide noi oportunități pentru „data protection officers”. Simultan directorii și departamentele IT se repoziționează și primesc un mare balon de oxigen în evanghelizarea nevoii de securitate IT și de protecție a datelor. Privită din anumite unghiuri însă, o interpretare excesivă și abuzivă a GDPR, în lipsa unor norme de aplicare clare, poate conduce la dereglarea mediului economic.

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. a 8-a, București, martie 2018, pag. 54-55. 

Cu ocazia celei de-a șasea Conferințe Naționale CIO Council Romania care va avea loc pe 16 mai, Yugo Neumorni va modera atît sesiunea principală din deschiderea evenimentului, cât și alte sesiuni cu subiecte deosebit de importante. 

A ȘASEA CONFERINȚĂ NAȚIONALĂ CIO COUNCIL ROMANIA

Cea de-a VI-a ediție a Conferinței Naționale a Managerilor de IT din România, organizată de către CIO Council și Revista CARIERE, va avea loc pe 16 mai 2018 la Hotel Radisson Blu din București.

Conferința CIO Council este concepută ca un forum care oferă o platformă de rețea pentru CIO-uri și CxO din cadrul organizațiilor de vârf. Participanții vor fi angajați în dezbateri provocatoare și schimburi inovatoare de cunoștințe cu membrii CIO Council și lideri din industrie cu privire la oportunitățile oferite de transformarea digitală și noile trenduri în industria IT.

Evenimentul va reuni peste 250 de profesioniști și manageri din domeniul tehnologiei (CIOs și COOs), oferindu-le acestora o excelentă ocazie de a discuta despre noile tendințe IT: inteligența artificială, automatizare, robotizare, machine learning. Pe măsură ce tehnologia digitală își continuă avansul, noile reglementări GDPR și amenințările de securitate informatică pun o presiune extraordinară pe umerii CIOs și a decidenților din industria IT.

CIO Council este Asociația Directorilor de Tehnologia Informațiilor și Comunicații din România și reunește peste 80 de membrii ce dețin sau au deținut funcția de Chief Information Officer/Director IT în mari corporații românești sau multinaționale din domenii diverse de activitate.

Principalele teme de discuție ale ediției din acest an:

  • Top 10 tendințe digitale pentru anul 2019
  • Creșterea afacerilor prin IoT, AI, machine learning, robotizare și imprimare 3D
  • Viitorul aplicațiilor de business intelligence se bazează pe AI și machine learning
  • Secretul tehnologiei blockchain
  • Data privacy și GDPR – o schimbare culturală majoră în societate.
  • Construirea unei culturi de cybersecurity
  • Cybersecurity pentru automatizarea industrială și sistemele de control
  • Viitorul orașelor inteligente
  • Forța de muncă digitală / Locul de muncă al viitorului. Inteligența artificială poate fi înlocuirea potrivită pentru oameni?
  • Atragerea și menținerea talentului într-un ecosistem digital
  • Sistemul educațional este pregătit să susțină tehnologia inovativă?
  • Agenda digitală europeană

Conferința este sprijinită de către asociația paneuropeană EuroCIO prin prezența dlui Emmanuel Gaudin, Chairman al asociației și CIO Lagardere; CIO Council România reprezintă România în cadrul asociației EuroCIO începând din 2018. Conferința va fi moderată de către Yugo Neumorni, Președinte CIO Council România și Director IT&C, Hidroelectrica.

Ca principali speakeri în siunile dedicate vor fi: Cătălina Dodu, Managing Atos Cybersecurity Business in CEE, Atos; Carmen Adamescu, Partner, Head of IT Advisory Services, EY Romania; Marius Iordache, IP Network Architect, Orange România; Roxana Ionescu, Partner, Head of Data Protection practice, NNDKP; Vlad Tănase, Partner, NNDKP; Vladan Pekovic, Chief Technology and Information Officer, Telekom Romania; Cătălin Popescu, CIO Council Member; Radu Brașoveanu, CIO Council Member; Liviu Buligan, Executive Director SoftOne România și alții.

  • Supporting Partners: DELLEMC, Atos, Orange România;
  • Parteneri: NNDKP, SoftOne, EY România, Softline, Bitdefender, Telekom România, Relational și Informatica;
  • Networking Partners: SoftwareONE; Koding, Crescendo, ASBIS România;
  • Parteneri media: Revista HR Manager, HR Club, Biz, Wall-Street, Portal HR, Jurnalul de Afaceri, Repatriot, Elite Business Women, Business Review, ISACA, Agora, Market Watch, ANIS, ARASEC, CloudMania, RisCo.

Mai multe informații despre speakeri, agenda și înregistrare puteți găsi pe site-ul evenimentului:  www.cioconference.roPentru înregistrarea la eveniment accesați http://www.cioconference.ro/register

Protecția și libera circulație a datelor personale într-o lume tot mai conectată

Avem nevoie de o cultură în protecția informațiilor, fie că este vorba de securitate cibernetică ca termen general sau de datele personale în perspectiva GDPR.  Acesta a fost principala concluzie a conferinței de Securitate cibernetică din 2018, organizată de iBusiness România și Agora Group pe 22 martie cu sprijinul Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor, Asociației Naționale pentru Securitatea Sistemelor Informatice (ANSSI) și DB Connect.

Cea de-a 4-a ediție a conferinței ”Provocările securității cibernetice într-o lume interconectată: politici, business-uri, strategii” s-a derulat de altfel sub semnul marelui eveniment din acest an: începerea aplicării prevederilor Regulamentului european pentru protecție datelor personale. Nu a fost prezentare pe toată durata conferinței fără să nu aibă măcar un slide despre GDPR…

Ediția din acest an a Forumului economic mondial de la Davos a acordat o atenție specială tehnologiilor emergente și pe impactul pe care acestea îl au asupra societăților, modelelor economice și sociale și în cele din urmă asupra “viitorului comun” într-o piață globală. Pe măsură ce tehnologiile evoluează, problemele de securitate cibernetică sunt deja parte din fiecare segment al vieților noastre, al activității noastre, a ambientului nostru social.

Ca răspuns la această formidabilă dinamică a adoptării inovației tehnologice s-a simțit nevoia unei armonizări și în zona legislativă, unde protecția și mai ales confidențialitatea datelor personale se lovește de la o zi la alta de noi provocări, generate pe de o parte de tehnologie, și pe de altă parte de lipsa de pregătire a oamenilor în asimilare acestor tehnologii.

Evenimentul a fost structurat în două sesiuni care au abordat:

  • Politicile de securitate cibernetică în contextul alianțelor internaționale din care România face parte – un panel de discuții la care au participat importanți reprezentanți ai sectorului public, apărare, SRI, entități guvernamentale răspunzătoare cu politicile de securitate cibernetică, precum și specialiști din sectorul privat.
  • Securitate cibernetică, cele mai bune practici și soluții în contextul mai amplu al adoptării GDPR și al implementării tehnologiilor emergente – secțiune unde am discutat nu numai despre valențele de Securitate a datelor din GDPR dar și despre importanța factorului uman și a existenței unui cadru legal care să ne ajute să asimilăm protecția datelor personale ca pe orice normă de muncă, spre binele organizației.

Datorită formidabilului impact pe care GDPR îl generează nu numai în mediile de business, cam toate prezentările din prima sesiune au făcut referire la necesitatea ca eforturile de aliniere la GDPR și portofoliul de norme generate și adoptate să contribuie la o reală educație în protecția tuturor datelor și reducerea vulnerabilităților datorate lipsei de pregătire a personalului. Astfel, Alexandru Groșeanu, președinte al Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor s-a referit la vulnerabilitățile de securitate cibernetică specifice sectorului public, unde se impune mai mult ca oriunde crearea unei culturi la nivelul utilizatorilor.

În prezentarea Human Point System, Nick Nicolaescu – country manager la Forcepoint s-a referit la cel mai recent concept al companiei, în care component umană este cheia securității cibernetice, fiind zona de intersecție dintre utilizatori, date și rețele, prin intermediul sistemelor IT, în Cloud și pe fiecare dispozitiv. Pentru a înțelege ritmul oamenilor și al fluxurilor de date, este nevoie de informații în timp real care să analizeze comportamentele riscante ale utilizatorilor neinstruiți sau rău-intenționați. Adică un sistem care permite luarea rapidă și eficientă a deciziilor de comportament și remedierea amenințărilor.

Unul dintre domeniile în care protecția datelor personale este deosebit de senzitivă este cel al sănătății. Daniel Nistor – CEO al companiei Info World a abordat câteva dintre provocările pe care GDPR le pune în fața instituțiilor publice și private din sectorul medical, unde compania are peste 15 ani de experiență.  Aplicațiile Info Word furnizează informații și instrumente de analiză atât către managementul unităților medicale, personalul administrativ și specialiștii în servicii de sănătate, cât și pacientului, autorității de sănătate publică sau finanțatorilor sistemelor medicale.

Tot în secțiunea dedicată GDPR, Dragoș Bâlcu – Business Development Manager la Intrarom/ Intracom Telecom a discutat despre necesitatea asigurării protecției datelor în orice locație. Indiferent de natura și dotările oricărei rețele securitatea este una dintre cele mai critice entități ce trebuie administrate. Sistemul de management al securității informației dezvoltat de Intracom Telecom are ca principal obiectiv asistarea clienților pentru o cât mai bună înțelegere a poziționării în fluxul de circulație a informației și stabilirea celor mai adecvate măsuri de limitare a riscurilor specifice organizației.

O prezentare deosebit de interesantă a fost susținută de Magda Popescu, ca reprezentantă Cyber Smart Defence, care s-a referit la activitățile de hacking din perspectiva GDPR. În eforturile de aliniere la noul regulament European, orice companie trebuie să își stabilească propria politică de protejare  datelor personale, precum și un plan de administrare a riscurilor care să include și măsurile ce trebuie respectate în cazul semnalării unor breșe de Securitate. Un astfel de plan pe termen lung trebuie să includă și o serie de simulări care generează breșe și urmăresc modul de reacție al celor care răspund de luarea primelor măsuri, care includ și anunțarea Autorității de supraveghere în maximul 72 de ore de la constatare și, în cazul unor breșe grave, chiar anunțarea persoanelor vizate.  Compania Cyber Smart Defence este printre puținele specializate în teste de penetrare a sistemelor informatice care ajută clienții să descopere care sunt zonele vulnerabile din cadrul sistemelor informatice sau care sunt credențialele utilizatorilor autorizați. În plus, se poate  identifica nivelul de acces al utilizatorilor înregistrați ca anonimi, utilizatorilor regulați și al administratorilor de sistem.

O modalitate pragmatică de abordare a unui proiect de implementare GDPR a fost oferită de Răzvan Cioc – Information Security Specialist în cadrul DB Global Technology.  Centrul tehnologic al DB din România dezvoltă soluții software de cel mai înalt nivel pentru operațiunile globale ale Deutsche Bank şi reprezintă o platformă pentru ingineri software cu nivel înalt de pregătire, fiind operațional din 2014. Deutsche Bank este prezentă pe piața din România din anul 1998, oferind produse şi soluții personalizate pentru Corporate, Investment şi Transaction Banking, pentru clienţi corporativi şi instituţionali, precum şi servicii de Private Wealth Management pentru clienţii persoane fizice.

Una dintre cele mai importante componente a oricărui sistem de protecție a datelor personale este zona de stocare a acestora. De felul în care sunt salvate și stocate datele depinde în mare măsură un proiect de implementare GDPR. În deschiderea secțiunii dedicate GDPR am avut prilejul de a vedea cum ne putem crea propriul Server virtual Cloud SSD în doar 29 de secunde.  Serviciile oferite de compania Combridge, componentă a Deutche Telekom Group, fac această operațiune extrem de simplă. Prin accesarea site-ului www.cloude.ro se poate crea un cont de utilizator. Infrastructura de tip Cloud este construită pe cea mai recentă tehnologie Octa Core (8 Core) CPU, ECC RAM și servere SSD Raid, în timp ce virtualizarea KVM oferă capacități extinse de scalabilitate, performanță Enterprise Class și securitate. Panoul de control foarte ușor e utilizat, rețeaua internațională rapidă și infrastructura elastic, fac din tehnologia de virtualizare oferită de Combridge una dintre soluțiile cu cele mai dezvoltate caracteristici, preferată de majoritatea organizațiilor.

Așa cum arătam și în prezentarea mea ”Cultura GDPR ca motor al conformității pe termen lung” din cadrul sesiunii dedicate, pentru crearea unei culturi GDPR companiile trebuie să adopte o abordare proactivă, metodică și responsabilă cu privire la conformitate, o cultură de confidențialitate și de protecție a datelor personale. Dacă vrem ca oamenii să-și schimbe comportamentul, trebuie să-i motivăm să-și dorească să facă acest lucru. Oamenii  trebuie să înțeleagă de ce este important. Pentru că implementarea GDPR nu este un simplu proiect IT. Este un proces complex care implică oameni, proceduri și tehnologii. Din punctul de vedere al factorului uman, alinierea la GDPR este în primul rând un proces de schimbare. Această schimbare este o mare provocare pentru oameni, dacă nu pot să conecteze riscurile de confidențialitate a datelor la propriile roluri și vieți private.

Crearea politicilor necesare pentru implementarea unei culturi GDPR la nivel de organizație constituie unul dintre serviciile oferite în mod curent cliențiilor de către GDPR Ready Services. Pentru a educa eficient personalul și a construi o cultură de GDPR stabilă, trebuie stabilită o politică clară prin care trebuie să:

  • Definim atribuții periodice și punctuale clare pentru toți cei implicați în prelucrarea datelor personale.
  • Realizăm campanii periodice de sensibilizare și cunoaștere
  • Asigurăm conștientizarea confidențialității în noile medii de business sau cu noi angajați.

Organizațiile trebuie să-și schimbe mentalitatea și oamenii de decizie trebuie să fie un exemplu. Succesul unui proiect GDPR pe termen lung se bazează pe crearea unei culturi la nivel de organizație, în care oamenii se gândesc în primul rând la modul în care ar dori ca informațiile lor personale să fie procesate. Companiile trebuie să adopte această atitudine atunci când manipulează datele personale ale clienților, ale angajaților și ale altor subiecți. Nu este vorba doar despre amenințarea cu sancțiuni financiare. Este vorba de continuitate în business și de construirea unei atitudini de încredere.

Cum îl convingem pe director că nu e de glumă cu GDPR?

Primul pas în demararea unui proiect de obținere a conformității GDPR este de înțelegere și conștientizare a importanței noii legislații europene, atât pentru organizația noastră, cât și pentru întreg ecosistemul de business în care suntem angrenați: angajați, furnizori, parteneri, clienți. Care e trista realitate? Cam 60% dintre managerii români se lasă greu convinși…

La nivel de organizație, conștientizarea vizează toți factorii de conducere și departamentele direct implicate în procesarea datelor cu caracter personal. Cei care iau decizii și oamenii cheie din organizație trebuie sa fie conștienți că legea se schimbă în GDPR. Ei au nevoie să aprecieze impactul eventualelor probleme de conformitate în cadrul GDPR. Ar fi util să începem examinând registrul de risc al organizației, dacă avem unul. Implementarea GDPR ar putea avea implicații semnificative asupra resurselor, în special pentru organizațiile mai mari și mai complexe. S-ar putea să descoperiți că este dificil dacă îți lași pregătirile până în ultima clipă…

De ce e importantă Conștientizarea importanței GDPR? Pentru că, deși cele mai multe componente ale GDPR se regăsesc și în legislația actuală, noua reglementare europeană vine cu o serie de noi prevederi care pot schimba dramatic cursul firesc al unui business, în cazul în care nu sunt tratate cu toată considerația.

Cine sunt responsabilii de business interesați de GDPR?

Protecția datelor nu este doar o responsabilitate a departamentului IT, ci trebuie luată în serios la cel mai înalt nivel și în departamentele implicate în procesarea datelor personale, precum cel juridic, resurse umane, financiar, marketing & vânzări, toate acestea în strânsă colaborare cu cel de IT.

Prin natura prevederilor, în orice organizație factorii responsabili de bunul mers al implementării GDPR trebuie să fie reprezentanți de top sau delegați pentru fiecare dintre departamentele. Selecția se face de obicei pe bază de organigramă împreună cu reprezentantul HR și management:

  • Top management – un director executiv sau operațional care coordonează managerial activitatea Grupului de lucru GDPR. De ce e important reprezentantul managerial? Pentru ca acesta trebuie să capaciteze structura de top pentru aprobarea întregului proiect de conformitate: bugete, resurse umane, DPO, operațiuni, etc.
  • HR – un director de resurse umane sau un delegat responsabil de conformitatea administrării datelor personale ale angajaților (actuali, foști și cei în curs de angajare). Indiferent de natura activității companiei, departamentul HR are întotdeauna rol de operator al datelor personale ale angajaților.
  • Financiar-Contabilitate – responsabilități în strânsă legătură cu HR, prin datele despre salarizare, dar și un rol important în stabilirea și gestionarea bugetelor.
  • Departamentul juridic – ”oamenii legii” din companie sunt primii care trebuie sa asigure generarea și coerența activităților legate de adoptarea unui plan de acțiune, în acord cu legislația. Juriștii trebuie să explice legea tuturor departamentelor implicate și trebuie să supervizeze actualizarea contractelor de angajare sau a fișelor de post în concordanță cu prevederile GDPR, dar și cu legislația muncii. Juridicul are un rol important și în situația apariției incidentelor, gestionând relațiile legislative ale companiei cu forurile și autoritățile competent
  • Marketing & Sales – un director, reprezentant al departamentului de marketing +/- vânzări. Prin relația directă cu clienții și partenerii, departamentul de marketing e direct răspunzător de toate activitățile de promovare și CRM, cu tendința către PLM.
  • Departamentul IT – în funcție de mărimea companiei și existența posturilor respective, implică CTO, CIO, CSO și toți membrii care au o certificare legată direct de protecția și securitatea datelor.
  • Departamentul de calitate – pentru companiile care au implementat o certificare sau un standard de calitate. Mulți spun că prin poziția și competențele sale, directorul de calitate – acolo unde există – este cel mai apropiat de poziția de DPO, pentru că știe totul despre companie, organizare, procese de business, fluxuri de date, organigrama, resursele tehnice, etc.
  • Candidatul pentru DPO – acolo unde este cazul, se alege / stabilește dintre membrii acestei echipe, în funcție de nivelul de experiență. Nu este o regulă, dar pentru organizațiile mari se recomandă alegerea unui DPO Adjunct, cu rolul de a prelua coordonarea activităților esențiale în cazul indisponibilității DPO titular.
  • Specialiști externi – din oricare domeniu cu competențe de consultanță și consiliere.

Cum conștientizăm echipa de implementare GDPR?

Există și aici o serie de pași și de proceduri pe care trebuie să le abordăm:

  • Plan coerent de discuții, înțelegere și interpretare a prevederilor GDPR în funcție de profilul și mărimea companiei.
  • Prezentări de conștientizare cu șefi de departamente și la nivelul fiecărui departament direct implicat în procesarea datelor personale.
  • Fiecare membru al echipei de implementare trebuie să înțeleagă rolul său individual și colectiv pentru bunul mers al lucrurilor.

Din păcate, așa cum se poate constata în peisajul nostru actual de business, doar 4 din 10 manageri sunt conștienți de importanța și de impactul GDPR asupra afacerilor pe care le administrează. Cei mai mulți se lasă greu convinși de către un director de resurse umane sau de IT și lasă pe seama acestora responsabilitatea agregării unei echipe sau numirea unui responsabil e proiect. Pe de altă parte, nici în rândul acestor echipe nu există același nivel de implicare. Indiferent de departament, vechime și pregătire, toți membrii echipei de implementare GDPR trebuie să vorbească aceeași limbă și să participe la elaborarea și urmărirea planului comun de acțiune.

Conținutul acestui articol a fost publicat și în ”Ghidul practic GDPR” din cea de-a doua ediție a Catalogului GDPR apărut în martie 2018

Abordarea GDPR prin prisma unei experiențe de 10 ani

Fernanda Velter

Fernanda Velter

Fernanda Velter are o experiență de peste 10 ani în domeniul protecției și securității datelor în cadrul IBM, unde deține la ora actuală funcții de GDPR Readiness Coordinator for Europe CiCs, Security and Privacy Practice Lead, precum și Data Security&Privacy Center of Competency Leader. Opiniile prezentate în acest articol reprezintă recomandările personale, în calitate de specialist GDPR nu reflectă în nicio circumstanță poziția oficială a IBM.

 

Noțiunea de protecție a datelor cu caracter personal nu este nouă în spațiul Uniunii Europene. Aceasta a fost introdusă încă din 1995, prin directiva 95/46/EC.

Ceea ce aduce nou GDPR sunt în primul rând amenzile usturătoare și drepturile mult mai bine definite ale posesorilor de date. Pentru abordarea GDPR, companiile trebuie să implice toate nivelele de management din organizație. O amenda de 20 milioane de EUR sau 4% din cifra de afaceri va afecta întreaga companie, atât din punct de vedere financiar, al imaginii companiei, dar și din punct de vedere al culturii și climatului organizațional.

Departamentul juridic se confruntă prin aceasta lege cu noțiuni și abordări noi ale activităților companiei, și va avea nevoie de suportul tuturor departamentelor: HR, IT, operațional, producție, financiar, marketing, comunicații. Bineînțeles că efortul administrativ va crește pe măsură ce structura companiei, valoarea tranzacțiilor și numărul de angajați crește.

Cele mai multe companii vor avea rolul de operator de date – datorită colectării datelor angajaților, dar și prin activitatea din segmentul business2consumer. Companiile care au acces la date personale operate de clienții lor, în segmentul business2business, vor avea rolul de procesator.

Pentru a respecta obligațiile aferente, atât în rolul de operator, cât și cel de procesator, primul pas ar trebui sa fie reprezentat de identificarea datelor personale la care are acces compania prin diferitele activități, a proceselor prin care acestea sunt accesate/procesate/stocate și a mediilor/aplicațiilor de procesare a datelor. În acest proces trebuie să înțelegem că vorbim nu numai despre datele personale ale angajaților companiei, ci despre orice fel de date personale la care există acces: clienți, subcontractori, chiar și angajați ai autorităților locale.

După acest pas, este indicat să încercam pe cât putem să minimizam cantitatea de date personale la care avem acces (întotdeauna întrebați “de ce este nevoie de acest acces?”) prin implementarea unor metode de mascare (un simplu număr de identificare poate înlocui numele și prenumele angajatului) sau cel mai indicat, metode avansate de anonimizare.

Suntem conștienți că, nu numai din motive legislative, accesul la date personale nu poate fi eliminat total. Companiile trebuie să implementeze procese pentru protejarea acestor date de accesul neautorizat și folosirea în alte scopuri decât cel intenționat. De asemenea, operatorii sunt primar responsabili pentru obținerea acordului subiecților de date pentru colectarea, procesarea si stocarea datelor în condițiile reale în care se realizează aceste activități (de exemplu stocarea datelor se face în cloud, pe un server din Oceanul Atlantic).

Controlorii de asemenea trebuie să se asigure că toți procesatorii și sub-procesatorii (furnizorii procesatorilor, până la ultimul nivel) au procese implementate pentru respectarea obligațiilor impuse de GDPR acestora, așa numitele măsuri tehnice și organizaționale. Este dreptul controlorilor de a audita metodele de implementare ale măsurilor tehnice și organizaționale ale procesatorilor, fie prin departamentul propriu de audit, fie prin auditori externi. Aici intervin din nou costuri, care de acum vor trebui prevăzute în bugetele anuale ale companiilor.

Procesatorii au de asemenea acest drept de audit fata de furnizorii lor și mai mult decât atât, cerințele controlorilor vor trebui implementate până la ultimul nivel de subcontractare, dacă nu sunt asigurate de către primul procesator (de exemplu, semnarea de acorduri de confidențialitate).

Procesatorul trebuie să decidă dacă își va exercita dreptul de audit prin efectuarea lui doar la primul nivel de subcontractare și va accepta din partea acestui nivel o declarație de conformitate, sau va efectua auditul până la ultimul nivel de subcontractare.

În încheiere, un ultim sfat pentru a asigura protejarea companiilor dumneavoastră: nu este de ajuns să faceți un addendum la contractele existente care doar să facă referire la GDPR. Este indicat sa aveți cât mai detaliat descrise categoriile de date la care aveți/dați acces, subiecții de date ale căror date le controlați/procesați, tipurile de activități efectuate cu aceste date și măsurile tehnice și organizatorice care trebuie implementate.

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. A 8-a, București, martie 2018, pag. 64-65. 

Avem ISO 27001: ce ne mai trebuie pentru alinierea GDPR?

 

GDPR încurajează utilizarea unor sisteme de certificare pentru a demonstra că organizația gestionează în mod activ securitatea datelor în conformitate cu cele mai bune practici internaționale. Cei care cunosc standardul 27001 pentru securitatea informațiilor spun că acesta se ”potrivește mănușă” cerințelor de bază pentru asigurarea securității datelor personale și prelucrării acestora. Unii chiar afirmă că foarte puține dintre controalele prevăzute de ISO 27001 nu își regăsesc echivalentul în cele 99 de articole din GDPR. Cu toate acestea, acest standard nu apare nici măcar o dată menționat în textul GDPR publicat în aprilie 2016, iar cunoscătorii afirmă că implementarea lui nu este suficientă pentru alinierea la GDPR. Haideți să vedem cum ne ajută ISO 27001 și mai ales ce ar mai avea de făcut pentru GDPR organizațiile care au implementat deja acest standard.

În GDPR se fac numeroase referințe la importanța sistemelor de certificare pentru atingerea mai rapidă a conformității.  În articolul 42, se încurajează ”instituirea de mecanisme de certificare în domeniul protecţiei datelor, precum şi de sigilii şi mărci în acest domeniu, care să permită demonstrarea faptului că operaţiunile de prelucrare efectuate de operatori şi de persoanele împuternicite de operatori respectă prezentul regulament.”

Ce este ISO 27001?

ISO 27001 este standardul internațional de bune practici pentru securitatea informațiilor și cuprinde cele trei aspecte esențiale ale unui regim comprehensiv de securitate a informațiilor: oameni, procese și tehnologie. Prin această abordare tridimensională la punerea în aplicare a măsurilor de protecție a informațiilor, compania se poate apăra nu numai de riscurile bazate pe tehnologie, ci și de alte amenințări mai frecvente, cum ar fi personalul prost informat sau procedurile ineficiente.

Versiunea care a stat la originea actualului standard se numea BS 7799 și a fost publicată în 1995 de Departamentul Comerțului și Industriei (DTI) al Regatului Unit. De atunci, a suferit mai multe iterații până să devină un recunoscut standard industrial. Versiunea actuală a fost creată de către Organizația Internațională pentru Standardizare (ISO) împreună cu Comisia Electrotehnică Internațională (IEC) în 2013. În esență, este o specificație pentru un Sistem de Management al Securității Informațiilor (Information Security Management System – ISMS), pentru a ajuta organizațiile de orice dimensiune, tip sau natura afacerii pentru a gestiona persoane, procese și tehnologie.

Ce au în comun ISO 27001 și GDPR?

Paralela dintre GDPR și ISO 27001 este evidentă atunci când vine vorba de securitatea datelor personale identificabile. Atât pentru respectarea GDPR, cât și pentru ISO 27001 organizațiile sunt obligate să pună în aplicare măsuri de securitate adecvate pentru a asigura confidențialitatea, disponibilitatea și integritatea.

GDPR prevede în mod clar la articolul 32 că “operatorul și procesatorul trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului. ISO 27001 oferă mijloacele necesare pentru a asigura această protecție. Există multe puncte în care standardul ISO 27001 poate ajuta companiile să realizeze respectarea acestei reglementări. Iată câteva dintre cele mai relevante.

ISO 27001 este un cadru pentru protecția informațiilor. Potrivit GDPR, datele personale sunt informații critice pe care toate organizațiile trebuie să le protejeze. Desigur, există cerințe GDPR care nu sunt acoperite în mod direct de ISO 27001, dar dacă implementarea standardului ISO 27001 identifică datele personale ca fiind un element de securitate a informațiilor, majoritatea cerințelor GDPR vor fi acoperite.

Formarea unui sistem de management al securității informațiilor (Information Security Management System – ISMS) permite organizațiilor care procesează date cu caracter personal să demonstreze că riscurile pentru datele cu caracter personal sunt revizuite în mod continuu, actualizate și îmbunătățite. Un ISMS stabilit este cadrul perfect pentru gestionarea riscurilor pentru toate activele, inclusiv pentru datele personale și pot oferi asigurări din care reiese că organizația abordează respectarea conformității ISO 27001 și GDPR în mod serios. În unele cazuri, controalele pot fi mapate cu precizie la articolele GDPR, ambele surse partajând un conținut asemănător. În alte cazuri, controalele pot bătători calea, iar conformitatea GDPR poate fi atinsă cu ceva muncă și eforturi suplimentare. Chiar și în cazul în care textul GDPR deviază de la controalele ISO, obiectivele principale nu diferă radical.

Pseudonimizarea și criptarea – Criptarea datelor este recomandată de ISO 27001 ca fiind una dintre măsurile care pot și ar trebui luate pentru a reduce riscurile identificate. ISO 27001 conturează 114 controale care pot fi utilizate pentru a reduce riscurile de securitate a informațiilor. Deoarece controalele efectuate de o organizație se bazează pe rezultatele unei evaluări a riscurilor conforme ISO 27001, organizația va putea să identifice care active sunt expuse riscului și care necesită criptare pentru a le proteja în mod adecvat.

Evaluarea riscurilor – ISO 27001 mandatează organizațiile să realizeze o evaluare aprofundată a riscurilor prin identificarea amenințărilor și a vulnerabilităților care pot afecta activitățile de informare ale unei organizații și să ia măsuri pentru a asigura confidențialitatea, disponibilitatea și integritatea acestor date. GDPR cere în mod special o evaluare a riscurilor pentru a se asigura că o organizație a identificat riscuri care pot afecta datele cu caracter personal. În conformitate cu controlul A.8.2.1 (Clasificarea informațiilor): “Informațiile trebuie clasificate în funcție de cerințele legale, valoare, critică și sensibilitate față de dezvăluirea sau modificarea neautorizată.”

Măsuri adecvate pentru risc – Spre deosebire de legislația actuală privind protecția datelor, GDPR oferă sugestii specifice pentru ce tipuri de acțiuni de securitate ar putea fi considerate “adecvate pentru risc “, inclusiv:

  • Pseudonimizarea și criptarea datelor cu caracter personal;
  • Abilitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor de prelucrare și Servicii;
  • Abilitatea de a restabili disponibilitatea și accesul la datele personale în timp util, în cazul unei situații fizice sau incident tehnic;
  • Un proces de testare, evaluare periodică pentru eficacitatea măsurilor tehnice și organizatorice de asigurare a securității procesării.

ISO 27001 cere organizațiilor să implementeze măsuri adecvate prin controalele organizaționale și tehnice pentru a sprijini respectarea acestor cerințe. Controlul A.10.1 specifică cerințele de criptare pentru organizare. Utilizarea criptării și / sau pseudonimizarea pot asigura confidențialitatea informațiilor personale, indiferent dacă acestea sunt folosite în rețea, în tranzit sau pe dispozitive mobile.

A.9 acoperă subiectul controlului accesului, care, dacă este implementat în mod corespunzător, ne va asigura că numai persoanele cu un drept legitim pot accesa informațiile în funcție de nivelul lor de privilegii. În plus, sistemele IT trebuie să fie suficient de rezistente la atacuri externe. Cadrul de control ISO 18.2.3 recomandă companiilor să efectueze teste de vulnerabilitate și teste de penetrare cu grijă, astfel încât sistemele testate să nu fie compromise.

Sursa: Pinterest

Clasificarea informațiilor – Datele sunt în centrul fiecărei afaceri și de aceea clasificarea este atât de importantă. Clasificarea informațiilor asigură manipularea corectă și monitorizarea informațiilor sensibile în interiorul și în afara unei afaceri, aspect critic atunci când este vorba de protejarea celor mai valoroase date.

ISO 27001 nu descrie nivelurile de clasificare – ceea ce ne oferă libertatea de a ne stabili propriile reguli – în funcție de complexitatea fluxurilor de date din organizație. Un număr mare de scurgeri de date sunt accidentale și pot fi evitate printr-o politică de clasificare a datelor prin sensibilizarea utilizatorilor și prevenirea transferului neautorizat al conținutului cu caracter delicat.

Conformitatea – Prin implementarea standardului ISO 27001, datorită controlului A.18.1.1 (Identificarea legislației aplicabile și a cerințelor contractuale) este obligatorie existența unei liste a cerințelor legislative, statutare, de reglementare și contractuale relevante. Cum aproape orice organizație trebuie să fie conformă cu GDPR, Regulamentul va trebui să facă parte din această listă. Controlul A.18.1.4 (Confidențialitatea și protecția informațiilor de identificare personală) reprezintă chiar o substituție a GDPR pentru regiunile unde acesta nu este disponibil.

Notificare privind încălcarea – Companiile vor trebui să notifice autoritățile de date în termen de 72 de ore de la descoperirea unei încălcări a datelor cu caracter personal. Implementarea controlului ISO 27001 A.16.1 (Managementul incidentelor și îmbunătățirilor în materie de securitate a informațiilor) va asigura “o abordare consecventă și eficientă a gestionării incidentelor de securitate a informațiilor, inclusiv a comunicării privind evenimentele de securitate”. Potrivit GDPR, persoanele vizate trebuie să fie notificate numai dacă pierderea de date prezintă un” risc ridicat pentru drepturile și libertatea subiectului. Implementarea gestionării incidentelor, care are drept rezultat detectarea și raportarea incidentelor de date cu caracter personal, va aduce o îmbunătățire organizației care dorește să se conformeze GDPR.

Gestionarea incidentelor este unul dintre procesele cheie  pentru a asigura eficiența oricărei operațiuni de afaceri, iar ISO 27001 prin clauza A.13 vine cu un nivel egal, dacă nu superior, de importanță față de alte standarde și norme. Managementul incidentelor trebuie să facă parte din politicile de securitate ale oricărei organizații, alături de procedurile de backup, continuitate în business, recuperarea în caz de dezastru, gestionarea riscurilor și gestionarea configurației.

Gestionarea activelor – Controlul ISO A2.8 (Asset Management) conduce la includerea datelor cu caracter personal ca active de securitate a informațiilor și permite organizațiilor să înțeleagă ce date personale sunt implicate și unde să le stocheze, cât timp, care este originea și cine are acces, care sunt toate cerințe ale GDPR.

Confidențialitatea prin design – Adoptarea conceptului de confidențialitate prin design, o altă cerință EU GDPR, devine obligatorie în dezvoltarea de produse și sisteme. Controlul ISO 27001 A.14 (Achiziționarea, dezvoltarea și întreținerea sistemelor) asigură faptul că “securitatea informațiilor este o parte integrantă a sistemelor informatice pe parcursul întregului ciclu de viață”.

Relațiile cu furnizorii – Controlul A.15.1 (Securitatea informațiilor în relațiile cu furnizorii) necesită “protecția activelor organizației accesibile de către furnizori”. Potrivit GDPR, organizația deleagă procesarea și stocarea de către furnizori a datelor cu caracter personal; ea trebuie să respecte cerințele regulamentului prin clauzele speciale din contactele de business.

Oameni, procese, tehnologie

Securitatea informațiilor nu se referă numai la tehnologie; este vorba de oameni și procese. Pe lângă controalele tehnice adoptate, documentația structurată, monitorizarea și îmbunătățirea continuă, implementarea standardului ISO 27001 promovează o cultură de conștientizare a incidentelor de securitate în cadrul organizațiilor. Angajații acestor organizații sunt mai conștienți și au mai multe cunoștințe pentru a putea detecta și raporta incidentele de securitate.

Cerințele pentru îndeplinirea standardului ISO 27001 nu se opresc aici. Fiind un standard larg, acesta acoperă multe alte elemente, inclusiv importanța formării profesionale a personalului și sprijinul din partea conducerii. ISO 27001 a fost deja adoptată de mii de organizații la nivel global, fiind unul dintre cele mai populare standarde ale sistemului de management de astăzi.

Este suficient ISO 27001?

Există câteva cerințe cheie GDPR care nu sunt direct acoperite în ISO 27001, cum ar fi conceptele-cheie de: consimțământ, prelucrare echitabilă, minimizarea datelor, limitarea stocării, cerința de a desemna un responsabil cu protecția datelor și susținerea drepturilor indivizilor privind accesul, rectificarea, ștergerea și transferul de date.

Cu toate acestea, este clar că ISO 27001 oferă un cadru care oferă o bază solidă pentru respectarea standardelor GDPR. Dacă organizația a implementat deja standardul, aceasta este cel puțin la jumătatea drumului spre asigurarea protecției datelor personale și minimizarea riscului de scurgere, din care impactul financiar și vizibilitatea pot fi catastrofale pentru organizație.

Primul lucru pe care o organizație ar trebui să-l facă este să efectueze o analiză GAP pentru a vedea ce mai are de făcut pentru a îndeplini cerințele GDPR și apoi aceste cerințe pot fi ușor adăugate prin sistemul de management al securității informațiilor care este deja stabilit de ISO 27001.

 

Provocările securității cibernetice într-o lume interconectată


 

 

22 martie, DB Connect, Bd. Dimitrie Pompeiu 6A, București

Vă invităm la prima mare conferință de Securitate cibernetică din 2018. Nu întâmplător, anul în care va intra în vigoare noul Regulament European pentru protecția datelor personale (GDPR). Această conferință este organizată de iBusiness România împreună cu Agora Group, cu sprijinul Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor, Asociației Naționale pentru Securitatea Sistemelor Informatice (ANSSI) și DB Connect.

Cea de-a 4-a ediție a conferinței ”Provocările securității cibernetice într-o lume interconectată: politici, business-uri, strategii” se desfășoară Joi 22 Martie la sediul DB Connect din bd. Dimitrie Pompeiu 6A, din București.

Ediția din acest an a Forumului economic mondial de la Davos a acordat o atenție specială tehnologiilor emergente și pe impactul pe care acestea îl au asupra societăților, modelelor economice și sociale și în cele din urmă asupra “viitorului comun” într-o piață globală. Pe măsură ce tehnologiile evoluează, problemele de securitate cibernetică sunt deja parte din fiecare segment al vieților noastre, al activității noastre, a ambientului nostru social.

Atunci când vorbim despre tehnologiile emergente, luăm în considerare unele dintre cele mai populare și răspândite trenduri: IoT, sistemele autonome, industria digitală, Realitatea Virtuală & Augmentată, AI & Robotică, generația viitoare de infrastructuri virtualizate (inclusiv SDN și 5G), tehnologii Cloud și Blockchain, Machine Learning. Un alt factor disruptiv, în tot acest context, îl reprezintă iminenta adopție a Regulamentului General pentru Protecția Datelor (GDPR), care vine cu o serie de provocări majore pentru organizațiile care operează date cu caracter personal.

La conferință vor participa importanți factori de decizie și pe reprezentanții instituțiilor și agențiilor guvernamentale, care vor comenta împreună cu noi provocările, pașii de urmat și soluțiile pentru o lume mai sigură. Evenimentul este dedicat importanței deosebite pe care securitatea cibernetică o joacă în plan politic, economic și social, de la sectorul public (administrații centrale și locale), la organismele guvernamentale, Parlament, organizații de apărare și de informații (ministere, universități etc.), diverse verticale economice (utilități, manufacturare, telco, transport și logistică, energie, sănătate etc.) și până la sectorul privat. Toate aceste entități funcționează pe infrastructuri IT&C ce folosesc aplicații și tehnologii de protecție, politici de Securitate a datelor și de recuperare în caz de dezastru.

Evenimentul este structurat în două sesiuni care vor aborda:

Politicile de securitate cibernetică în contextul alianțelor internaționale din care România face parte – un panel de discuții cu cei mai importanți reprezentanți ai sectorului public, apărare, SRI, entități guvernamentale răspunzătoare cu politicile de securitate cibernetică, precum și reprezentanți ai sectorului privat.

Securitate cibernetică, cele mai bune practici și soluții în contextul mai amplu al adoptării GDPR și al implementării tehnologiilor emergente – secțiune unde vom discuta nu numai despre valențele de Securitate a datelor din GDPR dar și despre importanța factorului uman și a existenței unui cadru leal care să ne ajute să asimilăm protecția datelor personale ca pe orice normă de muncă, spre binele organizației.

Nu uitați să vă înregistrați pe pagina Web a conferinței: https://ibusinessevents.ro/provocarile-securitatii-cibernetice-intr-o-lume-interconectata-politici-business-uri-strategii/

Veniți la Conferință și vom putea discuta despre GDPR și impactul noilor reglementări la nivelul fiecărei organizații!

ÎNREGISTRAȚI-VĂ AICI!

 

Dimensiunea umană a GDPR-ului

Tudor Galoș

Tudor Galoș

Tudor Galoș a fost director de marketing pe consumer la Microsoft România vreme de șase ani și înainte de asta s-a ocupat de business-ul de Windows și Office pe România, Bulgaria și Europa de Sud-Est, fiind responsabil de lansări precum Windows Vista, Windows 7, Windows 10, Office 2003, Office 2007, Office 365 și multe alte produse și servicii. A lucrat cu firme mici, medii și mari din întreaga Europă. Din Septembrie 2017 coordonează propriul său business, Tudor Galos Consulting cu focus pe consultanța de business și management în zona start-up-urilor, a spin-off-urilor și a transformării digitale. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii – modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.

 

GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate.

Observ în ultimele luni o efervescență a subiectului GDPR în presă, în conferințe, în prezentări, pe net, peste tot. Oriunde întorci capul, GDPR. Amenzi uriașe, apocalipsa datelor personale, nu mai poți face nimic, pe toate le-am auzit. Este bântuit spațiul public de mituri, de anti-mituri ce invalidează aceste mituri și care creează alte mituri, de foarte, foarte multă speculă – atât în presupuneri cât și în bani (a explodat piața de consultanți, ce mai). Nu m-aș mira ca dacă deschizi o cutie de acatiste la biserică să găsești acolo câteva pomelnici de ferire de audit GDPR sau să vezi la vrăjitoare în lista de „competențe” pe lângă descântec și scos de argint viu și un „vrajă să te scape de GDPR”.

Toată această efervescență este în jurul amenzilor și a măsurilor organizatorice și de securitate ce trebuie luate. Aproape toți vendorii de tehnologie s-au îmbulzit să creeze metodologii, produse, abordări, recomandări, documente și recomandări – multe utile, multe inutile, multe complet și total greșite (paradoxul face ca mulți din acești vendor să nu implementeze mai nimic legat de GDPR în organizație). Însă foarte puțină lume vorbește de ce este cel mai important într-un proces de conformitate cu niște regulamente: de dimensiunea umană.

Au americanii o expresie: “guns don’t kill people; people do”. Cam așa și aici – poți avea cele mai bune proceduri interne, de securitate, cele mai bune procese, produse, tehnologii implementate, cele mai frumoase documente interne, portaluri, etc că dacă nea Nelu de la operațiuni vrea să scoată niște date personale își va scoate telefonul și își va poza ecranul monitorului trecând peste absolut toate procedurile atent dezvoltate de organizație. De aceea, aici trebuie lucrat cel mai mult. Și paradoxal, aici se lucrează cel mai puțin…

Ca să îți faci angajații și partenerii să accepte conformitatea la GDPR trebuie să îi faci să creadă în GDPR. GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate. Aș face o paralelă aici cu o bancă ce are casete valorice. Clienții vin și își depozitează bunuri în acele casete valorice, iar banca nu poate să facă cu acele casete valorice ce vrea, poate să facă doar ce este lăsată de către clienți. Nu poate cotrobăi prin ele, nu poate scoate, nu le poate strica. Similar și aici, organizația nu „are” date personale, ci este un custode al unor bunuri ale unor oameni. Bunuri pe care le poate procesa în limitele admise de către persoane, fie prin interes legitim, fie prin interes vital, fie prin consimțământ etc. Oamenii își pot retrage oricând aceste bunuri și le pot da altcuiva. Este dreptul lor!

Practic angajații trebuie educați și ei să își exercite drepturile în raport cu alți procesatori – nimănui nu îi place să fie bombardat de spam, nimănui nu îi place să fie sunat la telefon la ore aiurea de ceva call-center fără să existe o justificare obiectivă etc. Fiecare are dreptul să afle ce date ține un operator despre el, inclusiv dacă l-a inclus în categorii jignitoare gen „sărac”, „prost”, „fraier” etc – și da, sunt companii ce de amuzament au inclus aceste categorii prin diverse Excel-uri uitate pe diverse servere. Odată aceste drepturi înțelese oamenii au șansa ca cerând respect, să ofere respect. Să își dea seama chiar ei cât de importante sunt aceste date personale și să înțeleagă vechiul proverb – „ce ție nu-ți place altuia nu-i face”.

Închei spunând că alinierea la GDPR nu este un „one-time project” – oamenii vin și pleacă, vor intra noi angajați, noi parteneri, vor apărea noi oportunități de business – și toate trebuie abordate având respectul pentru datele personale în prim plan. Succes la implementare!

 Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. a 8-a, București, martie 2018, pag. 66-67. 

Portarea datelor în GDPR. Șah mat sau avantaj concurențial?

Andreea LISIEVICI

Andreea LISIEVICI

Andreea este partener la Privacy One, cabinetul specializat în asistenţă juridică în domeniul protecţiei datelor personale şi drept IT. Ea are peste 10 ani de experiență ca avocat în proiecte comerciale, de protecția datelor și de conformitate. A terminat un liceu de informatică și este la curent cu noile tehnologii, ceea ce îi conferă un avantaj deosebit în a înțelege chestiunile tehnice din domeniul protecției datelor. A acordat de-a lungul anilor consultanță unei game largi de clienți în domeniul IT și privacy, cum ar fi cloud computing, securitate cibernetică, publicitate comportamentală, reținerea datelor sau monitorizarea angajaților, și a fost implicată în arbitraje în domeniul IT. Scrie frecvent articole de specialitate și este un trainer și lector experimentat.

Ne-am obișnuit deja să ne portăm numerele de telefon, ne putem porta conturile bancare, iar din mai 2018 vom mai putea porta încă ceva: datele personale prelucrate de operatori.

Regulamentul general privind protecția datelor (Regulamentul 2016/679/UE, pe scurt GDPR) aduce o paletă largă de modificări în ce privește regimul prelucrării datelor personale ale persoanelor din Uniunea Europeană. Între acestea se numără introducerea dreptului la portabilitatea datelor, care, potrivit art. 20 GDPR, are următorul conținut:

(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

        (a) prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera (a) sau al   

         articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1) litera (b);

        (b) prelucrarea este efectuată prin mijloace automate.

(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

(3) Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul.

(4) Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților altora.

Portabilitatea datelor a generat o preocupare ridicată în rândul companiilor a căror activitate este dependentă de gestiunea bazelor de date. Un raport din 2017 arată că portabilitatea datelor apare ca fiind cea mai dificilă obligație de conformitate din cadrul GDPR1. Același raport arată, de asemenea, că respectarea GDPR va fi luată în considerare atunci când o companie selectează un furnizor de servicii cloud, ceea ce înseamnă că această conformitate, și implicit susținerea portabilității datelor, pot deveni un avantaj competitiv.

Portabilitatea vs. dreptul de acces

Dreptul la portabilitatea datelor are ca scop prevenirea blocării persoanelor vizate la un anumit serviciu („lock-in”), și facilitarea mutării datelor de la un furnizor la altul fără restricții în funcție de formatul ales de furnizor. Portabilitatea datelor se aseamănă cu dreptul de acces, care era reglementat și anterior, în sensul că și în temeiul dreptului de acces persoana poate obține o copie a datelor prelucrate. Însă, în vreme ce dreptul de acces privește datele prelucrate indiferent de suport și indiferent de temei, portabilitatea privește numai datele prelucrate în temeiul consimțământului sau executării unui contract, și numai prin mijloace automate. În plus, daca în răspunsul la dreptul de acces operatorii pot da datele în orice format (de exemplu, fișiere .pdf pentru emailuri sau mesaje), portabilitatea este menită să asigure continuitatea serviciului, astfel că datele trebuie portate în formatul lor nativ, care să asigure posibilitatea continuării prelucrării de către operatorul destinatar sau persoana vizată în același mod precum cel anterior portării. În plus, operatorul expeditor trebuie să porteze cât mai multe metadate posibil, pentru a păstra sensul exact al informațiilor schimbate.

Mai merita precizat faptul că portarea datelor este o măsură unică, ea nefiind destinată să asigure interconectarea unor servicii sau fluxul continuu de date – de exemplu, portarea nu este soluția potrivită în cazul in care un utilizator dorește să își primească emailurile dintr-un cont prin intermediul altui cont de la alt furnizor sau daca vrea ca documentele salvate pe o platforma cloud sa fie automat salvate și într-o alta. Mai mult, portarea datelor nu duce in mod automat la încetarea serviciului din care se efectuează portarea. Portarea în GDPR nu este văzută similar cu portarea numerelor de telefon, adică o schimbare totală a furnizorului, ci pur și simplu ca o modalitatea de transfer de date, inclusiv între servicii neechivalente (de exemplu, de la un furnizor de cloud la o soluție de analiză a informaţiilor).

Alocarea rolurilor pentru portarea în cazul serviciilor cloud computing

GDPR lucrează cu câteva concepte principale, între care dualitatea operator-împuternicit. Mai exact, „operatorul” („controller” în engleză) este entitatea care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, în vreme ce „împuternicitul” („processor” în engleză) înseamnă entitatea care prelucrează datele cu caracter personal pentru operator. În cazul particular al serviciilor cloud, pentru alocarea acestor roluri trebuie distins între serviciile cloud B2B și serviciile cloud B2C.

În scenariul B2B, unde clientul serviciului cloud este o companie, datele pe care aceasta le stochează în cloud nu sunt datele personale ale acesteia, ci ale utilizatorii finali ai companiei (fie că sunt angajaţi, clienţi, etc). Clientul va lua decizii privind modul de stocare și prelucrare a datelor, iar furnizorul de servicii cloud va urma doar instrucțiunile. Acest lucru face ca operatorul de date să fie clientul, iar furnizorul de servicii cloud să fie împuternicit.

Nu aceeași este situaţia în scenariul B2C. În cazul în care clientul unui serviciu cloud este o persoană fizică, datele personale ale acesteia sunt prelucrate direct de furnizorul de servicii cloud, care devine operator de date. Distincţia este una importantă, pentru că dreptul la portabilitatea datelor trebuie pus în aplicare numai de către operator. Cu alte cuvinte, acolo unde furnizorul de cloud este împuternicit, el trebuie să evite să intervină în vreun mod în catalogarea datelor, selecţia datelor supuse portării, a modalităţii de portare (dacă există alternative), a timpului, a destinatarului, etc, altfel riscând să fie calificat operator asociat.

În timp ce articolul 20 GDPR nu menționează în mod explicit nicio responsabilitate pentru împuterniciţi, articolul 28 GDPR prevede faptul că operatorii pot contracta numai împuterniciţi „care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în GDPR”. Astfel, furnizorii de cloud pentru firmele care prelucrează în mod direct datele cu caracter personal, vor trebui în mod similar să demonstreze conformarea la GDPR pentru a rămâne competitivi.

Datele care intră în obiectul portării

Art. 20 GDPR precizează faptul că portabilitatea se referă la „datele cu caracter personal care privesc” persoana vizată. Acest lucru a fost interpretat de Grupul de Lucru Art. 29 ca reunind atât datele furnizate cu bună știință și în mod activ de persoana vizată, cât și cele rezultate din observarea activității sale. Cu alte cuvinte, ceea ce nu intră în obiectul dreptului la portarea datelor sunt datele derivate de operator pe baza primelor două, deși și acestea pot fi obţinute de persoana vizată în temeiul dreptului de acces (dar nu pot fi transmise în mod direct altui operator).

În tot cazul, distincţia între aceste trei categorii de date (date furnizate explicit, date observate și date derivate) devina una importantă. Ea poate fi implementată atât prin etichete (tag-uri) care să susţină un proces automatizat de selecţie, dar poate fi inclusă și în registrul operaţiunilor de date întocmit de operator potrivit art. 30. Furnizorul de cloud trebuie însă să fie atent ca, în situaţia în care este împuternicit, să nu decidă el această etichetare, ci doar să pună la dispoziţia clientului său posibilitatea efectuării ei. Furnizorul de cloud împuternicit trebuie să păstreze o abordare neutră, în care el să cunoască cât mai puțin (spre deloc) din datele clienţilor. De altfel, acesta e motivul pentru care registrul operațiunilor ținut de împuterniciți nu trebuie sa includă categoriile de date, ci doar o descriere generala a acestora (art. 30.2.b GDPR).

Metode de a efectua portarea datelor în cazul serviciilor cloud

Articolul 20 GDPR nu impune o formă sau o metodă pentru portarea datelor, singurele cerinţe fiind ca transferul să se facă într-o formă „structurată, utilizată în mod curent și care poate fi citită automat”. Preambulul 68 dezvoltă și prevede că „operatorii de date ar trebui să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor”. Cu alte cuvinte, operatorii nu sunt obligați să asigure compatibilitatea sistemelor lor, ci doar interoperabilitatea. În acest context, pot fi identificate trei metode de portare a datelor:

Interfețele de programare a aplicațiilor (API-uri) sunt de obicei dezvoltate de furnizorul de servicii cloud, ceea ce înseamnă că ele diferă de API-urile altor furnizori. Astfel, clienții care doresc să utilizeze API-uri pentru a extrage date personale din serviciile cloud trebuie să se adapteze API-ului pus la dispoziţie. API-urile sunt avantajoase, deoarece clienții pot extrage date direct de la furnizorii de cloud și nu au nevoie să stocheze temporar datele pe infrastructura proprie. Totuși, API-urile ar putea să nu fie cea mai bună soluţie atunci când portarea se face în mod direct către un furnizor de alt fel de serviciu.

Protocoalele sunt de obicei concepute de o organizație de standardizare în industrie și, prin urmare, sunt acceptate pe scară largă de multe platforme, de cloud și nu numai (de exemplu SMTP, SFTP, IMAP, etc). În acest caz dispare nevoia de adaptare la platforme specifice, ceea ce ar sprijini interoperabilitatea. În mod similar API-urilor, clienții nu au nevoie să stocheze temporar datele pe infrastructura proprie.

O a treia metodă este descărcarea datelor ca un fișier de format utilizat în mod curent (de exemplu .csv, .xml). Această metodă facilitează importarea datelor în alte platforme, însă numai ca acţiune directă a utilizatorului, fără să fie o modalitate de portare direct operator-operator. Ea necesită deci stocarea datelor temporar pe infrastructura proprie a utilizatorului, și în plus se poate dovedi nepractică acolo unde volumul datelor este mare.

Toate cele trei metode sunt deja utilizate pe scară largă pe piață astăzi, fără însă ca acest lucru să însemne că nu pot apărea metode noi. Cert este că portabilitatea datelor necesită un proces automatizat sau semi-automatizat pus la dispoziţie de operator (sau de împuternicit pe seama operatorului), întrucât o operare manuală ar risca să blocheze activitatea operatorului.

Mai merită menţionat că în decembrie 2017 a fost publicat un standard ISO pentru interoperabilitate și portare în serviciile cloud: ISO/IEC 19941:20172, care deși nu este destinat să răspundă cerinţelor GDPR (fiind un standard global), poate fi adaptat pentru a acoperi cerinţele art. 20 GDPR.

Concluzii

Pentru a putea răspunde solicitărilor de portare, furnizorii de cloud trebuie să ia o serie de măsuri importante și posibil costisitoare. Între acestea se numără:

  • să pună la punct mecanisme de selecţie a datelor care intră în domeniul portabilității;
  • să decidă cine și cum face trierea datelor portate pentru a elimina tot ce este excesiv, precum și să decidă cum implică sau anunță persoana vizată referitor la datele excluse;
  • să adopte proceduri prin care să standardizeze procesul de răspuns la cererile de portare;
  • să implementeze mecanisme cât mai automate de efectuare a portării (API, protocol, download direct), preferabil care dau persoanei vizate posibilitatea selectării datelor portate;
  • să implementeze proceduri de identificare corespunzătoare a persoanei vizate și a operatorului destinatar;
  • să implementeze măsuri de securitate a datelor portate, inclusiv izolarea acestora de alte date prelucrate și asigurarea unui canal sigur de transfer;
  • nu în ultimul rând, să poată face distincţia între serviciile puse la dispoziţie clienţilor corporate (aceștia fiind operatori) și cele puse la dispoziţia clienţilor persoane fizice (caz în care furnizorul de cloud este operator).

Trebuie menționat că încălcarea dreptului la portabilitatea datelor se încadrează în palierul cel mai sever de sancțiuni, astfel că potrivit articolului 83 alineatul 5(b) GDPR operatorilor le pot fi impuse amenzi administrative de până la 20.000.000 EUR sau până la 4 % din cifra de afaceri globală în exercițiul financiar anterior, oricare este mai mare. Concomitent, persoana fizică vătămată prin neefectuarea portării poate angaja răspunderea solidară a operatorului şi împuternicitului (furnizorul de cloud), solicitând acoperirea prejudiciului dovedit. Aceste riscuri, precum şi prejudiciul reputaţional aferent, ar trebui să fie motive clare pentru a implementa măsuri tehnice de efectuare a portării, chiar dacă sunt costisitoare.

Referințe:

1 –  IAPP-EY AnnualPrivacyGovernance Report 2017, pag. 19, disponibil la https://iapp.org/media/pdf/resource_center/IAPP-EY-Governance-Report-2017.pdf  

(accesat ianuarie 2018).

2 – Disponibil la https://www.iso.org/standard/66639.htm

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. A 8-a, București, martie 2018, pag. 56-60. 

A APĂRUT CATALOGUL GDPR PRACTIC: PREMIERĂ PENTRU ROMÂNIA

Trustul de presă AGORA Group și platforma de knowledge cloudmania anunță publicarea Catalogului GDPR PRACTIC  – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Practic este al doilea Catalog GDPR după cel apărut în Octombrie 2017 și se înscrie în seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 8-a ediție.  

 

Regulamentul EU 2016 – 679 reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem operatori și procesatori de date și toți ne vom supune acelorași reguli.

Cu șase luni înainte de intrarea în vigoare a GDPR piața românească era destul de conștientă de importanța momentului. Peste 64% dintre operatorii de date nu făcuseră un plan de implementare,  72% nu organizaseră instructaje GDPR interne, iar 89% nu începuseră reevaluarea contractelor cu furnizorii și clienții.

Pornind de la această realitate și văzând succesul cu care a fost primit primul Catalog GDPR Ready în octombrie 2017, am decis să continăm susținerea operatorilor de date din România, făcând ceva mai mult decât o simplă sensibilizare și conștientizare. În acest spirit, a doua ediție a Catalogului GDPR este dedicată proceselor și soluțiilor de protecție a datelor personale, cu focalizare pe aspectele practice ale implementării procesului de conformitate GDPR.

Ca și ediția precedentă, Catalogul GDPR Practic e format din două părți:

  • GHIDUL DE IMPLEMENTARE GDPR – bazat pe o serie de recomandări de abordare practică a unui proiect de implementare GDPR;
  • Un CATALOG DE OFERTE pentru soluții compatibile GDPR, servicii de consultanță, audit și certificare disponibile la ora actuală pe piața din România.

 

Catalogul poate fi citit online la adresa: https://issuu.com/agoramedia/docs/catalog_cloud_2018_ed_8_gdpr

 

”Ghidul de implementare GDPR” conține 50 de întrebări și răspunsuri ce abordează probleme concrete ale unui proiect de implementare GDPR precum și o serie de valoroase recomandări pentru operatorii și procesatorii locali oferite de specialiști GDPR cu o bogată experiență în protecția și confidențialitatea datelor personale. Printre subiectele de larg interes care sunt discutate în acest Ghid amintim:

  • Ce este un proiect GDPR?
  • Care sunt fazele unui proces de implementare?
  • Cum alegem un DPO?
  • Cum facem maparea datelor?
  • Care sunt rolurile operatorilor și procesatorilor?
  • Avem nevoie de o analiza de impact?
  • Cît de importanță este Analiza de risc?
  • Cum gestionăm managementul incidentelor?
  • Cine, când și cui raportează?
  • Cum se face transferul internațional de date?

Ghidul este însoțit de recomandările unor specialiști din diferite domenii, precum servicii juridice – Andreea Lisievici și Dana Cristina Matache, soluții și management IT – Fernanda Velter și Yugo Neumorni sau servicii de consultanță: Tudor Galoș. Desigur că un astfel de ghid nu poate aborda în extenso toate procedurile și nici nu ne propunem să oferim rețete. Ghidul prezintă esența proceselor absolut necesare într-un proiect de implementare, care indiferent de ordinea abordării trebuie făcute. Și trebuie făcute bine. Căci atingerea conformității GDPR nu este un examen pentru a dovedi faptul că suntem în stare să asigurăm protecția datelor personale.  Nu este o barieră de depășit.  Este o țintă către un nivel superior de organizare și funcționare. GDPR este un certificat de încredere pe viață. Pe tot ciclul de viață al unui proces de business.

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ASBIS, Brinel, Deloitte, ESET, Essensys Software, IBM, Ingram Micro, Kingston Technology, Privacy One, Q-EAST Software, Romsym Data, Tryamm, Veritas și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPR din Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Ready pe LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

 

Inițiativa GDPR Ready!  își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Prin GDPR Ready! aveți acces la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

Nevoia cristalizării unei comunități GDPR în România

Pe măsură ce ne apropiem de data de 25 mai, valuri tot mai mari se ridică amenințător pentru cei interesați de obținerea conformității GDPR.  Pe piața românească am remarcat două tendințe majore, fiecare fiind marcată de acțiuni oarecum antagoniste.

Deocamdată le voi trece în revistă, urmând să fac câte o analiză mai de detaliu pentru fiecare.

1.În ciuda interesului scăzut al companiilor, tot mai mulți vor să urmeze un curs de formare DPO

  • Nivelul general de interes din partea companiilor locale este încă foarte scăzut, în ciuda campaniilor de conștientizare derulate pe diferite canale
  • Interesul particular pentru instruirea specifică DPO este în creștere, dovadă fiind numărul simțitor crescător de solicitări pentru recomandări de cursuri
  1. Avem o Comunitate de specialiști în plină formare, dar nivelele de interes sunt bipolare:
  • Există o comunitate eterogenă de specialiști, proveniți din medii multiculturale și multidisciplinare, care este destul de activă în social media și care pare dispusă să partajeze public câte ceva din cunoștințele acumulate
  • Destul de mulți membrii ai acestei comunități par a fi mai mult preocupați de certificările și tarifele practicate de alții, care s-au apucat de treabă așa cum au știut ei.

Dar să le luăm pe rând…

Nivel redus de interes din partea companiilor

La fel ca și alții care au luat contact cu realitatea pieței, constat că în ciuda eforturilor de alfabetizare și a inițiativelor publice derulate în ultima vreme, încă se știe destul de puțin despre GDPR. Suntem asaltați de o avalanșă de evenimente și webinarii, la care participarea este totuși restrânsă, de multe ori limitată și de taxele de participare impuse de organizatori, interesați mai mult de profit, decât de impactul GDPR la mase. Persoanele de decizie din companiile mari si mici știu puțin despre GDPR, directori de resurse umane mai află unii de la alții, iar mulți dintre cei cu funcții IT ignoră toată povestea fiind convinși că GDPR este treaba juridicului, nu a lor. Cum să facem ca să audă tot mai mulți că avem de-a face cu o treabă serioasă? Televiziunile, din câte am văzut, au preluat mici anunțuri la rubricile de știri, dar și acelea trunchiate și asezonate de picanteria amenzilor uriașe. Pe când niște adevărate emisiuni de dezbatere, cu specialiști din toate zonele care interferează cu GDPR?

Interes crescător pentru cursurile de specializare

Numărul celor care mă contactează pentru recomandări legate de disponibilitatea de cursuri de formare DPO este din ce în ce mai mare. La fel ca și numărul celor care îmi citesc articolele publicate în cadrul inițiativei GDPR Ready. Asta e bine. Înseamnă că oamenii chiar sunt interesați să se instruiască. Să facă ceva. Să înceapă odată.

Oferta de cursuri susținute pe plan local s-a diversificat, pe măsura cererii. Nu mai comentez aici nivelul profesional al acestor cursuri, nici lipsa acreditărilor de certificare pentru DPO și furnizorii de instruire. Am tot scris despre asta în ultima vreme. E bine ca toți cei interesați să facă un curs, după timp și buget, și să se apuce de treabă.

Apariția unei comunități eterogene de specialiști

GDPR are un impact uriaș asupra proceselor de business, fiind deja asimilat cu marea transformare, cu pregătirea pentru era digitală. Și asta cam așa e. Cum orice proiect GDPR este un mediu multi-cultural și multi-specializat, este normal ca cei care au ajuns să fie interesați de problemă să provină din cele mai diverse medii: juriști de companie și avocați specializați în protecția datelor, consultanți de business, specialiști IT și experți în protecția și confidențialitatea datelor, oameni de proiecte, șefi de operațiuni sau directori de calitate. Și lista e mult mai lungă.

În această conjunctură heteroclită, se discută cu acuitate problema numirii responsabilului cu protecția datelor personale. Care cea mai apropiată poziție de idealul DPO, ale căror competențe le-am tot discutat. Aici nebulozitatea e destul de mare. Reprezentanți autorității de supraveghere în luărilor lor publice de cuvânt recomandă un jurist cu studii de IT sau un IT-st cu specializare juridică. E destul oare? Reacțiile din social media au fost pe măsură.

Orice om cu experiență de proiect își dă seama că nu e de ajuns. Și aici polemica e destul de mare în diferitele comunități de breaslă, care contestă mare parte din ce zic colegii lor și nici nu iau în seamă mesajele venite din comunități conexe sau tangente, de la oameni care văd lucrurile din alte perspective, cu alte experiențe practice.  Și asta nu e bine, pentru că argumentarea de dragul argumentării și cantonarea în șabloane fără orizonturi nu nasc deschidere, și nici progres. Multe idei mari au venit de la oamenii de pe margine, care au perspectiva spațială.

Nevoia de acțiune duce la conglomerare

În condițiile actuale, ca și în natură, e nevoie de câțiva factori externi care să producă ordine într-un mediu aparent guvernat de haos. Sau neguvernat… Să luăm încă o dată exemplul naturii. Aici  forțele tectonice acționează asupra tuturor rocilor, amestecându-le și conglomerându-le, după care urmează recristalizarea metamorficelor în diferite condiții de temperatură și presiune. Așa și în eforturile noastre de conformitate. GDPR-ul reprezintă forțele telurice ce generează o tectonică accidentată cu deformări la nivelul tuturor compartimentelor de business dintr-o companie. Acesta este efectul disturbator al GDPR. Forța și presiunea geotectonică trebuie să fie în cazul nostru conștientizarea, determinarea și unitatea de acțiune.

Adunați reprezentanți din fiecare departament critic pentru prelucrarea datelor personale, faceți un grup de acțiune care,  singur sau cu asistență externă să facă un plan de conformitate, o analiză a circulației datelor, o prima analiză GAP și mai ales revizuirea tuturor condițiilor legale și contractuale. Orice manager de proiect știe să facă asta. După aceea, cu juristul, omul de HR, omul de operațiuni și IT-stul ținându-se de mână, e timpul să treceți și la finețuri precum analiza de risc, analizele de impact și planurile de anunțare a breșelor.

Au apărut în timp o serie de recomandări pentru strategiile și procedurile de implementare GDPR, emise de diferite organisme de supraveghere din țările cu experiență în protecția datelor sau recomandări ale grupului de lucru Articolul 29. Implementare în 6 pași, în 10 pași sau în 12 pași? Cine ne împiedică să adoptăm strategia care se potrivește cel mai bine nevoilor și resurselor noastre?

În marea majoritate a acestor checklist-uri, numirea unui DPO este unul dintre pașii finali. Adică n-avem nevoie în mod esențial de un DPO ca să începem procesul și să parcurgem primele etape. Adunați o echipă multidisciplinară și conștientă și veți face mult mai bine toate astea decât un DPO care învață din mers. După aceea, daca e cazul, gândiți-vă și la un DPO.

Un alt aspect, foarte rar adus în discuții este faptul că în multe companii mari un DPO are în permanentă în jur o forță de sprijin formată din colegii de la diferite departamente, care la nevoie pot să pria chiar sarcinile de DPO adjunct sau temporar.

Cristalizarea comunității de specialiști

Toți acești oameni care vin fiecare din domeniul lor de expertiză și au propria lor experiență pot contribui la crearea unui cadru emulator pentru organizațiile care au nevoie de sprijin. Dar pentru a fi emulatori, trebuie să fim toți pe aceeași lungime de undă, să cântăm cu toții în același cor, chiar dacă avem voci diferite. Fiecare dintre profesioniștii în legislație, securitatea datelor, procese de business sau consultanță interesați trebuie să se recristalizeze printr-un liant comun într-o adevărată comunitate de specialiști GDPR.

 

Asta va folosi cu adevărat comunității de business aflate în derivă. Asta ne va folosi și nouă, negreșit.   

Articol publicat și în revista IT Trends, Februarie 2018

PARIUL CELOR 100 DE ZILE

Au mai rămas fix 100 de zile până la intrarea în vigoare a noului Regulament european privitor la prelucrarea datelor personale. Să fie 25 Mai 2018 data la care detonează bomba? N-ar trebui să privim așa. Trebuie să ne gândim că este un deadline pentru terminarea și predarea unui proiect. În mod firesc urmează consolidarea și susținerea acestuia.

Mulți apreciază că cele mai mari companii nu au cum să fie gata până atunci. Sunt speculații că ar apărea niște termene de grație. Cât despre companiile mici și mijlocii, proorocii zic că multe or să dispară. Povești. Cu cât o companie este mai mica, și procesele de business sunt mai simple, iar fluxurile de date mai ușor de mapat și implicit datele mai simplu de protejat. Tot ce trebuie să facă un IMM este să cunoască foarte bine prevederile GDPR și să mențină o serie de proceduri obligatorii pentru sănătatea în business. Da, lucrurile nu sunt simple și nu oricine are răbdare să citească cele 99 de articole și 173 de considerații din textul GDPR. Dar pentru asta sunt specialiștii și consultanții. Și mai sunt și diferitele ghiduri elaborate din inițiativele autorităților sau comunității private.

 

Europa are nevoie de firul Ariadnei în labirintul către GDPR

Se cuvine să amintim aici recentul Ghid online  lansat de Comisia Europeană la sfârșitul lunii ianuarie, care conține întrebări și răspunsuri esențiale pentru cetățeni și organizații, în special cele din zona IMM. Important pentru companiile mici și mijlocii din țara noastră este că au la dispoziție și o versiune de conținut a Ghidului în limba română.

Pe această pagină putem găsi un document foarte important pentru analiza procesului de adopție GDPR și în special pentru activitățile care urmează să se desfășoare în sprijinul autorităților locale și al cetățenilor. Este vorba de o ”Comunicare a Comisiei către Parlamentul European și Consiliul Europei” prin care se trec în revistă Orientările Comisiei privind aplicarea directă a Regulamentului general privind protecția datelor de la 25 mai 2018. Documentul recapitulează principalele inovații și oportunități oferite de noua legislație a UE privind protecția datelor, face bilanțul activităților pregătitoare efectuate până în prezent la nivelul UE, evidențiază ceea ce ar trebui să facă în continuare Comisia Europeană, autoritățile naționale pentru protecția datelor și administrațiile naționale pentru finalizarea cu succes a etapei de pregătire, stabilind totodată măsurile pe care Comisia intenționează să le adopte în următoarele luni.

Tot în acest document găsim o evidență a activității Grupului de lucru Articolul 29 – cunoscut sub abrevierea WP29, care reunește toate autoritățile naționale pentru protecția datelor, inclusiv Autoritatea Europeană pentru Protecția Datelor. WP29 joacă un rol esențial în pregătirea punerii în aplicare a regulamentului, prin publicarea de orientări pentru întreprinderi și pentru alte părți interesate. Iată o listă complete a diferitelor ghiduri și recomandări elaborate de Grupul de lucru sau aflate în curs de procesare:

 

Dreptul la portabilitatea datelor Adoptat la 4-5 aprilie 2017
Responsabili cu protecția datelor
Desemnarea autorității de supraveghere principale
Evaluarea impactului asupra protecției datelor Adoptat la 3-4 octombrie 2017
Amenzi administrative Adoptat la 3-4 octombrie 2017
Crearea de profiluri Activitate în curs
Încălcarea securității datelor Activitate în curs
Consimțământul Activitate în curs
Transparența Activitate în curs
Certificarea și acreditarea Activitate în curs
Criterii de referință privind adecvarea Activitate în curs
Reguli corporatiste obligatorii pentru operatori Activitate în curs
Reguli corporatiste obligatorii pentru persoanele împuternicite de către operatori Activitate în curs

Întrucât este esențial ca operatorii să dispună de un set unic și coerent de orientări, ghidurile actuale realizate din inițiative naționale trebuie aduse în conformitate cu cele adoptate de WP29 cu privire la același subiect.

Aceste ghiduri nu sunt bătute în cuie, ci se actualizează prin procese consultative permanente și pe baza celor mai bune practici. Fiecare ghid de recomandări trebuie să fie supus unei consultări publice înainte de a fi finalizat. Responsabilitatea finală pentru aceste orientări revine grupului de lucru instituit prin articolul 29 și viitorului Comitet european pentru protecția datelor. Pentru a crea posibilitatea modificării orientărilor în lumina evoluțiilor și a practicilor, este esențial ca autoritățile pentru protecția datelor să promoveze o cultură a dialogului cu toate părțile interesate, inclusiv cu organizațiile. Este de reținut că în momentul în care apar neclarități referitoare la interpretarea și aplicarea regulamentului, instanțele de la nivel național și de la nivelul UE sunt cele care vor furniza interpretarea definitivă a acestuia. Citiți cu atenție textul Comunicării. Cu siguranță veți mai găsi multe aspect de interes pentru etapele care urmează.

Norme pentru companii și organizații

Ce mai găsim în Ghidul online al Comisiei Europene? În primul rând o serie de întrebări și răspunsuri fundamentale, menite să expliciteze normele aplicabile organizațiilor care procesează date personale. Iată o trecere în revistă a acestora:

Aplicarea regulamentului: ● Cui i se aplică Regulamentul privind protecția datelor? ● Se aplică normele în cazul IMM-urilor? ● Normele de protecție a datelor se aplică datelor referitoare la societăți?

Principiile GDPR: ● Ce date pot fi prelucrate și în ce condiții? ● Scopul prelucrării datelor ●  Cât de multe date se pot colecta? ● Cât timp pot fi păstrate datele și se impune actualizarea lor? ● Ce informații trebuie să le oferim persoanelor ale căror date sunt colectate? ● Privire generală asupra principiilor r

Administrațiile publice și protecția datelor: ● Care sunt principalele aspecte ale Regulamentului general privind protecția datelor (RGPD) pe care ar trebui să le cunoască o administrație publică? ●Cum tratăm solicitările din partea persoanelor fizice? ●Ce se întâmplă dacă o administrație publică nu respectă normele privind protecția datelor?

Temeiul juridic al prelucrării datelor: ●  Motivele prelucrării ●Date sensibile ● Există garanții specifice pentru datele referitoare la copii? ● Pot fi folosite pentru marketing datele primite de un terț?

Obligații: ● Operator/persoana împuternicită de operator ● Sunt identice obligațiile indiferent de volumul de date pe care îl gestionează societatea/organizația mea? ● Ce înseamnă asigurarea protecției datelor „începând cu momentul conceperii” și „în mod implicit”? ● Ce este o încălcare a securității datelor și ce trebuie făcut în cazul unei asemenea încălcări? ● Când este necesară o evaluare a impactului asupra protecției datelor (DPIA)? ● Responsabilii cu protecția datelor ● Ce norme se aplică dacă organizația mea transferă date în afara UE? ● Cum pot demonstra că organizația mea se conformează la GDPR?

Relațiile cu cetățenii: ● Cum trebuie tratate solicitările din partea persoanelor fizice care își exercită drepturile privind protecția datelor? ● Ce date și informații cu caracter personal poate accesa o persoană fizică la cerere? ● Suntem obligați întotdeauna să ștergem datele cu caracter personal dacă o persoană ne cere acest lucru? ● Ce se întâmplă dacă cineva se opune la prelucrarea datelor sale cu caracter personal de către societatea mea? ● Pot persoanele fizice să solicite transferarea datelor lor la o altă organizație? ● Există restricții privind utilizarea proceselor decizionale automate?

Aplicarea legii și sancțiuni: ● Aplicarea legii ● Sancțiuni

Ghilotina amenzilor uriașe

Ce se mai întâmplă în România?  GDPR a ajuns în sfârșit un subiect pe burtierele emisiunilor de știri și un cuvânt cheie în titlurile mari de prin ziare. S-au înmulțit evenimentele de popularizare și conștientizare a noului regulament, ceea ce e bine pentru că GDPR trebuie să ajungă la mase. Personal am mari îndoieli legate de eficiența unora dintre evenimente care își propun să facă awareness, dar percep taxe de participare de peste 100 de euro…

Cu toate astea, mai de frică, mai de spaimă, lucrurile au început să se miște. E bună și spaima, dacă în cele din urmă te convingi că lucrurile sunt serioase și e timpul să faci ceva pentru afacerea ta acum. O bună parte din presiunea care s-a pus pe orice are legătură cu GDPR e legată de ghilotina amenzilor uriașe. Majoritatea covârșitoare a articolelor, prezentărilor și materialelor de popularizare pe care le-am văzut încep cu triada:

  1. Mai ai de trăit până pe 25 mai 2018
  2. Oricând riști o amendă de 20 de milioane de euro
  3. Vin-o la noi și îți arătăm calea…

În acest context, de salutat inițiativa Autorității Naționale de Supraveghere pentru Prelucrarea Datelor cu Caracter Personal (ANSPDCP) de a face puțină lumină în discuțiile legate de amenzile cu care vine GDPR. Într-un Comunicat de presă de la începutul acestei luni Autoritatea explică persoanelor vizate că au posibilitatea de ași exercita drepturile privitoare la protecția datelor personale în mod gratuit, și tot gratuite sunt și plângerile adresate operatorilor sau autorității. Dacă plângerea este admisibilă, aceasta va putea fi urmată de o investigație la operatorul de date reclamat.

Măsurile corective pe care Autoritatea de Supraveghere le va putea dispune în temeiul Noului Regulament General privind Protecția Datelor Personale se referă la: dispunerea unei avertizări în atenția unui operator, acordarea unei mustrări, obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecției datelor, impunerea unei limitări temporare sau definitive, inclusiv o interdicție asupra prelucrării, rectificarea sau ștergerea datelor sau restricționarea prelucrării, etc.” se arată în comunicatul Autorității.

Mai departe se face clarificarea cazurilor în care e nevoie să se aplice sancțiuni cu amendă. Acestea nu vor fi aplicate fără a avea la bază o analiză temeinică, în funcție de circumstanțele fiecărui caz în parte.” Și totuși, ”atunci când se va lua decizia dacă să se impună o amendă administrativă, precum și valoarea acesteia în fiecare caz în parte, se va acorda atenția cuvenită criteriilor prevăzute de Regulamentul General privind Protecția Datelor, astfel încât să se asigure principiul proporționalității,” se specifică în comunicat.

În fine, propunându-și susținerea creșterii nivelului de conștientizare, Autoritatea de Supraveghere se delimitează de opiniile lansate tot mai des în spațiul public, care induc în mod greșit ideea că sancțiunile cu amenzi la nivel maxim sunt singurele măsuri corective la care se poate recurge”. Totodată, Autoritatea se delimitează și respinge publicitatea agresivă a unor terțe părți în încercarea de monetizare a prevederilor Regulamentului General privind Protecția Datelor, prin mediatizarea ”perspectivei de a se aplica amenda maximă de 4% din cifra de afaceri” și acreditarea ideii false că aplicarea amenzii maxime ar fi principalul obiectiv al Regulamentului.

 În toate discuțiile pe care le am cu diferitele organizații și în luările mele publice de cuvânt pledez pentru o atitudine optimist-constructivă în relația cu GDPR, pe care trebuie să îl abordăm cu toată responsabilitatea. Oricine parcurge procedurile și procesele esențiale din proiectul de implementare a conformității GDPR face un mare pas înainte pentru că își pune ordine în toate datele cu care operează, nu numai în datele personale. Odată parcurse niște etape, cele mai multe asimilabile cu un proces de implementare a unui standard de calitate, capeți o încredere mai mare în oportunitățile tale și, ce e cel mai important oferi încredere clienților, partenerilor și angajaților.

Azure Stack for the first time in Romania through BinBox

BinBox is the first provider of Azure Stack hybrid cloud services in Romania. Capitalizing the full potential of the Microsoft Azure Stack hybrid Cloud platform, BinBox’s datacenters are providing improved access and control to their clients. From the government infrastructure to any industries organizations like health, insurance or finance can benefit from the immediate advantages offered by the hybrid cloud platform.

Microsoft Azure Stack is an extension of the Microsoft Azure Cloud platform, which sets the building blocks of a truly consistent Cloud platform. Its consistency eliminates any setbacks generated by the complexity of a hybrid Cloud platform, aiding to maximize the clients’ investments in the Cloud platform and local storage media. At the same time, this consistency contributes to the optimization of the application development process and the increase of developers’ productivity.

Azure Stack facilitates the fast development of Cloud applications, by building components thereof directly in the Azure Marketplace. Consequently, this feature allows clients to invest in people and processes, knowing that they are fully transferable. The ability to run consistent services on a local basis in Azure provides full flexibility in the decision-making process surrounding the location of the applications and processes’ storage. In the same time, the integrated delivery model allows companies to faster delivery of innovative solutions from the Azure platform.

Through this first implementation of Azure Stack in Romania, Microsoft, together with partners such as BinBox, is helping companies benefit from the sheer strength of our Cloud platform, in order to develop new products by using artificial intelligence, machine learning, cognitive intelligence and IoT”,  stated Daniel Rusen, Cloud and Enterprise Lead, Microsoft Romania.

The BinBox team is permanently developing and implementing new ideas, in order to provide a wide range of applications and services, designed to optimize business processes across the board. For instance, Azure Stack allows companies located in remote areas or dealing with unreliable networks to use cloud methods without an Internet connection. Also important is the Cloud model can be brought on premises, by designing, updating and extending applications, with the help of a consistent DevOps process, available for deployment in the Cloud platform as well as on-premises.

 

Tiberiu Croitoru, CEO BinBox Global Services

 

 

We are thrilled by this new challenge and we are confident that it will lead to new opportunities on the Romanian Cloud market”, said Tiberiu Croitoru, CEO BinBox Global Services. ”Moreover, we will be able to improve our products and launch customized services designed for the premium market, at the same time”.

 

 

 

Microsoft’s hybrid Cloud platform also brings a number of innovative characteristics to the Romanian market, such as:

  • Compliance with the new European regulations regarding the protection of personal data – GDPR
  • Improved DevOps and CloudOps practices
  • Continuous integration
  • Customized services
  • Deployment templates for any environment

As a Microsoft partner and certified Azure Stack provider, BinBox is committed to providing the highest level of accessibility and security to its clients, by using state of the art technology from top-tier providers such as CISCO.

About BinBox

BinBox is dedicated to connecting people, information and ideas around the world, providing the highest quality telecommunication and data center services. The company has evolved from a classic data center provider to a full-service provider, aiming to save costs and reduce its clients’ efforts to manage hardware and software platforms, thus allowing them to focus on the activities that are most important to their businesses.

AVEM UN DPO: CUM ÎL CERTIFICĂM?

 

Mai sunt 114 zile până la intrarea în vigoare a Regulamentului EU 2016 – 679 și unul dintre aspectele care se află (încă) într-un con de umbră este pregătirea viitorilor responsabili cu protecția datelor (Data Protection Officer – DPO). Atât textul GDPR, cât și Ghidul privind Responsabilul cu protecția datelor (DPO) realizat de Grupul de Lucru Articolul 29 sunt destul de laconice în explicarea pregătirii profesionale a acestui personaj deosebit de important, un adevărt pivot al implementării și păstrării conformității GDPR la nivel de organizație.

Lipsa de norme dă naștere la interpretări. Această zonă crepusculară e cu atât mai critică în contextual în care avem de a face cu un Regulament European cu serioase implicații legislative. Cum alegem un DPO? Pe ce criterii profesionale? Cine ne garantează expertiza profesională a celui pe care îl vom numi în acest rol, element cheie în adopția GDPR? Sunt întrebări legitime care își găsesc cu destulă greutate răspunsul în condițiile în care în mod oficial nu există un organism de certificare sau de recunoaștere a competențelor unui DPO, nici la nivel UE și nici în celelalte țări membre. Cu o singură excepție, pe care o vom prezenta la sfârșit.

Ce găsim în Regulament, ghiduri și recomandări

Articolul 37 Alineatul 5 din GDPR stabilește că responsabilul cu protecția ar trebui să fie ”desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.” Destul de laconic, nu?

Haideți să căutăm ceva lămuriri în partea introductivă a Regulamentului EU 2016/ 679. În Considerentul 97 se fac niște specificații, pornind de la situațiile clare care necesită numirea obligatorie a unui DPO. Există cele trei situații: autoritate publică, prelucrare ce implică monitorizare regulată şi sistematică sau o prelucrarea pe scară largă pentru categorii speciale de date cu caracter personal se recomandă ca ”o persoană care deţine cunoştinţe de specialitate în materie de legislaţie şi practici privind protecţia datelor trebuie să acorde asistenţă operatorului sau persoanei împuternicite de operator pentru monitorizarea conformităţii.” Dacă experiența în legislație este de la sine înțeles în cazul GDPR, ce ar trebui să înțelegem din ”practici privind protecția datelor”?  Mai departe se specifică: ”În sectorul privat, activităţile principale ale unui operator se referă la activităţile sale de bază, şi nu la prelucrarea datelor cu caracter personal drept activităţi auxiliare. Nivelul necesar al cunoştinţelor de specialitate ar trebui să fie stabilit în special în funcţie de operaţiunile de prelucrare a datelor efectuate şi de nivelul de protecţie impus pentru datele cu caracter personal prelucrate de operator sau de persoana împuternicită de operator. Aceşti responsabili cu protecţia datelor, indiferent dacă sunt sau nu angajaţi ai operatorului, ar trebui să fie în măsură să îşi îndeplinească atribuţiile şi sarcinile în mod independent.” Stufos și ambiguu, lăsând loc pentru orice interpretări…

Revenind la Articolul 39, Alineatul 1 din GDPR unde ne trimite Articolul 37, aici este vorba de sarcinile care îi revin unui DPO. Să vedem cam ce experiență necesită fiecare:

  1. informarea şi consilierea companiei şi personalului care se ocupă de prelucrare cu privire la obligaţiile GDPR, dar și altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor – impune aptitudini clare pe parte legislativă și procedurală;
  2. monitorizarea respectării GDPR, a altor dispoziţii de drept referitoare la protecţia datelor şi a politicilor de protecţie a datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente – în plus față de abiltățile legislative se recomandă aptitudini manageriale de alocare a responsabilităților, sensibilizare și de formare a personalului, precum și experiență de auditare;
  3. furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 – aici e clar că e nevoie de cineva familiarizat cu evaluarea riscurilor și a impactului asupra protecției datelor;
  4. cooperarea cu autoritatea de supraveghere; – aici practic e doar o chestiune de reprezentare, DPO acționând ca persoana de contact;
  5. punct de contact pentru autoritatea de supraveghere – la fel ca mai sus.

Din ce avem până acum, reiese că un DPO trebuie să aibă cunoștințe temeinice de legislație internă și europeană, să aibă un bun spirit managerial, să fie capabil să facă o analiză de risc și să fie un bun comunicator. OK. Altceva? Și bineînțeles să fie capabil să-și rezolve sarcinile de servici.

Ghidul WP29 sugerează că nivelul de expertiză al unui DPO trebuie să fie adecvat complexității datelor personale prelucrate și a măsurilor de protecție necesare. De exemplu, pentru o activitate complexă ce implică un larg volum de date senzitive, DPO trebuie să posede un înalt nivel de expertiză și suport.  O explicație logică, dar tot nu știm cine ne garantează nivelul de expertiză și suport? Pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal există o pagină dedicată Responsabilului cu Protecția Datelor, care reprezintă o sinteză a recomandărilor din Ghidul WP29 de care am pomenit mai devreme. Pe lângă spiritual etic și integritatea profesională, calități personale absolut necesare pentru îndeplinirea sarcinilor, un candidat la poziția DPO trebuie să dovedească și o serie de calități profesionale, precum:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european;
  • nivelul de cunoștințe în  domeniul protecției  datelor în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;
  • să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și cerințele de securitate și protecție a datelor prelucrate de operator;
  • cunoștințe privind reglementările legale din domeniul public, în cazul unei autorități sau instituții publice.

Lipsa unei entități de recunoaștere a competențelor

Bun, acum ne-am făcut o idee despre ce calități trebuie să aibă un DPO, dar tot nu știm cine ne oferă garanția că acesta va fi capabil să gestioneze un proces unde pericolele pândesc la fiecare pas? Nicăieri în documentațiile amintite nu am găsit ca principal atribut capacitatea de coordonare a unui proiect care durează cam întreg ciclul de viață al unui business și mai ales experiența de managementul crizei.

Ce criterii trebuie să primeze la numirea unui DPO? Să punem pe cineva priceput, ca să-l avem în schema la data de 25 mai a.c.? Sau să ne bazăm pe cineva care știe ce este de făcut în momentul în care apare o breșă de Securitate? Putem avea șansa ca acest moment să nu apară de loc. Putem avea încredere într-un tânăr cu abilități manageriale care face o instruire de 4-5 zile? Desigur, dar învățatul ”din mers” presupune asumarea unor riscuri. În cine aveți mai mare încredere în situația unui incendiu? Într-un proaspăt absolvent cu uniforma apretată sau într-un pompier veteran?

Lipsa de reguli clare generează ambiguitate. Desigur, există opțiunea externalizării acestei poziții și apelarea la un DPO specializat. Bun, ce fel de specializare ar trebui să aibă acesta pentru a fi de încredere? Putem să încredințăm oricui informațiile cele mai sensibile ale unei companii? O soluție ar fi selectarea pe bază de curriculum. Asta va veni în timp, când primele generații de DPO vor acumula experiența în proiecte reale.

Cursuri de formare DPO pe piața din România

În România există deja câteva opțiuni instruire pentru DPO. Unele dintre acestea sunt rezultatul cooperării dintre companii românești și organizme care girează recunoașterea internațională a certificării DPO în anumite condiții, altele sunt inițiative locale care oferă programe de formare customizate pentru cei care vor să se specializeze în GDPR. Unele dintre aceste oferte de cursuri pot fi găsite în Catalogul GDPR publicat în octombrie 2017, altele vor fi disponibile în noua ediție a Catalogului care va apărea în scurt timp.

Cu toate acestea, în acest moment niciunul dintre programele de instruire existente în țara noastră nu beneficiază de recunoașterea unei autorități naționale sau europene, care să reglementeze certificarea DPO.  Ce putem face în aceste condiții? Să mizăm pe faptul că nu va apărea niciun incident de Securitate până când DPO-ul nostru va acumula suficientă experiență pentru a administra situația critică? Sau sa ne consolăm cu faptul că datele prelucrate de noi nu sunt critice și în consecință nu avem nevoie de cineva cu ani de expertiză. Cert este că o pregătire profesională specializată pe GDPR este absolut necesară. Aici nu ne putem baza doar pe tutoriale de pe YouTube.

În lipsa unor standarde de certificare se merge pe principiul că piața aduce experiența, care ajută la formarea experților. În țările cu tradiție, un rol important îl au asociațiile profesionale și mediile academice. Probabil că lucrurile vor evolua și la noi. Dacă ne uităm la recomandările organismelor de certificare cu recunoaștere internațională precum IAPP sau PECB vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în proiecte de protecție a datelor personale sau de acumularea ulterioară a acestei experiențe în peste 300 de ore de proiect. Partenerii IAPP oferă cursuri independente sau corelate de Certified Information Privacy Professional/Europe (CIPP/E) și Certified Information Privacy Manager (CIPM), menite să asigure formarea optimă a unui DPO.  Statisticile arată că e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de peste 300 de ore de proiect pentru obținerea unei experiențe  de DPO.

Modelul spaniol

Agenția de protecție a datelor personale din Spania (AEDP) este prima din Europa care a stabilit un set de reguli pentru certificarea DPO. Acestea explică în detaliu ce abilități trebuie să demonstreze un DPO pentru ași putea exercita funcția în proiectele GDPR. În lipsa unor specificații clare în GDPR, AEPD a decis elaborarea unei scheme de certificare care să definească un cadru general de recunoaștere a competențelor unui DPO.

Pentru aceasta, AEPD colaborează cu ENAC (Entitatea Națională Spaniolă pentru Acreditări) și cu un grup de experți în protecția datelor. Rolul ENAC în acest demers este acreditarea schemei de certificare care se face conform standardului ISO 17024. AEPD apreciază că va fi necesar și un proces de autorizare a entităților care oferă servicii de instruire.

Dar și aici apare o problemă: evaluatorii organismului de certificare vor trebui să dețină o experiență profesională echivalentă sau (de dorit) mai mare decât candidații propuși certificării… și capacitatea de evaluare a examenelor. Asta presupune cel puțin o diplomă postuniversitară și minim 5 ani de experiență în securitatea informațiilor.

Într-un viitor articol vom discuta care sunt cerințele de bază pentru a activa ca DPO în Spania.

GDPR Ready SERVICES

 

 

GDPR Analysis Services

GDPR is generating a new market boom for professional services and IT solutions able to help companies in their efforts to achieve GDPR compliance. GDPR is at the same time a business transformation process. How ready are the companies to solve critical business issues by adopting GDPR processes?

We are ready to cover these topics with a high – level knowledge transfer based on main activities proposed and realized in the last 2 years, founding GDPR Ready! Initiative, the first private knowledge transfer process dedicated to GDPR impact for business.

We are offering also GDPR Market Research studies for private companies, organizations or authorities interested in professional research reports related to GDPR acceptation, local data operators and processors readiness, or the main issues perceived in GDPR adoption process.

GDPR Advisory Services

Based on a deep experience in multicultural business processes we are able to offer professional assistance to local players interested in GDPR compliance.

Advisory services include Free discussion sessions “Let’s talk about GDPR” for a better new EU Regulation understanding, Professional Workshops dedicated to specific GDPR aspects for various industries or internal departments, or pre-Audit Sessions dedicated to better understanding of  GDPR needs for various business processes.

Building a long-running GDPR compliance company is not a very easy process. GDPR is not for the day of 25th of May, or for the next year period. GDPR compliance should be a business life-cycle trust warranty. We can help organizations in the efforts to build a Company GDPR Culture designing a middle-long term strategy based on efficient data protection policies, systematic training and periodical development analysis.

GDPR Business Development Services

GDPR is not a simple IT project and not a typical legal audit. GDPR is a very complex and dynamic cumulative process involving a large level of resources and professional investment. GDPR is a long life-cycle business continuity process, involving a large participation from each department or business line. Obtaining the GDPR conformity a company can demonstrate TRUST to all business ecosystem: clients, partners, suppliers, employees.

We can help you to use your GDPR Ready compliance status as a COMPETITIVE advantage and  TRUST banner to increase your customer satisfaction level and enlarge your business perspective. Being par on a very dynamic industry like IT sector, we are able to offer you professional advises and recommendations for the most performing  GDPR Ready solutions, tools or associated services.

GDPR Consultancy

GDPR implementation process could be difficult in the moment nobody knows what everybody has to do.  Many components are involved in a GDPR process and few peoples could have in this moment professional capabilities to cover all the specific areas like HR and accountant problems, legal frame and international laws knowledge, business process operations and operational issues, marketing and sales needs, and technical expertise in automated data protection and privacy solutions.

We can offer customized GDPR Consultancy Services helping you to better identify your GDPR needs, data flow mapping, GAP analysis, establishing new data protection policies, running Data Protection Impact Assessment (DPIA) tools, or helping you in better business associated risk management and Data Protection by Design and by Default implementation. GDPR services could be provided during a complex and integrated project, or on individual premises function to particular needs for a business line or a subsidiary/ department.

GDPR Training

Personal development and professional progress are keys to performance. Elementary knowledge of GDPR rules and principles is a must for any organization involved in personal data processing. GDPR training is an essential step in GDPR compliance adoption, being part of all important business evolution steps, from awareness increasing inside organization lines of business to fundamental activity in GDPR Company Culture.

We are offering professional GDPR Training services for any size organization based on an international accredited curriculum and best practices methodologies. Our training sessions are organised in any company location offering basic business quality conditions, between 5 and 20 participants. All training sessions could be customized function of audience interests and contain fundamental GDPR theory and business specific special cases. All participants will receive a Training participation diploma and a training support package.

Are you interested to know more about GDPR Ready! SERVICES?

Just fill the form below to open a direct contact!

GDPR CATALOG2: LAST MINUTE REGISTRATION

This week we are preparing to close the subscriptions for the GDPR Catalog – the first GDPR publishing project in Romania. The Catalog will be released in February 2018, in both versions print and online. Any GDPR conformity solutions and services provider could send us last minute participation request.

What’s the point?

After the success of the first GDPR Ready Catalog published in October 2017 (A5 size, 96 pg), AGORA Group and cloud☁mania knowledge platform decided to continue to support data operators in Romania, doing just a little more than simply raising awareness.

In this spirit, the second edition of the GDPR Catalog will be dedicated to personal data protection processes and solutions focusing on the practical aspects of implementing the GDPR compliance process.

Like the previous edition, the GDPR Practical Catalog consists of two parts:

  • A Good Practice Guide that will offer recommendations from experts on concrete issues such as: How do we choose a DPO? How do we map data? What are the roles of operators and processors? How do we start the impact analysis? How do we conduct incidents management? Who, when and to who is reporting?
  • A Catalog of Offers for GDPR compliant solutions, consultancy, audit and certification services currently provided on the Romanian market.

By participating in the GDPR Practical Catalog, we offer you the chance to turn the market anxiety towards a Regulation that will affect 98% of Romanian companies in the opportunity to show your clients and prospects the value of the solutions and the expertise of the services provided for fast, and long-term compliance with GDPR.

Sounds interesting to you?

You can view the online edition of the first GDPR Ready Catalog here: https://issuu.com/agoramedia/docs/catalog_cloud_2017_ed7_gdpr

For the last minute registration, fill out the form below  

Impactul GDPR asupra furnizorilor de servicii Data Center

 

De la bun început, noile prevederi ale Regulamentului EU 2016/267 au mărit gradul de expunere al tuturor procesatorilor de date personale, punând însă o presiune ceva mai mare pe câtva categorii speciale de operatori. Furnizorii de soluții și servicii Data Center (DCSP) se numără printre operatorii de date care trebuie să acorde o atenție specială îndeplinirii condițiilor de conformitate.

O categorie specială de operatori și procesatori

Indiferent că e vorba de servicii de găzduire administrate sau de hosting, de Cloud privat sau Hibrid, furnizorii de servicii Data Center au aceleași probleme cu GDPR. Una dintre probleme este securitatea datelor, considerate mult timp un adevărat punct vulnerabil în special pentru furnizorii de infrastructură Cloud. Încrederea utilizatorilor în garanțiile de Securitate oferite de găzduirea datelor în Cloud a frânat multă vreme accelerarea ratei de adopție a serviciilor Cloud la nivel enterprise.

Extinzând caracterul special al serviciilor de Cloud, practic orice înseamnă servicii de infrastructură care oferă găzduire în medii fizice și/ sau virtuale ridică aceleași probleme de securitate și confidențialitate pentru procesarea și stocarea datelor cu caracter personal.

Încă din anul 2012, prin Avizul nr. 5 privind  Cloud computing, Grupul de lucru Articolul 29 atrăgea atenția asupra unei serii de implicații negative pentru furnizorii de servicii de tip Cloud asupra protecției datelor cu caracter personal legate de lipsa controlului utilizatorului asupra datelor respective, precum și ambiguitatea informațiilor cu privire la modalitatea, locul și entitatea de prelucrare a datelor.

Care sunt riscurile asociate în mod tradițional cu serviciile de Cloud?

  • Lipsa transparenței asupra lanțului de externalizare/subcontractare a prelucrării de date cu caracter personal de către furnizorul de servicii Cloud
  • Incertitudini legate de transferul de date cu caracter personal către furnizorii de servicii de Cloud computing stabiliți în afara UE.
  • Lipsa unui cadru global comun al portabilității datelor

Domenii cheie pe care furnizorii de servicii Data Center trebuie să le abordeze pentru nevoile GDPR

Orice DCSP este procesator de date personale dar și operator – furnizorii de servicii Data Center trebuie să conștientizeze faptul că și petru fluxurile de date în care joacă rolul de procesator sunt acum expuși răspunderii juridice a GDPR ca procesatori de date. Până acum responsabilitatea revenea numai operatorilor.

Furnizorii trebuie să asigure respectarea propriilor standarde GDPR  – în calitate e operatori de date personale pentru angajați sau clientii individuali care contractează servicii Data Center individuale, precum căsuțe de e-mail sau spații de stocare personale.

Creșterea nivelului de transparență – furnizorii vor trebui să devină mai transparenți – deoarece clienții devin tot mai diligenți în privința suveranității datelor, a securității, a stocării datelor, precum și a controlului și distrugerii datelor pentru care au responsabilitatea.

Soluții as-a-Service  conforme GDPR pentru clienți – furnizorii de servicii Data Center vor trebui să se asigure că ofertarea de servicii în sine, atunci când sunt utilizate de un client, permite clientului să rămână conform. Tot mai multe aplicații de stocare, backup și desaster recovery sunt oferite ca aplicații SaaS găzduite de către DCSP sau chiar dezvoltate de aceștia.

Sfaturi practice pentru furnizorii de servicii Data Cnter

Revizuirea relațiilor contractuale cu opertorii de date – Operatorii sunt cei care trebuie să ofere instrucțiuni specifice procesatorilor, iar astfel de instrucțiuni trebuie să fie documentate în așa-numitele „Acorduri de prelucrare a datelor”. Deși aceste acorduri erau prevăzute și de legislația aflată încă în vigoare, în practică sunt destul de greu de găsit acorduri concrete și corecte.  Articolul 28 din GDPR menționează în mod specific acordurile de prelucrare a datelor și arată în detaliu ce ar trebui să includă ca instrucțiuni pentru furnizorii DCSP în calitate de procesatori.

Atenție specială subcontractorilor – furnizorii de servicii Data Center apelează adesea la proprii lor subcontractori, care devin sub-procesatori pentru clienții care au rol de operatori. Orice furnizor de servicii DC trebuie să ceară permisiunea operatorului de a utiliza subprocesatori, ceea ce ar trebui să se regăsească și în acordul de procesare a datelor. Utilizarea de subprocesatori poate fi acoperită printr-o permisiune generică sau o permisiune specifică pentru fiecare subprocesator. Procesatorul rămâne responsabil, astfel încât acordurile cu subprocesatorii trebuie să aibă un grad ridicat de încredere pe lista furnizorilor DC.

Înregistrarea activităților de prelucrare – în calitate de operator, fiecare DCSP trebuie să mențină o evidență a activităților de procesare: un instrument de evidență sau un document care detaliază diferitele activități de prelucrare a datelor cu caracter personal din cadrul organizației (HR, vânzări directe, service). O versiune mai puțin riguroasă a acestei evidențe trebuie să fie menținută pentru fluxurile de date în care DCSP acționează ca un procesator, dar care totuși trebuie să includă toate activitățile de procesare derulate pentru clienții săi. Crearea unei astfel de evidențe a activităților de procesare va oferi o cunoaștere valoroasă în identificarea datelor pe care le procesați și ar trebui să fie una dintre primele acțiuni într-un plan de implementare GDPR.

Transferurile de date în afara UE – atunci când datele cu caracter personal ale clienților din UE sunt transferate de către un procestor în țări din afara Uniunii este important ca datele să beneficieze de aceleași sisteme de protecție și garanții ca și în interiorul granițelor UE. Pentru a facilita astfel de transferuri, GDPR include mai multe mecanisme printre care care se numără:

  • Deciziile de adecvare – atunci când UE a stabilit că o țară din afara UE (sau un acord specific cu o astfel de țară, de ex. Privacy Shield cu SUA) oferă o protecție adecvată.
  • Regulile corporative obligatorii (Binding Corporate Rules) –  multe companii multinaționale au subsidiare în țări din afara UE, oferind aceleași garanții de protecție. Autoritățile de protecție a datelor trebuie să valideze BCR înainte ca prevederile să fie aplicate.
  • Clauze contractuale standard (Standard Contratual Clauses) – sunt contracte predefinite, validate de Comisia Europeană, ce conțin toate garanțiile de protecție necesare pentru transferurile în afara UE.

Securitatea informațiilor – asigurarea informațiilor împotriva accesului neautorizat, pierderii sau distrugerii este un aspect foarte important în cadrul GDPR și poate fi aplicat prin menținerea confidențialității, integrității și disponibilității (CIA). Orice încălcare a acestor principii ale CIA poate atrage o notificare către operator, care, la rândul său, va trebui să notifice autoritatea de supraveghere și persoanele vizate, dacă riscurile potențiale ale unei breșe  sunt destul de ridicate.

Tematica acestui articol a cosntituit subiectul prezentarii sustinute de autor in cadrul conferintei ”Data Centers and IT Infrasructure Management”, organizata de Agora Media in 12 decembrie 2017.

Top cloud☁mania articles in 2017

Let’s start the new (GDPR Ready) year 2018 with the traditional review of cloudmania’s activity in 2017. The 5th year of our knowledge platform was one of the records: 96 published articles, 60% increase of views number, and 39% of visitors number, comparing 2016, and a focussed GDPR dedicated section well received by Romanian and international communities.

Despite the fact the small majority of our readers are Romanians (58%), we still have a strong international community readers, where 30% are from the US, 13% from India, 8% from the UK, 5% from Germany, and 4% from France, respectively Canada.

As usual, here are few selections of most popular articles grouped into three main categories: international articles, Romanian articles (excepting GDPR), and Romanian GDPR Articles.

Most popular international articles:

#1: “Datacenter Forum 2017 the Pole of the Modern Infrastructure Technologies” – May 2017

#2: “TOSS C3 Interview: From Underground Research to Digital Transformation” – June 2017

#3: “The first GDPR Catalog in Romania” – October 2017

#4: “What cloud providers need to focus on for GDPR compliance” – Bart van Buitenen’s contribution for GDPR Catalog – October 2017

#5: “Freight Monitoring, Industry 4.0 and Smart Grids: Main Drivers for EMEA’s IoT Spending until 2020” – January 2017

Most popular Romanian (non GDPR) articles

 #1: “About Hybrid Cloud with Mr Ravan Stoica” – original title: “Despre Cloudul hibrid cu domnul Razvan Stoica – May 2017

#2: “Ford is managing HR resources in Cloud using Oracle HCM platform” – original title: “Ford își administrează resursele umane din Cloud pe platforma Oracle HCM – February 2017

#3: “Europe’s digital future is based on the 4th Industrial Revolution” – original title: “Viitorul digital al Europei se bazeaza pe cea de-a patra revolutie industriala – August 2017

#4: “ROcS 2.0: Technologies without age and without borders” – original title: “Tehnologii fara varsta si fara frontiere” – November 2017

#5: “Cloud Conference: Let’s speak about adoption, development, migration, business continuity, and GDPR” – original title: “Conferinta de Cloud: haideti sa vorbim despre adoptie, dezvoltare, migrarem continuitate in business si GDPR – November 2017

 

Most popular Romanian GDPR articles

#1: “First Romanian GDPR Catalog was released” – original title: “A aparut primul Catalog GDPR din Romania – October 2017

#2: “GDPR: personal data security from information security perspective” – original title: “GDPR: afectarea securității datelor cu caracter personal din perspectiva securității informatice” – a CERT.RO contribution to GDPR Catalog, November 2017

#3: How can I achieve DPO certification in Romania” – original title: “Cum pot obtine certificarea DPO in Romania” – November 2017

#4: “GDPR Ready! Initiative” – original title: Initiativa GDPR Ready!” – June 2017

#5: “Good practice guides released by ANSPDCP (Romanian Personal Data Processing Surveillance Authority)” – original title: “Ghiduri de bune practici puse la dispozitie de ANSPDCP” – November 2017

Happy GDPR Compliancy New Year!

Why we need to build a GDPR Corporate Culture?

 

Many times the alignment with GDPR requirements is perceived as a compliance challenge only.  What few realize from the very beginning is that GDPR does not involve a push-up effort, after which the relaxation is coming. It’s not an IT project, nor any simple modification of privacy policy on an e-commerce site. GDPR is the beginning of a process that should become irreversible, and for this, it needs a source of energy to keep it moving. The energy source for maintaining GDPR compliance for the entire lifecycle of a business is the organization’s internal capacity to maintain compatibility. And this is called Company Culture.

We are talking about GDPR more and more. And this is good because we still need awareness. Unfortunately, most of the messages are focused on the punitive value of the regulation. And that’s right, because the fines announced are scary, even for a bigger company. For the vast majority, however, a penalty of € 10,000,000 actually means getting out of business. Those who will have what they pay will face a big black spot of reputation, which will affect the trust of their clients, which creates the premises of a threat even bigger than the fines themselves.

These threats should generate a big concern at the executive levels first. Here are no longer only quick steps to modify few web pages and ad-hoc staff training. Organizations need to change their mentality and decision-makers must be an example. The success of a long-term GDPR project is based on the building of an organization-wide culture where people first think about how they would like their personal information to be processed. Companies must adopt this attitude when handling the personal data of customers, employees, and other subjects. It’s not just about the threat of financial penalties. It’s a business continuity and building a trusting attitude.

Individuals need to trust the companies to whom they provide their personal information and need to trust that these data operators have the ability to manage this information properly and safely. One of the GDPR’s novelties is the introduction of the accountability principle. The concept is not new. But for the first time, it becomes an explicitly free principle. The GDPR accountability goes beyond compliance with data protection principles, as it involves a change of culture. Any data controller or data processor has to prove not only that they are responsible for personal data protection but also to prove that they can support this responsibility. In order for this extended responsibility to be assimilated into our organization, we need a cultural and organizational change.

To create a GDPR culture, companies need to adopt a proactive, methodical and responsible approach to compliance, a privacy culture for personal data protection. If you want people to change their behaviour, you have to motivate them to want to do this; they have to understand why it is important. This change is a challenge if they cannot connect privacy risks to their own roles and private lives. Personalized training for roles or characters and the use of relevant examples is, therefore, a good practice. To effectively educate your staff, work closely with and connect with internal teams – people from HR, accounting, logistics, technical teams, but especially from internal communication teams.

Now that you have built the data privacy culture, you need to embed and support it. To do this, you will need to:

  • Define clear periodic and point assignments;
  • Create regular campaigns;
  • Build awareness of privacy in new business environments or new employees.

If it has not already been made, compliance with GDPR should be a key priority for all organizations, regardless of size, industry, or geographic location.

GDPR Explicitat (15): Penalitățile cu care vine GDPR

Iată-ne ajunși la finalul serialului de articole GDPR Explicitat. A fost o încercare de analiză și parcurgere pe orizontală a celor mai importante articole din GDPR care au egală importanță pentru toți operatorii și procesatorii de date personale. Desigur se mai pot povesti și comenta multe despre toate subiectele abordate. Vom mai avea ocazia să le reluăm când vom face analizele pe verticale, pe grupe de companii sau pe anumite industrii.

Când se dau amenzile administrative?

Orice încălcare a noului regulament este supusă unui regim de sancțiuni financiare cu amenzi de până la 4% din cifra de afaceri globală anuală sau de 20 milioane EUR, oricare dintre acestea este mai mare. La stabilirea nivelului amenzii, autoritatea de supraveghere trebuie să ia în considerare o serie de factori, inclusiv gravitatea încălcării, dacă încălcarea a fost intenționată sau rezultatul neglijenței și orice măsuri luate pentru a atenua încălcarea. În plus, persoanele pot da în judecată organizațiile pentru compensare pentru a acoperi atât pagubele materiale, cât și cele nemateriale (de exemplu, suferință).

Având în vedere magnitudinea eventualelor amenzi, drepturile persoanelor fizice de a introduce cazuri și cererea de despăgubiri, precum și prevalența și eficacitatea criminalității cibernetice, riscul unei încălcări a datelor ar trebui să treacă direct în registrul de risc al consiliului, cu respectarea înaltă a ordinii de zi a conducerii superioare.

Conform Articolului 83 – ”Condiții generale de impunere a amenzilor administrative”, aplicarea penalităților va fi, în fiecare caz, eficace, proporțională și disuasivă (descurajantă). Amenzile administrative se acordă în funcție de:

  • Natura, gravitatea și durata încălcării;
  • Caracterul intenționat sau neglijent al încălcării;
  • Orice acțiune întreprinsă de operator sau de procesator pentru a diminua daunele suferite de persoanele vizate;
  • Gradul de responsabilitate al operatorului sau al procesatorului, ținând cont de măsurile tehnice și organizatorice implementate de aceștia;
  • Orice încălcări anterioare relevante;
  • Gradul de cooperare;
  • Categoriile de date cu caracter personal afectate de încălcare;
  • Modul în care încălcarea a devenit cunoscută;
  • Existența unor cazuri anterioare în care au fost ordonate competențe corective împotriva operatorului sau a procesatorului;
  • Respectarea codurilor de conduită aprobate sau a mecanismelor de certificare aprobate;
  • Existența unor alți factori agravanți sau atenuanți.

Care sunt situațiile în care amenda e de 2% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 10 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 2% din exercițiul financiar precedent (oricare dintre acestea este mai mare) în situațiile în care autoritatea de supraveghere constată încălcarea următoarelor Articole:

  • Obligațiile operatorului și ale procesatorului de date stabilite în Articolele 8, 11, 25 la 39, 42 și 43;
  • Obligațiile corpului de certificare conforme cu Articolele 42 și 43;
  • Obligațiile corpului de monitorizare aferente Articolului 41 (Alineat 4)

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

  • 8: Consimțământul copilului
  • 11: Prelucrarea care nu necesită identificare
  • 25: Protecția datelor prin design și implicit
  • 26: Operatori comuni
  • 27: Reprezentanți ai operatorilor care nu sunt stabiliți în UE
  • 26, 29 & 30: Prelucrarea
  • 31: Cooperarea cu autoritatea de supraveghere
  • 32: Securitatea datelor
  • 33: Notificarea încălcărilor autorității de supraveghere
  • 34: Comunicarea încălcărilor la persoanele vizate
  • 35: Evaluarea impactului protecției datelor
  • 36: Consultare prealabilă
  • 37-39: Protecția datelor
  • 41 (4): Monitorizarea codurilor de conduită aprobate
  • 42: Certificare
  • 43: Organisme de certificare

Care sunt situațiile în care amenda e de 4% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 20 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 4% în exercițiul financiar precedent (oricare dintre acestea este mai mare) în următoarele condiții de încălcare:

  • Principiile de bază ale procesării, incluzând condițiile pentru consimțământ, aferente Articolelor 5, 6, 7 și 9;
  • Drepturile subiecților aferente Articolelor de la 12 la 22;
  • Transferul datelor personale către un recipient dintr-o țară terță sau o organizație internațională, aferent Articolelor de la 44 la 49.

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

  • 5: Principii privind prelucrarea datelor cu caracter personal;
  • 6: Legalizarea procesării;
  • 7: Condiții pentru consimțământ;
  • 9: Prelucrarea categoriilor speciale de date cu caracter personal (adică date personale sensibile);
  • 12 -22: Dreptul la informație, accesul, rectificarea, ștergerea, restricționarea procesării, transferabilitatea datelor, obiectul, profilul;
  • 44 -49: Transferuri către țări terțe;
  • 58 alineatul (1): cerința de a oferi acces la autoritatea de supraveghere;
  • 58 (2): Comenzi / limitări privind prelucrarea sau suspendarea fluxurilor de date.

Norme privind sancțiunile impuse de fiecare stat membru

În Articolul 83, Alineatul 7 se mai specifică faptul că ”Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv.”

Mai departe se prevede că exercitarea de către autoritatea de supraveghere a competenţelor sale în temeiul Art.83 are loc cu condiţia existenţei unor garanţii procedurale adecvate în conformitate cu dreptul Uniunii şi cu dreptul intern, inclusiv căi de atac judiciare eficiente şi dreptul la un proces echitabil.

Dar acestea nu sunt toate sancțiunile prevăzute de GDPR. În Articolul 84: ”Sancţiuni”, Alineatul 1  se specifică faptul că statele membre au dreptul de a stabili normele privind alte sancţiuni aplicabile în caz de încălcare a Regulamentului, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul Articolului 83, şi iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancţiunile respective trebuie să fie eficace, proporţionale şi disuasive. Totodată, până la 25 mai 2018 fiecare stat membru trebuie să informeze Comisia cu privire la dispoziţiile de drept intern pe care le adoptă în temeiul alineatului (1), precum şi, fără întârziere, cu privire la orice modificare ulterioară a acestora.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 14) ale seriei GDPR Explicitat:

 

%d bloggers like this: