IT FĂRĂ FRONTIERE LA ROCS 2018

Ajuns deja la cea de-a 24 ediție, ROmanian Computer Show (RoCS) este incontestabil veteranul evenimentelor B2B al industriei IT&C-ului din România,  reușnd să se reinventeze în același timp cu tehnologia. 

Această ediție a RoCS va  fi abordată din perspectiva “IT Fără frontierere you ready for the IT Export?” una dintre tendințele principale de pe piața românească de IT asociată cu ponderea externalizării pe piața totală –  exportul de abilități, programare, soluții, implementări, altfel spus – “IT fără frontiere”!

Organizatorii iBusiness Romania și DB Global Technology vă invită la sediul DB Connect Events Hall (Bd Dimitrie Pompei nr 6A, sect.2 București) pe 21 noiembrie, începând cu ora 9.00.

Pentru înregistrări: gineta.rosca@ibusiness.com.ro, 0755 020 002

DRAFT AGENDA:

09:30 -11:00 – Panel discussion: Overview (SWOT) on the Global IT Market: Trends, Expectations, Players; this panel will be attended by market analysts, major players in the outsourcing business, representatives of the IT associations and of the decision makers from the Governmental areas.

–          Welcome address – Mihaela Gorodcov, General Manager iBusiness România

–                                                  Marian Popa, General Manager DB Global Technology

–          Opening remarks – Cristian Cucu, CIO Romanian Government

–          Overview of the IT&C market in Romania – present status & trends; are we aligned with the global  trends Eugen Schwab-Chesaru, Group Vice President – Research, Vice President – Central & Eastern Europe, PAC

–          Slot presentation BNR

–          Innovating for tomorrow

–          Presentations of the Romanian IT companies in the ITEX area: success stories;

11:00 -11:30 – Coffee break

11:30 -13:00 –  David and Goliath . How can Romania compete with the huge players ? What is important and what is not ? This session will be attended by the main actors in the field who are active on the international markets.

–          Presentations – best areas in which the local companies can compete on the international markets: AI, ML, Robotics.  How can we take advantage from this major shift in the business models?

–          Entrepreneurship as the first step towards a bigger market;

13:00 -14:00 – Lunch

Advertisements

Casă nouă pentru GDPR Ready!

Cover GDPR Ready

Iată un proiect pe care trebuia să îl fac mai de mult, dar pentru care – evident că nu prea a fost timp. Acum, că lucrurile s-au mai liniștit, și toată lumea pare că a rezolvat deja problemele privitoare la datele personale, am găsit răgazul să fac un site dedicat pentru ceea ce mi-a ocupat ultimii doi ani: inițiativa și serviciile GDPR Ready.

Lansarea și evoluția inițiativei GDPR Ready

În mai 2017, la un an după aprobarea Regulamentului 679 de Parlamentul European, când toată lumea începuse să vorbească despre GDPR, dar foarte puțini știau ce ar trebui făcut pentru asigurarea conformității, am lansat o inițiativă privată denumită GDPR Ready! Menirea principală a acestei inițiative era să acopere un mare gol de informație de care toate organizațiile aveau nevoie și despre care existau foarte puține lucruri practice, concrete.

Ce am realizat într-un an și jumătate de inițiativă publică și benevolă ?

Articole GDPR Explicitat– o serie de 15 articole online ce explică principalele problematici GDPR pe înțelesul tuturor. Toate pot fi regăsite și pe nou site. Iată aici lista completă  a acestora cu linkurile originale:

Pagină dedicată GDPR Q&A  – ”Cele mai frecvente întrebări și răspunsuri despre GDPR”

Catalog GDPR Ready – primul catalog din România dedicat ofertelor de soluții și servicii pentru alinierea la GDPR, Editat in Octombrie 2017 în parteneriat cu trustul de presă Agora Media. Disponibil in format print si eBook.

Catalog GDPR Practic– o continuare firească a primului Catalog GDPR, dedicat aspectelor practice asociate cu proceduri, procese și soluții pentru protecția datelor personale. Publicat în martie 2018.

Catalog GDPR Provocări  – o abordare a cerințelor specifice GDPR pentru fiecare departament implicat în prelucrarea de date personale și principalele verticalele industriale. Publicat în iunie 2018.

Parteneriate, moderare și participare evenimente

Inițiator și moderator Grup de discuții GDPR Ready pe LinkedIn – Grup exclusiv pentru specialiștii români, deschis pentru toți cei interesați de conformitatea GDPR: întrebări, dezbateri, interpretări, recomandări, proceduri, standarde, soluții, evenimente, cercetări de piață, studii de caz, best practices. Până acum suntem peste 160 de membri.

Ce veți găsi pe noul site GDPR Ready

Urmând modelul de evoluție cloud☁mania, noul site își va păstra statutul de platformă de cunoaștere dedicată informațiilor din domeniul protecției datelor personale. Componenta publică benevolă a inițiativei GDPR Ready va continua să fie dezvoltată pe pagina ”GDPR 4 ALL”, atât  sub forma unei noi serii de articole reunite sub genericul Analiză GDPR, cât și prin contribuții ale unor invitați sau alte proiecte publice aflate în diferite stadii de evoluție.

Acumulările intense din ultima perioadă și experiența dobândită în proiectele din ultimul an se regăsesc în oferta de servicii GDPR de la pagina ”GDPR Services”, cu o abordare verticalizată pentru activitățile de analize de piață, business development, consiliere, consultanță și instruire.

Cunoașterea permanentă a nevoilor și cerințelor pieței este o constantă în Misiunea GDPR Ready. Plecând de la nevoia de informare și de consiliere a companiilor mici și mijlocii, am adaptat un pachet de activități și proceduri dedicate clasei de business IMM care conține Oferte de servicii și promoții sezoniere. Nu ratați ”Oferta specială a lunii Noiembrie” mapată pe cerința internă de permanentă instruire a angajaților dintr-o organizație.

Firește că site-ul se află încă într-o ”versiune Beta”, dar îmbunătățirile și modificările pot fi făcute și pe parcurs, ca exemplu de continuă transformare digitală. Important este că avem o nouă casă virtuală pentru GDPR Ready și xă ne așteaptă o serie de noi proiecte publice și private în pipeline.

Back to the Cloud…

Desigur că pentru încă o perioadă voi continua să public articole despre GDPR pe ambele site-uri, din rațiuni de continuitate și transfer de trafic. Dar a venit timpul ca portalul cloud☁mania să se întoarcă la subiectele care l-au consacrat: cloud computing și tehnologiile disruptive ale erei digitale: big data, IoT, Industry 4.0, fog computing, smart city, digital transformation, blockchain, inteligența artificială, realitatea augmentată și altele, despre care nici nu se vorbește încă…

Pentru cei care nu știau, cloud☁mania este inițiator și pionier în câteva proiecte editoriale, precum seria de Cataloage CloudComputing, realizată împreună cu prietenii de la Agora Media. Un pionierat care a deschis multe drumuri nebătătorite încă în România.

Început ca un hobby în februarie 2013 cloud☁mania a fost primul site independent dedicat 100% tehnologiilor de frontieră, devenind cu timpul o adevărată platformă tehnologică de cunoaștere implicată în dezvoltarea unei industrii și conglomerarea unei comunități de specialiști. Aici au fost publicate articole despre noutățile din domeniu cu mult înainte ca ele să se întâmple pe piața locală și regională, au fost făcute recenzii de soluții și platforme și s-au luat interviuri în exclusivitate cu personalități din domeniu.

Am publicat primul Catalog Cloud Compuing în ianuarie 2014, atunci când în România de-abia începuseră să se afirme primele platforme și aplicații bazate pe Cloud, deși multe erau încă doar la nivel declarativ, fără nici-o implementare în industrie. Răsfoiți prima ediție a Catalogului Cloud Computing și veți vedea care era starea Cloudului în acel moment și mai ales, câte s-au întâmplat de atunci.

În iunie 2014 a urmat ediția a doua a Catalogului Cloud Computing dedicată platformelor IaaS, deschisă cu un mesaj editorial în care spuneam: „Destul cu vorbele, cu teoria și cu tendințele. Haideți să mai și construim…“, deoarece… ”Cloudul s-a dovedit o realitate, nu mai e o utopie, o gaură neagră pentru date sau o marotă pentru sceptici. Cloudul este în viețile noastre, în casele noastre, pe birourile noastre, în mașinile noastre, în parcurile noastre și, mai ales, în buzunarele noastre…”

Lumea devenea tot mai mobilă și a fost firesc să facem o radiografie a influenței mobilității în Cloud, materializată prin cel de-al treilea Catalog Cloud Computing, publicat în martie 2015. Tema majoră de dezbatere era dualismul tehnologic Mobilitate – Cloud, ca motor al accesului ”3O” la date și aplicații (Oricând-Oriunde-Orice dispozitiv).

Când toată lumea a început să vorbească despre IoT a fost firesc să ne ocupăm și de această nouă tendință, Catalogul Cloud Computing ediția a 4-a, reprezentând primul proiect editorial dedicat tehnologiilor și aplicaților Internet of Things, publicat în decembrie 2015.

În august 2016 ne-am ocupat de digital industry, ca efect al uriașelor transformări înduse de cea de-a 4-a revoluție industrială. În ediția a 5-a a Catalogului Cloud Computing scriam despre Industry 4.0, despre 3rd Platform, despre proiectul unei Europe Digitale bazată pe accesul universal la informație, despre Internet IoT,  despre Industry Cloud și Cloud 2.0, despre dialogul dintre mașini, despre roboții industriali și automatizare, despre realitatea augmentată ca abecedar în deprinderea noilor aptitudini digitale și, în fine, despre pericolele care ne pândesc atunci când totul este conectat.

Primăvara anului 2017 marca începutul perioadei de maturizare a industriei de Cloud în România, o perioadă de adolescență tehnologică în care cuvântul de ordine era Hybryd Coud. Aceasta a și fost tema celei de-a șasea ediții a Catalogului Cloud Computing, editat în aprilie 2017, unde pentru prima oară erau abordate în mod sistematic modelele hibride, cu avantajele lor și provocările legate de implementare.

Edițiile 7-9 publicate în octombrie 2017,  martie 2018 și iunie 2018 s-au depărtat puțin de esența tehnologică a Catalogului Cloud Computing, fiind dedicate GDPR – temă deosebit de fierbinte pentru toată lumea, cu implicații majore pentru furnizorii de soluții de infrastructură și servicii Cloud. Aceasta a fost și rațiunea pentru care cele 3 Cataloage GDPR s-au suprapus cu formatul devenit extrem de popular al Catalogului Cloud.

În fine, revenind ”în contemporaneitate”, acum toată lumea vorbește despre Cloud, iar transformarea digitală a ajuns subiect de prelegeri în școli. Este timpul să ne întoarcem la proiectele noastre, iar cloudmania să își urmeze menirea de deschizător de drumuri și platformă de cunoaștere în tehnologie.

 

Analiza GDPR (2): 10 SFATURI PENTRU MANAGERI – NU LĂSAȚI PE MÂINE…

Au trecut 6 luni de la intrarea în vigoare a noului Regulament UE 679 și aproximativ un an de când alinierea GDPR a devenit un subiect extrem de discutat. După o perioadă extrem de agitată, care a culminat cu avalanșa de declarații și solicitări de consimțământ de la sfârșitul lunii mai, lucrurile au intrat treptat, într-o stare de acalmie. Asta poate fi BINE, dacă presupunem că oamenii au înțeles despre ce e vorba și au început demersurile de aliniere. Dar realitatea ne arată că presupunerea este FALSA. Realitatea este alta și ASTA NU E BINE.   

Totul pleacă de la manageri

Demararea unor proiecte de aliniere este legată ombilical de o decizie managerială. Nimic nu se poate face dacă managementul nu este convins de importanța subiectului. Dar înțelegerea importanței nu este totul. Managementul trebuie să gestioneze demararea activităților, să stabilească o echipă, să delege un responsabil și, mai ales să planifice resursele. Adică să se implice.

Orice analiză sau audit de business care constituie prima fază în derularea unui proiect de asigurare a conformității are în vedere nivelul de implicare managerial. Sunt managerii implicați direct, participă la discuții sau au delegat o persoană de încredere care să se ocupe de tot?

Ce situații am întâlnit în realitate? Toate demersurile de implementare realizate până acum, în majoritatea cazurilor,  au fost impulsul unei presiuni externe și destul de puțin și de rar rezultatul unei convingeri reale. Din păcate, încă sunt mulți manageri care consideră GDPR:

  • o mare prostie,
  • un simplu exercițiu birocratic,
  • o amenințare cu penalități uriașe care nu vor periclita niciodată propria organizație,
  • mulți bani aruncați degeaba.
  • o bătaie de cap în plus, care mai poate să aștepte
  • o mare cacealma, nimeni nu a fost amendat pana acum
  • niciunul dintre amici sau parteneri nu a făcut nimic pentru asta și nu li s-a întâmplat nimic
  • cei care au angajat o firmă de consultanță a dat banii degeaba pentru că au fost nevoiți să facă totul singuri…
  • ceva inutil. Eu nu lucrez decât cu date de business. Astea sunt date publice, nu personale

Și lista ar putea continua…

Ce putem face

Oameni buni, niciodată nu e prea târziu. Oricând puteți începe exercițiile de aliniere. Iată câteva sfaturi:

  1. GDPR NE PRIVEȘTE PE TOȚI. Nu e o prostie, o găselniță a politicienilor sau avocaților ca să ne mai ia niște bani. Orice organizație, asociație, sau persoană fizică autorizată exercită o activitate în care ajunge să dețină niște date personale ale clienților, partenerilor sau angajaților E OBLIGATĂ să se supună GDPR.
  2. MĂRIMEA NU CONTEAZĂ. Fie că avem o companie cu 10, 50 sau peste 250 de angajați, fie că suntem o microîntreprindere, un ONG sau o asociație profesională, fie că administrăm o asociație de locatari sau că suntem un consultant independent, avocat, stomatolog sau blogger specializat, AVEM NEVOIE DE GDPR. Desigur că nu toți avem nevoie de toate procedurile și politicile. Dar există un nucleu de activități și măsuri care sunt absolut obligatorii pentru orice fel de organizație. Nu avem cum să evităm asta. TREBUIE SĂ FIM PREGĂTIȚI.
  3. GDPR ÎNSEAMNĂ ASUMAREA RĂSPUNDERII. Suntem răspunzători pentru datele noastre personale. Pentru angajații noștri. Pentru clienții noștri. Pentru partenerii noștri. Nu facem asta cu gândul la inspecțiile Autorității și nici ca pe o simplă formalitate birocratică. O facem pentru binele nostru și al comunității în care trăim și activăm. O FACEM CA RESPONSABILI PENTRU RESPONSABILITATEA NOASTRĂ.
  4. GDPR ESTE MAI MULT DECÂT UN SIMPLU PROIECT. Mai mult decât o implementare de soluții IT. Mai mult decât o revizuire birocratică a documentelor dintr-o altă perspectivă birocratică. Este o acțiune asumată, documentată și permanentă care presupune luarea de decizii, elaborarea de politici, adoptarea de proceduri, dar mai ales o acțiune de echipă, în care avem o triplă implicare: OAMENI, TEHNOLOGIE, PROCESE.
  5. GDPR ESTE O CERINȚĂ PERMANENTĂ. Nu este un simplu hei-rup, o activitate punctuală sau o implementare de proceduri după care cineva îți dă o diplomă. Este un exercițiu permanent, o cerință obligatorie de business pentru întregul ciclu de viață al uni afaceri. Ca să păstrăm un nivel optim de conformitate trebuie să acționăm continuu, să rămânem între anumiți parametri.

Iată un exemplu pe care îl folosesc des în discuțiile din proiecte sau de la ședințele de instruire: Obținerea conformității GDPR poate fi comparată cu pregătirile de decolare pe care le face echipajul unei aeronave. Pregătim instrucțiunile de zbor, verificăm echipajul, consultăm aparatura de bord și demarăm procedurile de decolare. Dar menținerea conformității GDPR pe termen lung trebuie comparată cu zborul propriu-zis. Cu activitățile absolut necesare pentru menținerea la un plafon de 11000 de metri. Nu ne permitem sa greșim. Chiar dacă se setează pilotul automat, cineva tot trebuie să vegheze și să știe în permanență ce este de făcut.

  1. GDPR ESTE O INVESTIȚIE ÎN EFICIENȚĂ. Nu sunt bani aruncați. Nimeni nu ne obligă să facem toate achizițiile dintr-o dată. O analiză de risc poate ajuta la crearea unor planuri de remediere gradată a eventualelor surse de incidente legate de pierderea de date personale. Ne concentrăm pe ce e mai important acum și facem un efort. Un buget alocat pentru viitorul exercițiu financiar ne va ajuta la păstrarea echilibrului balanței. Sunt multe posibilități de realocare a unor bugete în momentul în care am devenit conștienți că E MUSAI NEVOIE DE ASTA.
  2. INSTRUIȚI-VĂ OAMENII. Instruirea nu este o rușine. Este o nevoie permanentă. Nu înțelegeți exact despre ce e vorba și nu aveți timp să vă bateți capul. Participați la o ședință de instruire GDPR de una sau două zile. Sunt deja zeci de cursuri care oferă asta. O puteți face și online, de la birou sau din fotoliul de acasă. Veți vedea despre ce e vorba. Veți înțelege de ce e important. VEȚI REALIZA CE RESPONSABILITĂȚI AVEȚI.
  3. PREGĂTIȚI-VĂ UN SPECIALIST ÎN PROTECȚIA DATELOR. Chiar dacă legea nu vă obligă să angajați sau să numiți un DPO, multe aspecte legate de adoptarea GDPR reclamă competențele unui om care a parcurs o instruire de DPO. Nu așteptați ca să se rezolve problema certificării. Nu mai este timp pentru așteptare. Nu aveți nevoie de diplome, ci de (cel puțin) un om care să știe de unde să înceapă, cu cine să înceapă și ce e de făcut.
  4. AVEM NEVOIE DE CULTURĂ GDPR. Asta înseamnă respectul pentru date. Instruirea permanentă a angajaților. Testarea eficienței sau efectivității procedurilor existente. Adaptarea la schimbare. GDPR va suferi modificări în timp. Verificarea conformității cu normativele conexe precum e Privacy sau NIS. Conformitatea GDPR devine o permanență, la fel ca regulamentele de ordine interioară, protecție împotriva incendiilor sau măsurile de evacuare în caz de calamități naturale. Protejați-vă datele! Scrieți un postit-ul lipit pe ușă unde scrie: ”stinge lumina!”, ”verifică gazele!” sau ”activează alarma!”
  5. GDPR ESTE O OPORTUNITATE, NU O CALAMITATE. Priviți eforturile de aliniere ca pe o investiție în eficientizarea activităților. Ca pe un prim demers în transformarea digitală a organizației. Ca pe o etichetă de încredere față de angajați, clienți și parteneri.

Depinde doar de noi. Este responsabilitatea noastră ca manageri. Conformitatea GDPR nu se poate asigura fără implicarea noastră și a  întregii organizații. De noi depinde cum aplicăm procedurile recomandate de un consultant. De noi depinde cum asimilăm politicile și cum ne asigurăm că oamenii le și respectă. De noi depinde sănătatea și eficiența afacerii noastre. De noi depinde cum putem transforma conformitatea într-un avantaj competitiv.

 

Australia, o țară non-UE, conștientizează impactul GDPR asupra mediului său de afaceri

 

 

Ion IORDACHE

Ion Iordache este managing director și fondator al companiei iQuality Services Pty. Ltd. din Melbourne, Australia, consultant și trainer pentru RQM Cert din Timișoara, România. 

 

Poate fi contactat la adresa: ion@ioniordache.com,

https://iqualityservices.com.au

Prin luna februarie 2017, în cadrul unui curs „Certified ISO/IEC 27001 Lead Auditor” organizat de iQuality Services la Melbourne le-am spus cursanţilor că în Europa a intrat în vigoare noul Regulament European General de Protecţia Datelor (GDPR) care se va aplica începând cu data de 25 mai 2018.

Așa am constatat că interesul lor pentru GDPR este destul de mare pentru că știau despre ce este vorba. La acea dată în Australia se luaseră deja primele măsuri de informare asupra cerințelor GDPR și chiar erau propuse modificări legislative semnificative privind securitatea datelor personale. În Australia există, încă din 1988, o legislație specifică privind confidențialitatea („The Privacy Act”) care este fundamentul reglementării vieții private în Australia. Anul acesta, „The Privacy Act” a fost modificat și a fost stabilit un regim de notificare obligatorie a încălcărilor de date „eligibile”. Poate că nu a fost chiar întâmplătoare introducerea acestor modificări în „House of Representatives” la 19 octombrie 2016. GDPR a intrat în vigoare pe data de 25 mai 2018.

Odată cu intrarea în vigoare a GDPR, companiile australiene care de regulă au adoptat o abordare mai transparentă și destul de conciliantă față de confidențialitatea datelor personale sunt puse în fața unei noi provocări atât datorită prevederilor proprii legislații cât și a GDPR. Autoritatea de reglementare australiană, responsabilă cu aplicarea „The Privacy Act”, OAIC (Office of the Australian Information Commissioner) a publicat, în luna mai 2017, un Ghid foarte bine documentat cu noi orientări pentru companiile australiene cu privire la cerințele GDPR în care se precizează, cu exemple și tabele comparative, că GDPR include cerințe care seamănă cu cele din „The Privacy Act” și sunt prezentate măsurile suplimentare ce urmăresc promovarea unor practici transparente de gestionare a informațiilor și a responsabilităților companiilor în ceea ce privește manipularea datelor.

OAIC a făcut o publicitate susținută GDPR și a încurajat companiile private de orice mărime ar fi ele și entitățile din sectorul public să-și revizuiască practicile de confidențialitate și nivelul de respectare a obligațiilor lor în conformitate cu GDPR și să ia măsuri immediate pentru a se asigura că practicile lor de colectare și manipulare a datelor personale respectă Regulamentul, înainte de data punerii sale în aplicare.

Pentru toate organizațiile australiene, prelucrarea datelor despre angajați constituie un motiv de îngrijorare. Conform legislației australiene de confidențialitate, există o serie de scutiri pentru unii angajatori din sectorul privat care gestionează informațiile personale ale angajaților dar nu există o astfel de exceptare în cadrul GDPR. Prin urmare, orice organizație australiană care deține sau procesează datele angajaților săi rezidenți din UE trebuie să-și revizuiască, imediat, practicile de prelucrare a datelor referitoare la aceștia, să determine eficiența practicilor lor de informare și de securitate și să pună în aplicare măsuri pentru a asigura conformitatea cu GDPR.

Un alt motiv de îngrijorare pentru companiile australiene este acela generat de valorile uriașe ale amenzilor pentru încălcarea GDPR. Deși GDPR ar putea să nu se afle pe lista de priorități pentru multe companii australiene, acestea ar putea primi amenzi foarte mari dacă încalcă GDPR după intrarea sa în vigoare la 25 mai 2018. Guvernul australian a cerut tuturor departamentelor guvernamentale și organismelor publice să-și revizuiască în mod corespunzător practicile de prelucrare a datelor din UE, inclusiv cu furnizorii terți, pentru a evalua expunerea acestora. O cerință obligatorie pentru toate autoritățile publice australiene: în cazul în care activitățile de prelucrare ale unei autorități publice intră sub incidența articolului 3 din GDPR, pe lângă obligațiile sale generale, există, de asemenea, obligativitatea de numire a unui Data Protection Officer (DPO). La o conferință găzduită în luna mai 2017 de OAIC, The Privacy Commissioner, Timothy Pilgrim, a subliniat în mod expres importanța GDPR pentru companiile australiene și a avertizat că OAIC va urmări cu atenție conformarea acestora cu GDPR.

Există însă și o veste bună. Având în vedere asemănările dintre GDPR și „The Privacy Act” (în special existența în cadrul acestuia a principiilor australiene de confidențialitate) privind informațiile personale și manipularea datelor personale, companiile australiene ar putea avea deja unele măsuri impuse în cadrul GDPR.

Avantajul Australiei, fața de foarte multe alte țări este acela că are o industrie și o cultură a dezvoltării profesionale continue foarte bună. Companiile private și toate organizațiile guvernamentale privesc formarea profesională continuă ca pe o investiție extrem de rentabilă pentru care alocă resurse importante. Acesta este unul din motivele principale pentru care o companie australiană nu va desemna pe cineva pe o funcție așa de importantă ca DPO fără să-i asigure acestuia accesul la o formare de calitate și nici nu va angaja prea ușor pe cineva care doar pretinde că știe ce trebuie să facă chiar dacă va scoate la interviul de angajare un dosar de diplome şi certificate. Am observat acest lucru în cei câțiva ani de când compania mea, iQuality Services, oferă servicii de training și consultantă pe piața din Australia unde cursanții, niciodată, nu mi-au dat impresia că sunt dispuși să plătească pentru a obține doar o hârtie.

În ultimii doi ani, datorită informărilor sistematice pe care OAIC și alte agenții guvernamentale le fac, a crescut semnificativ interesul pentru două cursuri din portofoliul nostru: ”PECB Certified ISO/IEC 27001 Lead Implementer” şi ”PECB Certified Data Protection Officer”. Datorită interesului pieței, am creat o serie nouă de cursuri de nivel avansat: ”Advanced Implementation – Information Security Management System based on ISO/IEC 27001:2013” şi ”Advanced Implementation the European Union’s General Data Protection Regulation (GDPR) Requirements”.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 58-60.

 

 

FORMATI-VA CA DPO LA CURSUL RINA SIMTEX

În perioada 20-22 Noiembrie 2018, RINA SIMTEX – important organism internaționale de certificare va organiza o nouă serie a cursului de formare DATA PROTECTION OFFICER (DPO), unul dintre cele mai căutate joburi ale momentului.

Durata cursului: 3 zile

Locație: Sediul RINA SIMTEX, Splaiul Independentei Nr.179, Bucharest (Romania) de la 06.11.2018 până 08.11.2018

La cerere: cursul poate fi organizat în oricare dintre sediile RINA SIMTEX din țară.

Instuctor: Certificat ca Formator de ANC

Una dintre cel mai importante noutăți ale Regulamentului UE 679/ 2016 este obligativitatea numirii unui ofițer responsabil cu protecția datelor (DPO – Data Protection Officer) al cărui rol principal este coordonare și supraveghere a implementării condițiilor de conformitate GDPR, precum și ca persoană de legătură între organizație și autoritatea de supraveghere.

În plus, Articolul 4 din Legea 190/ 2018 stipulează ca orice Operator sau Procesator de date personale care prelucrează date cu caracter special precum numerele de identificare națională (serie Card Identitate, CNP, serie Pașaport, serie Permis Conducere, serie Card Sănătate) și are ca temei legal Legitimul interes, e obligat să numească un DPO, pe lângă alte condiții speciale.

Mai mult de atât, peste 75% dintre organizațiile care nu sunt obligate să numească un DPO, prin natura activității și volumul de date personale prelucrate li se recomandă numirea unui responsabil cu asigurarea condițiilor de conformitate. Indiferent de funcția și experiența acestui responsabil este recomandat ca acesta să cunoască tot ceea ce trebuie să știe un DPO.

Cursul organizat de RINA SIMTEX pregătește un candidat DPO pentru cele mai importante atribuții, oferind o însușire temeinică a legislației în vigoare, cunoașterea obligațiilor operatorilor și procesatorilor (împuterniciților), precum și instrumente și proceduri specifice managementului de proiect. În plus, participanții la curs vor beneficia de o bogată expertiză acumulată în proiecte locale de implementare GDPR și modalități eficiente de rezolvare a celor mai dificile provocări, pe baza unor situații reale.

Cursul se adresează atât celor care profesează deja în domeniul datelor cu caracter personal și care doresc sa-și îmbunătățească cunoștințele și metodele de lucru, cât și celor care doresc sa devină DPO și nu posedă calificarea necesară ducerii la îndeplinire a sarcinilor specifice unui Responsabil cu Protecția Datelor cu Caracter Personal.

CARE SUNT CELE MAI IMPORTANTE BENEFICII ALE PARTICIPANȚILOR

  1. Suport de curs atestat internațional
  2. Instructor cu experiență în proiecte locale ce oferă recomandări bazate pe situații reale
  3. Oportunități unice de angajare ca DPO în orice țară din Uniunea Europeană
  4. Diplomă participare atestată internațional
  5. Kit substanțial de resurse pentru suport

PENTRU ÎNSCRIERE ACCESAȚI PAGINA DEDICATĂ DE PE SITE-UL RINA SIMTEX:

RINA SIMTEX oferă servicii de certificare sisteme de management (ISO 9001, ISO 14001, OHSAS, ISO 22000, ISO 27001, ISO 20000 etc), servicii de certificare produse în domeniul construcțiilor și instruire pentru formare auditori, servicii de clasificare, inspectii si testare.

PARTICIPAȚI LA CURSUL DE INSTRUIRE DPO ORGANIZAT DE RINA SIMTEX ȘI VEȚI FI PREGĂTIȚI PENTRU CEA MAI CĂUTATĂ MESERIE A ANULUI 2018 ȘI CELE MAI IMPORTANTE PROVOCĂRI ALE ALINIERII LA GDPR!

 

REȚINEȚI:

20 – 22 Noiembrie 2018

Sediul RINA SIMTEX București, str. Leonte Anastasievici, No 4D

(intrare din Splaiul Independentei Nr.179)

 

ANALIZĂ GDPR (1):  CUM POT DEVENI DPO ÎN ROMANIA

Cum îl numim, cum îl pregătim și ce îl punem să facă pe DPO. Sunt cele mai discutate subiecte din ultimul an. După o primă serie de 15 articole GDPR Explicitat care au acoperit cele mai importante aspecte ale noului regulament, reluăm Inițiativa GDPR Ready cu un nou proiect public: ANALIZA GDPR, în care aducem sub lupă tematici esențiale dintr-o perspectivă mai aprofundată. Și ce subiect de analiză mai potrivit puteam alege pentru primul articol din noua serie? Controversata poziție de DPO.  

Unul dintre cele mai discutate subiecte legate de protecția datelor personale, încă de acum doi ani când s-a anunțat aprobarea finală a Parlamentului European, a fost cel legat de un personaj cheie, despre care nu se mai discutase până atunci: Ofițerul de protecția datelor personale sau așa cum îl știe toată lumea: DPO. A fost și este încă un subiect controversat și de aceea e bine să venim cu o serie de lămuriri.

ASPECTE NECLARE ASOCIATE POZIȚIEI DE DPO

Orice operator de date personale cu peste 250 de angajați este obligat să numească/ angajeze un DPO – o informație falsă care a circulat multă vreme în virtutea faptului că într-una dintre versiunile intermediare ale Regulamentului UE 679/2016 era prevăzută acest diferențiator, asociat cu granița dintre companiile de mărime medie și cele mari.

Deși obligativitatea numirii unui DPO este acum foarte clară prin conținutul Art.37, Alin.1, se mențin încă neclarități generate de ambiguitatea definirii unor termeni precum ”monitorizare sistematică” sau ”scară largă”, care apare menționat aici de două ori.

Articolul 37, Aliniat 1 din GDPR, zice că trebuie desemnat un ofițer de protecție a datelor (DPO) pentru:

  • o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • organizații care fac o monitorizare sistematică, la scară largă, a persoanelor;
  • organizații care fac o prelucrare la scară largă a unor categorii speciale de date.

GDPR nu definește ce înseamnă „autoritate publică sau organism public”. Grupul de Lucru Articolul 29 – pe care îl vom numi în continuare WP29 –  consideră că o asemenea noțiune trebuie stabilită în conformitate cu dreptul intern. În consecință, autoritățile și organismele publice includ autoritățile naționale, regionale și locale, dar conceptul, în conformitate cu legislația națională aplicabilă, include, de asemenea, o serie de alte organisme guvernate de legislația în domeniul public. În astfel de cazuri, desemnarea unui DPO este obligatorie.

”Monitorizarea periodică și sistematică” – Noțiunea de monitorizare periodică și sistematică a persoanelor vizate nu este definită în GDPR, dar conceptul de „monitorizare a comportamentului persoanelor vizate” este menționat în Considerentul 24 și include toate formele de urmărire și profilarea pe Internet, inclusiv în scop de publicitate comportamentală. Cu toate acestea, noțiunea de monitorizare nu este restricționată în mediul online, iar urmărirea online ar trebui să fie considerată doar ca un exemplu de monitorizare a comportamentului persoanelor vizate.

WP29 interpretează „periodic” ca însemnând una sau mai multe din următoarele:

  • în curs de desfășurare sau care apare la anumite intervale într-o anumită perioadă
  • recurente sau repetate la perioade fixe
  • constante sau care au loc periodic WP29 interpretează „sistematic” ca însemnând una sau mai multe din următoarele:
  • apărut conform sistemului pre-aranjat, organizat sau metodic
  • luând loc ca parte a unui plan general de colectare a datelor
  • efectuat ca parte a unei strategii

Exemple de activități care pot constitui o monitorizare periodică și sistematică a persoanelor vizate: operarea unei rețele de telecomunicații; furnizarea de servicii de telecomunicații; e-mail de direcționare repetată; activități de marketing bazate pe date; profilare și scoring în scopul evaluării riscurilor (de exemplu, în scopul de credit scoring, stabilirea primelor de asigurare, de prevenire a fraudelor, detectarea spălării banilor); urmărirea locației, spre exemplu, prin aplicații mobile; programe de loialitate; publicitate comportamentală; monitorizarea wellness, fitness și a datelor de sănătate prin intermediul dispozitivelor portabile; televiziune cu circuit închis; dispozitive conectate spre exemplu, contoare inteligente, mașini inteligente, automatizare acasă, etc.

”Pe scară largă”: Potrivit Considerentului 91, ar putea fi incluse aici „operațiunile de prelucrare pe scară largă care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional și care ar putea afecta un număr mare de persoane vizate și care sunt susceptibile de a genera un risc ridicat”. Pe de altă parte, considerentul prevede în mod expres că „prelucrarea datelor cu caracter personal nu ar trebui considerată a fi la scară largă în cazul în care prelucrarea se referă la date cu caracter personal de la pacienți sau clienți ai unui anumit medic sau un alt profesionist în domeniul sănătății sau un avocat”. Este important să se ia în considerare faptul că, în timp ce considerentul oferă exemple aflate la extremele scalei (prelucrare efectuată de un medic în comparație cu prelucrarea datelor dintr-o țară întreagă sau din Europa), există o zonă mare gri între aceste extreme. În plus, trebuie amintit faptul că acest considerent se referă la evaluările impactului asupra protecției datelor. Acest lucru implică faptul că unele elemente pot fi specifice în acest context și nu se aplică neapărat la desemnarea DPO în același mod.

În orice caz, WP29 recomandă ca următorii factori să fie luați în considerare atunci când se stabilește dacă prelucrarea este efectuată pe o scară largă:

  • numărul persoanelor vizate – ori un număr exact ori un procent din populația relevantă
  • volumul datelor și/sau gama de elemente diferite de date în curs de prelucrare
  • durata sau permanența activității de prelucrare a datelor
  • aria geografică acoperită de activitatea de prelucrare

Aprobarea și publicarea Legii 190/ 2018 în luna iunie a indus un nou val de confuzii prin Articolul 4 care se ocupă de prelucrarea unui număr de identificare național și care vine cu obligativitatea angajării unui DPO pentru toți operatorii care au ca principal temei legal Legitimul Interes. Confuziile sunt evident generate de faptul că dintre toate cele 6 temeiuri legale enunțate prin Articolul 6 – Legalitatea prelucrării, Legitimul Interes este cel mai dificil de stabilit prin prisma echilibrului ce trebuie menținut cu interesele private ale persoanei vizate și a unor seturi de analize menite să probeze valabilitatea ca temei legal într-o sumedenie de situații particulare. Mai multe pe această temă într-un articol Analiza GDPR dedicat Legitimului Interes.

Legea 190/ 2018 prin Art.4 stipulează ca orice Operator de date personale care prelucrează date cu caracter special precum numerele de identificare națională (serie Card Identitate, CNP, serie Pașaport, serie Permis Conducere, serie Card Sănătate) și are ca temei legal Legitimul interes e obligat să numească un DPO, pe lângă alte condiții speciale.

Art. 4: Prelucrarea unui număr de identificare național

(1)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, se poate efectua în situaţiile prevăzute de art. 6 alin. (1) din Regulamentul general privind protecţia datelor.

(2)Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, în scopul prevăzut la art. 6 alin. (1) lit.f) din Regulamentul general privind protecţia datelor, respectiv al realizării intereselor legitime urmărite de operator sau de o parte terţă, se efectuează

cu instituirea de către operator a următoarelor garanţii:

a)punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal, conform dispoziţiilor art. 32 din Regulamentul general privind protecţia datelor;

b)numirea unui responsabil pentru protecţia datelor, în conformitate cu prevederile art. 10 din prezenta lege;

c)stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;

d)instruirea periodică cu privire la obligaţiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

Multe discuții și nelămuriri au avut ca temă autonomia DPO în problemele de siguranță a datelor, mai ales aspectele ce țin de poziționarea acestei funcții în relațiile cu structurile de management și celelalte linii de business. Așa cum zice Articolul 38, Alineatul 3: ”Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.” Mai mult de atât, operatorii au datoria de a acorda DPO tot sprijinul pentru îndeplinirea sarcinilor menţionate la Articolul 39, asigurându-i toate resursele necesare pentru buna executare a acestor sarcini. Printre aceste resurse se numără accesul la datele cu caracter personal şi la operaţiunile de prelucrare a acestora, cât și facilitarea accesului la resursele de instruire, pentru menţinerea cunoştinţelor sale de specialitate.

În fine, alte discuții controversate se referă la pregătirea optimă a unui DPO și din ce departament ar trebui recrutat: HR, legal, operațional sau IT? Aici există o multitudine de recomandări ce oferă o plajă largă de soluții, precum constituirea unui grup de acțiune cu reprezentanți ai tuturor departamentelor implicate care să susțină în permanență – și la o adică să poată să suplinească, rolul unui DPO. La limita extremă este apelarea la serviciile unui DPO super-specializat, care eventual poate consilia mai multe organizații, la limita conflictului de interese. Și aici fiecare poate să aleagă soluția cea mai convenabilă.

Destul de neclare sunt și situațiile în care numirea unui DPO intern ar putea genera un conflict de interese. Potrivit Alineatului 6 din Articolul 38: ”Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.”

Ca recomandare practică, este de dorit ca un DPO să nu îndeplinească în același timp și orice altă funcție implică accesul și prelucrarea de date personale. Adică nu putem avea un DPO care este în același timp șef de resurse umane, financiar-contabilitate, vânzări sau servicii IT. Asta nu înseamnă că nu putem aloca responsabilități DPO oricărui angajat din aceste departamente care este degrevat de vechea funcție și urmează să activeze în condiții de deplină neutralitate, conform fișei postului.

CARE SUNT AȘTEPTĂRILE DE LA UN DPO

Prin natura funcției și a împuternicirilor de care dispune, un DPO deține o poziție centrală, cu rol strategic, într-o organizație.

Potrivit Articolului 38: Funcţia responsabilului cu protecţia datelor, operatorii trebuie să se asigure că responsabilul cu protecţia datelor ”este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”.

Regulamentul prevede că un DPO nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.

Un alt rol critic al DPO este acela de a prelua comunicarea cu persoanele vizate, în cazul în care acestea se prevalează de exercitarea drepturilor lor, în temeiul prezentului regulament.

Un alt punct important, în special în situația în care DPO își exercită activitățile ca extern, pentru una sau mai multe companii, este obligaţia de a respecta secretul și confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale, ceea ce trebuie reglementat printr-o secțiune specială a contractului individual de muncă sau a contractului de prestări de servicii.

Astfel de reglementări trebuie să menționeze explicit care sunt categoriile de informații la care DPO are dreptul de acces, care este rolul său în prelucrarea efectivă a datelor și cum poate gira acesta condițiile asumate de organizație prin limitarea volumului de date procesate, siguranța comunicării sau a stocării.

Este important ca DPO sau echipa sa, să fie implicat, cât mai devreme posibil, în toate aspectele legate de protecția datelor. DPO trebuie privit ca un partener de discuție în cadrul organizației și trebuie inclus în grupurile de lucru relevante care se ocupă cu activități de prelucrare a datelor din cadrul organizației. În consecință, organizația ar trebui să se asigure că:

  • DPO este invitat să participe în mod regulat la ședințele conducerii la nivel înalt și la nivel mediu.
  • Prezența DPO este recomandată în cazul în care se iau decizii cu implicații asupra protecției datelor. Toate informațiile relevante trebuie să fie transmise DPO în timp util pentru a permite ca acesta să ofere o consiliere corespunzătoare.
  • Avizului DPO trebuie să i se acorde întotdeauna o importanță deosebită. În caz de dezacord, WP29 recomandă, ca bună practică, documentarea motivelor pentru care nu a fost urmat avizul DPO.
  • DPO trebuie să fie consultat cu promptitudine imediat ce a avut loc o încălcare a securității datelor sau un alt incident. Atunci când este cazul, operatorul sau persoana împuternicită de operator ar putea elabora ghiduri privind protecția datelor sau proceduri care stabilesc situații când DPO trebuie să fie consultat.

CE EXPERIENȚĂ TREBUIE SĂ AIBĂ UN DPO

Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau certificare. Cu toate acestea, deținerea unei certificări  în conformitate cu GDPR este o modalitate eficientă de a demonstra cunoștințele experților.

În Articolul 39, Alineatul 1 din GDPR ni se spune care sunt sarcinile care îi revin unui DPO. Să vedem cam ce experiență necesită fiecare:

  • informarea şi consilierea companiei şi personalului care se ocupă de prelucrare cu privire la obligaţiile GDPR, dar și altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor – impune aptitudini clare pe parte legislativă și procedurală;
  • monitorizarea respectării GDPR, a altor dispoziţii de drept referitoare la protecţia datelor şi a politicilor de protecţie a datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente – în plus față de abiltățile legislative se recomandă aptitudini manageriale de alocare a responsabilităților, sensibilizare și de formare a personalului, precum și experiență de auditare;
  • furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 – aici e clar că e nevoie de cineva familiarizat cu evaluarea riscurilor și a impactului asupra protecției datelor;
  • cooperarea cu autoritatea de supraveghere; – aici practic e doar o chestiune de reprezentare, DPO acționând ca persoana de contact;
  • punct de contact pentru autoritatea de supraveghere – la fel ca mai sus.

Din ce avem până acum, reiese că un DPO trebuie să aibă cunoștințe temeinice de legislație internă și europeană, să aibă un bun spirit managerial, să fie capabil să facă o analiză de risc și să fie un bun comunicator.

Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că, în calitate de operator sau procesator, trebuie să numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate fi un rol cu ​​jumătate de normă sau combinat cu alte sarcini, însă, în îndeplinirea rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul ca, pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în domeniul protecției datelor cu “cunoștințe de specialitate privind legislația și practicile privind protecția datelor“.

Dacă ne uităm însă la recomandările unor organisme de certificare cu recunoaștere internațională precum IAPP sau PECB, vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în protecția datelor personale. De aici reiese că un candidat serios la poziția de DPO trebuie să fi avut un rol cu certe competențe tehnologice și operaționale, oameni cu experiență în project management, data quality, baze de date, managementul riscurilor, securitatea sau protecția datelor. Diferitele statistici arată că în prezent e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de ceva mai mult timp pentru pregătirea poziției de DPO.

RECOMANDĂRILE WP29

”Ghidul privind Responsabilul cu protecția datelor (‘DPO’) publicat de grupul de lucru Articolul 29  în decembrie 2016 și revizuit în aprilie 2017, oferă operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor, precum și principalele atribuții ale acestora. Anterior adoptării GDPR, WP29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.

DPO trebuie desemnat pe baza calităților profesionale și, în special a cunoștințelor de specialitate în dreptul și practicile în domeniul protecției datelor, precum și pe baza capacității de a-și îndeplini sarcinile. Nivelul de expertiză necesar ar trebui determinat pe baza operațiunilor de prelucrare efectuate și a protecției necesare pentru datele cu caracter personal prelucrate. De exemplu, în situația în care o operațiune de prelucrare a datelor este deosebit de complexă sau în cazul în care este implicat un volum mare de date speciale, DPO poate necesita un nivel mai ridicat de expertiză și suport.

Aptitudinile și expertiza relevante includ:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european, precum și o înțelegere complexă a RGPD
  • înțelegerea operațiunilor de prelucrare efectuate
  • înțelegerea tehnologiilor de informații și de securitate a datelor
  • cunoașterea sectorului de afaceri și a organizației · abilitatea de a promova protecția datelor în cadrul organizației

Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații).

Este important de știut că DPO nu este personal responsabil în caz de nerespectare a GDPR. Regulamentul spune clar că responsabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu dispozițiile sale (Articolul 24, Alineat 1).

Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.

 

CUM ȘI UNDE NE PREGĂTIM DPO ÎN ROMÂNIA

Am scris mult pe această temă în ultimul an. O simplă cercetare de piață pe ofertele actuale de cursuri DPO relevă o mare varietate de opțiuni care merg de la simple cursuri de formare profesională cu durata de o zi, până la cursuri de certificare DPO acreditate internațional cu durata de 5 zile.

De la bun început am discutat în toate articolele mele despre lipsa unor reglementări care să certifice competențele celor care susțin cursurile de instruire și nivelul profesional de certificare garantat de diploma obținută. În lipsa unor standarde de certificare se merge pe principiul că piața aduce experiența, care ajută la formarea experților. În țările cu tradiție, un rol important îl au asociațiile profesionale și mediile academice.

O încercare de reglementare la nivel național s-a realizat în martie 2018, când la inițiativa unei echipe de specialiști de la PWC Audit srl și D&B David și Baiaș s-a depus la ANC (Autoritatea Națională de Certificări) o propunere de Standard ocupațional pentru educație și formare profesională pe baza Codului COR 242231.  ANC a aprobat acest standard ocupațional prin decizia  nr.74 din 19 martie 2018 dar la vremea respectivă s-a discutat că propunerea de standard ocupațional nu a primit și aprobarea de la ministerele muncii și educației. Codul COR 242231 privitor la meseria de ”Responsabil cu protecția datelor personale cu caracter personal” fusese acceptat de către Ministerul Muncii și Justiției Sociale și Institutul Național de Statistică încă de anul trecut prin Ordinul 1786/2017, pe o listă de 26 de noi ocupații, printre care cele de bonă, preot, catehet, prezentator TV, diacon, depanator telefoane mobile inteligente, inspector patriarhal sau paracliser…

În fine din septembrie 2018 o serie de companii care susțin cursuri au anunțat începerea unor programe de instruire bazate pe COR 242231 care sunt acreditate de cele două ministere și au ca finalitate o diplomă ce poartă girul ANC. Nici un anunț oficial legat de la cele 2 ministere, ANC sau ANSPDCP nu a apărut încă în mod public. Conform Standardului ocupațional enunțat, stadiul de pregătire pentru un DPO este de 180 de ore, dintre care 60 de ore de teorie și 120 de ore de practică realizate sub autoritatea unui Formator autorizat ANC. Interesant este faptul că Formatorul trebuie să aibă o experiență minima de 3 ani în domeniul protecției datelor cu caracter personal, iar Evaluatorul din comisia de examinare o experiență similară de minimum 5 ani…

Concluzionând, la ora actuală există 4 categorii de cursuri DPO oferite pe piața din România, diferențiate prin durată, nivel și diplomă de certificare și, evident, prin preț:

  • cursuri de formare profesională de 1-3 zile, cu diploma de participare
  • cursuri online, cu acces la material filmat de cca. 4-6 ore, examen online
  • cursuri de specializare cu acreditarea unor organizații internaționale și certificare DPO, durata 4-5 zile
  • cursuri de specializare bundle cu examen IAPP, cu un pachet de beneficii si diplome CIPP-E și CIPM acreditate de IAPP, durata 4-5 zile
  • cursuri acreditate ANC, cu durata de 180 de ore.

Care dintre aceste forme de curs este cea mai potrivită pentru companiile interesate să își formeze un DPO? Asta depinde de fiecare. Oferta de cursuri a apărut și s-a diversificat pe baza cererii. Important este să rețineți că GDPR nu condiționează în niciun fel numirea unui DPO de existența unei diplome, ci doar de experiența pe care o deține.

Puteți începe demersurile de aliniere la GDPR și fără DPO. Este suficient să fiți conștienți de responsabilitatea dvs. ca operatori sau procesatori de date personale și să demarați câțiva pași simpli, precum analiza fluxurilor de date, redactarea și gestionarea registrelor de evidență obligatorii, stabilirea politicilor interne, inventarierea contratelor cu partenerii și clienții, actualizarea politicilor publice și notificărilor către persoanele vizate, precum și instruirea tuturor angajaților implicați în procesele de prelucrare a datelor personale.

Oricare dintre membri echipei de coordonare poate fi numit DPO, în oricare dintre aceste faze. În plus, oricând puteți apela la un DPO extern. Important este să începeți.

Important este să înțelegeți că este responsabilitatea voastră a tuturor și că se poate. Trebuie să înțelegeți. Sigur că se poate.

Vă interesează o recomandare pentru cursuri DPO? Completați formularul de mai jos și veți fi contactați.

Nota Confidențialitate: Completând acest formular vă dați acordul pentru a fi contactați în scopul discutării ofertelor de cursuri DPO. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar în scopul pentru care au fost încredințate. Citiți mai mult în Politica de Confidentialitate.

 

ISO 27001 – un sprijin real pentru conformitatea GDPR/RGPD

Dan Cristian MATEI

Dan Cristian MATEI este Lead auditor ISO 9001, 27001 al organismului de certificare RINA. Este absolvent al Universității Politehnica București și al unui program de masterat în domeniul managementului calității. A fost implicat în implementarea unui proiect complex legat de monitorizarea rețelei de emițători radio TV aparținând SN Radiocomunicații. Ulterior, a ocupat funcția de Technical Quality Coordinator al Departamentului Technology din ORANGE Romania, apoi QEHS Manager al Huawei Technologies Romania pentru toate operațiunile şi proiectele locale. Având peste 16 ani de experiență în industria telecom, aria sa de expertiză include redesign şi optimizare de procese, eTOM framework, conformitate SOX, TL9000, GDPR, implementarea și dezvoltarea de proiecte de infrastructură complexe, cloud computing, cybersecurity, IT governance, security și audit. Opiniile prezentate în acest articol reprezintă recomandările personale, în calitate de auditor ISO27001 şi nu reflectă în nici o circumstanță poziția oficială a RINA.

 

Organizațiile care au studiat prevederile GDPR şi sunt în plin proces de intrare în conformitate cu cerințele acestuia sunt deja conștiente de faptul că standardele de bună practică sunt un motor al dezvoltării. Inclusiv Regulamentul sugerează pe termen mediu elaborarea codurilor de conduită, aplicabile unor diferite industrii.

Deși aparent cadrul de reglementare a rămas în urma dezvoltării tehnologiei societății informaționale, în opinia mea activitatea de standardizare tehnică, în plină desfășurare la acest moment pe diferite verticale (exemplu cloud, tranzacții distribuite, etc) va acoperi şi sprijini în viitorul apropiat necesitățile de dezvoltare a diferitelor industrii precum şi dezvoltarea susținută a unor noi tehnologii.

Standardul internațional de securitate a informațiilor EN ISO/IEC 27001 este un standard care ajută companiile să se conformeze unor modele internaționale de bune practici. Standardul acoperă trei componente cheie ale securității datelor – persoane, procese și tehnologie. Atunci când se iau măsuri pentru protejarea informației considerând aceste trei axe, companiile sunt mai bine pregătite pentru a proteja informațiile, pentru a diminua riscurile și pentru a își îmbunătăți constant procesele interne. Ca atare, se menține tendința ultimilor ani din sectorul corporativ de a considera implementarea şi certificarea EN ISO/IEC 27001 drept o decizie strategică care a adus beneficii certe.

Un Sistem de Management implementat conform EN ISO/IEC 27001 asigură punerea în aplicare a cerințele GDPR relevante, prin implementarea măsurilor tehnice adecvate pentru diminuarea riscurilor legate de securitatea informației. Prin abordarea sa cuprinzătoare, un Sistem de Management al Securității Informației – SMSI certificat EN ISO/IEC 27001 poate ajuta o organizație să-și protejeze toate resursele informaționale, inclusiv asupra atacurilor cibernetice şi nu doar datele cu caracter personal. Conformitatea ISO 27001 înseamnă că o companie a luat măsuri pentru a își gestiona în mod continuu riscurile de securitate a datelor. În acest fel, este capabil să țină pasul cu amenințările în continuă evoluție ale securității datelor.

Cum ne poate ajuta EN ISO/IEC 27001 în demersul de conformare? Valoarea adăugată este certă:

A. Dacă standardul a fost deja implementat de către o companie, compania respectivă are deja asigurată conformitatea cu o mare parte din cerințele Regulamentului, mai precis la nivel de articole (în ordinea relevanţei): 32, 25, 5, 19, 33, 34, 24, 2, 1, 3. Având în vedere că există domenii din Regulament care nu sunt acoperite în totalitate de EN ISO/IEC 27001 şi aici ne referim de exemplu la dreptul la portabilitatea datelor, dreptul de a fi uitat; în vederea implementării tuturor cerințelor RGPD, o companie care deține un SMSI certificat ISO 27001 ar trebui să parcurgă o analiză a decalajelor (GAP) față de cerințele Regulamentului.

B. Pentru o companie care nu are deja implementat un SMSI conform EN ISO/IEC 27001, implementarea acestuia va oferi un cadru pe care se poate construi structura cerută de Regulament, începând de la alocarea responsabilităților şi a demonstrării aderenţei la Principiile legate de prelucrarea datelor cu caracter personal, o desfășurare integrată a cartografierii proceselor şi datelor prelucrate, evaluării riscurilor, s.a.m.d.

Deoarece în Regulament singurele referiri la măsurile tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate sunt criptarea și pseudonimizarea, în lipsa unor alte precizări standardul EN ISO/IEC 27001 precum şi alte standarde înrudite pot ajuta la identificarea „stadiului tehnicii” precum şi celor mai bune practici.

De un real ajutor pot fi EN ISO/IEC 27002 – Cod de bună practică pentru tehnici de securitate, aplicabil tuturor industriilor, ISO/IEC 29151 Cod de buna practica pentru protecția informațiilor de identificare personală (PII), iar în contextul orientării spre serviciile din cloud, revizia unor standarde tehnice din familia ISO27000 cum ar fi ISO/IEC 27018 asigur-a alinierea organizațiilor la ultimele cerințe.

Trebuie avut însă în vedere că fără un program cuprinzător de securitate a informațiilor care să ia în considerare așa cum s-a menționat mai sus şi factorul uman, nivelul de securitate şi gradul de protecție vor scădea. Procesele de business nemenținute în parametrii planificați, lipsa unui angajament pentru securitatea informațiilor în întreaga organizație precum și problemele legate de personal se numără printre cele mai frecvente cauze ale incidentelor legate de securitatea datelor.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 63-65.

De ce e important să veniți la Smart City Alba Iulia 2018

Dezbaterea Smart City Alba Iulia 2018 va încerca să demonstreze că se poate. Se poate dezvolta în mod inteligent un oraș într-un timp foarte scurt. Peste 40 de companii își vor prezenta proiectele, inițiativele şi realizările. Un tur ghidat cu autobuzul ne va prezenta toate soluțiile smart city existente deja în Alba Iulia, așa cum funcționează ele. Demonstrații live vor avea loc în cetatea Alba Carolina.

Și toate acestea nu sunt întâmplătoare. Alba Iulia a fost primul oraș din România unde în urmă cu doi ani a fost inițiat un program ambițios de dezvoltare inteligentă. Au fost testate până acum peste 100 de soluții ale companiilor private, iar pe 8 şi 9 octombrie, în cadrul evenimentului Dezbatere Smart City Alba Iulia 2018, reprezentanții primăriilor, ai companiilor care oferă servicii către administrația publică și comunitate, ai mediului universitar și presă vor fi prezenți pentru a vedea rezultatele.

Mircea HAVA

„Pe termen scurt, primim oaspeți; pe termen lung, ne dorim să rămânem cu cât mai mulți parteneri şi proiecte puse în practică. Acesta este mesajul momentului, la foarte puțin timp distanță de prima reuniune a celor interesați să transforme ideile surprinzător de inovatoare în posibilități infinite. Alba Iulia este departe de a-şi fi împlinit destinul de a uni. Încă o face, într-un moment decisiv pentru cei care înțeleg că tehnologia, digitalizarea şi orientarea totală a administrațiilor în sensul acesta va însemna mai binele pe care ni-l dorim cu toții,” spune Mircea Hava, Primarul Municipiului Alba Iulia.

Diferența față de alte evenimente dedicate orașelor inteligente constă în faptul că participanții vor avea posibilitatea de a vedea în funcțiune, la fața locului, soluțiile smart city implementate la Alba Iulia: în oraș și în Cetatea Alba Carolina. Evenimentul va debuta cu vizitarea acestor soluții din domenii precum: administrație publică, mobilitate, mediu și utilități publice, educație, turism, sănătate, planificare urbană, inovație și afaceri locale. Apoi, vor urma două zile de dezbatere despre ceea ce s-a realizat la Alba Iulia și ce se poate face în continuare, ca un exemplu de urmat și pentru alte localități din România.

Marius BOSTAN

„În urmă cu doi ani și jumătate, împreună cu Mircea Hava am făcut o chemare către industrie să vină la Alba Iulia. Am plecat cu optimism și încredere în inteligența și patriotismul românilor, și așteptările noastre au fost mai mult decât împlinite. Deja peste 100 de soluții inteligente au făcut din Capitala de Suflet a Românilor și Capitala Inteligentă a Românilor”, spune Marius Bostan, Coordonator al Dezbaterii Naționale Smart City, inițiator al proiectului Alba Iulia Smart City.

Și-au anunțat participarea peste 30 de speakeri și multe companii dornice să-și prezinte realizările care au menirea de a transparentiza relația oamenilor cu administrația publică și de a aduce îmbunătățiri substanțiale în viaţa comunității. Dezbaterea Smart City Alba Iulia 2018 reprezintă o excelentă oportunitate pentru participanți de a vedea și testa servicii inovative de administrare inteligentă a orașelor, pentru afaceri, comunitate locală și turiști. Se vor promova soluții noi, îmbunătățite adaptate modelelor de business actuale și va fi creat cadrul oportun de relaționare și întâlnire a specialiștilor din domeniu. De asemenea, vor fi puse bazele unor parteneriate viitoare între reprezentanții companiilor și cei ai orașelor prezenți la eveniment.

Companiile prezente vor veni cu soluții noi şi vor demonstra cum un astfel de proiect dezvoltat pe bază de protocoale de colaborare public-private va conduce la integrarea lanțurilor valorice din diverse sectoare de activitate la nivel local și regional şi poate adapta cerințele și nevoile comunităților urbane, dar și cerințele actului administrativ. Totodată, în pauzele dintre sesiunile dezbaterii, partenerii din cadrul proiectului pilot Alba Iulia Smart City vor face demonstrații live cu echipamentele şi softurile pe care le testează în mediul real, în Alba Iulia.

Compania E.ON va prezenta preocupările sale constante privind depășirea graniței de furnizor tradițional de utilități pentru a oferi clienților soluții noi care să le facă viața mai ușoară. Contextul este dat de tendințele din noua lume a energiei, care înseamnă utilizarea tot mai frecventă a surselor regenerabile şi a rețelelor inteligente, a tehnologiei şi digitalizării pentru a lansa produse și servicii inovatoare. Conceptul E.ON Drive a fost lansat recent, prin  pachete de echipamente de încărcare a autovehiculelor electrice și servicii care răspund nevoilor specifice de pe piața de mobilitate electrică din România. „Lansarea acestui produs inovativ şi sustenabil, parte din noul concept E.ON Drive, este un pas important pentru E.ON şi se înscrie în strategia companiei de a oferi soluţii noi,  inovative, din afara zonei de utilităţi. Traseul inovării continuă cu dezvoltarea şi lansarea altor soluţii smart, prietenoase cu mediul şi adaptate nevoilor clienţilor noştri”, a declarat Andreea Ioniţă-Cirebea, Director Strategie, Pieţe şi Digitalizare E.ON România.

Clusterul Cluj IT, care s-a implicat cu peste 30 de soluții de Smart City pentru toți cei 12 piloni ai ecosistemului IT al orașului inteligent se poziționează ca unul dintre cei mai importanți parteneri de soluții Smart City ai Primăriei Alba Iulia. „Toate eforturile înglobate în toate aceste soluţii au fost, sunt şi vor fi direcţionate spre crearea unui ecosistem smart de soluţii conectate, configurabile astfel încât să poată adresa fiecare domeniu şi arie de activitate şi/sau vieţuire, de pe orice nivel din contextul ecosistemului urban”, a precizat Paulina Mitrea, coordonatorul Proiectului Smart City în cadrul Clusterului Cluj IT.

Cristian PAȚACHIA

Compania Orange va demonstra că la nivelul businessurilor, conceptul IoT – Internetul lucrurilor – promite să facă organizațiile mai agile și mai eficiente, ceea ce le permite să își crească capabilitățile de inovare, reinventând totodată relațiile acestora cu clienții. „Pentru orașe și comunități, acest lucru se traduce într-o nouă eră, cea «smart city», în care managementul serviciilor și resurselor publice va trece la un alt nivel. Orange a făcut deja pași importanți în această direcție, proiectul Alba Iulia Smart City fiind un exemplu relevant în acest sens. Ne vom concentra în continuare eforturile către oportunitățile de dezvoltare pe care soluțiile IoT le pot aduce”, a precizat Cristian Pațachia, Development & Innovation Manager, Orange Romania.

Valentina Frângu, CEE Lead Digital City, care va reprezenta Dell EMC România la acest eveniment, consideră că „gradul de digitalizare a unui oraș are o contribuție direct proporțională cu nivelul de fericire al cetățeanului de rând. Și în România, ralierea la tendințele europene de accelerare a folosirii tehnologiei în viața cetățenilor începe să producă efecte, chiar dacă încă la scară micro”.

Compania Telekom Romania, implicată în proiecte smart city destinate orașului Alba Iulia, dar și în alte orașe din țară, va fi reprezentată la Dezbaterea Smart City Alba Iulia 2018 și va propune administrațiilor publice soluții utile care să raspundă mai bine nevoilor specifice fiecarui oraș în parte. ”Expertiza avansata a grupului Deutsche Telekom în ceea ce privește alegerea și integrarea tehnologiilor Smart City, ne-a ajutat foarte mult în implementarea cu succes a multor proiecte. Am plecat, de asemenea, de la premisa că este responsabilitatea noastră să ne întălnim cu autoritățile locale și să le explicăm beneficiile pe care soluțiile inteligente le pot aduce la administrarea unui oraș.” a spus Dragoș Nedelea, Manager Dezvoltarea Afacerii ICT, Telekom Romania.

Microsoft România a implementat soluții smart pentru educație în Alba Iulia și va demonstra la Dezbaterea Smart City cum a venit în ajutorul elevilor și al profesorilor. „Microsoft Romania investește masiv în educație în acest an, atât în pregătirea profesorilor, cât și a elevilor, un exemplu relevant fiind programul Minecraft pentru Educație, prin intermediul căruia susține inițiativa Ministerului Educației Naționale de a introduce programarea într-un stadiu timpuriu al ciclului educațional”, a declarat Marilena Ionaşcu, Director Educație Microsoft România.

Înscrierile la eveniment se pot face pe website-ul www.smartcity.concordcom.ro, în limita locurilor disponibile.

INVITATIE DEZBATEREA NAŢIONALĂ SMART CITY – ALBA IULIA 2018

A VI-a ediție a evenimentului Dezbatere Natională Smart City va avea loc pe 8-9 Octombrie 2018 în Alba Iulia, la Hotelul Medieval din Cetatea Alba Carolina. Este un eveniment aniversar, dedicat Centenarului României Mari, cu ocazia căruia Primăria din Alba Iulia propune testarea a 100 de soluţii smart city. 

 

Spre deosebire de alte evenimente dedicate oraşelor inteligente, la Alba Iulia nu vom participa doar la seria de dezbateri și prezentări. Vom avea ocazia să vedem la lucru cele mai performante soluții tehnologice dedicate orașelor inteligente. Vom putea vedea cum funcționează soluțiile smart city de administrație publică, mobilitate, mediu și utilități publice, educație, turism, sănătate, planificare urbană, inovație și afaceri locale. Un tur al tuturor locațiilor unde sunt implementate soluțiile este organizat în prima zi în Cetatea Alba Carolina

  • Hot Spoturi WI-FI, Beaconi (Orange)
  • Questo Tour (Primaria Alba Iulia)
  • Vichi Farm
  • Smart Garden (Frontier Connect)
  • City Parking (Life is Hard)
  • Eco Mobilitate
  • Pony Car Sharing

Un tur de autobuz va asigura prezentarea obiectivelor smart city din orasul Alba Iulia:

  • Clasa digitala, WI-FI si Beaconi  (e-Alba Iulia) Colegiul Horia Closca si Crisan (  Orange)
  • Clasa de informatica, Scoala Generala Avram Iancu (Microsoft)
  • Iluminat public, Wi-Fi si Parcare inteligenta, Stadionul Unirii   (Intrarom)
  • Sistem solar termodinamic (Delphi Electric)
  • Catalogul electronic si smart classroom lighting, Scoala  Generala Mihai Eminescu (Telekom)
  • Box2M management energetic (Orange si Flash Lighting)

Sesiunile de prezentări se vor derula la hotelul Medieval din Cetatea Alba Carolina.

Pentru detalii legate de eveniment, agenda şi condiţiile de participare vizitați site-ul official al evenimentului:  https://smartcity.concordcom.ro/acasa/detalii-eveniment-alba-iulia/

Dacă doriți să vă înregistrați, nu trebuie decât să completați Formularul de Inscriere

Evenimentul este organizat de Agenția Concord Communication şi Fundația Națională a Tinerilor Manageri, cu sprijinul Primariei Municipiului Alba Iulia.

Cum putem reduce incidentele de securitate cu 60-70%

 

Protectia datelor personale este un proces continuu. Pastrarea unui nivel optim de conformitate GDPR presupune  o instruire temeinica a tuturor oamenilor din organizatie care au de-a face cu prelucrarea de date personale.

Statisticile arata ca intre 60-70% dintre vulnerabilitatile sistemelor informatice au cauze interne. Asta inseamna ca cea mai mare parte dintre pericole pot fi reduse. Sta in puterea noastra. Singura conditie este ca oamenii sa fie instruiti, sa stie ce au voie si ce nu au voie sa faca. V-ati educat oamenii in spiritul GDPR?

GDPR Ready ofera servicii de instruire la sediul clientilor, perfect adaptate cerintelor oricarei organizatii. 

Rolul și problemele departamentului IT în implementarea GDPR

 

 

Daniel SUCIU

Daniel SUCIU este specialist în managementul proceselor, managementul schimbării, managementul riscului, auditul intern, guvernanța și administrarea datelor, dezvoltarea de software, operarea și suportul IT, securitatea informațiilor dar și managementul proiectelor și al echipelor crossfunționale, cu rezultate măsurabile la intersecția sistemelor, tehnologiei, proceselor, oamenilor și datelor. 30 de ani de experiențe de lucru între IT / tehnologie si echipele de business, între clienți, parteneri / furnizori, angajați și conducere. Nu în ultimul rând, certificat ca ofițer cu protecția datelor, fiind implicat în conformarea la GDPR a mai multor organizații, din diferite domenii: învățământ, ONG, turism, medical, servicii IT, afaceri sau comerț online.

 

Probleme mai vechi, trecute cu vederea până acum, dar problematice în respectarea GDPR

Pentru toate sistemele IT trebuie să existe o documentație, atât tehnică, cât si un manual de utilizare. Problema este că oricum nu-l citește nimeni, ca și pe celelalte proceduri IT, deși toți se jură că l-au citit din scoarță în scoarță. Cum te poți aștepta să citească cineva procedurile IT referitoare la utilizarea calculatoarelor personale, sau a telefoanelor, sau Doamne ferește – a emailului sau navigarea pe Internet. Păi acasă până și cel mic știe să lucreze la calculator și să navigheze pe net.

O altă obișnuință în mediul românesc este exceptarea managementului de la respectarea regulilor. Adică cum să țină minte managementul o parolă complexă… și să o schimbe la fiecare 90 de zile? Sau culmea, că nu poate vedea filme online sau descărca jocuri pe calculatorul de serviciu? Ce contează că o mare parte a timpului în IT se rezolvă probleme ce nu ar fi trebuit să apară, iar „excepțiile” ajung sa fie regula.

Să vedem ce putem face din punct de vedere tehnic pentru a preveni, sau măcar pentru a monitoriza buna funcționare a echipamentelor și sistemelor IT. Păi toate acestea costă mult. Iar cele care nu costă au nevoie de mai mult timp/ mai mulți oameni pentru a fi configurate și folosite. De unde atâția bani? Nu s-au dat bani pentru servere? Asta a fost acum câțiva ani? Licențe, suport? Pentru ce, că de aia avem IT.

Totuși IT-ul nu lucrează numai cu regulile proprii. Exista nevoi și procese pe care alții le definesc, ei fiind doar o rotiță într-un angrenaj. Pentru a simplifica problema, să presupunem ca aceste procese au fost analizate, agreate si corect definite. Să luăm ca exemplu angajările noi sau plecările din organizație. Ce probleme ar mai putea avea IT-ul aici? Că se uită „uneori” să fie anunțat IT-ul de o nouă angajare? Că întreabă managerul de ce nu are omul lui calculator sau acces la aplicații? Nu a cerut nimeni? Cum ce drepturi să aibă în aplicații? Cele de care are nevoie. La plecare, nu a predat calculatorul de serviciu? Nu se șterg automat toate conturile si drepturile pe care le-a avut… în afară de cele ce mai pot fi necesare și nu le are altcineva? Nu? De ce?

Să zicem că problemele pe care tocmai le-am semnalat s-au rezolvat între timp și totul merge cum trebuie, fiind atins un punct de echilibru între teorie și practică, între așteptări şi posibilități.

O nouă provocare – GDPR-ul

Auzind despre iminența intrării in vigoare a GDPR-ului, s-a analizat operativ situația și IT-ul a fost identificat drept principalul responsabil de implementarea acestuia… pentru că e vorba de date. Eventual, poate beneficia de ajutorul neprecupețit al departamentului juridic şi are susținerea managementului. Dacă sunt foarte „norocoși” beneficiază și de asistența unei firma de consultanță.

Nu le rămâne decât să treacă la identificarea datelor cu caracter personal, a locului pe unde acestea „trăiesc, se înmulțesc și mor” și documentarea vieții acestora. Cu această ocazie IT-ul află că noțiunea de date cu caracter personal nu este ce-au crezut ei, adică datele de la HR, ci că în toate sistemele lor, serverele, ba chiar și routerele, colcăie puzderie de date personale, prin bazele de date, fișiere de configurare, ca să nu mai vorbim de log-uri. Că orice ID asociat unui utilizator (bașca IP-urile calculatoarelor sau adrese de email de serviciu) sunt date personale. Ca bonus, orice document electronic creat în organizație, chiar și gol, conține date personale în Proprietăți. Iar despre email nu are rost să vorbim.

Cum să spună ei managementului că le-ar fi mult mai ușor să documenteze unde NU există date cu caracter personal? Că au încercat să caute în toată rețeaua unde apare numele sau vreun ID al fostului admin, dar s-au plictisit după ce au văzut primele zece ecrane pline?

Ok, după o discuție clarificatoare s-a decis să se limiteze la cele mai evidente. Zis și făcut. Se stă peste program, se sapă în date și se documentează principalele tipuri de date și procesări, ba se mai acordă și ajutor celorlalte departamente, pentru care maparea datelor și procesărilor specifice într-un excel este un lucru foarte greu… nemaivorbind că oricum au treburi mai importante de făcut, că banii nu vin singuri. Între timp, IT-ul mai află că trebuie să discute cu toți furnizorii de echipamente și soluții să actualizeze contractele cu clauze specifice de data protection (pe care le vor primi mai târziu de la departamentul juridic).

În semn de deosebită apreciere pentru calitatea muncii lor, toate celelalte departamente și-au exprimat încrederea deplină în capacitatea IT-ului propriu, și mai au nevoie doar de un mic ajutor. În toate sistemele IT au nevoie de unu, două butoane mici (uneori pot fi si cinci), unul care să scoată toate datele din sistem pentru un utilizator (în funcție de orice criteriu de căutare) și unul să le șteargă. Parcă mai erau câteva variante, dar nu sunt urgente.

Pentru cele dezvoltate intern nu este o problemă. Nu? Este??? Cum adică cel ce le-a dezvoltat a plecat din organizație și nu sunt documentate? Păi de ce nu sunt documentate? Las’ că vă descurcați voi, că sunteți pricepuți. O săptămână ajunge? Nu? Bine, două săptămâni.

Să nu uitați să faceți un fișier, o pagină pe Intranet… cum știți voi, în care să se poată înregistra toate cererile venite de la clienți, foști angajați, parteneri, cum au fost tratate și când le-ați transmis datele personale. Şi, era să uit, am primit de la un consultant o listă de proceduri de IT pe care trebuie să le implementați și să instruiți personalul. Ceva cu securitate, incidente…. Poate mai au nevoie de două, trei modificări minore. Cum adică avem așa ceva? De ce nu ați spus? Vă descurcați voi, cum v-ați descurcat și până acum…

Și s-au descurcat, iar toată lumea a trăit fericită, iar managementul și-a mai acordat un bonus pentru rezolvarea unei probleme spinoase…

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 52-54. 

GDPR – UN STATUS DUPĂ 100 DE ZILE

Au trecut 100 de zile de la data luată ca reper pentru intrarea efectivă în vigoare a Regulamentului UE 679/ 2016. Pentru cei mai scrupuloși, ei bine, la data publicării acestui articol  sunt exact 110 zile, dar de ce să stricăm frumusețe de titlu… Important este ce s-a mai întâmplat în aceste 100++ zile…

Graba strică treaba și ne canibalizează bazele de date

Ei bine, încercând să păstrăm o ordine cronologică, primul fenomen cu care ne-am confruntat cu toții încă de prin 20 mai a fost abundența de mesaje de opt-in menite să asigure continuitatea livrării unor mesaje sub pălăria consimțământului. Ideea nu a fost rea și laudă celor care s-au gândit la asta. Nefericită a fost de cele mai multe ori forma sub care s-a ajuns să se solicite asta, chiar și în mult situații în care nu era nevoie de consimțământ. În lipsa unor ghidaje clare, bazate pe un desfășurător de acțiuni și a unei agende de derulare în timp, fiecare a făcut ce a știut, ce i s-a spus, sau cum s-a priceput. A fost un test dur, care dacă ar fi să presupunem că se urmează în continuare regulile, ar trebui să conducă la canibalizarea bazelor de date cu prospecți. Regula zice clar că dacă nu ți se răspunde la solicitarea de confirmare a consimțământului, persoana vizată trebuie trecută pe lista celor care nu sunt de acord cu aceasta.

Am păstrat câteva mesaje din acea perioadă, ca exemplu viu pentru cursurile de GDPR pentru oamenii de marketing. Evident, fără menționarea surselor… Din curiozitate, am făcut și câteva teste interactive, doar cu operatorii din România. La unele mesaje am răspuns, la altele am cerut unsubscribe, iar la altele nu am dat nici-un răspuns, propunându-mi să urmăresc comportamentul în timp. Spre lauda operatorilor, 98% din teste au fost reușite, demonstrând că există oameni care chiar se preocupă de răspunsurile persoanelor vizate. Recunosc, nu am făcut încă nicio solicitare de acces la date, deși aș fi avut motive să testez și viteza de răspuns la solicitările persoanei vizate. Nu mă grăbesc cu asta. Oamenii au nevoie de timp, și acolo unde s-a început un proiect de aliniere GDPR lucrurile nu pot fi făcute peste noapte…

Spre deosebire de multe atitudini din social – media, eu nu mă grăbesc să dau cu barda și acolo unde este nevoie intervin cu blândețea sfatului. Sunt de părere că oamenii care chiar încearcă să schimbe lucrurile trebuie lăsați să lucreze și nu să ii arătăm cu degetul că au făcut totul intern sau că au apelat la unul și la altul. Fiecare a acționat cum a crezut de cuviință, atunci când a avut un management care a fost sensibilizat în legătură cu subiectul. Chiar și cu lipsuri sau mici greșeli, orice pas înainte este un plus și este destul vreme pentru subtilități teoretice. Importantă este reacția oamenilor, a celor care trebuie să asimileze și să pună în aplicare politicile GDPR.

Ghidul GDPR pe verticale

Pentru a face ca mesajele esențiale să ajungă la cât mai mulți oameni, inițiativa GDPR Ready a publicat seria de Ghiduri reunite sub forma Cataloagelor GDPR, apărute în noiembrie 2017 și martie 2018 ca rod al colaborării cu Agora Group. la începutul lunii Iunie a apărut cea de-a treia ediție a Catalogului GDPR – dedicată unor probleme mai specifice ridicate de GDPR pentru micile companii sau diferitele departamente cu rol de operator de date personale. Prin ”GHIDUL GDPR PE VERTICALE” am adus în discuție câteva elemente generale și particulare despre provocările cu care se confruntă departamente cheie dintr-o companie, precum resursele umane, marketingul și vânzările sau echipa IT,  de la maparea proceselor de business și a datelor, la analiza de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație. Ca și la edițiile anterioare, Ghidul este însoțit de recomandările unor specialiști din diferite domenii, ale căror opinii ați avut ocazia să le citiți sau  le veți citi în următoarele zile, sub forma unor articole dedicate.

>> CITIȚI AICI CATALOGUL GDPR ONLINE!

Cu ocazia anunțării apariției Catalogului, la aproape o lună după data de 25 mai, am făcut și o primă analiză bazată pe situațiile întâlnite în piață, din care reieșea că organizațiile din România nu erau încă pregătite pentru importanța momentului. Principalele constatări de la acea vreme se refereau

la cele mai des întâlnite situații posibil generatoare de riscuri pentru datele personale:
1. Inexistenta unei Politici elementare de IT la nivelul unor organizații mijlocii si mari. Chiar si acolo unde există niște norme și politici interne, acestea nu se aplică.
2. Harababura privind procesarea, păstrarea si transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților.
3. Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază si se aplică șabloane culese de pe Internet, fără a se înțelege esența principiilor GDPR.
4. Inexistenta unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea si transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele lor în business, închistați fiind de necunoaștere, neînțelegere și preluare inadecvată a unor “sfaturi” oferite de binevoitori.
5. Lipsa de interes a unor manageri de departamente – altele decât HR, FINANCIAR, Juridic, IT – care cred ca ei nu au nicio responsabilitate, e treaba altora să își bată capul cu problemele astea birocratice…

Legea 190

În data de 17 iulie, Președintele României a aprobat prin Decretul 557/ 2018 Propunerea legislativă privind măsuri de punere în aplicare a regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC (Regulamentul general privind protecţia datelor). Aceste măsuri de punere în aplicare, cunoscute de acum ca Legea 190/ 2018 au dat naștere la multe controverse și discuții în social media. În fine, Legea a fost publifată în Monitorul Oficial nr. 651 din 26 iulie 2018, adică la 2 luni după data oficială a intrării în vigoare a GDPR.

Fără să intru în alte comentarii, voi prezenta pe scurt cele mai importante articole ale legii 190/ 2018. După cum se arată în Articolul 1, Scopul Legii nr. 190/2018 este de a reglementa măsurile necesare punerii în aplicare la nivel național, în principal, a următoarelor prevederi GDPR :

  • Art. 6 (Legalitatea prelucrării), alin. (2) – ” Statele membre pot menţine sau introduce dispoziţii mai specifice de adaptare a aplicării normelor prezentului regulament în ceea ce priveşte prelucrarea în vederea respectării alineatului (1) literele (c – obligații legale) şi (e – interes public) prin definirea unor cerinţe specifice mai precise cu privire la prelucrare şi a altor măsuri de asigurare a unei prelucrări legale şi echitabile, inclusiv pentru alte situaţii concrete de prelucrare, astfel cum este prevăzut în capitolul IX”;
  • Art. 9 (Prelucrarea de categorii speciale de date cu caracter personal) alin. (4) – Statele membre pot menţine sau introduce condiţii suplimentare, inclusiv restricţii, în ceea ce priveşte prelucrarea de date genetice, date biometrice sau date privind sănătatea”;
  • Art. 37-39 (Desemnarea, funcșia și sarcinile responsabilului cu protecția datelor
  • Art. 42 (Certificarea);
  • Art. 43 (Organisme de certificare);
  • Art. 83 (Condiţii generale pentru impunerea amenzilor administrative), alin. (7) – ” Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv”;
  • Art. 85 (Prelucrarea şi libertatea de exprimare şi de informare);
  • Art. 87 (Prelucrarea unui număr de identitate național);
  • Art. 88 (Prelucrarea în contextul ocupării unui loc de muncă);
  • Art. 89 (Garanții şi derogări privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice

De departe, Articolul 4 – Prelucrarea unui număr de identificare național, este cel mai important articol din legea 190/ 2018, statuând condițiile de prelucrare a unui număr de identificare național prin oricare dintre temeiurile legale stabilite de GDPR în Art.1, alin (1).

Dar asta nu e suficient. Cei care au ca temei legal interesele legitime urmărite de operator pot prelucra date personale ce conțin numere de identificare naționale doar în condițiile în care pot oferi o serie de garanții, precum:

  1. punerea în aplicare de măsuri tehnice și organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum și pentru asigurarea securității și confidențialității prelucrărilor de date cu caracter personal, conform dispozițiilor Art. 32 GDPR (Securitatea prelucrării);
  2. numirea unui responsabil pentru protecția datelor, în conformitate cu prevederile art. 10 din Legea 190/ 2018 – Desemnarea și sarcinile responsabilului cu protecția datelor;
  3. stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii;
  4. instruirea periodică cu privire la obligațiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

În fine, la fel de important poate fi considerat și Articolul 5 din Legea 190/ 2018 care stabilește câteva reguli cu privire la prelucrarea datelor cu caracter personal în contextul relațiilor de muncă, care sunt supuse unei forme de monitorizare. Dacă angajatorul folosește sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

  1. interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
  2. angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
  3. angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
  4. alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
  5. durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Am spus ca prefer să nu comentez, dar pot măcar să menționez că printre controversele iscate de legea 190/ 2018 se numără aparenta libertate acordată partidelor și organizațiilor politice care pot prelucra date cu caracter personal fără a avea nevoie de consimțământ și disproporția aplicării de sancțiuni cu dublă măsură pentru firmele de stat și cele private. Legea 190/ 2018 poate fi descărcată în format pdf de pe siteul ANSPDCP 

Ce se întâmplă acum?

La trei luni și ceva după momentul 25 mai 2018, s-a așternut liniștea peste piață. Cine a avut ce face și cu cine face și-a rezolvat problemele esențiale. Așa cum s-a putut, cu cine s-a putut. Nimeni nu se mai agită. S-au rărit și postările, apărând între timp alte subiecte de interes. Cei care nu s-au agitat în mai, stau liniștiți și acum, mizând pe șansa de a fi prea mic pentru a se întâmpla ceva.

Liniște – prea multă liniște și din partea Autorității de supraveghere. Oamenii așteptau o creștere a fluxului de informații oferite de singurul organism național abilitat să supravegheze prelucrarea de date personale. Cu excepția publicării unor comunicate legate de adoptarea formularelor oficiale de notificare a breșelor și de numire a unui DPO, activitatea Autorității a fost destul de puțin vizibilă.

Singura știre publică legată de aplicarea efectivă a GDPR în România a venit de pe un site al Uniunii Europene, unde erau analizate dinamica primelor notificări de după 25.mai, în raport cu bugetele alocate în 2017 pentru autoritățile din țările respective…

Principalul rol în mediatizarea și discutarea diferitelor aspecte legate de GDPR a revenit organizațiilor și inițiativelor private. O serie de asociații profesionale au publicat ghiduri de aliniere GDPR specifice unor activități precum cele de contabilitate, cabinet de avocatură, instituții medicale sau școli. Foarte puține resurse sunt însă disponibile public, majoritatea având un rol comercial.

Din fericire, a crescut numărul inițiativelor individuale, care prin intermediul unor site-uri dedicate au amplificat promovarea subiectelor de larg interes privind condițiile de aliniere GDPR specific pentru companiile și organizațiile din România. Merită a fi apreciate toate aceste inițiative care presupun un mare volum de muncă din partea celor implicați public și social. O simplă căutare pe ”GDPR România” vă va conduce la cele mai populare site-uri sau pagini de profil.

Cât privește activitatea GDPR Ready, în perioada mai-septembrie a avut în vedere cu precădere proiectele de implementare și serviciile de instruire. Ghidurile aferente celor trei Cataloage GDPR și articolele publicate au avut cu certitudine un impact important în creșterea aportului de cunoaștere și în explicarea principalelor provocări GDPR pe înțelesul tuturor. Nu întâmplător, pe 25 mai, secțiunea GDPR Ready a site-ului cloudmania a înregistrat un număr record de vizitatori.

Iată cele mai accesate articole GDPR Ready din această perioadă:

Cum pot obține certificarea DPO în România

Un personaj important: Data Protection Officer

A apărut Catalogul GDPR Practic – premieră pentru România

Dreptul de acces, rectificare, ștergere sau restricționare

Avem un DPO: cum îl certificăm?

Importanța evaluărilor de impact DPIA

GDPR Q&A: Cele mai frecvente întrebări și răspunsuri

Notificarea breșelor de Securitate

Inițiativa GDPR Ready

Avem ISO 27001. Ce ne mai trebuie pentru alinierea GDPR

 

Ca o concluzie a experienței acumulate din proiecte și inițiativele de instruire, aș puncta faptul ca dincolo de inexistenta unor tehnologii adecvate care pot rezolva buna parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frană în larga adopție a GDPR sunt oamenii, care nu sunt învățați să respecte niste norme și proceduri elementare. Problema principală în orice companie este legată nu de nu atingerea unor condiții de conformitate GDPR, ci de păstrarea acestora pe termen lung prin asimilarea Culturii GDPR.

 

Vă interesează o recomandare pentru cursuri DPO? Completați formularul de mai jos și veți fi contactați.

Nota Confidențialitate: Completând acest formular vă dați acordul pentru a fi contactați în scopul discutării ofertelor de cursuri DPO. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar în scopul pentru care au fost încredințate. Citiți mai mult în Politica de Confidentialitate.

 

Cei șapte ani de-acasă în politica de Cookies

 

Tudor GALOS

Tudor Galoș a fost director de marketing pe consumer la Microsoft România vreme de șase ani și înainte de asta s-a ocupat de business-ul de Windows și Office pe România, Bulgaria și Europa de Sud-Est, fiind responsabil de lansări precum Windows Vista, Windows 7, Windows 10, Office 2003, Office 2007, Office 365 și multe alte produse și servicii. A lucrat cu firme mici, medii și mari din întreaga Europă. Din Septembrie 2017 coordonează propriul său business, Tudor Galos Consulting cu focus pe consultanța de business și management în zona start-up-urilor, a spin-off-urilor și a transformării digitale. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii – modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.

 

Am scris în articolul anterior din catalogul GDPR despre faptul că este obligatoriu ca orice proiect de aliniere la normele GDPR să aibă o abordare concentrată pe oameni. Omul este cel mai important element al oricărei inițiative de conformitate la un nou regulament, la un nou standard.

Omul este cel care conduce schimbarea, cel care face lucrurile să se întâmple, dar și cel care creează cele mai mari blocaje în implementări. Cele mai bune politici de conformitate se opresc în Dorei ce nu doresc schimbarea și care „știu ei mai bine” că „merge și-așa”, că „nu se prinde nimeni” și că „facem să fie bine ca să nu fie rău”. Dorel este și cel care spune fix ca în bancul cu românul la Zoo care când vede girafa își pune mâinile în șold supărat și zice „așa ceva nu există”.

Până de curând GDPR nu a existat pentru nimeni deși el „există” de peste doi ani. Lipsa comunicării, lipsa încrederii, convingerea că cineva va veni și va face magie și va suspenda aplicarea GDPR au dus la o situație în care (estimarea mea proprie și personală) peste 90% din firmele din România nu au făcut absolut nimic pentru a se alinia la normele GDPR. Este o estimare bazată pe conversațiile cu diverșii consultanți, firme de consultanță, clienți, etc.

Și matematica ne susține această cifră: în România sunt cam 700 – 800.000 de firme active. Dacă 10% ar fi început proiecte de aliniere la GDPR am fi vorbit de 80.000 de proiecte coordonate de minim 80.000 de oameni (dacă este să ne gândim că este nevoie de minim un om pe companie implicat într-un proiect de GDPR). Nu, dragilor, nu suntem atâția, ar fi gemut Facebook-ul de experți. Și deși pe Facebook au explodat ofertele de consultanță GDPR, nu apar niciunde 80.000 de proiecte. Închidem matematica aici și trecem la discuția pe zona digitală, unde lucrurile sunt mult mai interesante.

Site-urile reprezintă principalul punct de acces în organizații. Dacă pe vremuri vorbeam de cărțile de vizită ale managerilor dintr-o organizație ca fiind principalul vector de contact, astăzi site-ul este principalul vector de contact. Modul în care site-ul este organizat, optimizat, indexat, contribuie decisiv la succesul sau drumul spre mormânt al firmei. Peste 90% din tranzacțiile B2B sunt pornite printr-o căutare pe net, căutare care aterizează într-un site. Și totuși în aceste ultime zile site-urile au fost printre cele mai batjocorite din punct de vedere al conformității la GDPR.

Începem cu formularele de consimțământ. Au ajuns site-urile să îți ceară consimțământ pentru orice. O importantă linie aeriană românească cere consimțământ de prelucrare a datelor în momentul în care vrei să plătești biletul de avion online cu toate că are deja temeiul legal pentru prelucrarea acestor date. Și stai și te uiți și te întrebi cine o fi realizat acest frumos mecanism de pierdut click-uri, lead-uri și bani. Continuăm cu site-urile care cer consimțământ la consimțământ și care deja au devenit inutilizabile pentru simplul motiv că și-au luat ca și consultant GDPR un student la drept care a citit legea la o bere și care acum își dă cu părerea în zona de digital după ce a petrecut și el câteva ore pe la pariuri sportive (și ca să fiu cu totul și cu totul rău, așa se naște noua generație de „digital experts”).

Oameni buni, nu vă bateți joc de consumer journey (drumul cumpărătorului pe limba noastră dulce românească). Orice click în plus, orice pas în plus înseamnă mii de EUR pierdute (ok, pentru unii zeci de mii dar nu ne pierdem în zero-uri). Există modalități inteligente de a optimiza fluxul de date într-un site găsind temeiurile legale potrivite și cerând consimțământ doar acolo unde este strict nevoie (de exemplu pentru cookie-uri – vorbim mai jos de ele – sau pentru înscrierea la un newsletter).

Și că tot am ajuns la subiectul cookies, lacrimile au curs șiroaie zilele acestea pe site-uri în ceea ce privește cookie-urile. Aici digital super-gurus-super-experts-black-belt-ninjas s-au trezit în fața unei alegeri: lăsăm utilizatorul să aleagă dacă rulează sau nu cookie-urile (astfel fiind GDPR-compliant) și pierdem orice șansă de remarketing/ retargeting/ profilare sau îi băgăm pe gât cu forța cookie-urile pe principiul „mi-a sfințit preotul site-ul și nu vine autoritatea să mă verifice”.

Înainte de a trata subiectul cookie-urilor trebuie să înțelegem puțin principiul cheie al GDPR: „ce ție nu-ți place altuia nu-i face” (Give Data Proper Respect). Și de asemenea trebuie să înțelegem foarte bine ce înseamnă date cu caracter personal. Și mai trebuie să luăm în calcul poziția IAB, Internet Advertising Bureau, o asociație care stabilește normele și ghidurile de bune practici în ceea ce înseamnă publicitatea online.

„Ce ție nu-ți place” – toată lumea s-a șocat când a auzit de Facebook și Cambridge Analytica și de faptul că sunt milioane de alți jucători ce fac chestii similare la o scară mai mică sau chiar mai mare. Unul din instrumentele folosite pentru profilarea utilizatorilor poate fi chiar cookieul. Un cookie este un fișier text pe care un site îl trimite browserului să-l stocheze pe dispozitiv pentru a reţine informații despre utilizator: informații de conectare, preferințe de limbă dar și pentru a urmări utilizatorul pe unde se „plimbă” pentru a-i oferi conținut și reclame mai re levante. Practic pentru a-l profila, mai bine sau mai prost. Cookie-ul poate să nici nu fie neapărat al site-ului ci al unei părți terțe iar tu ca utilizator să nici nu știi că cineva te urmărește.

Dar cum să știe că tu ești, să zicem, Ion Popescu din Dragomirești-Deal? Și aici vine noțiunea de „date cu caracter personal”. Spre diferență de PII – personal identifiable information – datele cu caracter personal reprezintă orice informații sau seturi de informații ce pot duce la identificarea unei persoane direct sau indirect. Adică nu trebuie tu să știi că un cookie este al lui Ion Popescu ci o mașină să fie în stare să îl identifice pe Ion Popescu doar pe baza comportamentului său online. Sau legând efectiv diverse informații despre un anumit IP sau alt identificator online. Mulți dintre clienții mei s-au șocat să vadă ce a fost în stare să determine de exemplu Google despre ei doar pe baza comportamentului lor online (și Google este unul dintre jucătorii foarte transparenți!).

Ce zice IAB? IAB a publicat un framework, un set de bune practici denumit Transparency Consent Framework – dezbaterea, prezentările și modurile de implementare le regăsiți la http://advertisingconsent.eu/ . Dincolo de prezentarea framework-ului IAB-ul dă trei seturi de recomandări pentru consimțământul asupra cookie-urilor:

  • consimțământ/ respingere pentru TOATE cookie-urile ne-necesare site-ului (cele de care nu depinde funcționarea siteului, cum ar fi cele statistice și de marketing),
  • consimțământ/respingere pentru SCOPUL cookie-urilor (de marketing, de statistică etc),
  • consimțământ/respingere pentru VENDOR-ul cookie-urilor (Google, Taboola etc). Implicit cookie-urile ne-necesare trebuie să fie oprite, cu excepția cazului în care există un TEMEI LEGAL ca ele să fie pornite.

Și aici vine de fapt inspirația și creativitatea departamentelor de marketing în a găsi temeiul legal pentru care poți urmări utilizatorii (de exemplu interesul legitim al operatorului când acesta prevalează asupra drepturilor și libertăților persoanelor vizate – dar este genul de temei legal ușor contestabil deci ai trebuie să decizi dacă merită sau nu riscul).

Oricum se recomandă instalarea unui Cookie Consent Tool care de obicei îți oferă modalități granulare de consimțământ. Cu această ocazie de obicei clienții mei descoperă o tonă de cookie-uri de care nu mai au nevoie, uitate prin diverse colțuri ale site-ului. Și se face curățenia generală. Însă contează mult să îți dai seama exact ce vrei exact cu cookieurile tale, de ce ai nevoie de ele. Pentru că doar așa îți dai seama dacă este business-critical să menții un cookie, să fii sigur că datele personale ce pleacă prin acel cookie la un terț sunt bine protejate și nu sunt folosite în alte scopuri și să îți convingi utilizatorii să creadă în cookie-urile tale și în site-ul tău.

Și, ghici ce, asta ține fix de „ce ție nu-ți place…”. Ține de cei șapte ani de acasă…

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 55-57. 

Provocări aduse de datele cu caracter personal în industria telecom

 

 

Iulian MATACHE

Iulian MATACHE este advisor independent cu o experiență de peste 15 ani formată la granița dintre IT şi juridic. Certificărilor CIPP/E şi CIPM ale IAPP li se adaugă experiența în proiecte de audit şi implementare GDPR în companii din domeniul telecom, media, jocuri de noroc, energie și aviație.

 

 

Poate una dintre cele mai dinamice şi cu un înalt grad de digitalizare, industria telecom este confruntata cu provocări născute atât din GDPR, cât şi din interacțiunile Regulamentului cu legislația deja aplicabilă domeniului.

Astfel, dacă GDPR este aplicabil tuturor industriilor, în domeniul comunicațiilor electronice găsim ca lex specialis Directiva 2002/58/EC („ePrivacy Directive”) transpusă în legislația naționala prin Legea 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (cu modificările şi completările ulterioare). De asemenea, se afla în curs de aprobare Regulamentul ePrivacy care va aduce o sporită uniformitate a aplicării reglementarilor europene privind protecția datelor cu caracter personal într-un cadru extins al comunicațiilor electronice incluzând şi operatori OTT (Whatsapp) sau VOIP (Skype).

Intrând în specificitatea provocărilor aduse companiilor de telecom este de menționat faptul că prin natura tehnologiei operatorul este în posesia multor date cu caracter personal cum ar fi: localizarea precisa a utilizatorului, conținutul comunicațiilor, respectiv metadate despre trafic. Aceste date sunt procesate pentru furnizarea serviciului contractat, respectiv pentru operațiuni de optimizare a traficului sau rezolvarea incidentelor semnalate de anumite elemente de rețea. Independent de întemeierea legală a procesării, operatorul este obligat sa minimizeze colectarea şi retenția acestor date atât cât îi permit obligațiile legale sau contractuale.

Este important să înțelegem că un operator de telefonie mobilă reprezintă un organism viu prin care permanent circulă volume impresionante de date. Art. 32 privind securitatea procesării obligă la depunerea unor diligente adecvate riscului asociat datelor procesate. De asemenea, controlul accesului angajaților operatorului la datele cu caracter personal ale clienților trebuie gestionat foarte atent. Nu o dată au fost tentați diverși angajați să utilizeze în scop personal accesul privilegiat la aceste date, acțiuni care au generat reclamații şi sancțiuni disciplinare. Serverele pe care sunt testate diverse aplicații folosind date productive reprezintă risc de scurgeri de date. În astfel de situații se recomandă tratarea datelor cu soluții de data masking, rezultatul fiind echivalentul pseudonimizării.

O zonă de procesare sensibilă o reprezintă calcularea automată a scorului de risc la activarea serviciului, respectiv interogarea sistemului Preventel. Este un fapt cunoscut ca în absența unui istoric privind comportamentul de plată al abonatului, companiile telecom alcătuiesc un profil de risc al acestuia, profil care poate produce efecte juridice precum solicitarea unei plăţi în avans sau constituirea unei garanții, respectiv întreruperea mai devreme sau mai târziu a accesului la servicii. De asemenea, în sistemul Preventel toți operatorii telecom introduc date despre persoanele fizice care nu şi-au îndeplinit obligațiile de plată sau au desfășurat acțiuni fraudulente.

Art. 14(2)g) stipulează obligația operatorului de a prezenta informații privind „existenţa unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) şi (4), precum şi, cel puțin în cazurile respective, informații pertinente privind logica utilizată şi privind importanţa şi consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.” Ceea ce implică transparentizarea algoritmilor de scoring în Nota de Informare, obligație dificil de transpus în practică.

În plus, va fi interesant de urmărit exercitarea drepturilor persoanelor vizate, în special dreptul la rectificare sau ștergere în legătura cu sistemul Preventel. Profilarea de risc şi implementarea chatbot-ilor / asistenților digitali riscă să dea naștere unor conflicte cu dreptul persoanelor vizate de a nu face obiectul unor decizii automate (Art. 22). Pe acest aspect Grupul de Lucru Art. 29 a luat o poziție şi mai rigidă interpretând dreptul ante menționat ca o obligație a operatorului de a nu desfășura o atare procesare în scopul unor decizii automate, atrăgând critici din partea profesioniștilor din domeniul protecției datelor.

Forma finală a Regulamentului ePrivacy (aflat în prezent în curs de aprobare) va aduce noi obligații pe umerii operatorilor telecom. Va fi în continuare interesant de urmărit modul în care aceștia reușesc să echilibreze cerințele de reglementare cu constrângerile tehnologice şi necesitățile de business.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 61-62. 

AM UN IMM: CUM MA POT ALINIA LA GDPR?

DEDICAȚIE

Închin acest articol unui prieten bun care de peste 25 de ani s-a dedicat promovării tehnologiei informației. Imaginea lui Romi Maier se suprapune practic cu istoria presei de IT din Romania. O presă de calitate, fără de care nu s-ar fi vorbit de o industrie IT în România. O pierdere inegalabilă pentru familie, pentru prieteni, pentru presă și pentru industrie. Drum bun, Romi, și pacea fie cu tine…


De la bun început mulți considerau IMM-urile ca victime sigure ale GDPR, prin lipsa posibilităților de investiții în softuri sofisticate de criptare și de protecție sau în ore scumpe pentru servicii de audit și consultanță… Dar ceea ce mulți nu au luat în considerare, este că de multe ori ca IMM ne putem descurca mult mai bine într-un proiect de reorganizare, investiții și aliniere.

Mărimea nu mai contează…

Regulamentul are ca principală menire schimbarea modului în care orice organizație obține și administrează datele personale. Chiar dacă majoritatea articolelor și procedurilor din Regulament au în vizor modul în care marile companii administrează datele prelucrate, micile organizații precum micro-întreprinderile sau persoanele fizice sunt obligate în egală măsură să dovedească respect pentru prelucrarea datelor personale.

GDPR se aplică organizațiilor de orice dimensiune, în cazul în care prelucrarea datelor are loc în mod regulat sau dacă procesarea include categorii speciale de date definite în articolul 9 din GDPR. Acest lucru reiese chiar din definițiile Operatorului și Procesatorului de date personale.

Conform GDPR, Art.4.7. “Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile şi mijloacele de prelucrare a datelor cu caracter personal;

Conform Art.4.8. “Procesator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele Operatorului;

Chiar și un consultant sau o persoană fizică autorizată care procesează în mod constant și regulat date personale și date personale cu caracter special poate avea rol de operator de date personale sau de procesator, în funcție de tipul de activitate executată. Dacă există tipuri de servicii în care se stabilesc scopul și mijloacele, specialistul individual poate avea rol de operator asociat în relațiile cu clienții săi. Dacă există tipuri de activități în care specialistul individual execute doar operațiuni solicitate de clienții săi, în acest caz are rol de procesator de date personale, cu toate răspunderile care revin unei asemenea poziții.

Prelucrăm date personale? Deci nu avem încotro…

Chiar dacă nu dispunem de fondurile celor mari, ca manageri ai unei companii mici, suntem direct răspunzători de continuitatea afacerii și implicit suntem dispuși să și investim.  Într-o companie mică, ca întreprinzător suntem și sponsor și șef de proiect. Și sunt mai capabil și mai interesat să îmi aleg cea mai bună și mai eficientă echipă, care de multe ori îi include pe toți ceilalți angajați.

Sunt mai expuse companiile mici la atacuri cibernetice decât cele mijlocii sau mari? Teoretic așa ar trebui să fie, pentru că nu dispunem de infrastructura la care ceilalți au acces. Un studiu Juniper Research apreciază că peste jumătate din IMM-urile din țările UE consideră că sunt în siguranță față de atacurile cibernetice, dar jumătate din acestea au suferit o încălcare a datelor. În acest context, necesitatea de a proteja mai eficient datele cu caracter personal nu a fost niciodată mai evidentă, chiar și la nivel de IMM.

GDPR consolidează protecția informațiilor personale. Indiferent de mărime, toate companiile care își desfășoară activitatea în UE au acum obligația să colecteze, să stocheze și să utilizeze informațiile cu caracter personal într-un mod mai sigur. Deși există puține domenii în care IMM-urile sunt recunoscute ca având mai puține resurse și capacități decât întreprinderile mai mari, întreprinderile mici pot să se bucure de o anumită marjă de manevră în ceea ce privește documentația și păstrarea înregistrărilor. Gradul de libertate în acest stadiu este încă incert.

Guvernul britanic estima recent că doar 40% dintre întreprinderile cu mai puțin de 50 de angajați și doar 66% dintre firmele  cu 50-249 de persoane au fost conștiente de importanța GDPR.

 

5 motive serioase pentru aliniere

Iată cinci motive serioase pentru care IMM-urile trebuie să înțeleagă urgent acest regulament și să-și alinieze procesele cu acesta:

1. GDPR vine cu noi drepturi, deci noi obligații – În primul rând, GDPR oferă persoanelor noi drepturi asupra datelor lor personale. Teoretic, acum putem merge la o bancă sau la un supermarket ca să le cerem să ne șteargă datele din sistemele lor.  Teoretic, pentru că practice vom obține asta peste cel puțin 10 ani…

A, un drept real este acela de a cere mutarea datelor de la un furnizor de servicii la altul. Asta chiar se poate. De exemplu, mutarea dosarului de la un furnizor telco la altul. Dar asta nu înseamnă că vechiul furnizor ne va șterge datele.

2. Furnizorii sunt acum sub microscop – GDPR vine și cu noi responsabilități asupra procesatorilor de date. Dacă procesăm date în numele unui operator, trebuie să păstrăm instrucțiunile acestuia pentru a fi aliniați GDPR. Dacă fac o greșeală ca procesator, o fac pe barba mea și pot fi tras direct la răspundere.

3. Avem sau nu nevoie de DPO? – la nivel de IMM, evident că nu. Asta nu exclude recomandarea de a numi o echipa de proiect și un responsabil de proiect cu rol de coordonator. Sunt sarcini permanente, chiar și într-un IMM, precum ținerea evidențelor de procesare, consimțământ sau breșe, pe lângă ingrata sarcină de a prelua asimilarea politicilor interne în toate departamentele.

4. Angajații ca verigă slabă – studiile arată că cel puțin o treime din vulnerabilitățile datelor personale se datorează erorii personalului. Nu există nici un substitut pentru instruirea angajaților cu privire la responsabilitățile lor de bază în cadrul GDPR. În plus, asigurați-vă că specialiștii companiei dvs., cum ar fi comercianții, reprezentanții HR și membrii consiliului, primesc o instruire specifică referitoare la rolurile lor despre ceea ce trebuie să facă pentru a se conforma GDPR.

5. Trebuie să le spunem clienților ce facem cu datele lor – conform GDPR, clienții au dreptul de a fi informați – într-un limbaj clar – cu privire la ceea ce facem cu datele lor personale. Politica noastră de confidențialitate online trebuie să fie scrisă în limbaj simplu, spunând clienților despre locul unde obținem datele, ce facem cu ele și cu cine le împărțim. Dacă avem o pagină web pentru afacerea noastră, e musai să punem crezul nostru privind confidențialitatea pe site, în pagina Confidențialitate date personale.

Companiile mici sau specialiștii individuali care își asigură conformitatea GDPR beneficiază nu numai de procese de afaceri mai sigure și mai profesionale, ci și de un cert avantaj competitiv față de concurenții care nu au dat mare importanță prevederilor noului regulament. Conformitatea GDPR este o etichetă de încredere, loialitate și respect față de clienți și parteneri și față de datele personale pe care aceștia ni le încredințează.

Parte din acest conținut poate fi regăsit în articolul ”Am un IMM: cum pot deveni compatibil GDPR? ” publicat pe 16 iulie pe site-ul ittrends.ro și în revista IT Trends din iulie 2018.

Despre GDPR și respectul pentru interlocutor

 

 

Anca CRAHMALIUC

Anca Crahmaliuc este expert în domeniul Corporate Affairs, PR și Marketing B2B, cu experiență exhaustivă in coordonarea de activități și echipe Marketing & Communications în organizații multinaționale. Este absolventă a programului MBA dezvoltat de Tiffin University în parteneriat cu Universitatea București.

 

 

Mai există viață în marketingul B2B după 25 mai 2018?

Cu siguranță. Intrarea în funcțiune a regulamentului european referitor la protecția datelor personale nu numai că nu diminuează valoarea acțiunilor de marketing, ci o crește semnificativ din punct de vedere calitativ. Cum? Prin credibilizare și eficientizare.

Este evident că, mai ales în ultimul deceniu, evoluția amețitoare a mijloacelor electronice de comunicare a condus la o creștere exponențială a mesajelor de marketing. Multe, tot mai multe. Le citește cineva? Nu știm și nu contează. Să fie cât mai multe, adresate cât mai multor persoane. Sunt aceste persoane în grupul nostru țintă? Nu prea știm și nici nu prea contează.

Dacă sunt mulți, poate s-or și nimeri destui care să fie între cei care ne-ar putea fi potențiali clienți. Nu cumva îi spamăm? N-au decât să-și pună filtre… Și dacă nu știu să facă asta? Atunci să șteargă mesajele și gata…

Am consemnat o succesiune de posibile întrebări și răspunsuri schimbate în ultimii ani între oamenii din departamentele de vânzări și marketing dintr-o organizație din orice industrie. Vânzările sunt esențiale pentru supraviețuirea companiei. Deci, să facem cât mai multe vânzări. Eventuale obiecții ridicate timid pot fi interpretate ca o lipsă de interes pentru soarta firmei…deci nu le mai ridicăm. Și totuși….ce șanse sunt ca o persoană complet neinteresată de produsele noastre să le și cumpere? Nu cumva agresând-o cu informații nesolicitate vom genera chiar o reacție de adversitate?

Prevederile GDPR se aplică în orice situație sunt prelucrate „date cu caracter personal”. Acest lucru înseamnă că ele includ toate persoanele identificate în mod direct sau indirect, și chiar dacă ele au alocări profesionale declarate. Pe scurt, dacă dețineți numele și un număr de telefon și/sau o adresă de email ale unui contact de business, ele intră sub incidența regulilor GDPR.

Este nevoie ca orice acțiune de marketing B2B să se bazeze pe consimțământ?

Nu chiar totdeauna. Consimțământul este o bază legală pentru procesarea datelor, dar pot exista situații în care acțiuni de marketing B2B să fie justificate de „interese legitime”. Chiar și în acest caz însă, uneori, e nevoie de consimțământ pentru a respecta prevederile Privacy and Electronic Communications Regulations cunoscut și ca ePrivacy.

Când ne putem baza în acțiunile de marketing B2B pe interesul legitim?

Interesul legitim poate justifica activități de marketing B2B dacă puteți arăta că modul în care folosiți datele personale este proporționat, are impact minim asupra intimității oamenilor, iar probabilitatea ca adresanții mesajelor de marketing să fie surprinși de acțiunile dv sau chiar să obiecteze față de acestea să fie minimă – dar numai cu condiția să nu intrați sub incidența ePrivacy. GDPR nu înlocuiește ePrivacy – trebuie să respectați prevederile ambelor prevederi legislative în activitățile dv. de marketing B2B.

UE este pe cale să înlocuiască actuala lege privind ePrivacy cu noua ePrivacy Regulation (ePR). Cu toate acestea, noul ePR nu este încă aprobat și, în consecință, continuă să se aplice actualele reguli ePrivacy (cu o nouă definiție pentru consimțământ) până când noul ePR va fi finalizat.

Consimțământul implică punerea la dispoziția persoanelor a unor mijloace reale de alegere și control. Un consimțământ autentic responsabilizează persoana care îl oferă, construiește o relație bazată pe încredere și angajament și vă consolidează reputația. Oferirea consimțământului trebuie să fie evidentă și necesită o acțiune pozitivă, manifestată prin opt-in. Solicitarea consimțământului trebuie să fie proeminentă, neîngrădită de alți termeni sau condiționări, formulate concis, ușor de înțeles și utilizat de către adresant. Operatorul care cere consimțământul trebuie să-și comunice numele, scopurile și tipurile de activități de prelucrare a datelor cu caracter personal. Nu în ultimul rând, celui care a oferit consimțământul trebuie să i se garanteze posibilitatea de a-l retrage ușor, în orice moment dorește acest lucru.

Cum și cui trimitem mesaje de marketing B2B?

Comercianții individuali și unii parteneri sunt tratați ca persoane fizice așa că puteți să le trimiteți mesaje de marketing numai pe bază de consimțământ exprimat explicit sau dacă au cumpărat un produs similar de la dv în trecut și nu au activat opțiunea opt-out când le-ați oferit această posibilitate. Trebuie totuși să includeți în mesaj opțiunile de „opt-out” sau „unsubscribe”.

Puteți transmite mesaje de marketing către orice instituție publică sau privată (de exemplu pe adrese de mail de tip office@organizatie.xxx). Este, totuși, recomandabil și uzual în sensul bunelor practici de business să aveți o listă de tip „nu trimite mesaj” cuprinzând organizațiile care obiectează sau își exprimă opțiunea de opt out, și să aveți grijă să verificați că nu se regăsește în nicio campanie de marketing pe care o desfășurați.

Atunci când trimiteți pe mail mesaje de marketing către angajații oricărei organizații care au adrese de business personale (de exemplu prenume.nume@organizație.xxx) se aplică toate prevederile GDPR.

Ce se întâmplă cu telemarketingul?

Puteți apela telefonic orice organizație de la care ați obținut consimțământul în acest sens, de exemplu prin bifarea opțiunii „opt in”. De asemenea, puteți telefona la orice organizație aflată pe liste publice, cu condiția ca acestea să nu se fi opus în trecut să le contactați. Și în acest caz se impune existența unei liste de tip „nu suna”.

Regulile privind apelurile automate sunt mai stricte. Utilizarea sistemelor de apelare automată, cu redarea unui mesaj înregistrat, nu se poate face în absența unui consimțământ explicit referitor la acest tip de abordare. Consimțământul general dat pentru acțiuni de marketing sau chiar pentru apeluri directe nu acoperă apelurile automate.

În mod evident, aceste prevederi sunt de mult bun simț în business. Ce valoare poate avea un mesaj nedorit sau, și mai grav, transmis împotriva dorinței adresantului? Cu siguranță, nu numai că nu ajută vânzările sau notorietatea companiei, ci le ruinează…

…dar cu newsletter-ele?

Trimiterea de newslettere și campaniile de emailing în general sunt asimilate acțiunilor generale de marketing B2B. În consecință, procesarea datelor cu caracter personal implicate necesită acordul explicit. Procesarea este permisă pe bază de consimțământ sau o justificare legală. De exemplu, o astfel de situație se întâlnește când între cei care trimit și cei care primesc mesajele de marketing exista o relație relevantă, proporționată. Comunicarea cu clienții existenți sau persoanele pentru care se prestează anumite servicii ar putea să se desfășoare fără consimțământ.

De asemenea, dacă o companie are un interes justificat pentru a se prezenta pentru prima data în fața unor potențiali clienți (cold acquisition) o poate face prin email marketing fără consimțământ. Aceștia din urmă își pot exprima opțiunea de a nu mai primi informații prin newsletter sau email, respectiv de a nu li se folosi datele pentru scopuri de marketing. Trebuie avut în vedere că prin coroborarea articolului 95 din GDPR cu articolul 13, paragraf 1 din directive ePrivacy 2002/58 reiese că în acest moment, emailingul nu se poate realiza decât pe bază de consimțământ.

Să recapitulăm

Trebuie să le spuneți oamenilor:

  • ce faceți cu datele lor,
  • care sunt scopurile pentru care procesați datele,
  • care este baza legală care permite procesarea informațiilor
  • cât timp doriți să păstrați datele cu caracter personal
  • cu cine partajați informațiile despre ei

Dacă faceți acțiuni de marketing direct în care vă bazați pe interesul legitim, adresanții au în mod absolut dreptul de a obiecta și sunteți obligați să opriți procesarea datelor care îi privesc.

Dacă acțiunile dv de marketing se desfășoară pe bază de consimțământ, persoanele care l-au oferit au dreptul să și-l retragă în orice moment. Atunci, trebuie să opriți procesarea. În fond, GDPR este despre modul în care trebuie să ne purtăm unii cu alții. Ce ție nu-ți place, altuia nu-i face… că aproape sigur nu-i place.

GDPR va implica unele costuri suplimentare și pe partea de marketing. Pe de-altă parte, vor fi mai bine folosiți banii irosiți în construirea de baze de date nerelevante și campanii gândite strict din perspective cantitative. Rata de răspuns infimă a campaniilor de emailing sau dialogurile tensionate purtate de operatorii de telemarketing spun fără echivoc același lucru: și marketingul B2B trebuie făcut cu respect pentru interlocutor.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 47-50. 

WORKSHOP GDPR PENTRU HR ȘI AGENȚII DE RECRUTARE

 

În urma succesului înregistrat în edițiile precedente, GDPR Ready ACADEMY și iBusinesss România orgnizează o nouă sesiune de workshopuri dedicate implicțiilor GDPR în ecosisremul Resurselor Umane.

 Astfel, pe 4 iulie vă invităm să participați la sesiunea de instruire: ” Provocări GDPR pentru departamentele de HR și Agențiile de Recrutare”.

Locație: Casa Filipescu – Cesianu, Calea Victoriei nr. 151 (colt cu str. Sevastopol, la 2 min. de stația de metrou Victoriei)

Durata: 6 ore

Preț 350 RON

Pentru înregistrare intrați pe site-ul:

https://ibusinessevents.ro/curs-gdpr-pentru-departamentele-de-resurse-umane-si-agentiile-de-recrutare/

 

De ce e nevoie să ne aliniem la GDPR în Recrutare și Resurse Umane?

Orice specialist angrenat în activități de recrutare și administrare a resurselor umane trebuie să înțeleagă importanța noului Regulament EU 2016/ 679 pentru activitățile curente și trebuie să adopte toate măsurile necesare pentru asigurarea alinierii serviciilor oferite cu prevederile GDPR. Tratarea superficială a acestor probleme poate genera situații nedorite prin care renumele organizației și credibilitatea în relațiile de business pot fi serios afectate, pe lângă posibilele sancțiuni de ordin financiar.

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. Există o serie de industrii în care operațiunile curente de prelucrare a  datelor cu caracter personal (financiar – bancar, asigurări, IT&C, telecom, media, etc.) necesită o cunoaștere aprofundată a prevederilor noului regulament.

În același timp, în cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Care este  obiectivul workshopului?

Cursul integrează elementele principale ale regimului juridic privind protecția datelor cu caracter personal, atât prin prisma legislației dreptului intern cât şi al dreptului UE, având în centrul său Regulamentul General UE privind protecția datelor cu numărul 679/2016 dar şi cu legislația specifică  activității de muncă (Codul Muncii).

Din perspectiva proceselor de business, orice companie poate să joace atât rol de operator, cât și de procesator de date personale. Indiferent de profilul activităților principale dintr-o companie, departamentul de resurse umane joacă întotdeauna un rol de operator prin funcția specifică de administrare a tuturor datelor personale ale angajaților, candidaților și foștilor angajați.

Cursul abordează toate activitățile specifice specialiștilor în recrutare de personal și de administrare a resurselor umane dintr-o organizație sau dintr-o agenție care deservește mai multe companii, analizate  din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate de situațiile reale.

Cui ne adresăm?

Acest pachet de instruire a fost gândit pentru specialiștii în recrutare de personal și administrare a resurselor umane din departamentele HR sau agenții specializate, precum și personalului care se ocupă de serviciile auxiliare legate de administrarea angajaților, precum specialiști în pontaje și plăți de salarii, evaluatori de bonificații, inspectori de protecția muncii și medicina muncii, cabinete medicale de întreprindere și administratori.

 Ce subiecte vom aborda

 Workshopul este structurat în 4 secțiuni cu o durată totală de 6 ore – inclusiv pauzele: 

  1. Efectul disruptiv al GDPR – 10 elemente cheie care diferențiază GDPR de legislația actuală – 1 oră
  2. GDPR pentru toți – aspecte esențiale ale GDPR care trebuie cunoscute de toți cei care sunt implicați în activități de prelucrare de date cu caracter personal. 5 ore
  3. Provocări specifice GDPR pentru activitățile de recrutare și resurse umane: ce facem cu CV-urile tuturor aplicaților la o poziție, care este relația recrutare – angajare, cum se procesează și administrează bazele de date ale angajaților și dosarele ce conțin documente pe suport de hârtie, cum pot fi minimizate și anonimizate datele angajaților, ce măsuri elementare de securitate trebuie să păstrăm pentru procesarea și salvarea fișierelor cu date personale, cum comunicăm în siguranță cu partenerii de procesare a datelor precum agențiile partenere, solicităm consimțământul angajaților pentru situațiile în care nu avem un alt temei legal, cum administrăm datele personale cu caracter special –  2 ore
  4. Discuții pe cazuri reale și autoevaluarea cunoștințelor acumulate laworkshop – 1 oră.

5 beneficii esențiale pentru participanți 

  1. Însușirea cunoștințelor esențiale despre GDPR
  2. Discutarea și înțelegerea problemelor cheie pentru specificul activităților de recrutare și administrare a resurselor umane
  3. Kit Materiale suport
  4. Diplomă participare workshop
  5. Self Assessment – Evaluare nivel de pregătire GDPR

PARTICIPAȚI LA WORKSHOPUL GDPR READY ACADEMY ȘI VEȚI PUTEA RĂSPUNDE CELOR MAI DIVERSE PROVOCĂRI RIDICATE DE PROBLEMA PROTECȚIEI DATELORR PERSONALE ÎN RECRUTARE ȘI RESURSE UMANE

 

MAI AVEM NEVOIE DE CĂRȚI DE VIZITĂ SAU LE ARUNCĂM?

Unul dintre cele mai discutate subiecte în această perioadă este modul în care se aplică noul regulament european în relațiile curente de afaceri. De ce am avea nevoie de consimțământul unor oameni cu care suntem de ani buni în relații de afaceri pentru a le trimite e-mailuri? Multe dintre datele partenerilor sau clienților noștri sunt publice pe site-urile de companie sau pe cărțile de vizită pe care ni le dau. Și multe alte întrebări legate de necesitatea atâtor măsuri de precauție și proceduri…

Realitatea este că GDPR nu aplică datelor personale din zona de business un regim preferențial față de zona de retail… Toate datele B2B și B2C sunt la fel de importante și în consecință trebuie să avem egală responsabilitate față de ele. Desigur, că în interpretarea diferitelor articole și preambuluri din Regulamentul 679/ 2016 precum și în ghidurile de aplicare emise de Grupul de Lucru Articolul 29, de multe ori apare o oarecare îngăduință pentru tot ce ține de zona B2B, pe care foarte mulți o consideră destul de eronat în afara obiectivului și domeniului de aplicare material definite încă din primele 2 articole ale GDPR.

Definiția datelor personale din Art. 4 GDPR relevă faptul că orice date de identificare direct sau indirect identificabile reprezintă date personale. Adresa de email în care apare cel puțin o componentă a numelui, telefonul de servici, adresa locului de muncă și alte informații care pot conduce la stabilirea identității profesionale a unei persoane constituie date personale, cu egală valoare individuală cu cele legate de telefon, email și adresă personală.

Cărțile de vizită au menirea de a facilita comunicarea. Dacă sunt folosite corect, ele nu fac decât să  putem avea acces mai ușor la datele de contact ale unui reprezentant al companiei care ne interesează. Căci de multe ori vizăm compania și implicit persoana de legătură care corespunde cel mai bine intereselor noastre.

Există o serie de false mituri care sunt atribuite relațiilor B2B și care pleacă în principal de la cazurile care solicită sau nu prezența unui consimțământ, în special în comunicarea directă prin e-mail. Dar dacă citim cu atenție Art. 6 GDPR referitor la Legalitatea prelucrării, vom vedea că obținerea consimțământului nu este singurul temei legal și că în zona relațiilor de afaceri existența unor condiții contractuale sau interesul legitim dictat de profilul de business constituie în marea majoritate a cazurilor suficiente garanții pentru continuitatea în business și derularea unor acorduri B2B comune.

Din perspectiva transparenței, cărțile de vizită pe care le schimbăm în activitățile noastre cotidiene conțin surse de date personale asupra cărora trebuie să ne concentrăm în egală măsură atenția. Oricine ne dă o carte de vizită nu numai că își dă acceptul, dar are și toate motivele să spere că vom folosi acele date pentru dezvoltarea de activități ulterioare reciproc avantajoase. E greu de crezut că cineva care ne-a dat datele sale de business ne va refuza vreodată comunicarea sau va protesta pe motive legate de încălcarea drepturilor la viață privată…   Și asta e valabil evident pentru cei cu care avem interese comune de business.

Cei cu experiență în marketing și vânzări știu și că datele de business sunt și foarte perisabile, în sensul în care multe dintre contactele actuale, peste trei-patru luni nu mai sunt valabile și trebuie făcute eforturi consistente pentru actualizarea sistematică a informațiilor de contact. Trebuie să avem permanent în vedere că toate acestea sunt valabile doar pentru relațiile de business directe. De oricâte ori ajungem în posesia unei baze de date cu adrese de servici prin metode indirecte, avem datoria de a anunța persoanele respective care este sursa de proveniență a acestor date și în ce scop le contactăm, conform Art. 14 din GDPR. Acesta este și cazul în care cărțile de vizită ne parvin pe căi indirecte, fie de la un coleg, fie prin colectarea acestora din surse neutre – standuri de târguri și expoziții, participanți la evenimente, etc.

În concluzie, ar merita să mai păstrăm cărțile de vizită dacă știm ce să facem cu ele… Adică să le folosim cu corectitudine, doar pentru scopuri de business. Deși în marea majoritate a cazurilor datele B2B nu sunt atât de critice fiind limitate la date de contact – de multe ori publice, asta nu înseamnă că nu trebuie să avem grijă de ele…

Articol publicat în revista IT Trends Mai 2018

Aplicarea regulamentului GDPR pentru departamentele de HR şi firmele de recrutare

Dana Cristina MATACHE 

 

Dana Cristina Matache este Avocat corporate cu experiență multisectorială, specializată în Protecția Datelor cu Caracter Personal, membră a Baroului București din anul 2009. În ultimii doi ani, a oferit asistență juridică și servicii de reprezentare în instanță unei bănci importante în a face față unui val de litigii. Anterior, a asistat o companie din domeniul petrolier cu scopul gestionării unui volum de litigii de muncă fără precedent.

 

În sfârșit, a venit și a și trecut ziua de 25 mai 2018 și Regulamentul este aplicabil. Regulamentul se aplică atât asupra departamentelor de HR din cadrul Companiilor cât şi asupra firmelor de recrutare. Voi analiza pe scurt câteva aspecte aplicate din perspectiva noului Regulament în domeniul relațiilor de muncă şi procedura de recrutare.

Resurse Umane (Human Resources/HR)

Noul Regulament impune obligații stringente care se vor aplica Companiilor în raporturile de muncă. Companiile sunt obligate să comunice angajaților/salariaților printr-o notificare faptul ca datele deținute sunt confidențiale, care sunt datele cu caracter personal pe care Compania le deține, care este scopul şi temeiul juridic în baza căruia se procesează datele cu caracter personal, care este perioada de retenție a datelor cu caracter personal și dacă există un transfer de date cu caracter personal în afara României.

De asemenea, conform art. 13 din Regulament, angajații/salariații trebuie să cunoască faptul că au dreptul de a solicita Companiilor accesarea şi modificarea datelor cu caracter personal. În situația în care Compania are numit un DPO (Persoana Responsabilă cu Protecția Datelor cu Caracter Personal), angajații au dreptul să cunoască datele de contact ale acestuia. O obligație în plus care aparține Companiilor este de a se asigura că au informat angajații că în situația în care un drept al acestora a fost încălcat se pot adresa cu o sesizare către A.N.S.P.D.C.P sau chiar în instanță.

Firmele de Recrutare – procesul de recrutare

Un aspect care trebuie luat în considerare și care nu trebuie să fie neglijat în domeniul recrutării este cel cu privire la perioada de stocare a datelor și obținerea consimțământului din partea candidaților sau a potențialilor candidați. Ce se întâmpla cu datele personale aflate în C.V. dacă procesul de recrutare nu se finalizează cu obținerea jobului pentru care candidatul a aplicat? Recomandat este ca datele personale ale candidatului din C.V.-ul care nu a fost acceptat pentru poziția deschisă sa fie stocate până la închiderea poziției. Este bine cunoscut faptul ca bazele de date ale companiilor de recrutare dețin C.V.-uri ale candidaților care au aplicat pentru anumite joburi și care au intrat in procesul de recrutare, sau care nici măcar nu au ajuns să intre în acest proces.

Din dorința de a deține

  1. a) o bază de date cu diferite profiluri cât mai numeroasă și
  2. b) de a obține un consimțământ cât mai compliant (sic!) din partea candidaților ale căror date personale sunt astăzi stocate în campaniile de re-consent, recomand firmelor de recrutare stabilirea unor reguli. Regulile stabilite trebuie comunicate candidaților pentru a le da posibilitatea de a-și exercita dreptul la opoziție privind stocarea/prelucrarea datelor cu caracter personal.

Un prim set de recomandări către firmele de recrutare ar fi:

  1. să își stabilească a priori un număr maxim de mesaje transmise persoane vizate/ candidat în campania de re-consent; iar
  2. absența unui răspuns din partea persoanei vizate reprezintă zero informație, chiar dacă este contrar așteptărilor și interesului firmelor de recrutare.

În situația în care o persoană vizată/candidat solicită ștergerea datelor sale cu caracter personal din baza de date a firmei de recrutare, am fi tentați sa facem aplicarea art.17 din Regulament, respectiv firma de recrutare să procedeze la ștergerea informațiilor din baza de date fără întârzieri nejustificate, în același timp trebuie să consideram și cazurile în care candidatul este plasat la client și reprezintă justificarea facturării onorariului recrutorului.

Concluzionând, Companiile si firmele de recrutare sunt obligate să respecte drepturile și libertățile persoanelor ale căror date cu caracter personal le procesează, urmând ca pe parcursul acestui proces să fie transparente și să acționeze conform dispozițiilor din noul Regulament devenit aplicabil.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 50-51. 

A APĂRUT EDIȚIA A TREIA A CATALOGULUI GDPR

 

 

 

Trustul de presă AGORA Group și inițiativa publică GDPR READY anunță publicarea celei de-a treia ediții a Catalogului GDPR – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Actuala ediție a Catalogului GDPR este dedicată soluțiilor specific pentru diferite epartamentesau verticale industriale.

 

 

 

Ceea ce se întâmplă la aproape o lună după intrarea în vigoare a noului Regulament EU 2016/ 679 demonstrează că piața românească nu este încă pregătită pentru importanța momentului. Departamentele de HR nu sunt conștiente de rolul lor de operator de date senzitive. Oamenii de marketing nu știu ce să facă cu vechile baze de date. Forțele de vânzări nu sunt instruite pentru introducerea prospecților în CRM.  Foarte puține contracte conțin clauze explicite de confidențialitate a datelor personale. Majoritatea site-urilor comerciale condiționează consimțământul clienților de accesul la conținut. Firmele mici habar nu au ce e de făcut.

Câteva constatări după momentul 25 mai:

  • Inexistența unei Politici elementare de IT la nivelul unor organizații mijlocii și mari. Chiar și acolo unde există niște norme interne, acestea nu se aplica.
  • O mare harababură privind procesarea, păstrarea și transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților.
  • Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază și se aplică șabloane culese de pe site-uri, fără a se înțelege esența principiilor GDPR.
  • Lipsa de interes a unor manageri de departamente – altele decât HR, FINANCIAR, Juridic, IT – care cred ca ei nu au nicio responsabilitate și că e treaba altora să își bata capul cu asta…
  • Inexistența unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea și transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele lor în business, închistați fiind de necunoaștere, neînțelegere si preluarea inadecvată a unor “sfaturi de bine”. ”GDPR nu e pentru noi”, ”Nimeni nu e fericit cu GDPR-ul acesta” sau ”Suntem prea mici ca să ni se întâmple ceva” sunt expresii des întâlnite în piață.

Prin ”GHIDUL GDPR PE VERTICALE” vrem să vă oferim câteva elemente despre activitățile concrete pe care trebuie să le abordăm în funcție de problemele specifice și provocările cu care se confruntă departamentele cheie dintr-o companie, precum resursele umane, marketingul și vânzările,  de la maparea proceselor de business și a datelor, la analizele de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație.

>> CITIȚI AICI CATALOGUL GDPR ONLINE!

Printre subiectele abordate în cadrul acestui Ghid sub forma a 25 de întrebări și răspunsuri despre B2B, IMM, HR, Marketing, Data Centere, Distribuție, ISO 27001 și Cultura GDPR pot fi menționate:

  • Ce înseamnă GDPR pentru B2B
  • Ce trebuie să facă o companie IMM pentru asigurarea conformității
  • Importanța GDPR pentru resursele umane și administrarea relațiilor cu angajații
  • Care sunt fluxurile de date în ecosistemele HR
  • Provocări pentru marketingul direct sub GDPR
  • Elemente de referință pentru o nouă strategie de marketing
  • Cum scăpăm de miturile legate de obligativitatea consimțământului
  • Impactul GDPR asupra furnizorilor de servicii datacenter și Cloud
  • Cum ne ajută standardul ISO27001 la implementarea mai ușoară a GDPR
  • Care sunt noile reguli privitoare la supravegherea video
  • Cultura GDPR și importanța pentru păstrarea conformității pe termen lung.

Ca și la edițiile anterioare, Ghidul este însoțit de recomandările unor specialiști din diferite domenii, care în actualul ghid vorbesc despre:

  • Dana Cristina MATACHE –”Aplicarea GDPR pentru departamentele de resurse umane și recrutare”
  • Tudor GALOS -”Cei 7 ani de acasă în politica de Cookies
  • Anca CRAHMALIUC –”Despre GDPR și respectul pentru interlocutor
  • Iulian MATACHE –”Provocări aduse de datele cu caracter personal in industria telecom
  • Dan Cristian MATEI –”ISO 27001 – un sprijin real pentru conformitatea  GDPR/RGPD
  • Daniel SUCIU –”Rolul și problemele departamentului IT în implementarea GDPR
  • Ion IORDACHE –”Australia, o țară non-UE conștientizează impactul GDPR asupra mediului său de afaceri

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de tehnologia informației.

Le mulțumim partenerilor de la AXIS Communications, BENTO, BINBOX, High Tech Systems & Software, Romsym Data, Star Storage, Tryamm, Veritas și Zitec pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate în secțiunea GDPR Ready de pe site-ul cloud☁mania
  • Ghidul de orientare rapidădin Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPRdin Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Readype LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

Ca o concluzie la o lună după 25 mai, aș puncta faptul ca dincolo de inexistenta unor tehnologii adecvate care pot rezolva o bună parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frână în adopția GDPR sunt oamenii, care nu sunt învățați sa respecte niște norme și proceduri elementare. Și plecând de la aceasta, nu atingerea unor condiții de conformitate GDPR va fi principala problemă în orice companie, ci păstrarea acestora pe termen lung…

 

V-AȚI NUMIT DEJA UN DPO?

Dacă DA, felicitări! Aveți acum un ghid să vă conducă prin labirinctul procedurilor, proceselor, politicilor, metodologiilor, recomandărilor, normelor, standardeor și reglementărilor menite să ne faciliteze conformitatea GDPR.

Dacă nu ați făcut-o încă, aveți posibilitatea să îl înregisitrați oficial. Autoritatea Națională de Supraveghere a postat pe site Formularul de înregistrare a Responsabilului cu Protecția Datelor Personale (Data Protection Officer – DPO).

Cum procedura de selecție și de numire a acestui personaj important continua să rămână unul dintre cele mai dezbătute subiecte pre și post 25 Mai, vă propun un acces rapid la o serie de articole care au avut ca principal tematică condițiile de numire a ofițerului cu protecția datelor.

GDPR EXPLICITAT (11) – UN PERSONAJ IMPORTANT: DATA PROTECTION OFFICER, Octombrie 2017

CUM POT OBȚINE CERTIFICAREA DPO ÎN ROMÂNIA?Noiembrie 2017

AVEM UN DPO – CUM ÎL CERTIFICĂM?, Ianuarie 2018

Ghidul Grupului de Lucru Articolul 29 privitor la Responsabilul cu protecția datelor poate fi descărcat de aici:

http://www.dataprotection.ro/servlet/ViewDocument?id=1384

Vă interesează o recomandare pentru cursuri DPO? Completați formularul de mai jos și veți fi contactați.

Nota Confidențialitate: Completând acest formular vă dați acordul pentru a fi contactați în scopul discutării ofertelor de cursuri DPO. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar în scopul pentru care au fost încredințate. Citiți mai mult în Politica de Confidentialitate.

 

WORKSHOPURI GDPR SPECIALIZATE PENTRU HR ȘI MARKETING

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. În cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Plecând de la cerințele pieței, am inițiat un Program  de Cursuri de formare profesională organizate pe model workshop care se focalizează pe principalele provocări GDPR pentru activități/ departamente/ organizații cu expunere mai ridicată.

Pentru început, GDPR READY ACADEMY vă oferă două categorii de workshopuri dedicate activităților de

  • Resurse Umane & Recrutare
  • Marketing & Vânzări

În zilele de 23 și 24 mai, GDPR Ready ACADEMY și iBusinesss România orgnizează workshopurile tematice:

Provocări GDPR pentru departamentele de HR și Agențiile de Recrutare,  în data de Miercuri, 23 Mai, la DoubleTree by HiltonStrada Nerva Traian nr.3 A, Sector 3, București, 4 secțiuni în 6 ore, pauzele de cafea și masa de prânz incluse, preț – 350 lei, înregistrarea se face la:

https://ibusinessevents.ro/curs-gdpr-pentru-departamentele-de-resurse-umane-si-agentiile-de-recrutare/

Provocări GDPR în Marketing și Vânzări, va avea loc Joi, 24 Mai, aceeași locație, 4 secțiuni în 6 ore, pauzele de cafea si masa de prânz incluse, preț – 350 lei, înregistrarea se face la: https://ibusinessevents.ro/curs-gdpr-in-marketing-vanzari/

Participând la curs, veți înțelege și rezolva toate problemele cheie pentru activitățile specifice departamentelor aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, analizate  din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate din situații reale.

ANGAJAȚII CEL MAI PREȚIOS ASSET AL UNEI COMPANII: HAIDEȚI SĂ LE PROTEJĂM MAI BINE DATELE PERSONALE!

De ce e nevoie să ne aliniem la GDPR în Recrutare și Resurse Umane?

Orice specialist angrenat în activități de recrutare și administrare a resurselor umane trebuie să înțeleagă importanța noului Regulament EU 2016/ 679 pentru activitățile curente și trebuie să adopte toate măsurile necesare pentru asigurarea alinierii serviciilor oferite cu prevederile GDPR. Tratarea superficială a acestor probleme poate genera situații nedorite prin care renumele organizației și credibilitatea în relațiile de business pot fi serios afectate, pe lângă posibilele sancțiuni de ordin financiar.

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. Există o serie de industrii în care operațiunile curente de prelucrare a  datelor cu caracter personal (financiar – bancar, asigurări, IT&C, telecom, media, etc.) necesită o cunoaștere aprofundată a prevederilor noului regulament.

În același timp, în cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Care este  obiectivul workshopului?

Cursul integrează elementele principale ale regimului juridic privind protecția datelor cu caracter personal, atât prin prisma legislației dreptului intern cât şi al dreptului UE, având în centrul său Regulamentul General UE privind protecția datelor cu numărul 679/2016 dar şi cu legislația specifică  activității de muncă (Codul Muncii).

Din perspectiva proceselor de business, orice companie poate să joace atât rol de operator, cât și de procesator de date personale. Indiferent de profilul activităților principale dintr-o companie, departamentul de resurse umane joacă întotdeauna un rol de operator prin funcția specifică de administrare a tuturor datelor personale ale angajaților, candidaților și foștilor angajați.

Cursul abordează toate activitățile specifice specialiștilor în recrutare de personal și de administrare a resurselor umane dintr-o organizație sau dintr-o agenție care deservește mai multe companii, analizate  din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate de situațiile reale.

Cui ne adresăm?

Acest pachet de instruire a fost gândit pentru specialiștii în recrutare de personal și administrare a resurselor umane din departamentele HR sau agenții specializate, precum și personalului care se ocupă de serviciile auxiliare legate de administrarea angajaților, precum specialiști în pontaje și plăți de salarii, evaluatori de bonificații, inspectori de protecția muncii și medicina muncii, cabinete medicale de întreprindere și administratori.

 Ce subiecte vom aborda

 Workshopul este structurat în 4 secțiuni cu o durată totală de 6 ore – inclusiv pauzele: 

  1. Efectul disruptiv al GDPR – 10 elemente cheie care diferențiază GDPR de legislația actuală – 1 oră
  2. GDPR pentru toți – aspect esențiale ale GDPR care trebuie cunoscute de toți cei care sunt implicați în activități de prelucrare de date cu caracter personal. 5 ore
  3. Provocări specifice GDPR pentru activitățile de recrutare și resurse umane: ce facem cu CV-urile tuturor aplicaților la o poziție, care este relația recrutare – angajare, cum se procesează și administrează bazele de date ale angajaților și dosarele ce conțin documente pe suport de hârtie, cum pot fi minimizate și anonimizate datele angajaților, ce măsuri elementare de securitate trebuie să păstrăm pentru procesarea și salvarea fișierelor cu date personale, cum comunicăm în siguranță cu partenerii de procesare a datelor precum agențiile partenere, solicităm consimțământul angajaților pentru situațiile în care nu avem un alt temei legal, cum administrăm datele personale cu caracter special –  2 ore
  4. Discuții pe cazuri reale și autoevaluarea cunoștințelor acumulate la workshop – 1 oră.

Care sunt cele 5 beneficii ale participanților 

  1. Însușirea cunoștințelor esențiale despre GDPR
  2. Discutarea și înțelegerea problemelor cheie pentru specificul activităților de recrutare și administrare a resurselor umane
  3. Kit Materiale suport
  4. Diplomă participare workshop
  5. Self Assessment – Evaluare nivel de pregătire GDPR

PARTICIPAȚI LA WORKSHOPUL GDPR READY ACADEMY ȘI VEȚI PUTEA RĂSPUNDE CELOR MAI DIVERSE PROVOCĂRI RIDICATE DE PROBLEMA PROTECȚIEI DATELORR PERSONALE ÎN RECRUTARE ȘI RESURSE UMANE

 

EXISTĂ MARKETING ȘI DUPĂ GDPR: SERVICII DE ÎNCREDERE ȘI DE CALITATE CRESCUTĂ

De ce e nevoie să ne aliniem la GDPR în marketing și vânzări

Orice agenție sau departament de marketing și vânzări trebuie să înțeleagă importanța noului Regulament 2016/ 679 pentru activitățile curente și trebuie să adopte toate măsurile necesare pentru asigurarea alinierii serviciilor oferite cu prevederile GDPR. Tratarea superficială a acestor probleme poate genera situații nedorite prin care renumele organizației și credibilitatea în relațiile de business pot fi serios afectate, pe lângă posibilele sancțiuni de ordin financiar.

Prelucrarea datelor cu caracter personal este prezentă aproape în orice business, indiferent de industria în care activează operatorul de date sau procesatorul acestuia. Există o serie de industrii în care operațiunile curente de prelucrare a  datelor cu caracter personal (financiar – bancar, asigurări, IT&C, telecom, media, etc.) necesită o cunoaștere aprofundată a prevederilor noului regulament.

În același timp, în cadrul fiecărei organizații, există departamente aflate în prima linie a relațiilor cu clienții, partenerii sau angajații, pentru care noul regulament vine cu o serie de provocări specifice domeniului de activitate, a căror rezolvare este definitorie pentru buna funcționare a organizației.

Care este  obiectivul workshopului?

Cursul integrează elementele principale ale regimului juridic privind protecția datelor cu caracter personal, atât prin prisma legislației dreptului intern cât şi al dreptului UE, având în centrul său Regulamentul General UE privind protecția datelor cu numărul 679/2016 dar şi o legislație specială, care trebuie privită ca un sistem interdependent cunoscută sub numele de ePrivacy.

Cursul abordează toate activitățile specifice departamentelor  de marketing – vânzări din multiple perspective legate de legislație și recomandări ale diferitelor entități oficiale, dar și pe bază de exemple de bune practici inspirate de situațiile reale.

Cui ne adresăm?

Acest pachet de instruire a fost gândit pentru specialiștii cu funcții manageriale în departamentele de marketing și vânzări: directori de vânzări, account manageri, agenți de teren, directori de marketing, manageri de comunicare, specialiști în relații publice, administratori site-uri comerț electronic, manageri de produs, manageri pentru relația cu partenerii, manageri de servicii de relații cu clienții, etc.

Ce subiecte vom aborda?

 Workshopul este structurat în 4 secțiuni cu o durată totală de 6 ore – inclusiv pauzele:

 Efectul disruptiv al GDPR – 10 elemente cheie care diferențiază GDPR de legislația actuală – 1 oră

  1. GDPR pentru toți – aspect esențiale ale GDPR care trebuie cunoscute de toți cei care sunt implicați în activități de prelucrare de date cu caracter personal. 5 ore
  2. Provocări specifice GDPR pentru departamentele de marketing și vânzări: ce facem cu vechile baze de date de clienți, ce trebuie să conțină notele de confidențialitate de pe paginile Web, portaluri pentru parteneri și clienți, cum putem asigura punerea în practică a principiilor GDPR, cum putem derula campanii media și activități de marketing direct, care sunt limitările asociate transferului internațional de date personale, cum putem realiza liste de prospecți și cum putem actualiza conturile vechi, asemănări și contradicții între GDPR și ePrivacy – 2 ore
  3. Discuții pe cazuri reale și autoevaluarea cunoștințelor acumulate la workshop – 1 oră.

5 beneficii ale participanților 

  1. Însușirea cunoștințelor esențiale despre GDPR
  2. Discutarea și înțelegerea problemelor cheie pentru specificul activităților de marketing și vânzări
  3. Kit Materiale suport
  4. Diplomă participare workshop
  5. Self Assessment – Evaluare nivel de pregătire GDPR

PARTICIPAȚI LA WORKSHOPUL GDPR READY ACADEMY ȘI VEȚI PUTEA RĂSPUNDE CELOR MAI DIVERSE PROVOCĂRI RIDICATE DE PROBLEMA PROTECȚIEI DATELOR PERSONALE ÎN MARKETING ȘI VÂNZĂRI

Welcome to DataCenter Forum 2018, 2nd Edition, Bucharest, 10th of May

Organised by Tema Energy, DataCenter Forum is the first exclusive event dedicated to professionals from data center area. More than 13 most important players from data center equipment industry will be present in this first edition of  DataCenter Forum hosted by  Willbrook Convention Center in Bucharest 10th of May.

The DataCenter Forum is offering to sponsor and participants a special indoor DataCenter technologies expo showing power, cooling, structured cabling, networking, fire suppression, IT furniture equipment, and a dedicated Mobile DataCenter Expo for turnkey fully equipped mobile DC provided by Tema Energy.

Between the Data Center providers which will present in this second edition of Datacenter Forum will be APC by Schneider, Bicsi, Cummins, Hoppecke, Leoch, Nexans, Pyralis, R&M, Riello, Rittal, Uniline, Uptime Institute, and Vertiv.

The Conference sessions Agenda is based on one panel and 13 keynotes, workshops and company presentations dedicated to data center industry evolution, edge computing, DC power and fire protection solutions,  practical guides in equipment selection, DC infrastructure management and operations best practices,  physical protection of data center and data rooms, and backup process optimisation.

The opening panel is dedicated to ”Future DataCenters: from Cloud and Hyperscale to Edge and Modular”, As special guest speakers in this opening session are announced: Cristian CUCU – CIO Romanian Government, Scott ROOTS – Uptime Institute, Miodrag KOVANOVIC – from BICSI, and Mihai MANOLE – CEO Tema Energy.

Like last year edition, one of the most interesting presences in Datacenter Forum event will be Uptime Institute, worldwide recognised authority for the creation and administration of the Tier Standards & Certifications for Data Center Design, Construction, and Operational Sustainability. Scott  ROOTS – Business Development Director Uptime Institute EMEA will present the results of “Uptime Institute 8th Annual Datacenter Survey Results.”

 

Scott Roots – Business Development Director Uptime Institute EMEA

Uptime Institute created the standard Tier Classification System as a means to effectively evaluate data center infrastructure in terms of a business’ requirements for system availability. The Tier Classification System provides the data center industry with a consistent method to compare typically unique, customised facilities based on expected site infrastructure performance, or uptime. Furthermore, Tiers enables companies to align their data center infrastructure investment with business goals specific to growth and technology strategies. The Data Center Site Infrastructure Tier Standard: Topology defines the requirements and benefits of four distinct Tier classifications for data center infrastructure. Each Tier aligns with a specific function in the business world and sets the appropriate criteria for power, cooling, maintenance, and capability to withstand a fault. Tiers are progressive; each Tier incorporates the requirements of all the lower Tiers. Additionally, Tiers has been demonstrated as a meaningful industry standard because Tiers allows a variety of solutions, allowing the flexibility to meet both the performance goals and comply with local statutes, codes, and regulations.

DataCenter Forum will present to the local participant’s solutions for the whole operational spectrum, available for both DC services providers, and for the organisations able to administrate their own infrastructure. Participants will have the possibility to evaluate and to discuss directly with specialists in cooling systems, UPS’, fire prevention, security, backup, data & disaster recovery, communication and networking, monitoring and maintenance, and more.

Tema Energy will present a mobile Data Center developed a proprietary concept and already implemented in some public and private organisations in Romania.  Established in 2002, Tema Energy is the leader in Romania in the Data Center and Power Supply system turn-key execution. What highly define our company are the management culture and our lasting experience in Integrated Systems and Solutions.

In line with the constant goal to promote new technologies and their benefits in the context of the digital transformation process, cloud☁mania will have an active presence at the DataCenter Forum 2018, as a media partner.

Join Free admission to DataCenter Forum 2018, hosted on May 10th by Willbrook Convention Center Bucharest, but don’t forget to REGISTER before.

CIO Council Romania aderă la asociația paneuropeană EuroCIO

Începând din anul 2018 CIO Council Romania s-a alăturat asociației pan-europene EuroCIO, reprezentând Corpul Național (National Bodies) al executivilor CIO din țara noastră la nivel european.

 

European CIO Association (EUROCIO) este o asociație independentă, non-profit, înregistrată în Bruxelles, și este singura asociație pan-europeană care reprezintă executivii CIO (Chief Information Officer) și directorii IT la nivel european. Ea are în componență peste 1.000 de membri din 16 țări europene. Comunitatea este formată atât din membri individuali, cât și din 13 asociații naționale care reprezintă peste 700.000 de specialiști din domeniul IT, cu bugete de peste 150 miliarde de euro anual.

EuroCIO militează pentru o platformă unică pentru executivii CIO și senior IT Professionals, în care aceştia pot schimba informații, împărtăși experiențe și studii de caz, pot stabili contacte și pot face networking la nivel european. Totodată, EuroCIO sprijină comunitatea de profesioniști IT în raport cu vendorii IT și autoritățile europene precum Comisia Europeană sau Parlamentul European, acordând sprijin în numeroase proiecte sau inițiative legislative europene din acest domeniu.

„Integrarea CIO Council Romania în marea asociație pan-europeană EuroCIO constituie o recunoaștere a valorii comunității IT din România și implicit a executivilor CIO din România. Aderarea la EuroCIO ne va permite să interacționăm în mod direct cu comunitatea CIO europeană, să schimbăm informații, să participăm și să influențăm proiectele și inițiativele legislative din domeniul tehnologiei informației ale Comisiei Europene”,  Yugo Neumorni, președinte CIO Council Romania.

Yugo Neumorni, CIO Hidroelectrica, reprezintă asociația CIO Council Romania în cadrul EuroCIO, fiind membru în Boardul asociației. Totodată, ocupă și funcţia de Cybersecurity Council Chairman. Reprezentanții EuroCIO vor fi prezenți la București pe 16 mai, în cadrul evenimentului CIO Council National Conference, ediția a VI-a, organizată de către CIO Council și Revista CARIERE.

CIO Council Romania a fost constituită în 2005 și este o asociație independentă, non-profit, care are în componența sa profesioniști IT din cele mai înalte poziții din ierarhia IT, numărând 85 de actuali și foști CIO.

FENOMENUL GDPR

Yugo NEUMORNI

Yugo Neumorni, CISA, EMBA este membru în Boardul asociației paneuropene EuroCIO și Chairman al Cybersecurity Council al EuroCIO. Este de asemenea președintele asociației CIO Council Romania, membru în British Computer Society Elite și Director IT al Hidroelectrica. A contribuit din poziția de CIO la ieșirea din insolvență a companiei Hidroelectrica și la transformarea în cea mai profitabilă companie din România. A coordonat cu succes implementarea unui proiect ERP complex pentru Hidroelectrica (300 utilizatori, 12 module) care a fost premiat cu Gold Winner in competiția SAP Quality Awards 2017 în categoria Fast Delivery. Anterior, Yugo a fost peste 10 ani Head of IT pentru Vimetco, cel mai mare producător de aluminiu din Europa de Sud-Est și peste 6 ani IT Manager în cadrul Deloitte Central Europe. Cu peste 24 de ani de experiență în industria IT, Yugo Neumorni este specializat în reorganizarea și dezvoltarea ecosistemelor IT din zona industrială și de manufacturing. Aria sa de expertiză include implementarea și dezvoltarea de proiecte ERP complexe, securitate IT și cybersecurity, sisteme SCADA și industrial control systems, IT audit și IT governance, modelare de procese în energie și manufacturing, COBIT framework. Este absolvent al Facultății de Automatizări și Calculatoare al Universităţii Politehnice Bucureşti și al programului EMBA de doi ani derulat în parteneriat de Asebuss și Kennesaw State University.

Practic de acum încolo toţi oamenii trebuie să gândească și să opereze zilnic în termenii GDPR, atât din perspectiva responsabilităţii ca angajat, dar și ca beneficiar în viaţa privată. Fenomenul GDPR apare într-un moment în care societatea s-a săturat de nenumăratele „accidente” prin care baze de date cu informații confidențiale ajung să circule liber în Internet, eliberate în mod voit, accidental sau sustrase prin atacuri de natura cibernetică.

Companii multinaționale de renume din toate sectoarele economice, alături de structuri din sectorul public sau de apărare, și-au văzut penetrate sistemele de securitate IT, având ca rezultat pierderea a sute de milioane de date medicale, financiare și alte informații cu caracter personal. Profilarea automată a persoanelor direct din instrumentele online sau prin rețelele sociale, agresivitatea vânzătorilor online și a departamentelor de marketing au devenit intens abuzive și constituie deja o intruziune nepermisă în viața privată a cetățeanului. Toate acestea au făcut ca societatea să ceară imperativ un control solid al operatorilor de date cu caracter personal și o schimbare de mentalitate asupra protecției datelor.

Interesant este că, deși legislațiile naționale dar și cea europeană aflate în vigoare acoperă de ani buni protecția datelor cu caracter personal, ele nu au fost popularizate și promovate până acum, rămânând practic necunoscute marelui public. Comasarea majorității actelor normative într-un singur regulament, optimizarea acestuia și promovarea ca directive europeană, dar mai ales creșterea considerabilă a cuantumului penalităților au făcut ca acest regulament GDPR să ajungă acum prioritate zero pentru companii.

Aplicarea regulamentului GDPR presupune schimbarea mentalității asupra protecției datelor, atât în companii, cât și în societate, în general. Ea implică cel puțin o procedurizare serioasă a proceselor de afaceri iar în multe situații o modificare substanțială a acestora. GDPR nu este un proces care se închide la 25 Mai ci, din contra, este un demers continuu care va modifica procesele operaționale ale companiilor. Practic de acum încolo toți oamenii trebuie să gândească și să opereze zilnic în termenii GDPR, atât din perspectiva responsabilității ca angajat, dar și ca beneficiar în viața privată.

În organizațiile insuficient de mature aplicarea GDPR este percepută în mod eronat ca fiind o responsabilitate a CIO când aceasta aparține, în realitate, Board-ului. La întreținerea acestei false percepții au contribuit din păcate și firmele de IT, care au văzut fenomenul GDPR ca o oportunitate de a vinde soluții de securitate IT.

Din perspectiva CIO, fenomenul GDPR aduce o mare provocare profesională și mult stres, dar și un sprijin și o argumentație în plus la constituirea bugetelor IT. Se știe de ani de zile despre dificultatea de „a vinde” securitatea IT către Board, mai ales în contextual în care operațiunile IT au fost mai mereu „pe verde”. Executivii nu acceptă cu ușurință nevoia de securitate IT în principal, pentru că este un element oarecum intangibil, și cu impact negativ în P&L. Regulamentul GDPR pune în mâna CIO, prin intermediul DPO, suficiente argumente pentru o bugetare corectă în domeniul securității IT și a protecției datelor personale.

GDPR este un fenomen eminamente pozitiv pentru societate, care deschide noi oportunități pentru „data protection officers”. Simultan directorii și departamentele IT se repoziționează și primesc un mare balon de oxigen în evanghelizarea nevoii de securitate IT și de protecție a datelor. Privită din anumite unghiuri însă, o interpretare excesivă și abuzivă a GDPR, în lipsa unor norme de aplicare clare, poate conduce la dereglarea mediului economic.

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. a 8-a, București, martie 2018, pag. 54-55. 

Cu ocazia celei de-a șasea Conferințe Naționale CIO Council Romania care va avea loc pe 16 mai, Yugo Neumorni va modera atît sesiunea principală din deschiderea evenimentului, cât și alte sesiuni cu subiecte deosebit de importante. 

%d bloggers like this: