Protecția și libera circulație a datelor personale într-o lume tot mai conectată

Avem nevoie de o cultură în protecția informațiilor, fie că este vorba de securitate cibernetică ca termen general sau de datele personale în perspectiva GDPR.  Acesta a fost principala concluzie a conferinței de Securitate cibernetică din 2018, organizată de iBusiness România și Agora Group pe 22 martie cu sprijinul Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor, Asociației Naționale pentru Securitatea Sistemelor Informatice (ANSSI) și DB Connect.

Cea de-a 4-a ediție a conferinței ”Provocările securității cibernetice într-o lume interconectată: politici, business-uri, strategii” s-a derulat de altfel sub semnul marelui eveniment din acest an: începerea aplicării prevederilor Regulamentului european pentru protecție datelor personale. Nu a fost prezentare pe toată durata conferinței fără să nu aibă măcar un slide despre GDPR…

Ediția din acest an a Forumului economic mondial de la Davos a acordat o atenție specială tehnologiilor emergente și pe impactul pe care acestea îl au asupra societăților, modelelor economice și sociale și în cele din urmă asupra “viitorului comun” într-o piață globală. Pe măsură ce tehnologiile evoluează, problemele de securitate cibernetică sunt deja parte din fiecare segment al vieților noastre, al activității noastre, a ambientului nostru social.

Ca răspuns la această formidabilă dinamică a adoptării inovației tehnologice s-a simțit nevoia unei armonizări și în zona legislativă, unde protecția și mai ales confidențialitatea datelor personale se lovește de la o zi la alta de noi provocări, generate pe de o parte de tehnologie, și pe de altă parte de lipsa de pregătire a oamenilor în asimilare acestor tehnologii.

Evenimentul a fost structurat în două sesiuni care au abordat:

  • Politicile de securitate cibernetică în contextul alianțelor internaționale din care România face parte – un panel de discuții la care au participat importanți reprezentanți ai sectorului public, apărare, SRI, entități guvernamentale răspunzătoare cu politicile de securitate cibernetică, precum și specialiști din sectorul privat.
  • Securitate cibernetică, cele mai bune practici și soluții în contextul mai amplu al adoptării GDPR și al implementării tehnologiilor emergente – secțiune unde am discutat nu numai despre valențele de Securitate a datelor din GDPR dar și despre importanța factorului uman și a existenței unui cadru legal care să ne ajute să asimilăm protecția datelor personale ca pe orice normă de muncă, spre binele organizației.

Datorită formidabilului impact pe care GDPR îl generează nu numai în mediile de business, cam toate prezentările din prima sesiune au făcut referire la necesitatea ca eforturile de aliniere la GDPR și portofoliul de norme generate și adoptate să contribuie la o reală educație în protecția tuturor datelor și reducerea vulnerabilităților datorate lipsei de pregătire a personalului. Astfel, Alexandru Groșeanu, președinte al Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor s-a referit la vulnerabilitățile de securitate cibernetică specifice sectorului public, unde se impune mai mult ca oriunde crearea unei culturi la nivelul utilizatorilor.

În prezentarea Human Point System, Nick Nicolaescu – country manager la Forcepoint s-a referit la cel mai recent concept al companiei, în care component umană este cheia securității cibernetice, fiind zona de intersecție dintre utilizatori, date și rețele, prin intermediul sistemelor IT, în Cloud și pe fiecare dispozitiv. Pentru a înțelege ritmul oamenilor și al fluxurilor de date, este nevoie de informații în timp real care să analizeze comportamentele riscante ale utilizatorilor neinstruiți sau rău-intenționați. Adică un sistem care permite luarea rapidă și eficientă a deciziilor de comportament și remedierea amenințărilor.

Unul dintre domeniile în care protecția datelor personale este deosebit de senzitivă este cel al sănătății. Daniel Nistor – CEO al companiei Info World a abordat câteva dintre provocările pe care GDPR le pune în fața instituțiilor publice și private din sectorul medical, unde compania are peste 15 ani de experiență.  Aplicațiile Info Word furnizează informații și instrumente de analiză atât către managementul unităților medicale, personalul administrativ și specialiștii în servicii de sănătate, cât și pacientului, autorității de sănătate publică sau finanțatorilor sistemelor medicale.

Tot în secțiunea dedicată GDPR, Dragoș Bâlcu – Business Development Manager la Intrarom/ Intracom Telecom a discutat despre necesitatea asigurării protecției datelor în orice locație. Indiferent de natura și dotările oricărei rețele securitatea este una dintre cele mai critice entități ce trebuie administrate. Sistemul de management al securității informației dezvoltat de Intracom Telecom are ca principal obiectiv asistarea clienților pentru o cât mai bună înțelegere a poziționării în fluxul de circulație a informației și stabilirea celor mai adecvate măsuri de limitare a riscurilor specifice organizației.

O prezentare deosebit de interesantă a fost susținută de Magda Popescu, ca reprezentantă Cyber Smart Defence, care s-a referit la activitățile de hacking din perspectiva GDPR. În eforturile de aliniere la noul regulament European, orice companie trebuie să își stabilească propria politică de protejare  datelor personale, precum și un plan de administrare a riscurilor care să include și măsurile ce trebuie respectate în cazul semnalării unor breșe de Securitate. Un astfel de plan pe termen lung trebuie să includă și o serie de simulări care generează breșe și urmăresc modul de reacție al celor care răspund de luarea primelor măsuri, care includ și anunțarea Autorității de supraveghere în maximul 72 de ore de la constatare și, în cazul unor breșe grave, chiar anunțarea persoanelor vizate.  Compania Cyber Smart Defence este printre puținele specializate în teste de penetrare a sistemelor informatice care ajută clienții să descopere care sunt zonele vulnerabile din cadrul sistemelor informatice sau care sunt credențialele utilizatorilor autorizați. În plus, se poate  identifica nivelul de acces al utilizatorilor înregistrați ca anonimi, utilizatorilor regulați și al administratorilor de sistem.

O modalitate pragmatică de abordare a unui proiect de implementare GDPR a fost oferită de Răzvan Cioc – Information Security Specialist în cadrul DB Global Technology.  Centrul tehnologic al DB din România dezvoltă soluții software de cel mai înalt nivel pentru operațiunile globale ale Deutsche Bank şi reprezintă o platformă pentru ingineri software cu nivel înalt de pregătire, fiind operațional din 2014. Deutsche Bank este prezentă pe piața din România din anul 1998, oferind produse şi soluții personalizate pentru Corporate, Investment şi Transaction Banking, pentru clienţi corporativi şi instituţionali, precum şi servicii de Private Wealth Management pentru clienţii persoane fizice.

Una dintre cele mai importante componente a oricărui sistem de protecție a datelor personale este zona de stocare a acestora. De felul în care sunt salvate și stocate datele depinde în mare măsură un proiect de implementare GDPR. În deschiderea secțiunii dedicate GDPR am avut prilejul de a vedea cum ne putem crea propriul Server virtual Cloud SSD în doar 29 de secunde.  Serviciile oferite de compania Combridge, componentă a Deutche Telekom Group, fac această operațiune extrem de simplă. Prin accesarea site-ului www.cloude.ro se poate crea un cont de utilizator. Infrastructura de tip Cloud este construită pe cea mai recentă tehnologie Octa Core (8 Core) CPU, ECC RAM și servere SSD Raid, în timp ce virtualizarea KVM oferă capacități extinse de scalabilitate, performanță Enterprise Class și securitate. Panoul de control foarte ușor e utilizat, rețeaua internațională rapidă și infrastructura elastic, fac din tehnologia de virtualizare oferită de Combridge una dintre soluțiile cu cele mai dezvoltate caracteristici, preferată de majoritatea organizațiilor.

Așa cum arătam și în prezentarea mea ”Cultura GDPR ca motor al conformității pe termen lung” din cadrul sesiunii dedicate, pentru crearea unei culturi GDPR companiile trebuie să adopte o abordare proactivă, metodică și responsabilă cu privire la conformitate, o cultură de confidențialitate și de protecție a datelor personale. Dacă vrem ca oamenii să-și schimbe comportamentul, trebuie să-i motivăm să-și dorească să facă acest lucru. Oamenii  trebuie să înțeleagă de ce este important. Pentru că implementarea GDPR nu este un simplu proiect IT. Este un proces complex care implică oameni, proceduri și tehnologii. Din punctul de vedere al factorului uman, alinierea la GDPR este în primul rând un proces de schimbare. Această schimbare este o mare provocare pentru oameni, dacă nu pot să conecteze riscurile de confidențialitate a datelor la propriile roluri și vieți private.

Crearea politicilor necesare pentru implementarea unei culturi GDPR la nivel de organizație constituie unul dintre serviciile oferite în mod curent cliențiilor de către GDPR Ready Services. Pentru a educa eficient personalul și a construi o cultură de GDPR stabilă, trebuie stabilită o politică clară prin care trebuie să:

  • Definim atribuții periodice și punctuale clare pentru toți cei implicați în prelucrarea datelor personale.
  • Realizăm campanii periodice de sensibilizare și cunoaștere
  • Asigurăm conștientizarea confidențialității în noile medii de business sau cu noi angajați.

Organizațiile trebuie să-și schimbe mentalitatea și oamenii de decizie trebuie să fie un exemplu. Succesul unui proiect GDPR pe termen lung se bazează pe crearea unei culturi la nivel de organizație, în care oamenii se gândesc în primul rând la modul în care ar dori ca informațiile lor personale să fie procesate. Companiile trebuie să adopte această atitudine atunci când manipulează datele personale ale clienților, ale angajaților și ale altor subiecți. Nu este vorba doar despre amenințarea cu sancțiuni financiare. Este vorba de continuitate în business și de construirea unei atitudini de încredere.

Advertisements

Cum îl convingem pe director că nu e de glumă cu GDPR?

Primul pas în demararea unui proiect de obținere a conformității GDPR este de înțelegere și conștientizare a importanței noii legislații europene, atât pentru organizația noastră, cât și pentru întreg ecosistemul de business în care suntem angrenați: angajați, furnizori, parteneri, clienți. Care e trista realitate? Cam 60% dintre managerii români se lasă greu convinși…

La nivel de organizație, conștientizarea vizează toți factorii de conducere și departamentele direct implicate în procesarea datelor cu caracter personal. Cei care iau decizii și oamenii cheie din organizație trebuie sa fie conștienți că legea se schimbă în GDPR. Ei au nevoie să aprecieze impactul eventualelor probleme de conformitate în cadrul GDPR. Ar fi util să începem examinând registrul de risc al organizației, dacă avem unul. Implementarea GDPR ar putea avea implicații semnificative asupra resurselor, în special pentru organizațiile mai mari și mai complexe. S-ar putea să descoperiți că este dificil dacă îți lași pregătirile până în ultima clipă…

De ce e importantă Conștientizarea importanței GDPR? Pentru că, deși cele mai multe componente ale GDPR se regăsesc și în legislația actuală, noua reglementare europeană vine cu o serie de noi prevederi care pot schimba dramatic cursul firesc al unui business, în cazul în care nu sunt tratate cu toată considerația.

Cine sunt responsabilii de business interesați de GDPR?

Protecția datelor nu este doar o responsabilitate a departamentului IT, ci trebuie luată în serios la cel mai înalt nivel și în departamentele implicate în procesarea datelor personale, precum cel juridic, resurse umane, financiar, marketing & vânzări, toate acestea în strânsă colaborare cu cel de IT.

Prin natura prevederilor, în orice organizație factorii responsabili de bunul mers al implementării GDPR trebuie să fie reprezentanți de top sau delegați pentru fiecare dintre departamentele. Selecția se face de obicei pe bază de organigramă împreună cu reprezentantul HR și management:

  • Top management – un director executiv sau operațional care coordonează managerial activitatea Grupului de lucru GDPR. De ce e important reprezentantul managerial? Pentru ca acesta trebuie să capaciteze structura de top pentru aprobarea întregului proiect de conformitate: bugete, resurse umane, DPO, operațiuni, etc.
  • HR – un director de resurse umane sau un delegat responsabil de conformitatea administrării datelor personale ale angajaților (actuali, foști și cei în curs de angajare). Indiferent de natura activității companiei, departamentul HR are întotdeauna rol de operator al datelor personale ale angajaților.
  • Financiar-Contabilitate – responsabilități în strânsă legătură cu HR, prin datele despre salarizare, dar și un rol important în stabilirea și gestionarea bugetelor.
  • Departamentul juridic – ”oamenii legii” din companie sunt primii care trebuie sa asigure generarea și coerența activităților legate de adoptarea unui plan de acțiune, în acord cu legislația. Juriștii trebuie să explice legea tuturor departamentelor implicate și trebuie să supervizeze actualizarea contractelor de angajare sau a fișelor de post în concordanță cu prevederile GDPR, dar și cu legislația muncii. Juridicul are un rol important și în situația apariției incidentelor, gestionând relațiile legislative ale companiei cu forurile și autoritățile competent
  • Marketing & Sales – un director, reprezentant al departamentului de marketing +/- vânzări. Prin relația directă cu clienții și partenerii, departamentul de marketing e direct răspunzător de toate activitățile de promovare și CRM, cu tendința către PLM.
  • Departamentul IT – în funcție de mărimea companiei și existența posturilor respective, implică CTO, CIO, CSO și toți membrii care au o certificare legată direct de protecția și securitatea datelor.
  • Departamentul de calitate – pentru companiile care au implementat o certificare sau un standard de calitate. Mulți spun că prin poziția și competențele sale, directorul de calitate – acolo unde există – este cel mai apropiat de poziția de DPO, pentru că știe totul despre companie, organizare, procese de business, fluxuri de date, organigrama, resursele tehnice, etc.
  • Candidatul pentru DPO – acolo unde este cazul, se alege / stabilește dintre membrii acestei echipe, în funcție de nivelul de experiență. Nu este o regulă, dar pentru organizațiile mari se recomandă alegerea unui DPO Adjunct, cu rolul de a prelua coordonarea activităților esențiale în cazul indisponibilității DPO titular.
  • Specialiști externi – din oricare domeniu cu competențe de consultanță și consiliere.

Cum conștientizăm echipa de implementare GDPR?

Există și aici o serie de pași și de proceduri pe care trebuie să le abordăm:

  • Plan coerent de discuții, înțelegere și interpretare a prevederilor GDPR în funcție de profilul și mărimea companiei.
  • Prezentări de conștientizare cu șefi de departamente și la nivelul fiecărui departament direct implicat în procesarea datelor personale.
  • Fiecare membru al echipei de implementare trebuie să înțeleagă rolul său individual și colectiv pentru bunul mers al lucrurilor.

Din păcate, așa cum se poate constata în peisajul nostru actual de business, doar 4 din 10 manageri sunt conștienți de importanța și de impactul GDPR asupra afacerilor pe care le administrează. Cei mai mulți se lasă greu convinși de către un director de resurse umane sau de IT și lasă pe seama acestora responsabilitatea agregării unei echipe sau numirea unui responsabil e proiect. Pe de altă parte, nici în rândul acestor echipe nu există același nivel de implicare. Indiferent de departament, vechime și pregătire, toți membrii echipei de implementare GDPR trebuie să vorbească aceeași limbă și să participe la elaborarea și urmărirea planului comun de acțiune.

Conținutul acestui articol a fost publicat și în ”Ghidul practic GDPR” din cea de-a doua ediție a Catalogului GDPR apărut în martie 2018

Abordarea GDPR prin prisma unei experiențe de 10 ani

Fernanda Velter

Fernanda Velter

Fernanda Velter are o experiență de peste 10 ani în domeniul protecției și securității datelor în cadrul IBM, unde deține la ora actuală funcții de GDPR Readiness Coordinator for Europe CiCs, Security and Privacy Practice Lead, precum și Data Security&Privacy Center of Competency Leader. Opiniile prezentate în acest articol reprezintă recomandările personale, în calitate de specialist GDPR nu reflectă în nicio circumstanță poziția oficială a IBM.

 

Noțiunea de protecție a datelor cu caracter personal nu este nouă în spațiul Uniunii Europene. Aceasta a fost introdusă încă din 1995, prin directiva 95/46/EC.

Ceea ce aduce nou GDPR sunt în primul rând amenzile usturătoare și drepturile mult mai bine definite ale posesorilor de date. Pentru abordarea GDPR, companiile trebuie să implice toate nivelele de management din organizație. O amenda de 20 milioane de EUR sau 4% din cifra de afaceri va afecta întreaga companie, atât din punct de vedere financiar, al imaginii companiei, dar și din punct de vedere al culturii și climatului organizațional.

Departamentul juridic se confruntă prin aceasta lege cu noțiuni și abordări noi ale activităților companiei, și va avea nevoie de suportul tuturor departamentelor: HR, IT, operațional, producție, financiar, marketing, comunicații. Bineînțeles că efortul administrativ va crește pe măsură ce structura companiei, valoarea tranzacțiilor și numărul de angajați crește.

Cele mai multe companii vor avea rolul de operator de date – datorită colectării datelor angajaților, dar și prin activitatea din segmentul business2consumer. Companiile care au acces la date personale operate de clienții lor, în segmentul business2business, vor avea rolul de procesator.

Pentru a respecta obligațiile aferente, atât în rolul de operator, cât și cel de procesator, primul pas ar trebui sa fie reprezentat de identificarea datelor personale la care are acces compania prin diferitele activități, a proceselor prin care acestea sunt accesate/procesate/stocate și a mediilor/aplicațiilor de procesare a datelor. În acest proces trebuie să înțelegem că vorbim nu numai despre datele personale ale angajaților companiei, ci despre orice fel de date personale la care există acces: clienți, subcontractori, chiar și angajați ai autorităților locale.

După acest pas, este indicat să încercam pe cât putem să minimizam cantitatea de date personale la care avem acces (întotdeauna întrebați “de ce este nevoie de acest acces?”) prin implementarea unor metode de mascare (un simplu număr de identificare poate înlocui numele și prenumele angajatului) sau cel mai indicat, metode avansate de anonimizare.

Suntem conștienți că, nu numai din motive legislative, accesul la date personale nu poate fi eliminat total. Companiile trebuie să implementeze procese pentru protejarea acestor date de accesul neautorizat și folosirea în alte scopuri decât cel intenționat. De asemenea, operatorii sunt primar responsabili pentru obținerea acordului subiecților de date pentru colectarea, procesarea si stocarea datelor în condițiile reale în care se realizează aceste activități (de exemplu stocarea datelor se face în cloud, pe un server din Oceanul Atlantic).

Controlorii de asemenea trebuie să se asigure că toți procesatorii și sub-procesatorii (furnizorii procesatorilor, până la ultimul nivel) au procese implementate pentru respectarea obligațiilor impuse de GDPR acestora, așa numitele măsuri tehnice și organizaționale. Este dreptul controlorilor de a audita metodele de implementare ale măsurilor tehnice și organizaționale ale procesatorilor, fie prin departamentul propriu de audit, fie prin auditori externi. Aici intervin din nou costuri, care de acum vor trebui prevăzute în bugetele anuale ale companiilor.

Procesatorii au de asemenea acest drept de audit fata de furnizorii lor și mai mult decât atât, cerințele controlorilor vor trebui implementate până la ultimul nivel de subcontractare, dacă nu sunt asigurate de către primul procesator (de exemplu, semnarea de acorduri de confidențialitate).

Procesatorul trebuie să decidă dacă își va exercita dreptul de audit prin efectuarea lui doar la primul nivel de subcontractare și va accepta din partea acestui nivel o declarație de conformitate, sau va efectua auditul până la ultimul nivel de subcontractare.

În încheiere, un ultim sfat pentru a asigura protejarea companiilor dumneavoastră: nu este de ajuns să faceți un addendum la contractele existente care doar să facă referire la GDPR. Este indicat sa aveți cât mai detaliat descrise categoriile de date la care aveți/dați acces, subiecții de date ale căror date le controlați/procesați, tipurile de activități efectuate cu aceste date și măsurile tehnice și organizatorice care trebuie implementate.

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. A 8-a, București, martie 2018, pag. 64-65. 

Avem ISO 27001: ce ne mai trebuie pentru alinierea GDPR?

 

GDPR încurajează utilizarea unor sisteme de certificare pentru a demonstra că organizația gestionează în mod activ securitatea datelor în conformitate cu cele mai bune practici internaționale. Cei care cunosc standardul 27001 pentru securitatea informațiilor spun că acesta se ”potrivește mănușă” cerințelor de bază pentru asigurarea securității datelor personale și prelucrării acestora. Unii chiar afirmă că foarte puține dintre controalele prevăzute de ISO 27001 nu își regăsesc echivalentul în cele 99 de articole din GDPR. Cu toate acestea, acest standard nu apare nici măcar o dată menționat în textul GDPR publicat în aprilie 2016, iar cunoscătorii afirmă că implementarea lui nu este suficientă pentru alinierea la GDPR. Haideți să vedem cum ne ajută ISO 27001 și mai ales ce ar mai avea de făcut pentru GDPR organizațiile care au implementat deja acest standard.

În GDPR se fac numeroase referințe la importanța sistemelor de certificare pentru atingerea mai rapidă a conformității.  În articolul 42, se încurajează ”instituirea de mecanisme de certificare în domeniul protecţiei datelor, precum şi de sigilii şi mărci în acest domeniu, care să permită demonstrarea faptului că operaţiunile de prelucrare efectuate de operatori şi de persoanele împuternicite de operatori respectă prezentul regulament.”

Ce este ISO 27001?

ISO 27001 este standardul internațional de bune practici pentru securitatea informațiilor și cuprinde cele trei aspecte esențiale ale unui regim comprehensiv de securitate a informațiilor: oameni, procese și tehnologie. Prin această abordare tridimensională la punerea în aplicare a măsurilor de protecție a informațiilor, compania se poate apăra nu numai de riscurile bazate pe tehnologie, ci și de alte amenințări mai frecvente, cum ar fi personalul prost informat sau procedurile ineficiente.

Versiunea care a stat la originea actualului standard se numea BS 7799 și a fost publicată în 1995 de Departamentul Comerțului și Industriei (DTI) al Regatului Unit. De atunci, a suferit mai multe iterații până să devină un recunoscut standard industrial. Versiunea actuală a fost creată de către Organizația Internațională pentru Standardizare (ISO) împreună cu Comisia Electrotehnică Internațională (IEC) în 2013. În esență, este o specificație pentru un Sistem de Management al Securității Informațiilor (Information Security Management System – ISMS), pentru a ajuta organizațiile de orice dimensiune, tip sau natura afacerii pentru a gestiona persoane, procese și tehnologie.

Ce au în comun ISO 27001 și GDPR?

Paralela dintre GDPR și ISO 27001 este evidentă atunci când vine vorba de securitatea datelor personale identificabile. Atât pentru respectarea GDPR, cât și pentru ISO 27001 organizațiile sunt obligate să pună în aplicare măsuri de securitate adecvate pentru a asigura confidențialitatea, disponibilitatea și integritatea.

GDPR prevede în mod clar la articolul 32 că “operatorul și procesatorul trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului. ISO 27001 oferă mijloacele necesare pentru a asigura această protecție. Există multe puncte în care standardul ISO 27001 poate ajuta companiile să realizeze respectarea acestei reglementări. Iată câteva dintre cele mai relevante.

ISO 27001 este un cadru pentru protecția informațiilor. Potrivit GDPR, datele personale sunt informații critice pe care toate organizațiile trebuie să le protejeze. Desigur, există cerințe GDPR care nu sunt acoperite în mod direct de ISO 27001, dar dacă implementarea standardului ISO 27001 identifică datele personale ca fiind un element de securitate a informațiilor, majoritatea cerințelor GDPR vor fi acoperite.

Formarea unui sistem de management al securității informațiilor (Information Security Management System – ISMS) permite organizațiilor care procesează date cu caracter personal să demonstreze că riscurile pentru datele cu caracter personal sunt revizuite în mod continuu, actualizate și îmbunătățite. Un ISMS stabilit este cadrul perfect pentru gestionarea riscurilor pentru toate activele, inclusiv pentru datele personale și pot oferi asigurări din care reiese că organizația abordează respectarea conformității ISO 27001 și GDPR în mod serios. În unele cazuri, controalele pot fi mapate cu precizie la articolele GDPR, ambele surse partajând un conținut asemănător. În alte cazuri, controalele pot bătători calea, iar conformitatea GDPR poate fi atinsă cu ceva muncă și eforturi suplimentare. Chiar și în cazul în care textul GDPR deviază de la controalele ISO, obiectivele principale nu diferă radical.

Pseudonimizarea și criptarea – Criptarea datelor este recomandată de ISO 27001 ca fiind una dintre măsurile care pot și ar trebui luate pentru a reduce riscurile identificate. ISO 27001 conturează 114 controale care pot fi utilizate pentru a reduce riscurile de securitate a informațiilor. Deoarece controalele efectuate de o organizație se bazează pe rezultatele unei evaluări a riscurilor conforme ISO 27001, organizația va putea să identifice care active sunt expuse riscului și care necesită criptare pentru a le proteja în mod adecvat.

Evaluarea riscurilor – ISO 27001 mandatează organizațiile să realizeze o evaluare aprofundată a riscurilor prin identificarea amenințărilor și a vulnerabilităților care pot afecta activitățile de informare ale unei organizații și să ia măsuri pentru a asigura confidențialitatea, disponibilitatea și integritatea acestor date. GDPR cere în mod special o evaluare a riscurilor pentru a se asigura că o organizație a identificat riscuri care pot afecta datele cu caracter personal. În conformitate cu controlul A.8.2.1 (Clasificarea informațiilor): “Informațiile trebuie clasificate în funcție de cerințele legale, valoare, critică și sensibilitate față de dezvăluirea sau modificarea neautorizată.”

Măsuri adecvate pentru risc – Spre deosebire de legislația actuală privind protecția datelor, GDPR oferă sugestii specifice pentru ce tipuri de acțiuni de securitate ar putea fi considerate “adecvate pentru risc “, inclusiv:

  • Pseudonimizarea și criptarea datelor cu caracter personal;
  • Abilitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor de prelucrare și Servicii;
  • Abilitatea de a restabili disponibilitatea și accesul la datele personale în timp util, în cazul unei situații fizice sau incident tehnic;
  • Un proces de testare, evaluare periodică pentru eficacitatea măsurilor tehnice și organizatorice de asigurare a securității procesării.

ISO 27001 cere organizațiilor să implementeze măsuri adecvate prin controalele organizaționale și tehnice pentru a sprijini respectarea acestor cerințe. Controlul A.10.1 specifică cerințele de criptare pentru organizare. Utilizarea criptării și / sau pseudonimizarea pot asigura confidențialitatea informațiilor personale, indiferent dacă acestea sunt folosite în rețea, în tranzit sau pe dispozitive mobile.

A.9 acoperă subiectul controlului accesului, care, dacă este implementat în mod corespunzător, ne va asigura că numai persoanele cu un drept legitim pot accesa informațiile în funcție de nivelul lor de privilegii. În plus, sistemele IT trebuie să fie suficient de rezistente la atacuri externe. Cadrul de control ISO 18.2.3 recomandă companiilor să efectueze teste de vulnerabilitate și teste de penetrare cu grijă, astfel încât sistemele testate să nu fie compromise.

Sursa: Pinterest

Clasificarea informațiilor – Datele sunt în centrul fiecărei afaceri și de aceea clasificarea este atât de importantă. Clasificarea informațiilor asigură manipularea corectă și monitorizarea informațiilor sensibile în interiorul și în afara unei afaceri, aspect critic atunci când este vorba de protejarea celor mai valoroase date.

ISO 27001 nu descrie nivelurile de clasificare – ceea ce ne oferă libertatea de a ne stabili propriile reguli – în funcție de complexitatea fluxurilor de date din organizație. Un număr mare de scurgeri de date sunt accidentale și pot fi evitate printr-o politică de clasificare a datelor prin sensibilizarea utilizatorilor și prevenirea transferului neautorizat al conținutului cu caracter delicat.

Conformitatea – Prin implementarea standardului ISO 27001, datorită controlului A.18.1.1 (Identificarea legislației aplicabile și a cerințelor contractuale) este obligatorie existența unei liste a cerințelor legislative, statutare, de reglementare și contractuale relevante. Cum aproape orice organizație trebuie să fie conformă cu GDPR, Regulamentul va trebui să facă parte din această listă. Controlul A.18.1.4 (Confidențialitatea și protecția informațiilor de identificare personală) reprezintă chiar o substituție a GDPR pentru regiunile unde acesta nu este disponibil.

Notificare privind încălcarea – Companiile vor trebui să notifice autoritățile de date în termen de 72 de ore de la descoperirea unei încălcări a datelor cu caracter personal. Implementarea controlului ISO 27001 A.16.1 (Managementul incidentelor și îmbunătățirilor în materie de securitate a informațiilor) va asigura “o abordare consecventă și eficientă a gestionării incidentelor de securitate a informațiilor, inclusiv a comunicării privind evenimentele de securitate”. Potrivit GDPR, persoanele vizate trebuie să fie notificate numai dacă pierderea de date prezintă un” risc ridicat pentru drepturile și libertatea subiectului. Implementarea gestionării incidentelor, care are drept rezultat detectarea și raportarea incidentelor de date cu caracter personal, va aduce o îmbunătățire organizației care dorește să se conformeze GDPR.

Gestionarea incidentelor este unul dintre procesele cheie  pentru a asigura eficiența oricărei operațiuni de afaceri, iar ISO 27001 prin clauza A.13 vine cu un nivel egal, dacă nu superior, de importanță față de alte standarde și norme. Managementul incidentelor trebuie să facă parte din politicile de securitate ale oricărei organizații, alături de procedurile de backup, continuitate în business, recuperarea în caz de dezastru, gestionarea riscurilor și gestionarea configurației.

Gestionarea activelor – Controlul ISO A2.8 (Asset Management) conduce la includerea datelor cu caracter personal ca active de securitate a informațiilor și permite organizațiilor să înțeleagă ce date personale sunt implicate și unde să le stocheze, cât timp, care este originea și cine are acces, care sunt toate cerințe ale GDPR.

Confidențialitatea prin design – Adoptarea conceptului de confidențialitate prin design, o altă cerință EU GDPR, devine obligatorie în dezvoltarea de produse și sisteme. Controlul ISO 27001 A.14 (Achiziționarea, dezvoltarea și întreținerea sistemelor) asigură faptul că “securitatea informațiilor este o parte integrantă a sistemelor informatice pe parcursul întregului ciclu de viață”.

Relațiile cu furnizorii – Controlul A.15.1 (Securitatea informațiilor în relațiile cu furnizorii) necesită “protecția activelor organizației accesibile de către furnizori”. Potrivit GDPR, organizația deleagă procesarea și stocarea de către furnizori a datelor cu caracter personal; ea trebuie să respecte cerințele regulamentului prin clauzele speciale din contactele de business.

Oameni, procese, tehnologie

Securitatea informațiilor nu se referă numai la tehnologie; este vorba de oameni și procese. Pe lângă controalele tehnice adoptate, documentația structurată, monitorizarea și îmbunătățirea continuă, implementarea standardului ISO 27001 promovează o cultură de conștientizare a incidentelor de securitate în cadrul organizațiilor. Angajații acestor organizații sunt mai conștienți și au mai multe cunoștințe pentru a putea detecta și raporta incidentele de securitate.

Cerințele pentru îndeplinirea standardului ISO 27001 nu se opresc aici. Fiind un standard larg, acesta acoperă multe alte elemente, inclusiv importanța formării profesionale a personalului și sprijinul din partea conducerii. ISO 27001 a fost deja adoptată de mii de organizații la nivel global, fiind unul dintre cele mai populare standarde ale sistemului de management de astăzi.

Este suficient ISO 27001?

Există câteva cerințe cheie GDPR care nu sunt direct acoperite în ISO 27001, cum ar fi conceptele-cheie de: consimțământ, prelucrare echitabilă, minimizarea datelor, limitarea stocării, cerința de a desemna un responsabil cu protecția datelor și susținerea drepturilor indivizilor privind accesul, rectificarea, ștergerea și transferul de date.

Cu toate acestea, este clar că ISO 27001 oferă un cadru care oferă o bază solidă pentru respectarea standardelor GDPR. Dacă organizația a implementat deja standardul, aceasta este cel puțin la jumătatea drumului spre asigurarea protecției datelor personale și minimizarea riscului de scurgere, din care impactul financiar și vizibilitatea pot fi catastrofale pentru organizație.

Primul lucru pe care o organizație ar trebui să-l facă este să efectueze o analiză GAP pentru a vedea ce mai are de făcut pentru a îndeplini cerințele GDPR și apoi aceste cerințe pot fi ușor adăugate prin sistemul de management al securității informațiilor care este deja stabilit de ISO 27001.

 

Provocările securității cibernetice într-o lume interconectată


 

 

22 martie, DB Connect, Bd. Dimitrie Pompeiu 6A, București

Vă invităm la prima mare conferință de Securitate cibernetică din 2018. Nu întâmplător, anul în care va intra în vigoare noul Regulament European pentru protecția datelor personale (GDPR). Această conferință este organizată de iBusiness România împreună cu Agora Group, cu sprijinul Centrului de Studii pentru Securitate, Managementul Crizelor și Prevenirea Conflictelor, Asociației Naționale pentru Securitatea Sistemelor Informatice (ANSSI) și DB Connect.

Cea de-a 4-a ediție a conferinței ”Provocările securității cibernetice într-o lume interconectată: politici, business-uri, strategii” se desfășoară Joi 22 Martie la sediul DB Connect din bd. Dimitrie Pompeiu 6A, din București.

Ediția din acest an a Forumului economic mondial de la Davos a acordat o atenție specială tehnologiilor emergente și pe impactul pe care acestea îl au asupra societăților, modelelor economice și sociale și în cele din urmă asupra “viitorului comun” într-o piață globală. Pe măsură ce tehnologiile evoluează, problemele de securitate cibernetică sunt deja parte din fiecare segment al vieților noastre, al activității noastre, a ambientului nostru social.

Atunci când vorbim despre tehnologiile emergente, luăm în considerare unele dintre cele mai populare și răspândite trenduri: IoT, sistemele autonome, industria digitală, Realitatea Virtuală & Augmentată, AI & Robotică, generația viitoare de infrastructuri virtualizate (inclusiv SDN și 5G), tehnologii Cloud și Blockchain, Machine Learning. Un alt factor disruptiv, în tot acest context, îl reprezintă iminenta adopție a Regulamentului General pentru Protecția Datelor (GDPR), care vine cu o serie de provocări majore pentru organizațiile care operează date cu caracter personal.

La conferință vor participa importanți factori de decizie și pe reprezentanții instituțiilor și agențiilor guvernamentale, care vor comenta împreună cu noi provocările, pașii de urmat și soluțiile pentru o lume mai sigură. Evenimentul este dedicat importanței deosebite pe care securitatea cibernetică o joacă în plan politic, economic și social, de la sectorul public (administrații centrale și locale), la organismele guvernamentale, Parlament, organizații de apărare și de informații (ministere, universități etc.), diverse verticale economice (utilități, manufacturare, telco, transport și logistică, energie, sănătate etc.) și până la sectorul privat. Toate aceste entități funcționează pe infrastructuri IT&C ce folosesc aplicații și tehnologii de protecție, politici de Securitate a datelor și de recuperare în caz de dezastru.

Evenimentul este structurat în două sesiuni care vor aborda:

Politicile de securitate cibernetică în contextul alianțelor internaționale din care România face parte – un panel de discuții cu cei mai importanți reprezentanți ai sectorului public, apărare, SRI, entități guvernamentale răspunzătoare cu politicile de securitate cibernetică, precum și reprezentanți ai sectorului privat.

Securitate cibernetică, cele mai bune practici și soluții în contextul mai amplu al adoptării GDPR și al implementării tehnologiilor emergente – secțiune unde vom discuta nu numai despre valențele de Securitate a datelor din GDPR dar și despre importanța factorului uman și a existenței unui cadru leal care să ne ajute să asimilăm protecția datelor personale ca pe orice normă de muncă, spre binele organizației.

Nu uitați să vă înregistrați pe pagina Web a conferinței: https://ibusinessevents.ro/provocarile-securitatii-cibernetice-intr-o-lume-interconectata-politici-business-uri-strategii/

Veniți la Conferință și vom putea discuta despre GDPR și impactul noilor reglementări la nivelul fiecărei organizații!

ÎNREGISTRAȚI-VĂ AICI!

 

Dimensiunea umană a GDPR-ului

Tudor Galoș

Tudor Galoș

Tudor Galoș a fost director de marketing pe consumer la Microsoft România vreme de șase ani și înainte de asta s-a ocupat de business-ul de Windows și Office pe România, Bulgaria și Europa de Sud-Est, fiind responsabil de lansări precum Windows Vista, Windows 7, Windows 10, Office 2003, Office 2007, Office 365 și multe alte produse și servicii. A lucrat cu firme mici, medii și mari din întreaga Europă. Din Septembrie 2017 coordonează propriul său business, Tudor Galos Consulting cu focus pe consultanța de business și management în zona start-up-urilor, a spin-off-urilor și a transformării digitale. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii – modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.

 

GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate.

Observ în ultimele luni o efervescență a subiectului GDPR în presă, în conferințe, în prezentări, pe net, peste tot. Oriunde întorci capul, GDPR. Amenzi uriașe, apocalipsa datelor personale, nu mai poți face nimic, pe toate le-am auzit. Este bântuit spațiul public de mituri, de anti-mituri ce invalidează aceste mituri și care creează alte mituri, de foarte, foarte multă speculă – atât în presupuneri cât și în bani (a explodat piața de consultanți, ce mai). Nu m-aș mira ca dacă deschizi o cutie de acatiste la biserică să găsești acolo câteva pomelnici de ferire de audit GDPR sau să vezi la vrăjitoare în lista de „competențe” pe lângă descântec și scos de argint viu și un „vrajă să te scape de GDPR”.

Toată această efervescență este în jurul amenzilor și a măsurilor organizatorice și de securitate ce trebuie luate. Aproape toți vendorii de tehnologie s-au îmbulzit să creeze metodologii, produse, abordări, recomandări, documente și recomandări – multe utile, multe inutile, multe complet și total greșite (paradoxul face ca mulți din acești vendor să nu implementeze mai nimic legat de GDPR în organizație). Însă foarte puțină lume vorbește de ce este cel mai important într-un proces de conformitate cu niște regulamente: de dimensiunea umană.

Au americanii o expresie: “guns don’t kill people; people do”. Cam așa și aici – poți avea cele mai bune proceduri interne, de securitate, cele mai bune procese, produse, tehnologii implementate, cele mai frumoase documente interne, portaluri, etc că dacă nea Nelu de la operațiuni vrea să scoată niște date personale își va scoate telefonul și își va poza ecranul monitorului trecând peste absolut toate procedurile atent dezvoltate de organizație. De aceea, aici trebuie lucrat cel mai mult. Și paradoxal, aici se lucrează cel mai puțin…

Ca să îți faci angajații și partenerii să accepte conformitatea la GDPR trebuie să îi faci să creadă în GDPR. GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate. Aș face o paralelă aici cu o bancă ce are casete valorice. Clienții vin și își depozitează bunuri în acele casete valorice, iar banca nu poate să facă cu acele casete valorice ce vrea, poate să facă doar ce este lăsată de către clienți. Nu poate cotrobăi prin ele, nu poate scoate, nu le poate strica. Similar și aici, organizația nu „are” date personale, ci este un custode al unor bunuri ale unor oameni. Bunuri pe care le poate procesa în limitele admise de către persoane, fie prin interes legitim, fie prin interes vital, fie prin consimțământ etc. Oamenii își pot retrage oricând aceste bunuri și le pot da altcuiva. Este dreptul lor!

Practic angajații trebuie educați și ei să își exercite drepturile în raport cu alți procesatori – nimănui nu îi place să fie bombardat de spam, nimănui nu îi place să fie sunat la telefon la ore aiurea de ceva call-center fără să existe o justificare obiectivă etc. Fiecare are dreptul să afle ce date ține un operator despre el, inclusiv dacă l-a inclus în categorii jignitoare gen „sărac”, „prost”, „fraier” etc – și da, sunt companii ce de amuzament au inclus aceste categorii prin diverse Excel-uri uitate pe diverse servere. Odată aceste drepturi înțelese oamenii au șansa ca cerând respect, să ofere respect. Să își dea seama chiar ei cât de importante sunt aceste date personale și să înțeleagă vechiul proverb – „ce ție nu-ți place altuia nu-i face”.

Închei spunând că alinierea la GDPR nu este un „one-time project” – oamenii vin și pleacă, vor intra noi angajați, noi parteneri, vor apărea noi oportunități de business – și toate trebuie abordate având respectul pentru datele personale în prim plan. Succes la implementare!

 Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. a 8-a, București, martie 2018, pag. 66-67. 

Portarea datelor în GDPR. Șah mat sau avantaj concurențial?

Andreea LISIEVICI

Andreea LISIEVICI

Andreea este partener la Privacy One, cabinetul specializat în asistenţă juridică în domeniul protecţiei datelor personale şi drept IT. Ea are peste 10 ani de experiență ca avocat în proiecte comerciale, de protecția datelor și de conformitate. A terminat un liceu de informatică și este la curent cu noile tehnologii, ceea ce îi conferă un avantaj deosebit în a înțelege chestiunile tehnice din domeniul protecției datelor. A acordat de-a lungul anilor consultanță unei game largi de clienți în domeniul IT și privacy, cum ar fi cloud computing, securitate cibernetică, publicitate comportamentală, reținerea datelor sau monitorizarea angajaților, și a fost implicată în arbitraje în domeniul IT. Scrie frecvent articole de specialitate și este un trainer și lector experimentat.

Ne-am obișnuit deja să ne portăm numerele de telefon, ne putem porta conturile bancare, iar din mai 2018 vom mai putea porta încă ceva: datele personale prelucrate de operatori.

Regulamentul general privind protecția datelor (Regulamentul 2016/679/UE, pe scurt GDPR) aduce o paletă largă de modificări în ce privește regimul prelucrării datelor personale ale persoanelor din Uniunea Europeană. Între acestea se numără introducerea dreptului la portabilitatea datelor, care, potrivit art. 20 GDPR, are următorul conținut:

(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

        (a) prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera (a) sau al   

         articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1) litera (b);

        (b) prelucrarea este efectuată prin mijloace automate.

(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

(3) Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul.

(4) Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților altora.

Portabilitatea datelor a generat o preocupare ridicată în rândul companiilor a căror activitate este dependentă de gestiunea bazelor de date. Un raport din 2017 arată că portabilitatea datelor apare ca fiind cea mai dificilă obligație de conformitate din cadrul GDPR1. Același raport arată, de asemenea, că respectarea GDPR va fi luată în considerare atunci când o companie selectează un furnizor de servicii cloud, ceea ce înseamnă că această conformitate, și implicit susținerea portabilității datelor, pot deveni un avantaj competitiv.

Portabilitatea vs. dreptul de acces

Dreptul la portabilitatea datelor are ca scop prevenirea blocării persoanelor vizate la un anumit serviciu („lock-in”), și facilitarea mutării datelor de la un furnizor la altul fără restricții în funcție de formatul ales de furnizor. Portabilitatea datelor se aseamănă cu dreptul de acces, care era reglementat și anterior, în sensul că și în temeiul dreptului de acces persoana poate obține o copie a datelor prelucrate. Însă, în vreme ce dreptul de acces privește datele prelucrate indiferent de suport și indiferent de temei, portabilitatea privește numai datele prelucrate în temeiul consimțământului sau executării unui contract, și numai prin mijloace automate. În plus, daca în răspunsul la dreptul de acces operatorii pot da datele în orice format (de exemplu, fișiere .pdf pentru emailuri sau mesaje), portabilitatea este menită să asigure continuitatea serviciului, astfel că datele trebuie portate în formatul lor nativ, care să asigure posibilitatea continuării prelucrării de către operatorul destinatar sau persoana vizată în același mod precum cel anterior portării. În plus, operatorul expeditor trebuie să porteze cât mai multe metadate posibil, pentru a păstra sensul exact al informațiilor schimbate.

Mai merita precizat faptul că portarea datelor este o măsură unică, ea nefiind destinată să asigure interconectarea unor servicii sau fluxul continuu de date – de exemplu, portarea nu este soluția potrivită în cazul in care un utilizator dorește să își primească emailurile dintr-un cont prin intermediul altui cont de la alt furnizor sau daca vrea ca documentele salvate pe o platforma cloud sa fie automat salvate și într-o alta. Mai mult, portarea datelor nu duce in mod automat la încetarea serviciului din care se efectuează portarea. Portarea în GDPR nu este văzută similar cu portarea numerelor de telefon, adică o schimbare totală a furnizorului, ci pur și simplu ca o modalitatea de transfer de date, inclusiv între servicii neechivalente (de exemplu, de la un furnizor de cloud la o soluție de analiză a informaţiilor).

Alocarea rolurilor pentru portarea în cazul serviciilor cloud computing

GDPR lucrează cu câteva concepte principale, între care dualitatea operator-împuternicit. Mai exact, „operatorul” („controller” în engleză) este entitatea care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, în vreme ce „împuternicitul” („processor” în engleză) înseamnă entitatea care prelucrează datele cu caracter personal pentru operator. În cazul particular al serviciilor cloud, pentru alocarea acestor roluri trebuie distins între serviciile cloud B2B și serviciile cloud B2C.

În scenariul B2B, unde clientul serviciului cloud este o companie, datele pe care aceasta le stochează în cloud nu sunt datele personale ale acesteia, ci ale utilizatorii finali ai companiei (fie că sunt angajaţi, clienţi, etc). Clientul va lua decizii privind modul de stocare și prelucrare a datelor, iar furnizorul de servicii cloud va urma doar instrucțiunile. Acest lucru face ca operatorul de date să fie clientul, iar furnizorul de servicii cloud să fie împuternicit.

Nu aceeași este situaţia în scenariul B2C. În cazul în care clientul unui serviciu cloud este o persoană fizică, datele personale ale acesteia sunt prelucrate direct de furnizorul de servicii cloud, care devine operator de date. Distincţia este una importantă, pentru că dreptul la portabilitatea datelor trebuie pus în aplicare numai de către operator. Cu alte cuvinte, acolo unde furnizorul de cloud este împuternicit, el trebuie să evite să intervină în vreun mod în catalogarea datelor, selecţia datelor supuse portării, a modalităţii de portare (dacă există alternative), a timpului, a destinatarului, etc, altfel riscând să fie calificat operator asociat.

În timp ce articolul 20 GDPR nu menționează în mod explicit nicio responsabilitate pentru împuterniciţi, articolul 28 GDPR prevede faptul că operatorii pot contracta numai împuterniciţi „care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în GDPR”. Astfel, furnizorii de cloud pentru firmele care prelucrează în mod direct datele cu caracter personal, vor trebui în mod similar să demonstreze conformarea la GDPR pentru a rămâne competitivi.

Datele care intră în obiectul portării

Art. 20 GDPR precizează faptul că portabilitatea se referă la „datele cu caracter personal care privesc” persoana vizată. Acest lucru a fost interpretat de Grupul de Lucru Art. 29 ca reunind atât datele furnizate cu bună știință și în mod activ de persoana vizată, cât și cele rezultate din observarea activității sale. Cu alte cuvinte, ceea ce nu intră în obiectul dreptului la portarea datelor sunt datele derivate de operator pe baza primelor două, deși și acestea pot fi obţinute de persoana vizată în temeiul dreptului de acces (dar nu pot fi transmise în mod direct altui operator).

În tot cazul, distincţia între aceste trei categorii de date (date furnizate explicit, date observate și date derivate) devina una importantă. Ea poate fi implementată atât prin etichete (tag-uri) care să susţină un proces automatizat de selecţie, dar poate fi inclusă și în registrul operaţiunilor de date întocmit de operator potrivit art. 30. Furnizorul de cloud trebuie însă să fie atent ca, în situaţia în care este împuternicit, să nu decidă el această etichetare, ci doar să pună la dispoziţia clientului său posibilitatea efectuării ei. Furnizorul de cloud împuternicit trebuie să păstreze o abordare neutră, în care el să cunoască cât mai puțin (spre deloc) din datele clienţilor. De altfel, acesta e motivul pentru care registrul operațiunilor ținut de împuterniciți nu trebuie sa includă categoriile de date, ci doar o descriere generala a acestora (art. 30.2.b GDPR).

Metode de a efectua portarea datelor în cazul serviciilor cloud

Articolul 20 GDPR nu impune o formă sau o metodă pentru portarea datelor, singurele cerinţe fiind ca transferul să se facă într-o formă „structurată, utilizată în mod curent și care poate fi citită automat”. Preambulul 68 dezvoltă și prevede că „operatorii de date ar trebui să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor”. Cu alte cuvinte, operatorii nu sunt obligați să asigure compatibilitatea sistemelor lor, ci doar interoperabilitatea. În acest context, pot fi identificate trei metode de portare a datelor:

Interfețele de programare a aplicațiilor (API-uri) sunt de obicei dezvoltate de furnizorul de servicii cloud, ceea ce înseamnă că ele diferă de API-urile altor furnizori. Astfel, clienții care doresc să utilizeze API-uri pentru a extrage date personale din serviciile cloud trebuie să se adapteze API-ului pus la dispoziţie. API-urile sunt avantajoase, deoarece clienții pot extrage date direct de la furnizorii de cloud și nu au nevoie să stocheze temporar datele pe infrastructura proprie. Totuși, API-urile ar putea să nu fie cea mai bună soluţie atunci când portarea se face în mod direct către un furnizor de alt fel de serviciu.

Protocoalele sunt de obicei concepute de o organizație de standardizare în industrie și, prin urmare, sunt acceptate pe scară largă de multe platforme, de cloud și nu numai (de exemplu SMTP, SFTP, IMAP, etc). În acest caz dispare nevoia de adaptare la platforme specifice, ceea ce ar sprijini interoperabilitatea. În mod similar API-urilor, clienții nu au nevoie să stocheze temporar datele pe infrastructura proprie.

O a treia metodă este descărcarea datelor ca un fișier de format utilizat în mod curent (de exemplu .csv, .xml). Această metodă facilitează importarea datelor în alte platforme, însă numai ca acţiune directă a utilizatorului, fără să fie o modalitate de portare direct operator-operator. Ea necesită deci stocarea datelor temporar pe infrastructura proprie a utilizatorului, și în plus se poate dovedi nepractică acolo unde volumul datelor este mare.

Toate cele trei metode sunt deja utilizate pe scară largă pe piață astăzi, fără însă ca acest lucru să însemne că nu pot apărea metode noi. Cert este că portabilitatea datelor necesită un proces automatizat sau semi-automatizat pus la dispoziţie de operator (sau de împuternicit pe seama operatorului), întrucât o operare manuală ar risca să blocheze activitatea operatorului.

Mai merită menţionat că în decembrie 2017 a fost publicat un standard ISO pentru interoperabilitate și portare în serviciile cloud: ISO/IEC 19941:20172, care deși nu este destinat să răspundă cerinţelor GDPR (fiind un standard global), poate fi adaptat pentru a acoperi cerinţele art. 20 GDPR.

Concluzii

Pentru a putea răspunde solicitărilor de portare, furnizorii de cloud trebuie să ia o serie de măsuri importante și posibil costisitoare. Între acestea se numără:

  • să pună la punct mecanisme de selecţie a datelor care intră în domeniul portabilității;
  • să decidă cine și cum face trierea datelor portate pentru a elimina tot ce este excesiv, precum și să decidă cum implică sau anunță persoana vizată referitor la datele excluse;
  • să adopte proceduri prin care să standardizeze procesul de răspuns la cererile de portare;
  • să implementeze mecanisme cât mai automate de efectuare a portării (API, protocol, download direct), preferabil care dau persoanei vizate posibilitatea selectării datelor portate;
  • să implementeze proceduri de identificare corespunzătoare a persoanei vizate și a operatorului destinatar;
  • să implementeze măsuri de securitate a datelor portate, inclusiv izolarea acestora de alte date prelucrate și asigurarea unui canal sigur de transfer;
  • nu în ultimul rând, să poată face distincţia între serviciile puse la dispoziţie clienţilor corporate (aceștia fiind operatori) și cele puse la dispoziţia clienţilor persoane fizice (caz în care furnizorul de cloud este operator).

Trebuie menționat că încălcarea dreptului la portabilitatea datelor se încadrează în palierul cel mai sever de sancțiuni, astfel că potrivit articolului 83 alineatul 5(b) GDPR operatorilor le pot fi impuse amenzi administrative de până la 20.000.000 EUR sau până la 4 % din cifra de afaceri globală în exercițiul financiar anterior, oricare este mai mare. Concomitent, persoana fizică vătămată prin neefectuarea portării poate angaja răspunderea solidară a operatorului şi împuternicitului (furnizorul de cloud), solicitând acoperirea prejudiciului dovedit. Aceste riscuri, precum şi prejudiciul reputaţional aferent, ar trebui să fie motive clare pentru a implementa măsuri tehnice de efectuare a portării, chiar dacă sunt costisitoare.

Referințe:

1 –  IAPP-EY AnnualPrivacyGovernance Report 2017, pag. 19, disponibil la https://iapp.org/media/pdf/resource_center/IAPP-EY-Governance-Report-2017.pdf  

(accesat ianuarie 2018).

2 – Disponibil la https://www.iso.org/standard/66639.htm

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. A 8-a, București, martie 2018, pag. 56-60. 

A APĂRUT CATALOGUL GDPR PRACTIC: PREMIERĂ PENTRU ROMÂNIA

Trustul de presă AGORA Group și platforma de knowledge cloudmania anunță publicarea Catalogului GDPR PRACTIC  – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Practic este al doilea Catalog GDPR după cel apărut în Octombrie 2017 și se înscrie în seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 8-a ediție.  

 

Regulamentul EU 2016 – 679 reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem operatori și procesatori de date și toți ne vom supune acelorași reguli.

Cu șase luni înainte de intrarea în vigoare a GDPR piața românească era destul de conștientă de importanța momentului. Peste 64% dintre operatorii de date nu făcuseră un plan de implementare,  72% nu organizaseră instructaje GDPR interne, iar 89% nu începuseră reevaluarea contractelor cu furnizorii și clienții.

Pornind de la această realitate și văzând succesul cu care a fost primit primul Catalog GDPR Ready în octombrie 2017, am decis să continăm susținerea operatorilor de date din România, făcând ceva mai mult decât o simplă sensibilizare și conștientizare. În acest spirit, a doua ediție a Catalogului GDPR este dedicată proceselor și soluțiilor de protecție a datelor personale, cu focalizare pe aspectele practice ale implementării procesului de conformitate GDPR.

Ca și ediția precedentă, Catalogul GDPR Practic e format din două părți:

  • GHIDUL DE IMPLEMENTARE GDPR – bazat pe o serie de recomandări de abordare practică a unui proiect de implementare GDPR;
  • Un CATALOG DE OFERTE pentru soluții compatibile GDPR, servicii de consultanță, audit și certificare disponibile la ora actuală pe piața din România.

 

Catalogul poate fi citit online la adresa: https://issuu.com/agoramedia/docs/catalog_cloud_2018_ed_8_gdpr

 

”Ghidul de implementare GDPR” conține 50 de întrebări și răspunsuri ce abordează probleme concrete ale unui proiect de implementare GDPR precum și o serie de valoroase recomandări pentru operatorii și procesatorii locali oferite de specialiști GDPR cu o bogată experiență în protecția și confidențialitatea datelor personale. Printre subiectele de larg interes care sunt discutate în acest Ghid amintim:

  • Ce este un proiect GDPR?
  • Care sunt fazele unui proces de implementare?
  • Cum alegem un DPO?
  • Cum facem maparea datelor?
  • Care sunt rolurile operatorilor și procesatorilor?
  • Avem nevoie de o analiza de impact?
  • Cît de importanță este Analiza de risc?
  • Cum gestionăm managementul incidentelor?
  • Cine, când și cui raportează?
  • Cum se face transferul internațional de date?

Ghidul este însoțit de recomandările unor specialiști din diferite domenii, precum servicii juridice – Andreea Lisievici și Dana Cristina Matache, soluții și management IT – Fernanda Velter și Yugo Neumorni sau servicii de consultanță: Tudor Galoș. Desigur că un astfel de ghid nu poate aborda în extenso toate procedurile și nici nu ne propunem să oferim rețete. Ghidul prezintă esența proceselor absolut necesare într-un proiect de implementare, care indiferent de ordinea abordării trebuie făcute. Și trebuie făcute bine. Căci atingerea conformității GDPR nu este un examen pentru a dovedi faptul că suntem în stare să asigurăm protecția datelor personale.  Nu este o barieră de depășit.  Este o țintă către un nivel superior de organizare și funcționare. GDPR este un certificat de încredere pe viață. Pe tot ciclul de viață al unui proces de business.

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ASBIS, Brinel, Deloitte, ESET, Essensys Software, IBM, Ingram Micro, Kingston Technology, Privacy One, Q-EAST Software, Romsym Data, Tryamm, Veritas și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPR din Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Ready pe LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

 

Inițiativa GDPR Ready!  își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Prin GDPR Ready! aveți acces la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

Nevoia cristalizării unei comunități GDPR în România

Pe măsură ce ne apropiem de data de 25 mai, valuri tot mai mari se ridică amenințător pentru cei interesați de obținerea conformității GDPR.  Pe piața românească am remarcat două tendințe majore, fiecare fiind marcată de acțiuni oarecum antagoniste.

Deocamdată le voi trece în revistă, urmând să fac câte o analiză mai de detaliu pentru fiecare.

1.În ciuda interesului scăzut al companiilor, tot mai mulți vor să urmeze un curs de formare DPO

  • Nivelul general de interes din partea companiilor locale este încă foarte scăzut, în ciuda campaniilor de conștientizare derulate pe diferite canale
  • Interesul particular pentru instruirea specifică DPO este în creștere, dovadă fiind numărul simțitor crescător de solicitări pentru recomandări de cursuri
  1. Avem o Comunitate de specialiști în plină formare, dar nivelele de interes sunt bipolare:
  • Există o comunitate eterogenă de specialiști, proveniți din medii multiculturale și multidisciplinare, care este destul de activă în social media și care pare dispusă să partajeze public câte ceva din cunoștințele acumulate
  • Destul de mulți membrii ai acestei comunități par a fi mai mult preocupați de certificările și tarifele practicate de alții, care s-au apucat de treabă așa cum au știut ei.

Dar să le luăm pe rând…

Nivel redus de interes din partea companiilor

La fel ca și alții care au luat contact cu realitatea pieței, constat că în ciuda eforturilor de alfabetizare și a inițiativelor publice derulate în ultima vreme, încă se știe destul de puțin despre GDPR. Suntem asaltați de o avalanșă de evenimente și webinarii, la care participarea este totuși restrânsă, de multe ori limitată și de taxele de participare impuse de organizatori, interesați mai mult de profit, decât de impactul GDPR la mase. Persoanele de decizie din companiile mari si mici știu puțin despre GDPR, directori de resurse umane mai află unii de la alții, iar mulți dintre cei cu funcții IT ignoră toată povestea fiind convinși că GDPR este treaba juridicului, nu a lor. Cum să facem ca să audă tot mai mulți că avem de-a face cu o treabă serioasă? Televiziunile, din câte am văzut, au preluat mici anunțuri la rubricile de știri, dar și acelea trunchiate și asezonate de picanteria amenzilor uriașe. Pe când niște adevărate emisiuni de dezbatere, cu specialiști din toate zonele care interferează cu GDPR?

Interes crescător pentru cursurile de specializare

Numărul celor care mă contactează pentru recomandări legate de disponibilitatea de cursuri de formare DPO este din ce în ce mai mare. La fel ca și numărul celor care îmi citesc articolele publicate în cadrul inițiativei GDPR Ready. Asta e bine. Înseamnă că oamenii chiar sunt interesați să se instruiască. Să facă ceva. Să înceapă odată.

Oferta de cursuri susținute pe plan local s-a diversificat, pe măsura cererii. Nu mai comentez aici nivelul profesional al acestor cursuri, nici lipsa acreditărilor de certificare pentru DPO și furnizorii de instruire. Am tot scris despre asta în ultima vreme. E bine ca toți cei interesați să facă un curs, după timp și buget, și să se apuce de treabă.

Apariția unei comunități eterogene de specialiști

GDPR are un impact uriaș asupra proceselor de business, fiind deja asimilat cu marea transformare, cu pregătirea pentru era digitală. Și asta cam așa e. Cum orice proiect GDPR este un mediu multi-cultural și multi-specializat, este normal ca cei care au ajuns să fie interesați de problemă să provină din cele mai diverse medii: juriști de companie și avocați specializați în protecția datelor, consultanți de business, specialiști IT și experți în protecția și confidențialitatea datelor, oameni de proiecte, șefi de operațiuni sau directori de calitate. Și lista e mult mai lungă.

În această conjunctură heteroclită, se discută cu acuitate problema numirii responsabilului cu protecția datelor personale. Care cea mai apropiată poziție de idealul DPO, ale căror competențe le-am tot discutat. Aici nebulozitatea e destul de mare. Reprezentanți autorității de supraveghere în luărilor lor publice de cuvânt recomandă un jurist cu studii de IT sau un IT-st cu specializare juridică. E destul oare? Reacțiile din social media au fost pe măsură.

Orice om cu experiență de proiect își dă seama că nu e de ajuns. Și aici polemica e destul de mare în diferitele comunități de breaslă, care contestă mare parte din ce zic colegii lor și nici nu iau în seamă mesajele venite din comunități conexe sau tangente, de la oameni care văd lucrurile din alte perspective, cu alte experiențe practice.  Și asta nu e bine, pentru că argumentarea de dragul argumentării și cantonarea în șabloane fără orizonturi nu nasc deschidere, și nici progres. Multe idei mari au venit de la oamenii de pe margine, care au perspectiva spațială.

Nevoia de acțiune duce la conglomerare

În condițiile actuale, ca și în natură, e nevoie de câțiva factori externi care să producă ordine într-un mediu aparent guvernat de haos. Sau neguvernat… Să luăm încă o dată exemplul naturii. Aici  forțele tectonice acționează asupra tuturor rocilor, amestecându-le și conglomerându-le, după care urmează recristalizarea metamorficelor în diferite condiții de temperatură și presiune. Așa și în eforturile noastre de conformitate. GDPR-ul reprezintă forțele telurice ce generează o tectonică accidentată cu deformări la nivelul tuturor compartimentelor de business dintr-o companie. Acesta este efectul disturbator al GDPR. Forța și presiunea geotectonică trebuie să fie în cazul nostru conștientizarea, determinarea și unitatea de acțiune.

Adunați reprezentanți din fiecare departament critic pentru prelucrarea datelor personale, faceți un grup de acțiune care,  singur sau cu asistență externă să facă un plan de conformitate, o analiză a circulației datelor, o prima analiză GAP și mai ales revizuirea tuturor condițiilor legale și contractuale. Orice manager de proiect știe să facă asta. După aceea, cu juristul, omul de HR, omul de operațiuni și IT-stul ținându-se de mână, e timpul să treceți și la finețuri precum analiza de risc, analizele de impact și planurile de anunțare a breșelor.

Au apărut în timp o serie de recomandări pentru strategiile și procedurile de implementare GDPR, emise de diferite organisme de supraveghere din țările cu experiență în protecția datelor sau recomandări ale grupului de lucru Articolul 29. Implementare în 6 pași, în 10 pași sau în 12 pași? Cine ne împiedică să adoptăm strategia care se potrivește cel mai bine nevoilor și resurselor noastre?

În marea majoritate a acestor checklist-uri, numirea unui DPO este unul dintre pașii finali. Adică n-avem nevoie în mod esențial de un DPO ca să începem procesul și să parcurgem primele etape. Adunați o echipă multidisciplinară și conștientă și veți face mult mai bine toate astea decât un DPO care învață din mers. După aceea, daca e cazul, gândiți-vă și la un DPO.

Un alt aspect, foarte rar adus în discuții este faptul că în multe companii mari un DPO are în permanentă în jur o forță de sprijin formată din colegii de la diferite departamente, care la nevoie pot să pria chiar sarcinile de DPO adjunct sau temporar.

Cristalizarea comunității de specialiști

Toți acești oameni care vin fiecare din domeniul lor de expertiză și au propria lor experiență pot contribui la crearea unui cadru emulator pentru organizațiile care au nevoie de sprijin. Dar pentru a fi emulatori, trebuie să fim toți pe aceeași lungime de undă, să cântăm cu toții în același cor, chiar dacă avem voci diferite. Fiecare dintre profesioniștii în legislație, securitatea datelor, procese de business sau consultanță interesați trebuie să se recristalizeze printr-un liant comun într-o adevărată comunitate de specialiști GDPR.

 

Asta va folosi cu adevărat comunității de business aflate în derivă. Asta ne va folosi și nouă, negreșit.   

Articol publicat și în revista IT Trends, Februarie 2018

PARIUL CELOR 100 DE ZILE

Au mai rămas fix 100 de zile până la intrarea în vigoare a noului Regulament european privitor la prelucrarea datelor personale. Să fie 25 Mai 2018 data la care detonează bomba? N-ar trebui să privim așa. Trebuie să ne gândim că este un deadline pentru terminarea și predarea unui proiect. În mod firesc urmează consolidarea și susținerea acestuia.

Mulți apreciază că cele mai mari companii nu au cum să fie gata până atunci. Sunt speculații că ar apărea niște termene de grație. Cât despre companiile mici și mijlocii, proorocii zic că multe or să dispară. Povești. Cu cât o companie este mai mica, și procesele de business sunt mai simple, iar fluxurile de date mai ușor de mapat și implicit datele mai simplu de protejat. Tot ce trebuie să facă un IMM este să cunoască foarte bine prevederile GDPR și să mențină o serie de proceduri obligatorii pentru sănătatea în business. Da, lucrurile nu sunt simple și nu oricine are răbdare să citească cele 99 de articole și 173 de considerații din textul GDPR. Dar pentru asta sunt specialiștii și consultanții. Și mai sunt și diferitele ghiduri elaborate din inițiativele autorităților sau comunității private.

 

Europa are nevoie de firul Ariadnei în labirintul către GDPR

Se cuvine să amintim aici recentul Ghid online  lansat de Comisia Europeană la sfârșitul lunii ianuarie, care conține întrebări și răspunsuri esențiale pentru cetățeni și organizații, în special cele din zona IMM. Important pentru companiile mici și mijlocii din țara noastră este că au la dispoziție și o versiune de conținut a Ghidului în limba română.

Pe această pagină putem găsi un document foarte important pentru analiza procesului de adopție GDPR și în special pentru activitățile care urmează să se desfășoare în sprijinul autorităților locale și al cetățenilor. Este vorba de o ”Comunicare a Comisiei către Parlamentul European și Consiliul Europei” prin care se trec în revistă Orientările Comisiei privind aplicarea directă a Regulamentului general privind protecția datelor de la 25 mai 2018. Documentul recapitulează principalele inovații și oportunități oferite de noua legislație a UE privind protecția datelor, face bilanțul activităților pregătitoare efectuate până în prezent la nivelul UE, evidențiază ceea ce ar trebui să facă în continuare Comisia Europeană, autoritățile naționale pentru protecția datelor și administrațiile naționale pentru finalizarea cu succes a etapei de pregătire, stabilind totodată măsurile pe care Comisia intenționează să le adopte în următoarele luni.

Tot în acest document găsim o evidență a activității Grupului de lucru Articolul 29 – cunoscut sub abrevierea WP29, care reunește toate autoritățile naționale pentru protecția datelor, inclusiv Autoritatea Europeană pentru Protecția Datelor. WP29 joacă un rol esențial în pregătirea punerii în aplicare a regulamentului, prin publicarea de orientări pentru întreprinderi și pentru alte părți interesate. Iată o listă complete a diferitelor ghiduri și recomandări elaborate de Grupul de lucru sau aflate în curs de procesare:

 

Dreptul la portabilitatea datelor Adoptat la 4-5 aprilie 2017
Responsabili cu protecția datelor
Desemnarea autorității de supraveghere principale
Evaluarea impactului asupra protecției datelor Adoptat la 3-4 octombrie 2017
Amenzi administrative Adoptat la 3-4 octombrie 2017
Crearea de profiluri Activitate în curs
Încălcarea securității datelor Activitate în curs
Consimțământul Activitate în curs
Transparența Activitate în curs
Certificarea și acreditarea Activitate în curs
Criterii de referință privind adecvarea Activitate în curs
Reguli corporatiste obligatorii pentru operatori Activitate în curs
Reguli corporatiste obligatorii pentru persoanele împuternicite de către operatori Activitate în curs

Întrucât este esențial ca operatorii să dispună de un set unic și coerent de orientări, ghidurile actuale realizate din inițiative naționale trebuie aduse în conformitate cu cele adoptate de WP29 cu privire la același subiect.

Aceste ghiduri nu sunt bătute în cuie, ci se actualizează prin procese consultative permanente și pe baza celor mai bune practici. Fiecare ghid de recomandări trebuie să fie supus unei consultări publice înainte de a fi finalizat. Responsabilitatea finală pentru aceste orientări revine grupului de lucru instituit prin articolul 29 și viitorului Comitet european pentru protecția datelor. Pentru a crea posibilitatea modificării orientărilor în lumina evoluțiilor și a practicilor, este esențial ca autoritățile pentru protecția datelor să promoveze o cultură a dialogului cu toate părțile interesate, inclusiv cu organizațiile. Este de reținut că în momentul în care apar neclarități referitoare la interpretarea și aplicarea regulamentului, instanțele de la nivel național și de la nivelul UE sunt cele care vor furniza interpretarea definitivă a acestuia. Citiți cu atenție textul Comunicării. Cu siguranță veți mai găsi multe aspect de interes pentru etapele care urmează.

Norme pentru companii și organizații

Ce mai găsim în Ghidul online al Comisiei Europene? În primul rând o serie de întrebări și răspunsuri fundamentale, menite să expliciteze normele aplicabile organizațiilor care procesează date personale. Iată o trecere în revistă a acestora:

Aplicarea regulamentului: ● Cui i se aplică Regulamentul privind protecția datelor? ● Se aplică normele în cazul IMM-urilor? ● Normele de protecție a datelor se aplică datelor referitoare la societăți?

Principiile GDPR: ● Ce date pot fi prelucrate și în ce condiții? ● Scopul prelucrării datelor ●  Cât de multe date se pot colecta? ● Cât timp pot fi păstrate datele și se impune actualizarea lor? ● Ce informații trebuie să le oferim persoanelor ale căror date sunt colectate? ● Privire generală asupra principiilor r

Administrațiile publice și protecția datelor: ● Care sunt principalele aspecte ale Regulamentului general privind protecția datelor (RGPD) pe care ar trebui să le cunoască o administrație publică? ●Cum tratăm solicitările din partea persoanelor fizice? ●Ce se întâmplă dacă o administrație publică nu respectă normele privind protecția datelor?

Temeiul juridic al prelucrării datelor: ●  Motivele prelucrării ●Date sensibile ● Există garanții specifice pentru datele referitoare la copii? ● Pot fi folosite pentru marketing datele primite de un terț?

Obligații: ● Operator/persoana împuternicită de operator ● Sunt identice obligațiile indiferent de volumul de date pe care îl gestionează societatea/organizația mea? ● Ce înseamnă asigurarea protecției datelor „începând cu momentul conceperii” și „în mod implicit”? ● Ce este o încălcare a securității datelor și ce trebuie făcut în cazul unei asemenea încălcări? ● Când este necesară o evaluare a impactului asupra protecției datelor (DPIA)? ● Responsabilii cu protecția datelor ● Ce norme se aplică dacă organizația mea transferă date în afara UE? ● Cum pot demonstra că organizația mea se conformează la GDPR?

Relațiile cu cetățenii: ● Cum trebuie tratate solicitările din partea persoanelor fizice care își exercită drepturile privind protecția datelor? ● Ce date și informații cu caracter personal poate accesa o persoană fizică la cerere? ● Suntem obligați întotdeauna să ștergem datele cu caracter personal dacă o persoană ne cere acest lucru? ● Ce se întâmplă dacă cineva se opune la prelucrarea datelor sale cu caracter personal de către societatea mea? ● Pot persoanele fizice să solicite transferarea datelor lor la o altă organizație? ● Există restricții privind utilizarea proceselor decizionale automate?

Aplicarea legii și sancțiuni: ● Aplicarea legii ● Sancțiuni

Ghilotina amenzilor uriașe

Ce se mai întâmplă în România?  GDPR a ajuns în sfârșit un subiect pe burtierele emisiunilor de știri și un cuvânt cheie în titlurile mari de prin ziare. S-au înmulțit evenimentele de popularizare și conștientizare a noului regulament, ceea ce e bine pentru că GDPR trebuie să ajungă la mase. Personal am mari îndoieli legate de eficiența unora dintre evenimente care își propun să facă awareness, dar percep taxe de participare de peste 100 de euro…

Cu toate astea, mai de frică, mai de spaimă, lucrurile au început să se miște. E bună și spaima, dacă în cele din urmă te convingi că lucrurile sunt serioase și e timpul să faci ceva pentru afacerea ta acum. O bună parte din presiunea care s-a pus pe orice are legătură cu GDPR e legată de ghilotina amenzilor uriașe. Majoritatea covârșitoare a articolelor, prezentărilor și materialelor de popularizare pe care le-am văzut încep cu triada:

  1. Mai ai de trăit până pe 25 mai 2018
  2. Oricând riști o amendă de 20 de milioane de euro
  3. Vin-o la noi și îți arătăm calea…

În acest context, de salutat inițiativa Autorității Naționale de Supraveghere pentru Prelucrarea Datelor cu Caracter Personal (ANSPDCP) de a face puțină lumină în discuțiile legate de amenzile cu care vine GDPR. Într-un Comunicat de presă de la începutul acestei luni Autoritatea explică persoanelor vizate că au posibilitatea de ași exercita drepturile privitoare la protecția datelor personale în mod gratuit, și tot gratuite sunt și plângerile adresate operatorilor sau autorității. Dacă plângerea este admisibilă, aceasta va putea fi urmată de o investigație la operatorul de date reclamat.

Măsurile corective pe care Autoritatea de Supraveghere le va putea dispune în temeiul Noului Regulament General privind Protecția Datelor Personale se referă la: dispunerea unei avertizări în atenția unui operator, acordarea unei mustrări, obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecției datelor, impunerea unei limitări temporare sau definitive, inclusiv o interdicție asupra prelucrării, rectificarea sau ștergerea datelor sau restricționarea prelucrării, etc.” se arată în comunicatul Autorității.

Mai departe se face clarificarea cazurilor în care e nevoie să se aplice sancțiuni cu amendă. Acestea nu vor fi aplicate fără a avea la bază o analiză temeinică, în funcție de circumstanțele fiecărui caz în parte.” Și totuși, ”atunci când se va lua decizia dacă să se impună o amendă administrativă, precum și valoarea acesteia în fiecare caz în parte, se va acorda atenția cuvenită criteriilor prevăzute de Regulamentul General privind Protecția Datelor, astfel încât să se asigure principiul proporționalității,” se specifică în comunicat.

În fine, propunându-și susținerea creșterii nivelului de conștientizare, Autoritatea de Supraveghere se delimitează de opiniile lansate tot mai des în spațiul public, care induc în mod greșit ideea că sancțiunile cu amenzi la nivel maxim sunt singurele măsuri corective la care se poate recurge”. Totodată, Autoritatea se delimitează și respinge publicitatea agresivă a unor terțe părți în încercarea de monetizare a prevederilor Regulamentului General privind Protecția Datelor, prin mediatizarea ”perspectivei de a se aplica amenda maximă de 4% din cifra de afaceri” și acreditarea ideii false că aplicarea amenzii maxime ar fi principalul obiectiv al Regulamentului.

 În toate discuțiile pe care le am cu diferitele organizații și în luările mele publice de cuvânt pledez pentru o atitudine optimist-constructivă în relația cu GDPR, pe care trebuie să îl abordăm cu toată responsabilitatea. Oricine parcurge procedurile și procesele esențiale din proiectul de implementare a conformității GDPR face un mare pas înainte pentru că își pune ordine în toate datele cu care operează, nu numai în datele personale. Odată parcurse niște etape, cele mai multe asimilabile cu un proces de implementare a unui standard de calitate, capeți o încredere mai mare în oportunitățile tale și, ce e cel mai important oferi încredere clienților, partenerilor și angajaților.

Azure Stack for the first time in Romania through BinBox

BinBox is the first provider of Azure Stack hybrid cloud services in Romania. Capitalizing the full potential of the Microsoft Azure Stack hybrid Cloud platform, BinBox’s datacenters are providing improved access and control to their clients. From the government infrastructure to any industries organizations like health, insurance or finance can benefit from the immediate advantages offered by the hybrid cloud platform.

Microsoft Azure Stack is an extension of the Microsoft Azure Cloud platform, which sets the building blocks of a truly consistent Cloud platform. Its consistency eliminates any setbacks generated by the complexity of a hybrid Cloud platform, aiding to maximize the clients’ investments in the Cloud platform and local storage media. At the same time, this consistency contributes to the optimization of the application development process and the increase of developers’ productivity.

Azure Stack facilitates the fast development of Cloud applications, by building components thereof directly in the Azure Marketplace. Consequently, this feature allows clients to invest in people and processes, knowing that they are fully transferable. The ability to run consistent services on a local basis in Azure provides full flexibility in the decision-making process surrounding the location of the applications and processes’ storage. In the same time, the integrated delivery model allows companies to faster delivery of innovative solutions from the Azure platform.

Through this first implementation of Azure Stack in Romania, Microsoft, together with partners such as BinBox, is helping companies benefit from the sheer strength of our Cloud platform, in order to develop new products by using artificial intelligence, machine learning, cognitive intelligence and IoT”,  stated Daniel Rusen, Cloud and Enterprise Lead, Microsoft Romania.

The BinBox team is permanently developing and implementing new ideas, in order to provide a wide range of applications and services, designed to optimize business processes across the board. For instance, Azure Stack allows companies located in remote areas or dealing with unreliable networks to use cloud methods without an Internet connection. Also important is the Cloud model can be brought on premises, by designing, updating and extending applications, with the help of a consistent DevOps process, available for deployment in the Cloud platform as well as on-premises.

 

Tiberiu Croitoru, CEO BinBox Global Services

 

 

We are thrilled by this new challenge and we are confident that it will lead to new opportunities on the Romanian Cloud market”, said Tiberiu Croitoru, CEO BinBox Global Services. ”Moreover, we will be able to improve our products and launch customized services designed for the premium market, at the same time”.

 

 

 

Microsoft’s hybrid Cloud platform also brings a number of innovative characteristics to the Romanian market, such as:

  • Compliance with the new European regulations regarding the protection of personal data – GDPR
  • Improved DevOps and CloudOps practices
  • Continuous integration
  • Customized services
  • Deployment templates for any environment

As a Microsoft partner and certified Azure Stack provider, BinBox is committed to providing the highest level of accessibility and security to its clients, by using state of the art technology from top-tier providers such as CISCO.

About BinBox

BinBox is dedicated to connecting people, information and ideas around the world, providing the highest quality telecommunication and data center services. The company has evolved from a classic data center provider to a full-service provider, aiming to save costs and reduce its clients’ efforts to manage hardware and software platforms, thus allowing them to focus on the activities that are most important to their businesses.

AVEM UN DPO: CUM ÎL CERTIFICĂM?

 

Mai sunt 114 zile până la intrarea în vigoare a Regulamentului EU 2016 – 679 și unul dintre aspectele care se află (încă) într-un con de umbră este pregătirea viitorilor responsabili cu protecția datelor (Data Protection Officer – DPO). Atât textul GDPR, cât și Ghidul privind Responsabilul cu protecția datelor (DPO) realizat de Grupul de Lucru Articolul 29 sunt destul de laconice în explicarea pregătirii profesionale a acestui personaj deosebit de important, un adevărt pivot al implementării și păstrării conformității GDPR la nivel de organizație.

Lipsa de norme dă naștere la interpretări. Această zonă crepusculară e cu atât mai critică în contextual în care avem de a face cu un Regulament European cu serioase implicații legislative. Cum alegem un DPO? Pe ce criterii profesionale? Cine ne garantează expertiza profesională a celui pe care îl vom numi în acest rol, element cheie în adopția GDPR? Sunt întrebări legitime care își găsesc cu destulă greutate răspunsul în condițiile în care în mod oficial nu există un organism de certificare sau de recunoaștere a competențelor unui DPO, nici la nivel UE și nici în celelalte țări membre. Cu o singură excepție, pe care o vom prezenta la sfârșit.

Ce găsim în Regulament, ghiduri și recomandări

Articolul 37 Alineatul 5 din GDPR stabilește că responsabilul cu protecția ar trebui să fie ”desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 39.” Destul de laconic, nu?

Haideți să căutăm ceva lămuriri în partea introductivă a Regulamentului EU 2016/ 679. În Considerentul 97 se fac niște specificații, pornind de la situațiile clare care necesită numirea obligatorie a unui DPO. Există cele trei situații: autoritate publică, prelucrare ce implică monitorizare regulată şi sistematică sau o prelucrarea pe scară largă pentru categorii speciale de date cu caracter personal se recomandă ca ”o persoană care deţine cunoştinţe de specialitate în materie de legislaţie şi practici privind protecţia datelor trebuie să acorde asistenţă operatorului sau persoanei împuternicite de operator pentru monitorizarea conformităţii.” Dacă experiența în legislație este de la sine înțeles în cazul GDPR, ce ar trebui să înțelegem din ”practici privind protecția datelor”?  Mai departe se specifică: ”În sectorul privat, activităţile principale ale unui operator se referă la activităţile sale de bază, şi nu la prelucrarea datelor cu caracter personal drept activităţi auxiliare. Nivelul necesar al cunoştinţelor de specialitate ar trebui să fie stabilit în special în funcţie de operaţiunile de prelucrare a datelor efectuate şi de nivelul de protecţie impus pentru datele cu caracter personal prelucrate de operator sau de persoana împuternicită de operator. Aceşti responsabili cu protecţia datelor, indiferent dacă sunt sau nu angajaţi ai operatorului, ar trebui să fie în măsură să îşi îndeplinească atribuţiile şi sarcinile în mod independent.” Stufos și ambiguu, lăsând loc pentru orice interpretări…

Revenind la Articolul 39, Alineatul 1 din GDPR unde ne trimite Articolul 37, aici este vorba de sarcinile care îi revin unui DPO. Să vedem cam ce experiență necesită fiecare:

  1. informarea şi consilierea companiei şi personalului care se ocupă de prelucrare cu privire la obligaţiile GDPR, dar și altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor – impune aptitudini clare pe parte legislativă și procedurală;
  2. monitorizarea respectării GDPR, a altor dispoziţii de drept referitoare la protecţia datelor şi a politicilor de protecţie a datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente – în plus față de abiltățile legislative se recomandă aptitudini manageriale de alocare a responsabilităților, sensibilizare și de formare a personalului, precum și experiență de auditare;
  3. furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35 – aici e clar că e nevoie de cineva familiarizat cu evaluarea riscurilor și a impactului asupra protecției datelor;
  4. cooperarea cu autoritatea de supraveghere; – aici practic e doar o chestiune de reprezentare, DPO acționând ca persoana de contact;
  5. punct de contact pentru autoritatea de supraveghere – la fel ca mai sus.

Din ce avem până acum, reiese că un DPO trebuie să aibă cunoștințe temeinice de legislație internă și europeană, să aibă un bun spirit managerial, să fie capabil să facă o analiză de risc și să fie un bun comunicator. OK. Altceva? Și bineînțeles să fie capabil să-și rezolve sarcinile de servici.

Ghidul WP29 sugerează că nivelul de expertiză al unui DPO trebuie să fie adecvat complexității datelor personale prelucrate și a măsurilor de protecție necesare. De exemplu, pentru o activitate complexă ce implică un larg volum de date senzitive, DPO trebuie să posede un înalt nivel de expertiză și suport.  O explicație logică, dar tot nu știm cine ne garantează nivelul de expertiză și suport? Pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal există o pagină dedicată Responsabilului cu Protecția Datelor, care reprezintă o sinteză a recomandărilor din Ghidul WP29 de care am pomenit mai devreme. Pe lângă spiritual etic și integritatea profesională, calități personale absolut necesare pentru îndeplinirea sarcinilor, un candidat la poziția DPO trebuie să dovedească și o serie de calități profesionale, precum:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european;
  • nivelul de cunoștințe în  domeniul protecției  datelor în funcție de operațiunile de prelucrare a datelor efectuate și de nivelul de protecție necesar pentru datele cu caracter personal prelucrate;
  • să înțeleagă operațiunile de prelucrare efectuate, precum și sistemele de informații și cerințele de securitate și protecție a datelor prelucrate de operator;
  • cunoștințe privind reglementările legale din domeniul public, în cazul unei autorități sau instituții publice.

Lipsa unei entități de recunoaștere a competențelor

Bun, acum ne-am făcut o idee despre ce calități trebuie să aibă un DPO, dar tot nu știm cine ne oferă garanția că acesta va fi capabil să gestioneze un proces unde pericolele pândesc la fiecare pas? Nicăieri în documentațiile amintite nu am găsit ca principal atribut capacitatea de coordonare a unui proiect care durează cam întreg ciclul de viață al unui business și mai ales experiența de managementul crizei.

Ce criterii trebuie să primeze la numirea unui DPO? Să punem pe cineva priceput, ca să-l avem în schema la data de 25 mai a.c.? Sau să ne bazăm pe cineva care știe ce este de făcut în momentul în care apare o breșă de Securitate? Putem avea șansa ca acest moment să nu apară de loc. Putem avea încredere într-un tânăr cu abilități manageriale care face o instruire de 4-5 zile? Desigur, dar învățatul ”din mers” presupune asumarea unor riscuri. În cine aveți mai mare încredere în situația unui incendiu? Într-un proaspăt absolvent cu uniforma apretată sau într-un pompier veteran?

Lipsa de reguli clare generează ambiguitate. Desigur, există opțiunea externalizării acestei poziții și apelarea la un DPO specializat. Bun, ce fel de specializare ar trebui să aibă acesta pentru a fi de încredere? Putem să încredințăm oricui informațiile cele mai sensibile ale unei companii? O soluție ar fi selectarea pe bază de curriculum. Asta va veni în timp, când primele generații de DPO vor acumula experiența în proiecte reale.

Cursuri de formare DPO pe piața din România

În România există deja câteva opțiuni instruire pentru DPO. Unele dintre acestea sunt rezultatul cooperării dintre companii românești și organizme care girează recunoașterea internațională a certificării DPO în anumite condiții, altele sunt inițiative locale care oferă programe de formare customizate pentru cei care vor să se specializeze în GDPR. Unele dintre aceste oferte de cursuri pot fi găsite în Catalogul GDPR publicat în octombrie 2017, altele vor fi disponibile în noua ediție a Catalogului care va apărea în scurt timp.

Cu toate acestea, în acest moment niciunul dintre programele de instruire existente în țara noastră nu beneficiază de recunoașterea unei autorități naționale sau europene, care să reglementeze certificarea DPO.  Ce putem face în aceste condiții? Să mizăm pe faptul că nu va apărea niciun incident de Securitate până când DPO-ul nostru va acumula suficientă experiență pentru a administra situația critică? Sau sa ne consolăm cu faptul că datele prelucrate de noi nu sunt critice și în consecință nu avem nevoie de cineva cu ani de expertiză. Cert este că o pregătire profesională specializată pe GDPR este absolut necesară. Aici nu ne putem baza doar pe tutoriale de pe YouTube.

În lipsa unor standarde de certificare se merge pe principiul că piața aduce experiența, care ajută la formarea experților. În țările cu tradiție, un rol important îl au asociațiile profesionale și mediile academice. Probabil că lucrurile vor evolua și la noi. Dacă ne uităm la recomandările organismelor de certificare cu recunoaștere internațională precum IAPP sau PECB vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în proiecte de protecție a datelor personale sau de acumularea ulterioară a acestei experiențe în peste 300 de ore de proiect. Partenerii IAPP oferă cursuri independente sau corelate de Certified Information Privacy Professional/Europe (CIPP/E) și Certified Information Privacy Manager (CIPM), menite să asigure formarea optimă a unui DPO.  Statisticile arată că e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de peste 300 de ore de proiect pentru obținerea unei experiențe  de DPO.

Modelul spaniol

Agenția de protecție a datelor personale din Spania (AEDP) este prima din Europa care a stabilit un set de reguli pentru certificarea DPO. Acestea explică în detaliu ce abilități trebuie să demonstreze un DPO pentru ași putea exercita funcția în proiectele GDPR. În lipsa unor specificații clare în GDPR, AEPD a decis elaborarea unei scheme de certificare care să definească un cadru general de recunoaștere a competențelor unui DPO.

Pentru aceasta, AEPD colaborează cu ENAC (Entitatea Națională Spaniolă pentru Acreditări) și cu un grup de experți în protecția datelor. Rolul ENAC în acest demers este acreditarea schemei de certificare care se face conform standardului ISO 17024. AEPD apreciază că va fi necesar și un proces de autorizare a entităților care oferă servicii de instruire.

Dar și aici apare o problemă: evaluatorii organismului de certificare vor trebui să dețină o experiență profesională echivalentă sau (de dorit) mai mare decât candidații propuși certificării… și capacitatea de evaluare a examenelor. Asta presupune cel puțin o diplomă postuniversitară și minim 5 ani de experiență în securitatea informațiilor.

Într-un viitor articol vom discuta care sunt cerințele de bază pentru a activa ca DPO în Spania.

GDPR Ready SERVICES

 

Pentru toti cei care nu au inca o strategie de abordare pentru alinierea la GDPR si nu stiu ce mai pot face intr-un timp atat de scurt am gandit un pachet de servicii de consiliere menit sa le ofere elementele necesare pentru a privi cu incredere catre data de 25 mai 2018.

Pachetul consta in servicii gratuite de analiza GAP de la distanta, un program de concepere si demarare a unui proiect de implementare GDPR care trebuie sustinut si definitivat cu forte proprii si un program condensat de instruire pentru toti cei implicati in operatiuni de prelucrare a datelor personale, la sediul clientului.

Perioada fiind limitata si numarul de potentiali beneficiari ai acestor pachete este limitat…
Cei interesati sunt rugati sa completeze formularul de contact din partea de jos a paginii. 

GDPR Analysis Services

GDPR is generating a new market boom for professional services and IT solutions able to help companies in their efforts to achieve GDPR compliance. GDPR is at the same time a business transformation process. How ready are the companies to solve critical business issues by adopting GDPR processes?

We are ready to cover these topics with a high – level knowledge transfer based on main activities proposed and realized in the last 2 years, founding GDPR Ready! Initiative, the first private knowledge transfer process dedicated to GDPR impact for business.

We are offering also GDPR Market Research studies for private companies, organizations or authorities interested in professional research reports related to GDPR acceptation, local data operators and processors readiness, or the main issues perceived in GDPR adoption process.

GDPR Advisory Services

Based on a deep experience in multicultural business processes we are able to offer professional assistance to local players interested in GDPR compliance.

Advisory services include Free discussion sessions “Let’s talk about GDPR” for a better new EU Regulation understanding, Professional Workshops dedicated to specific GDPR aspects for various industries or internal departments, or pre-Audit Sessions dedicated to better understanding of  GDPR needs for various business processes.

Building a long-running GDPR compliance company is not a very easy process. GDPR is not for the day of 25th of May, or for the next year period. GDPR compliance should be a business life-cycle trust warranty. We can help organizations in the efforts to build a Company GDPR Culture designing a middle-long term strategy based on efficient data protection policies, systematic training and periodical development analysis.

GDPR Business Development Services

GDPR is not a simple IT project and not a typical legal audit. GDPR is a very complex and dynamic cumulative process involving a large level of resources and professional investment. GDPR is a long life-cycle business continuity process, involving a large participation from each department or business line. Obtaining the GDPR conformity a company can demonstrate TRUST to all business ecosystem: clients, partners, suppliers, employees.

We can help you to use your GDPR Ready compliance status as a COMPETITIVE advantage and  TRUST banner to increase your customer satisfaction level and enlarge your business perspective. Being par on a very dynamic industry like IT sector, we are able to offer you professional advises and recommendations for the most performing  GDPR Ready solutions, tools or associated services.

GDPR Consultancy

GDPR implementation process could be difficult in the moment nobody knows what everybody has to do.  Many components are involved in a GDPR process and few peoples could have in this moment professional capabilities to cover all the specific areas like HR and accountant problems, legal frame and international laws knowledge, business process operations and operational issues, marketing and sales needs, and technical expertise in automated data protection and privacy solutions.

We can offer customized GDPR Consultancy Services helping you to better identify your GDPR needs, data flow mapping, GAP analysis, establishing new data protection policies, running Data Protection Impact Assessment (DPIA) tools, or helping you in better business associated risk management and Data Protection by Design and by Default implementation. GDPR services could be provided during a complex and integrated project, or on individual premises function to particular needs for a business line or a subsidiary/ department.

GDPR Training

Personal development and professional progress are keys to performance. Elementary knowledge of GDPR rules and principles is a must for any organization involved in personal data processing. GDPR training is an essential step in GDPR compliance adoption, being part of all important business evolution steps, from awareness increasing inside organization lines of business to fundamental activity in GDPR Company Culture.

We are offering professional GDPR Training services for any size organization based on an international accredited curriculum and best practices methodologies. Our training sessions are organised in any company location offering basic business quality conditions, between 5 and 20 participants. All training sessions could be customized function of audience interests and contain fundamental GDPR theory and business specific special cases. All participants will receive a Training participation diploma and a training support package.

Are you interested to know more about GDPR Ready! SERVICES?

Just fill the form below to open a direct contact!

GDPR CATALOG2: LAST MINUTE REGISTRATION

This week we are preparing to close the subscriptions for the GDPR Catalog – the first GDPR publishing project in Romania. The Catalog will be released in February 2018, in both versions print and online. Any GDPR conformity solutions and services provider could send us last minute participation request.

What’s the point?

After the success of the first GDPR Ready Catalog published in October 2017 (A5 size, 96 pg), AGORA Group and cloud☁mania knowledge platform decided to continue to support data operators in Romania, doing just a little more than simply raising awareness.

In this spirit, the second edition of the GDPR Catalog will be dedicated to personal data protection processes and solutions focusing on the practical aspects of implementing the GDPR compliance process.

Like the previous edition, the GDPR Practical Catalog consists of two parts:

  • A Good Practice Guide that will offer recommendations from experts on concrete issues such as: How do we choose a DPO? How do we map data? What are the roles of operators and processors? How do we start the impact analysis? How do we conduct incidents management? Who, when and to who is reporting?
  • A Catalog of Offers for GDPR compliant solutions, consultancy, audit and certification services currently provided on the Romanian market.

By participating in the GDPR Practical Catalog, we offer you the chance to turn the market anxiety towards a Regulation that will affect 98% of Romanian companies in the opportunity to show your clients and prospects the value of the solutions and the expertise of the services provided for fast, and long-term compliance with GDPR.

Sounds interesting to you?

You can view the online edition of the first GDPR Ready Catalog here: https://issuu.com/agoramedia/docs/catalog_cloud_2017_ed7_gdpr

For the last minute registration, fill out the form below  

Impactul GDPR asupra furnizorilor de servicii Data Center

 

De la bun început, noile prevederi ale Regulamentului EU 2016/267 au mărit gradul de expunere al tuturor procesatorilor de date personale, punând însă o presiune ceva mai mare pe câtva categorii speciale de operatori. Furnizorii de soluții și servicii Data Center (DCSP) se numără printre operatorii de date care trebuie să acorde o atenție specială îndeplinirii condițiilor de conformitate.

O categorie specială de operatori și procesatori

Indiferent că e vorba de servicii de găzduire administrate sau de hosting, de Cloud privat sau Hibrid, furnizorii de servicii Data Center au aceleași probleme cu GDPR. Una dintre probleme este securitatea datelor, considerate mult timp un adevărat punct vulnerabil în special pentru furnizorii de infrastructură Cloud. Încrederea utilizatorilor în garanțiile de Securitate oferite de găzduirea datelor în Cloud a frânat multă vreme accelerarea ratei de adopție a serviciilor Cloud la nivel enterprise.

Extinzând caracterul special al serviciilor de Cloud, practic orice înseamnă servicii de infrastructură care oferă găzduire în medii fizice și/ sau virtuale ridică aceleași probleme de securitate și confidențialitate pentru procesarea și stocarea datelor cu caracter personal.

Încă din anul 2012, prin Avizul nr. 5 privind  Cloud computing, Grupul de lucru Articolul 29 atrăgea atenția asupra unei serii de implicații negative pentru furnizorii de servicii de tip Cloud asupra protecției datelor cu caracter personal legate de lipsa controlului utilizatorului asupra datelor respective, precum și ambiguitatea informațiilor cu privire la modalitatea, locul și entitatea de prelucrare a datelor.

Care sunt riscurile asociate în mod tradițional cu serviciile de Cloud?

  • Lipsa transparenței asupra lanțului de externalizare/subcontractare a prelucrării de date cu caracter personal de către furnizorul de servicii Cloud
  • Incertitudini legate de transferul de date cu caracter personal către furnizorii de servicii de Cloud computing stabiliți în afara UE.
  • Lipsa unui cadru global comun al portabilității datelor

Domenii cheie pe care furnizorii de servicii Data Center trebuie să le abordeze pentru nevoile GDPR

Orice DCSP este procesator de date personale dar și operator – furnizorii de servicii Data Center trebuie să conștientizeze faptul că și petru fluxurile de date în care joacă rolul de procesator sunt acum expuși răspunderii juridice a GDPR ca procesatori de date. Până acum responsabilitatea revenea numai operatorilor.

Furnizorii trebuie să asigure respectarea propriilor standarde GDPR  – în calitate e operatori de date personale pentru angajați sau clientii individuali care contractează servicii Data Center individuale, precum căsuțe de e-mail sau spații de stocare personale.

Creșterea nivelului de transparență – furnizorii vor trebui să devină mai transparenți – deoarece clienții devin tot mai diligenți în privința suveranității datelor, a securității, a stocării datelor, precum și a controlului și distrugerii datelor pentru care au responsabilitatea.

Soluții as-a-Service  conforme GDPR pentru clienți – furnizorii de servicii Data Center vor trebui să se asigure că ofertarea de servicii în sine, atunci când sunt utilizate de un client, permite clientului să rămână conform. Tot mai multe aplicații de stocare, backup și desaster recovery sunt oferite ca aplicații SaaS găzduite de către DCSP sau chiar dezvoltate de aceștia.

Sfaturi practice pentru furnizorii de servicii Data Cnter

Revizuirea relațiilor contractuale cu opertorii de date – Operatorii sunt cei care trebuie să ofere instrucțiuni specifice procesatorilor, iar astfel de instrucțiuni trebuie să fie documentate în așa-numitele „Acorduri de prelucrare a datelor”. Deși aceste acorduri erau prevăzute și de legislația aflată încă în vigoare, în practică sunt destul de greu de găsit acorduri concrete și corecte.  Articolul 28 din GDPR menționează în mod specific acordurile de prelucrare a datelor și arată în detaliu ce ar trebui să includă ca instrucțiuni pentru furnizorii DCSP în calitate de procesatori.

Atenție specială subcontractorilor – furnizorii de servicii Data Center apelează adesea la proprii lor subcontractori, care devin sub-procesatori pentru clienții care au rol de operatori. Orice furnizor de servicii DC trebuie să ceară permisiunea operatorului de a utiliza subprocesatori, ceea ce ar trebui să se regăsească și în acordul de procesare a datelor. Utilizarea de subprocesatori poate fi acoperită printr-o permisiune generică sau o permisiune specifică pentru fiecare subprocesator. Procesatorul rămâne responsabil, astfel încât acordurile cu subprocesatorii trebuie să aibă un grad ridicat de încredere pe lista furnizorilor DC.

Înregistrarea activităților de prelucrare – în calitate de operator, fiecare DCSP trebuie să mențină o evidență a activităților de procesare: un instrument de evidență sau un document care detaliază diferitele activități de prelucrare a datelor cu caracter personal din cadrul organizației (HR, vânzări directe, service). O versiune mai puțin riguroasă a acestei evidențe trebuie să fie menținută pentru fluxurile de date în care DCSP acționează ca un procesator, dar care totuși trebuie să includă toate activitățile de procesare derulate pentru clienții săi. Crearea unei astfel de evidențe a activităților de procesare va oferi o cunoaștere valoroasă în identificarea datelor pe care le procesați și ar trebui să fie una dintre primele acțiuni într-un plan de implementare GDPR.

Transferurile de date în afara UE – atunci când datele cu caracter personal ale clienților din UE sunt transferate de către un procestor în țări din afara Uniunii este important ca datele să beneficieze de aceleași sisteme de protecție și garanții ca și în interiorul granițelor UE. Pentru a facilita astfel de transferuri, GDPR include mai multe mecanisme printre care care se numără:

  • Deciziile de adecvare – atunci când UE a stabilit că o țară din afara UE (sau un acord specific cu o astfel de țară, de ex. Privacy Shield cu SUA) oferă o protecție adecvată.
  • Regulile corporative obligatorii (Binding Corporate Rules) –  multe companii multinaționale au subsidiare în țări din afara UE, oferind aceleași garanții de protecție. Autoritățile de protecție a datelor trebuie să valideze BCR înainte ca prevederile să fie aplicate.
  • Clauze contractuale standard (Standard Contratual Clauses) – sunt contracte predefinite, validate de Comisia Europeană, ce conțin toate garanțiile de protecție necesare pentru transferurile în afara UE.

Securitatea informațiilor – asigurarea informațiilor împotriva accesului neautorizat, pierderii sau distrugerii este un aspect foarte important în cadrul GDPR și poate fi aplicat prin menținerea confidențialității, integrității și disponibilității (CIA). Orice încălcare a acestor principii ale CIA poate atrage o notificare către operator, care, la rândul său, va trebui să notifice autoritatea de supraveghere și persoanele vizate, dacă riscurile potențiale ale unei breșe  sunt destul de ridicate.

Tematica acestui articol a cosntituit subiectul prezentarii sustinute de autor in cadrul conferintei ”Data Centers and IT Infrasructure Management”, organizata de Agora Media in 12 decembrie 2017.

Top cloud☁mania articles in 2017

Let’s start the new (GDPR Ready) year 2018 with the traditional review of cloudmania’s activity in 2017. The 5th year of our knowledge platform was one of the records: 96 published articles, 60% increase of views number, and 39% of visitors number, comparing 2016, and a focussed GDPR dedicated section well received by Romanian and international communities.

Despite the fact the small majority of our readers are Romanians (58%), we still have a strong international community readers, where 30% are from the US, 13% from India, 8% from the UK, 5% from Germany, and 4% from France, respectively Canada.

As usual, here are few selections of most popular articles grouped into three main categories: international articles, Romanian articles (excepting GDPR), and Romanian GDPR Articles.

Most popular international articles:

#1: “Datacenter Forum 2017 the Pole of the Modern Infrastructure Technologies” – May 2017

#2: “TOSS C3 Interview: From Underground Research to Digital Transformation” – June 2017

#3: “The first GDPR Catalog in Romania” – October 2017

#4: “What cloud providers need to focus on for GDPR compliance” – Bart van Buitenen’s contribution for GDPR Catalog – October 2017

#5: “Freight Monitoring, Industry 4.0 and Smart Grids: Main Drivers for EMEA’s IoT Spending until 2020” – January 2017

Most popular Romanian (non GDPR) articles

 #1: “About Hybrid Cloud with Mr Ravan Stoica” – original title: “Despre Cloudul hibrid cu domnul Razvan Stoica – May 2017

#2: “Ford is managing HR resources in Cloud using Oracle HCM platform” – original title: “Ford își administrează resursele umane din Cloud pe platforma Oracle HCM – February 2017

#3: “Europe’s digital future is based on the 4th Industrial Revolution” – original title: “Viitorul digital al Europei se bazeaza pe cea de-a patra revolutie industriala – August 2017

#4: “ROcS 2.0: Technologies without age and without borders” – original title: “Tehnologii fara varsta si fara frontiere” – November 2017

#5: “Cloud Conference: Let’s speak about adoption, development, migration, business continuity, and GDPR” – original title: “Conferinta de Cloud: haideti sa vorbim despre adoptie, dezvoltare, migrarem continuitate in business si GDPR – November 2017

 

Most popular Romanian GDPR articles

#1: “First Romanian GDPR Catalog was released” – original title: “A aparut primul Catalog GDPR din Romania – October 2017

#2: “GDPR: personal data security from information security perspective” – original title: “GDPR: afectarea securității datelor cu caracter personal din perspectiva securității informatice” – a CERT.RO contribution to GDPR Catalog, November 2017

#3: How can I achieve DPO certification in Romania” – original title: “Cum pot obtine certificarea DPO in Romania” – November 2017

#4: “GDPR Ready! Initiative” – original title: Initiativa GDPR Ready!” – June 2017

#5: “Good practice guides released by ANSPDCP (Romanian Personal Data Processing Surveillance Authority)” – original title: “Ghiduri de bune practici puse la dispozitie de ANSPDCP” – November 2017

Happy GDPR Compliancy New Year!

Why we need to build a GDPR Corporate Culture?

 

Many times the alignment with GDPR requirements is perceived as a compliance challenge only.  What few realize from the very beginning is that GDPR does not involve a push-up effort, after which the relaxation is coming. It’s not an IT project, nor any simple modification of privacy policy on an e-commerce site. GDPR is the beginning of a process that should become irreversible, and for this, it needs a source of energy to keep it moving. The energy source for maintaining GDPR compliance for the entire lifecycle of a business is the organization’s internal capacity to maintain compatibility. And this is called Company Culture.

We are talking about GDPR more and more. And this is good because we still need awareness. Unfortunately, most of the messages are focused on the punitive value of the regulation. And that’s right, because the fines announced are scary, even for a bigger company. For the vast majority, however, a penalty of € 10,000,000 actually means getting out of business. Those who will have what they pay will face a big black spot of reputation, which will affect the trust of their clients, which creates the premises of a threat even bigger than the fines themselves.

These threats should generate a big concern at the executive levels first. Here are no longer only quick steps to modify few web pages and ad-hoc staff training. Organizations need to change their mentality and decision-makers must be an example. The success of a long-term GDPR project is based on the building of an organization-wide culture where people first think about how they would like their personal information to be processed. Companies must adopt this attitude when handling the personal data of customers, employees, and other subjects. It’s not just about the threat of financial penalties. It’s a business continuity and building a trusting attitude.

Individuals need to trust the companies to whom they provide their personal information and need to trust that these data operators have the ability to manage this information properly and safely. One of the GDPR’s novelties is the introduction of the accountability principle. The concept is not new. But for the first time, it becomes an explicitly free principle. The GDPR accountability goes beyond compliance with data protection principles, as it involves a change of culture. Any data controller or data processor has to prove not only that they are responsible for personal data protection but also to prove that they can support this responsibility. In order for this extended responsibility to be assimilated into our organization, we need a cultural and organizational change.

To create a GDPR culture, companies need to adopt a proactive, methodical and responsible approach to compliance, a privacy culture for personal data protection. If you want people to change their behaviour, you have to motivate them to want to do this; they have to understand why it is important. This change is a challenge if they cannot connect privacy risks to their own roles and private lives. Personalized training for roles or characters and the use of relevant examples is, therefore, a good practice. To effectively educate your staff, work closely with and connect with internal teams – people from HR, accounting, logistics, technical teams, but especially from internal communication teams.

Now that you have built the data privacy culture, you need to embed and support it. To do this, you will need to:

  • Define clear periodic and point assignments;
  • Create regular campaigns;
  • Build awareness of privacy in new business environments or new employees.

If it has not already been made, compliance with GDPR should be a key priority for all organizations, regardless of size, industry, or geographic location.

GDPR Explicitat (15): Penalitățile cu care vine GDPR

Iată-ne ajunși la finalul serialului de articole GDPR Explicitat. A fost o încercare de analiză și parcurgere pe orizontală a celor mai importante articole din GDPR care au egală importanță pentru toți operatorii și procesatorii de date personale. Desigur se mai pot povesti și comenta multe despre toate subiectele abordate. Vom mai avea ocazia să le reluăm când vom face analizele pe verticale, pe grupe de companii sau pe anumite industrii.

Când se dau amenzile administrative?

Orice încălcare a noului regulament este supusă unui regim de sancțiuni financiare cu amenzi de până la 4% din cifra de afaceri globală anuală sau de 20 milioane EUR, oricare dintre acestea este mai mare. La stabilirea nivelului amenzii, autoritatea de supraveghere trebuie să ia în considerare o serie de factori, inclusiv gravitatea încălcării, dacă încălcarea a fost intenționată sau rezultatul neglijenței și orice măsuri luate pentru a atenua încălcarea. În plus, persoanele pot da în judecată organizațiile pentru compensare pentru a acoperi atât pagubele materiale, cât și cele nemateriale (de exemplu, suferință).

Având în vedere magnitudinea eventualelor amenzi, drepturile persoanelor fizice de a introduce cazuri și cererea de despăgubiri, precum și prevalența și eficacitatea criminalității cibernetice, riscul unei încălcări a datelor ar trebui să treacă direct în registrul de risc al consiliului, cu respectarea înaltă a ordinii de zi a conducerii superioare.

Conform Articolului 83 – ”Condiții generale de impunere a amenzilor administrative”, aplicarea penalităților va fi, în fiecare caz, eficace, proporțională și disuasivă (descurajantă). Amenzile administrative se acordă în funcție de:

  • Natura, gravitatea și durata încălcării;
  • Caracterul intenționat sau neglijent al încălcării;
  • Orice acțiune întreprinsă de operator sau de procesator pentru a diminua daunele suferite de persoanele vizate;
  • Gradul de responsabilitate al operatorului sau al procesatorului, ținând cont de măsurile tehnice și organizatorice implementate de aceștia;
  • Orice încălcări anterioare relevante;
  • Gradul de cooperare;
  • Categoriile de date cu caracter personal afectate de încălcare;
  • Modul în care încălcarea a devenit cunoscută;
  • Existența unor cazuri anterioare în care au fost ordonate competențe corective împotriva operatorului sau a procesatorului;
  • Respectarea codurilor de conduită aprobate sau a mecanismelor de certificare aprobate;
  • Existența unor alți factori agravanți sau atenuanți.

Care sunt situațiile în care amenda e de 2% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 10 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 2% din exercițiul financiar precedent (oricare dintre acestea este mai mare) în situațiile în care autoritatea de supraveghere constată încălcarea următoarelor Articole:

  • Obligațiile operatorului și ale procesatorului de date stabilite în Articolele 8, 11, 25 la 39, 42 și 43;
  • Obligațiile corpului de certificare conforme cu Articolele 42 și 43;
  • Obligațiile corpului de monitorizare aferente Articolului 41 (Alineat 4)

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

  • 8: Consimțământul copilului
  • 11: Prelucrarea care nu necesită identificare
  • 25: Protecția datelor prin design și implicit
  • 26: Operatori comuni
  • 27: Reprezentanți ai operatorilor care nu sunt stabiliți în UE
  • 26, 29 & 30: Prelucrarea
  • 31: Cooperarea cu autoritatea de supraveghere
  • 32: Securitatea datelor
  • 33: Notificarea încălcărilor autorității de supraveghere
  • 34: Comunicarea încălcărilor la persoanele vizate
  • 35: Evaluarea impactului protecției datelor
  • 36: Consultare prealabilă
  • 37-39: Protecția datelor
  • 41 (4): Monitorizarea codurilor de conduită aprobate
  • 42: Certificare
  • 43: Organisme de certificare

Care sunt situațiile în care amenda e de 4% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 20 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 4% în exercițiul financiar precedent (oricare dintre acestea este mai mare) în următoarele condiții de încălcare:

  • Principiile de bază ale procesării, incluzând condițiile pentru consimțământ, aferente Articolelor 5, 6, 7 și 9;
  • Drepturile subiecților aferente Articolelor de la 12 la 22;
  • Transferul datelor personale către un recipient dintr-o țară terță sau o organizație internațională, aferent Articolelor de la 44 la 49.

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

  • 5: Principii privind prelucrarea datelor cu caracter personal;
  • 6: Legalizarea procesării;
  • 7: Condiții pentru consimțământ;
  • 9: Prelucrarea categoriilor speciale de date cu caracter personal (adică date personale sensibile);
  • 12 -22: Dreptul la informație, accesul, rectificarea, ștergerea, restricționarea procesării, transferabilitatea datelor, obiectul, profilul;
  • 44 -49: Transferuri către țări terțe;
  • 58 alineatul (1): cerința de a oferi acces la autoritatea de supraveghere;
  • 58 (2): Comenzi / limitări privind prelucrarea sau suspendarea fluxurilor de date.

Norme privind sancțiunile impuse de fiecare stat membru

În Articolul 83, Alineatul 7 se mai specifică faptul că ”Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv.”

Mai departe se prevede că exercitarea de către autoritatea de supraveghere a competenţelor sale în temeiul Art.83 are loc cu condiţia existenţei unor garanţii procedurale adecvate în conformitate cu dreptul Uniunii şi cu dreptul intern, inclusiv căi de atac judiciare eficiente şi dreptul la un proces echitabil.

Dar acestea nu sunt toate sancțiunile prevăzute de GDPR. În Articolul 84: ”Sancţiuni”, Alineatul 1  se specifică faptul că statele membre au dreptul de a stabili normele privind alte sancţiuni aplicabile în caz de încălcare a Regulamentului, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul Articolului 83, şi iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancţiunile respective trebuie să fie eficace, proporţionale şi disuasive. Totodată, până la 25 mai 2018 fiecare stat membru trebuie să informeze Comisia cu privire la dispoziţiile de drept intern pe care le adoptă în temeiul alineatului (1), precum şi, fără întârziere, cu privire la orice modificare ulterioară a acestora.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 14) ale seriei GDPR Explicitat:

 

Realitatea Augmentată vine cu aplicabilitate nelimitată în industria producătoare

Augmented Reality (AR) este una dintre tehnologiile viitorului care a ieșit deja din sfera cercetărilor aplicative și din interfața platformelor de jocuri și își face drum cu pași siguri către aplicațiile industriale. Realitatea Augmentată este un concept în care lumea reală și modelele virtuale se suprapun într-o unică imagine.

Au devenit virale filmulețele de pe YouTube în care pasagerilor dintr-o stație de autobuz li se induce iluzia unor creaturi fioroase care se îndreaptă către ei. Iluzia este perfectă, iar reacțiile participanților la aceste experimente sunt cât se poate de reale.

Tocmai aceste valențe ale proiectării unor imagini virtuale peste o realitate existentă au început să fie preluate în diferite industrii. Aria de aplicabilitate este practic nelimitată, cu atât mai mult cu cât orice dispozitiv mobil poate fi utilizat pentru rularea aplicațiilor de vizualizare.

Valoarea extinsă oferită de Realitatea Augmentată în procesele digitale de producție

Realitatea Augmentată (AR) ajută inovatorii și dezvoltatorii să construiască experiențe imersive care transformă modul în care utilizatorii creează, operează și livrează produse în lumea inteligentă și conectată a producției digitale.

În noua industrie digitală, AR suprapune lumea digitală și cea fizică, având puterea de a schimba fundamental modul în care oamenii interacționează în fluxul de producție. Atunci când sunt asociate cu datele furnizate de sisteme IoT, aplicațiile AR pot deveni experiențe cu adevărat transformative, determinând multe întreprinderi să-și reconsidere complet modul în care își proiectează, produc, vând, exploatează și deservesc produsele.

Prin includerea AR în strategia IoT, companiile producătoare din întreaga lume oferă claritate și eficiență unei varietăți de inițiative din diverse industrii. Iată câteva exemple de activități în care tehnologia AR poate fi folosită în procesele de producție:

Scheme și Instrucțiuni de lucru – participanții la procesele de fabricație sau specialiștii atelierele de service din pot vizualiza detalii despre produsele aflate pe bandă sau asamblarea diferitelor componente. Beneficiile imediate sunt optimizarea proceselor de fabricație, scurtarea timpului de asamblare, creșterea preciziei și îmbunătățirea considerabilă a performanței.

Proiectare pe baza unui model unic digital – tehnologia AR facilitează colaborarea dintre ingineri și designeri prin facilitățile de vizualizare a prototipurilor virtuale. Folosind procedee de simulare și vizualizare AR echipele de designeri pot modifica în timp real parametrii produselor, obținând versiunea dorită printr-un număr minim de iterații, cu economi considerabile de timp și materiale asociate etapelor de testare.

Instruire specifică fiecărui loc de muncă – procesul educațional bazat pe tehnologii AR poate beneficia de instrumente de vizualizare 3D interactivă a desenelor de prototipuri sau schemelor tehnice, care facilitează etapele de învățare într-o manieră aplicativă.

Marketarea produselor – se știe că în marketingul industrial, o imagine bună vinde marfa. Echipele de marketing și vânzări pot beneficia și ele de avantajele tehnologiilor AR prin facilitarea organizării de demonstrații interactive, vizualizări și showroom-uri digitale unde clienții pot testa în mod virtual performanțele îmbunătățite ale produselor, chiar înainte de lansarea lor pe piață.

Îmbunătățirea eficienței în lanțul valoric prin vizualizarea digitală a produselor

În studiul publicat recent intitulat ”AR: Îmbunătățirea eficienței în lanțul valoric cu vizualizarea digitală a produselor”, compania de cercetare ABI Research explorează beneficiile tehnologiilor AR pentru dezvoltarea, producția și vânzarea produselor. Revizuirea designului și demonstrațiile virtuale au devenit din ce în ce mai importante pentru dezvoltarea și vânzarea produselor. Cu toate acestea, ABI Research a identificat o serie de obstacole care pot împiedica o companie să își valorifice pe deplin potențialul produsului.

Compania de cercetare a ales pentru explorare modul în care Realitatea Augmentată  îmbunătățește dezvoltarea produselor și vânzările în trei domenii cheie:

  • Vizualizarea și interacțiunea produsului: asigură reducerea timpului necesar pentru proiectarea, testarea și vânzarea produselor;
  • Colaborarea în timp real și serviciul la distanță: asigură reducerea costurilor de călătorie prin intermediul comunicațiilor de imagini AR;
  • Ghid de flux de lucru: determină creșterea eficienței lucrătorilor și reducerea ratelor de eroare.

ThingWorx Studio o soluție ce reunește tehnologii AR de vârf pentru mediile de lucru industriale

Unul dintre studiile de caz menționate de ABI Research în studiul amintit este soluția ThingWorx Studio dezvoltată de compania PTC. Soluția combină tehnologii de vârf pentru a crea rapid experiențe AR la o scară care permite adoptarea în fluxurile de producție ale companiilor industriale. ThingWorx Studio conectează spațiile de lucru fizice și digitale și îi ajută pe oameni să lucreze mai inteligent, mai rapid și mai sigur.

ThingWorx Studio oferă o soluție completă pentru clienți, combinând mediul de creație fără coduri, cu mediul UI, cu marcaje de identificare unice numite ThingMarks și o aplicație de vizualizare la nivel de întreprindere numită ThingWorx View. Ca parte a platformei ThingWorx mai mari, ThingWorx Studio oferă tot ceea ce este necesar pentru orice creator de conținut să conecteze rapid “lucrurile” specifice cu informații contextualizate în timp real și să furnizeze mai multe experiențe imersive și semnificative pentru utilizatorii finali din cadrul întreprinderii.

Folosind ThingWorx Studio, creatorii de conținut pot:

  • beneficia de colaborarea la distanță și publicarea experiențelor de design în câteva minute, fără a fi nevoie de scrierea de coduri;
  • Dezvoltatarea de experiențe AR de pregătire pentru producție, folosind Microsoft Hololens
  • Crearea cu ușurință a imaginilor augmentate de înaltă definiție, cu suport pentru Apple ARKit și Google ARCore;
  • Utilizarea conținutului 3D existent pentru a reduce costurile și complexitatea creării de conținut;
  • Simplificarea schimbului de experiență între companiile producătoare, folosind o singură aplicație de vizualizare universală;
  • Importul rapid de imagini vizuale;
  • Îmbunătățirea experiențelor în domeniul Internetului și a sistemelor de business prin intermediul platformei ThingWorx.

Componentele platformei ThingWorx:

ThingWorx Studio – un mediu rapid și eficient din punct de vederea al costurilor ce permite crearea de experiențe AR fără a scrie măcar un cod.

Experience Service –  instrument de administrare a experiențelor AR, oferind informații relevante, contextualizate și analiză pentru fiecare obiect unic identificabil.

ThingWorx View – aplicație pentru un singur utilizator, ce oferă o bogată experiență 3D pentru telefoanele inteligente, tablete sau altfel de dispozitive mobile, ușor de partajat la nivelul unei companii industriale.

ThingMark – Un ThingMark este o imagine unică, plasată pe un obiect fizic, care identifică și declanșează experiențele relevante pentru ThingWorx View.

Photos source: www.ptc.com

GDPR Explicitat (14): Coduri de Conduită și Mecanisme de Certificare

GDPR recomandă utilizarea Codurilor de Conduită și a Mecanismelor de certificare pentru a demonstra că vă conformați. Trebuie luate în considerare nevoile specifice ale microîntreprinderilor, întreprinderilor mici și mijlocii.

Înscrierea pentru adoptarea unui Cod de Conduită sau la o schemă de certificare nu este obligatorie. Dar, dacă sunteți dispuși să adoptați un Cod de Conduită aprobat sau o schemă de certificare care să acopere activitatea dvs. de prelucrare, vă recomandăm să luați în considerare acest demers ca o modalitate de a demonstra conformitatea.

Respectarea Codurilor de Conduită și a schemelor de certificare aduce mai multe beneficii în plus pentru a demonstra că vă conformați. Prin adoptarea unui cod de conduită și a unui mecanism de certificare puteți să obțineți următoarele beneficii:

  • îmbunătățirea transparenței și responsabilității – care poate spori încrederea ca organizație ce îndeplinește cerințele legii și în care procesarea și păstrarea datelor personale este de încredere;
  • asigurarea de circumstanțe în situația în care ar putea exista incidente urmate de măsuri de executare;
  • îmbunătățirea standardelor de organizație prin stabilirea celor mai bune practici;
  • un criteriu de calitate și încredere în procesul de contractare a terților sau a procesatorilor.

Care sunt Codurile de Conduită recomandate?

Conform Articolului 40: ”Coduri de conduită”, Alineatul 2,”Asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot pregăti coduri de conduită sau le pot modifica sau extinde pe cele existente”, în ceea ce priveşte:

  • prelucrarea în mod echitabil şi transparent;
  • interesele legitime urmărite de operatori în contexte specifice;
  • colectarea datelor cu caracter personal;
  • pseudonimizarea datelor cu caracter personal;
  • informarea publicului şi a persoanelor vizate;
  • exercitarea drepturilor persoanelor vizate;
  • informarea şi protejarea copiilor şi modalitatea în care trebuie obţinut consimţământul titularilor răspunderii părinteşti asupra copiilor;
  • măsurile şi procedurile menţionate la articolele 24 şi 25 şi măsurile de asigurare a securităţii prelucrării, menţionate la articolul 32;
  • notificarea autorităţilor de supraveghere cu privire la încălcările securităţii datelor cu caracter personal şi informarea persoanelor vizate cu privire la aceste încălcări;
  • transferul de date cu caracter personal către ţări terţe sau organizaţii internaţionale;
  • proceduri extrajudiciare şi alte proceduri de soluţionare a litigiilor.

Cine proiectează și monitorizează un Cod de Conduită?

Guvernele și autoritățile de reglementare pot încuraja elaborarea de Coduri de Conduită. Acestea pot fi create de asociații profesionale sau de organisme reprezentative. Codurile ar trebui elaborate prin consultare cu părțile interesate relevante, inclusiv cu persoanele vizate (GDPR – Considerentul 99).

Codurile trebuie aprobate de autoritatea de supraveghere competentă și în cazul în care prelucrarea este transfrontalieră, de Comitetul european pentru protecția datelor (EDPB). Codurile existente pot fi modificate sau extinse pentru a se conforma cerințelor din GDPR.

Potrivit Articolului 41: ”Monitorizarea codurilor de conduită aprobate”, Alineatul 1, monitorizarea respectării unui cod de conduită poate fi realizată de un organism care dispune de un nivel adecvat de expertiză în legătură cu obiectul codului şi care este acreditat în acest scop de autoritatea de supraveghere competentă.

Un astfel de organism poate fi acreditat pentru monitorizarea respectării unui Cod de Conduită dacă:

  • Demonstrează autorităţii de supraveghere competente independenţa şi expertiza sa în legătură cu obiectul Codului;
  • Are proceduri care îi permit să evalueze eligibilitatea operatorilor şi a procesatorilor în vederea aplicării Codului, să monitorizeze respectarea de către aceştia a dispoziţiilor Codului şi să revizuiască periodic funcţionarea acestuia;
  • Vine cu proceduri pentru tratarea plângerilor privind încălcări ale Codului sau privind modul în care Codul a fost sau este pus în aplicare, precum şi pentru asigurarea transparenţei acestor proceduri pentru persoanele vizate şi pentru public;
  • Demonstrează autorităţii de supraveghere că sarcinile şi atribuţiile sale nu creează conflicte de interese.

Care sunt implicațiile practice ale adoptării unui Cod de Conduită?

Dacă vă înscrieți în regulile statuate printr-un Cod de Conduită, veți fi supus unei monitorizări obligatorii de către un organism acreditat de autoritatea de supraveghere. Dacă încălcați cerințele codului de practică, puteți fi suspendat sau exclus și autoritatea de supraveghere va fi informată. De asemenea, riscați să fiți supus unei amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală. Pe de altă parte, aderarea la un Cod de Conduită poate servi drept factor atenuant atunci când o autoritate de supraveghere are în vedere o acțiune de executare printr-o amendă administrativă.

De reținut faptul că la Codurile de Conduită specifice unei anumite industrii verticale pot adera organizații care nu se află pe teritoriul UE în scopul de a oferi garanţii adecvate în cadrul transferurilor de date cu caracter personal către ţări terţe sau organizaţii internaţionale în condiţiile menţionate la Articolul 46. Aceşti operatori sau procesatori îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicării garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

Ce sunt mecanismele de certificare?

Statele membre, autoritățile naționale de supraveghere, forul de supraveghere european sau Comisia Europeană trebuie să încurajeze instituirea unor mecanisme de certificare pentru a spori transparența și conformitatea cu regulamentul. Certificarea va fi emisă de autoritățile de supraveghere sau de organismele de certificare acreditate.

Potrivit Articolului 42: ”Certificare”, Alineatul 2, Mecanismele de certificare din domeniul protecţiei datelor, sigiliile sau mărcile sunt instituite nu numai pentru a fi respectate de operatorii și procesatorii care fac obiectul GDPR, ci şi pentru a demonstra existenţa unor garanţii adecvate oferite de operatorii sau procesatorii care nu fac obiectul prezentului regulament, în cadrul transferurilor de date cu caracter personal către ţări terţe sau organizaţii internaţionale. Aceştia  îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicării garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

Care este scopul unui mecanism de certificare?

Un mecanism de certificare este o modalitate prin care demonstrați că respectați, și în special că ați pus în aplicare măsuri tehnice și organizatorice. De asemenea, poate fi instituit un mecanism de certificare care să demonstreze existența unor garanții legate de caracterul adecvat al transferurilor de date. Acestea sunt destinate să permită persoanelor fizice să evalueze rapid nivelul de protecție a datelor pentru un anumit produs sau serviciu.

Iată câteva dintre implicațiile practice ale aplicării unor mecanisme de certificare:

  • Certificarea nu vă reduce responsabilitățile legate de protecția datelor;
  • Certificarea este voluntară şi disponibilă prin intermediul unui proces transparent;
  • Trebuie să furnizați organismului de certificare toate informațiile necesare și accesul la activitățile dvs. de procesare, pentru a putea efectua procedura de certificare;
  • Orice certificare va fi valabilă pentru maximum trei ani;
  • În cazul în care nu mai sunt îndeplinite cerinţele, certificarea vă poate fi retrasă de organismele de certificare sau de autoritatea de supraveghere competentă;

Care sunt organismele care ne pot atesta o Certificare?

Conform Articolului 43: Organisme de certificare,  organismele de certificare care dispun de un nivel adecvat de competenţă în domeniul protecţiei datelor pot informa o autoritatea de supraveghere pentru a-i permite să îşi exercite competenţele de emitere și reînoire a unei Certificări, în temeiul Articolului 58.2.h. Statele membre trebuie să se asigură că aceste organisme de certificare sunt acreditate de către una sau amândouă dintre următoarele entităţi:

  • autoritatea de supraveghere care este competentă în temeiul Articolului 55 sau 56;
  • organismul naţional de acreditare desemnat în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European în conformitate cu standardul ENISO/ IEC 17065/2012 şi cu cerinţele suplimentare stabilite de autoritatea de supraveghere competentă.

Un organism de certificare poate fi acreditat numai dacă:

  • a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, independenţa şi expertiza sa în legătură cu obiectul certificării;
  • s-a angajat să respecte criteriile menţionate la Articolul 42;
  • a instituit proceduri pentru emiterea, revizuirea periodică şi retragerea certificării, a sigiliilor
  • şi mărcilor din domeniul protecţiei datelor;
  • a instituit proceduri şi structuri pentru tratarea plângerilor privind încălcări ale certificării
  • sau privind modul în care certificarea a fost sau este pusă în aplicare de un operator sau un procesator, precum şi pentru asigurarea transparenţei acestor proceduri şi structuri pentru persoanele vizate şi pentru public;
  • a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, că sarcinile
  • şi atribuţiile sale nu creează conflicte de interese.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 12) ale seriei GDPR Explicitat:

GDPR Explicitat (13): Notificarea breșelor de securitate

Continuăm seria de articole dedicate analizei orizontale a prevederilor GDPR cu o problematică esențială pentru GDPR. Am constatat sau am fost anunțați că în sistemul nostru în care deținem date cu caracter personal a apărut o breșă de securitate. Ce avem de făcut mai întâi și mai întâi? Pe cine trebuie să anunțăm, când și cum? Ce măsuri trebuie să luam pentru limitarea eventualelor daune?

Sunt câteva întrebări foarte importante pentru luarea primelor măsuri. Haideți să vedem despre ce e vorba.

 Cum notificăm apariția unei breșe de securitate?

Creșterea numărului mare de atacuri cibernetice se reflectă în obligațiile sporite privind securitatea datelor în regulament și în obligațiile paralele, precum cele conținute de Directiva privind securitatea rețelelor informatice și a datelor (Networks and Information Security – NIS).

Conform Articolului 33 din GDPR va fi obligatoriu ca o organizație cu rol de operator să raporteze autorității sale de supraveghere orice breșă de securitate a datelor personale în termen de 72 de ore de la conștientizarea acesteia. Dacă această cerință nu este îndeplinită, raportul final trebuie însoțit de o explicație a întârzierii. Notificarea trebuie să includă informații specifice, inclusiv o descriere a măsurilor luate pentru a soluționa breșa și pentru a atenua posibilele efecte secundare.

În cazul în care breșa poate avea ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice, indivizii înșiși trebuie să fie contactați „fără întârzieri nejustificate”. Acest contact nu va fi necesar dacă există măsuri de protecție adecvate – în esență, criptare – pentru a elimina pericolul pentru persoanele vizate.

În Articolul 33 – Notificarea unei încălcări a datelor cu caracter personal către autoritatea de supraveghere, se specifică foarte clar că:

  • Raportarea în situația apariției unor breșe de securitate este obligatorie pentru orice operator de date personale;
  • Operatorii trebuie să raporteze către autorităților de supraveghere competente orice încălcare a condițiilor de siguranță fără întârzieri nejustificate;
  • Dacă este posibil, nu mai târziu de 72 de ore de la prima conștientizare;
  • Dacă raportarea nu este făcută în termen de 72 de ore, trebuie furnizată o justificare a întârzierii;
  • Nu este necesară notificarea cazurilor în care încălcarea este «puțin probabil să ducă la un risc pentru drepturile și libertățile» persoanelor vizate;
  • Dacă breșa de securitate este constatată de către un procesator de date, acesta trebuie să notifice operatorul cu care colaborează fără întârzieri nejustificate.

Ce informații trebuie să conțină notificarea unei breșe de securitate?

Elementele esențiale care trebuie să se regăsească într-o notificare se referă la:

  • natura încălcării datelor cu caracter personal;
  • categoriile și numărul aproximativ al persoanelor implicate;
  • categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
  • numele și datele de contact ale responsabilului cu protecția datelor (în cazul în care organizația dvs. dispune de unul) sau orice alt punct de contact de unde pot fi obținute mai multe informații;
  • descriere a consecințelor probabile ale încălcării datelor cu caracter personal;
  • descriere a măsurilor luate sau propuse a fi luate pentru a face față încălcării datelor cu caracter personal dacă este cazul, o descriere a măsurilor luate pentru a atenua eventualele efecte adverse.

Ce trebuie să pregătim pentru raportarea breșelor?

Nimeni nu își dorește asta, dar o bună pregătire pentru situațiile de urgență implică și stabilirea clară a responsabilităților și procedurilor de urmat. Cum vă puteți pregăti mai bine pentru raportarea încălcărilor de securitate?

  • În primul rând ar trebui să vă asigurați că personalul dvs. înțelege ce reprezintă o încălcare a datelor și că aceasta este mai mult decât o pierdere de date cu caracter personal;
  • Apoi, ar trebui să vă asigurați că aveți o procedură de raportare internă a breșelor. Acest lucru va facilita luarea deciziilor cu privire la necesitatea notificării autorității de supraveghere sau a persoanelor vizate;
  • Nu în ultimul rând, având în vedere perioadele scurte de timp pentru raportarea unei breșe, este important să existe proceduri robuste de detectare a incidentului, investigații și proceduri de raportare internă.

Când nu suntem obligați să notificăm persoanele vizate?

În Articolul 34: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal, Alineatul 3 regulamentul stipulează că informarea persoanei vizate nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:

  • operatorul a implementat măsuri de protecţie tehnice şi organizatorice adecvate, iar acestea au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
  • operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile şi libertățile persoanelor vizate nu mai este susceptibil să se materializeze;
  • informarea ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

Ghidul recomandărilor legate de anunțarea breșelor de Securitate

De pe site-ul oficial al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate fi descărcat Ghidul privind notificarea încălcărilor de securitate”, un instrument deosebit de util în implementarea condițiilor impuse de GDPR elaborate de Grupul de Lucru Articolul 29.

Tot de pe site-ul Autorității Naționale pot fi accesate și consultate formularele utilizate deja în notificarea breșelor de securitate conform legislației actuale.

Dacă nu este soluţionată la timp şi într-un mod adecvat, o încălcare a securităţii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză.

Celor care nu le-au citit încă, le recomand precedentele articole (1 – 12) ale seriei GDPR Explicitat:

GDPR Explicitat (12): Transferul internațional de date

După o pauză mai mare de o lună în care s-au întâmplat fel de fel de lucruri legate de evenimente, cursuri, preluări de articole apărute în Catalogul GDPR Ready, reiau seria de articole dedicate analizei orizontale a prevederilor GDPR.

Mai sunt câteva lucruri de discutat la modul general, precum Transferul internațional de date, notificarea breșelor de Securitate, aplicabilitatea regulilor corporative și demitizarea unei amenințări cu care mulți încearcă să vă sperie: penalitățile care se aplică pentru nerespectarea regulilor GDPR. Pentru început, să aruncăm o privire către ce înseamnă transferul internațional de date.

Ce spune principiul transferului de date?

GDPR impune restricții privind transferul de date cu caracter personal în afara Uniunii Europene, țărilor terțe sau organizațiilor internaționale. Aceste restricții sunt în vigoare pentru a se asigura că nivelul de protecție a persoanelor acordat de GDPR nu este subminat.

În Articolul 44 – ”Principiul general al transferurilor” se specifică faptul că: „Orice transfer de date cu caracter personal care sunt supuse procesării sau care sunt destinate prelucrării după transferul într-o țară terță sau într-o organizație internațională are loc numai dacă, sub rezerva celorlalte dispoziții din prezentul regulament, sunt respectate condițiile stabilite de către operator și de către procesator, inclusiv pentru transferurile ulterioare de date cu caracter personal din țara terță sau de la o organizație internațională către o altă țară terță sau la o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.”

Ce este important să reținem este că orice transfer internațional de date cu caracter personal de către un operator sau un procesator are loc numai dacă sunt îndeplinite anumite condiții:

  • Transferuri pe baza adecvării;
  • Transferuri supuse garanțiilor adecvate
  • Aplicabilitatea unor reguli corporative obligatorii.

Toate prevederile vor fi aplicate pentru a asigura faptul că protecția persoanelor fizice nu este subminată.

Când se poate face transferul de date în afara Uniunii Europene?

Regulamentul interzice transferul de date cu caracter personal în afara UE într-o țară terță care nu dispune de o protecție adecvată a datelor. Comisia Europeană are competența de a aproba anumite țări pentru a asigura un nivel adecvat de protecție a datelor, luând în considerare legislația privind protecția datelor în vigoare în țara respective și angajamentele internaționale ale acesteia.

În Articolul 45 – ”Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecţie”, Alineatul 1 se spune că: ”Transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională se poate realiza atunci când Comisia a decis că ţara terţă, un teritoriu ori unul sau mai multe sectoare specificate din acea ţară terţă sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesită autorizări speciale.”

Conform Considerentului 103 din GDPR, Comisia poate decide că o ţară terţă oferă un nivel adecvat de protecţie a datelor, asigurând astfel securitate juridică şi uniformitate în Uniune în ceea ce priveşte ţara terţă sau organizaţia internaţională care este considerată a furniza un astfel de nivel de protecţie. În aceste cazuri, transferurile de date cu caracter personal către ţara terţă sau organizaţia internaţională respectivă pot avea loc fără a fi necesar să se obţină autorizări suplimentare.

În prezent, pe listă țărilor considerate de UE că pot oferi un nivel adecvat de protecție a datelor personale putem întâlni următoarele 11 state, clasificate pe zone geografice.

  • Europa: Andora, Elveția, Insulele Feroe, Guernsey, Insula Man, Jersey
  • Orientul Mijlociu: Israel
  • America de Nord: Canada
  • America de Sud: Argentina și Uruguay
  • Asia-Pacific: Noua Zeelandă.

Sursa: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

Pentru transferurile de date dintre UE și Statele Unite există acordul internațional bine cunoscut sub denumirea de EU-US Privacy Shield. Un acord de cooperare cunoscut ca EU-US Safe Harbor exista încă din anul 2000. După o evoluție destul de controversată, cu o scurtă perioadă de întrerupere datorată unor litigii internaționale, în 12 iulie 2016 Comisia Europeană recunoaște caracterul adecvat de protecție asigurat de acest acord prin Decizia 1250/ 2016.

Dar ce ne facem cu transferurile de date către orice țară care nu este pe listă? În principiu, fiecare transfer de date către o țară care nu beneficiază în mod explicit de aprobarea UE pe bază de acorduri internaționale sau condiții de adecvare se poate realiza numai după solicitarea acordului pentru transfer. Ţara terţă ar trebui să ofere garanții care să asigure un nivel adecvat de protecţie, echivalent cu cel asigurat în cadrul Uniunii. Țara terţă ar trebui să asigure o supraveghere efectivă independentă în materie de protecţie a datelor şi să prevadă mecanisme de cooperare cu autoritățile statelor membre, iar persoanele vizate ar trebui să beneficieze de drepturi efective şi opozabile şi de reparaţii efective pe cale administrativă şi judiciară.

Conform Considerentului 108 din GDPR: ”În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, operatorul sau procesatorul ar trebui să adopte măsuri pentru a compensa lipsa protecţiei datelor într-o ţară terţă prin intermediul unor garanţii adecvate pentru persoana vizată. Astfel de garanţii adecvate pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecţie a datelor adoptate de Comisie, a clauzelor standard de protecţie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garanţii ar trebui să asigure respectarea cerinţelor în materie de protecţie a datelor şi drepturi ale persoanelor vizate corespunzătoare prelucrării în interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate şi a unor căi de atac eficiente, printre care dreptul de acces la reparaţii efective pe cale administrativă sau judiciară şi dreptul de a solicita despăgubiri, în Uniune sau într-o ţară terţă. Acestea ar trebui să se refere în special la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protecţiei datelor începând cu momentul conceperii şi principiul protecţiei implicite a datelor.”

Care sunt condițiile unui transfer în siguranță?

Conform Articolului 46 ”Transferuri în baza unor garanții adecvate” puteți transfera date cu caracter personal în cazul în care organizația care primește datele personale a furnizat garanții de siguranță adecvate. Drepturile persoanelor trebuie să fie executorii și ca urmare a transferului trebuie să fie disponibile căi de atac efective pentru persoanele fizice.

Se pot asigura garanții adecvate prin:

  • un instrument obligatoriu din punct de vedere juridic şi executoriu între autorităţile sau organismele publice;
  • reguli corporatiste obligatorii în conformitate cu articolul 47;
  • clauze standard de protecţie a datelor adoptate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
  • clauze standard de protecţie a datelor adoptate de o autoritate de supraveghere şi aprobate de Comisie în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2);
  • un cod de conduită aprobat în conformitate cu articolul 40, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate;
  • un mecanism de certificare aprobat în conformitate cu articolul 42, însoţit de un angajament obligatoriu şi executoriu din partea operatorului sau a persoanei împuternicite de operator din ţara terţă de a aplica garanţii adecvate, inclusiv cu privire la drepturile persoanelor vizate.

Sub rezerva autorizării din partea autorităţii de supraveghere competente, garanţiile adecvate menţionate la Alineatul (1) pot fi furnizate de asemenea, în special, prin:

  • clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din ţara terţă sau organizaţia internaţională;
  • dispoziţii care urmează să fie incluse în acordurile administrative dintre autorităţile sau organismele publice, care includ drepturi opozabile şi efective pentru persoanele vizate.

Ce se întâmplă cu transferurile bazate pe evaluarea unei organizații privind adecvarea protecției? GDPR vă limitează capacitatea de a transfera date cu caracter personal în afara UE, în cazul în care aceasta se bazează numai pe propria evaluare a caracterului adecvat al protecției acordate datelor cu caracter personal. Conform Articolului 84.5.c orice altă încercare de transfer, care nu se încadrează în prevederile Articolelor 44-49 este pasibilă de pedeapsa administrativa maximă.

Care sunt excepțiile aprobate?

Dar ne-am obișnuit ca orice reglementare strictă să vină și cu o serie de excepții. Care sunt excepțiile acceptate pentru transferul internațional de date? Potrivit Articolului 49 ”Derogări pentru situații specifice”, se poate efectua un transfer sau un set de transferuri în cazul în care transferul este:

  • făcut cu consimțământul informat al persoanei;
  • necesar pentru îndeplinirea unui contract între individ și organizație sau pentru măsurile precontractuale luate la cererea persoanei;
  • necesare pentru executarea unui contract încheiat în interesul persoanei fizice între operator și o altă persoană;
  • necesare din motive importante de interes public;
  • necesare pentru stabilirea, exercitarea sau apărarea revendicărilor legale;
  • necesare pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul;
  • făcut dintr-un registru care are drept scop furnizarea de informații publicului

De reținut că primele trei derogări nu sunt valabile pentru activitățile autorităților publice în exercitarea puterilor lor publice.

În fine, în cazul transferurilor de date neautorizate de dreptul Uniunii Europene, Articolul 48 din GDPR specifică faptul că orice hotărâre a unei instanţe sau a unui tribunal şi orice decizie a unei autorităţi administrative a unei ţări terţe care impun unui operator sau procesator de operator să transfere sau să divulge date cu caracter personal ”poate fi recunoscută sau executată în orice fel numai dacă se bazează pe un acord internaţional, cum ar fi un tratat de asistenţă judiciară reciprocă în vigoare între ţara terţă solicitantă şi Uniune sau un stat membru”.

Celor care nu le-au citit încă, le recomand precedentele articole ale seriei GDPR Explicitat:

ondițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

RoCS 2.0 – Tehnologii fără vârstă și fără frontiere

 

Pe 23 Noiembrie, la sediul DB Global Technology din București, a avut loc a 23-a ediție a RoCS, cel mai longeviv eveniment din industria IT. Tematica abordată în acest an a fost ”Reinventing IT: Technologies Without Borders and Beyond Ages”. Partenerii acestei ediții: DB Global Technology – partener principal, IBM, INFOWORLD, ABBYY și ESRI.

Din suflet, de suflet despre RoCS

Iată că a mai trecut un an. Cum am observat asta? Păi am mai participat la o ediție RoCS… Am fost la RoCS 2017 și am constatat cu bucurie că spiritual RoCS-ului nu s-a pierdut, desi industria este într-o continuă transformare. Marele merit al RoCS-ului, la venerabila vârstă de 23 de ani, este că a știut să se reinventeze, să se adapteze continuu la ce e nou, dar și să își păstreze, în același timp, esența. RoCS-ul a fost întotdeauna un loc unde oamenii au venit cu plăcere, să vadă ce mai e nou în IT, dar mai ales să discute despre integrarea acestor noutăți în viața de zi cu zi. Dar să nu uităm că RoCS-ul nu ar fi posibil fără implicarea unui grup inimos de organizatori, oameni cu experiență în industria de media din zona IT din grupurile iBusiness România și Agora Media, coordonate de carismatica și implicata organizatoare Mihaela GORODCOV, fondator și organizator al tuturor celor 23 de ediții. La multe RoCS-uri inainte, Mihaela!

Subiecte de avangardă, atmosfera colocvială

Marian Popa – General Manager DB Global Technology

Ediția din acest an nu s-a dezmințit. Leitmotivul prezentărilor a fost continua diversificare, reinventarea, transformarea, schimbarea… Parteneriatul special cu DB Global Technology s-a resimțit nu numai la buna organizare – o sală superbă, cu dotare de ultimă oră, dar care conferă participanților o atmosferă colocvială, de amfiteatru academic, ci și prin caracterul de interes al prezentărilor. În sesiunea plenară, domnul Marian Popa – General Manager DB Global Technology și un veteran al comunității de business IT din România, s-a referit la bankingul fără frontiere, un subiect de larg interes în contextul globalizării și al provocărilor tehnologice legate de asigurarea unor servicii cu largă acoperire geografică. Alte prezențe DB apreciate au fost prezentările susținute de Răzvan Cioc – Information Security Specialist la DB Global Technology, care a discutat despre provocările de Securitate în contextual procesului ireversibil de a oferi Totul-ca-și-serviciu și Robert Grozea – Technology Manager la DB Global Technology, care a vorbit despre importanța adoptării tehnologiilor Cloud în sectorul bancar, din perspectiva condițiilor speciale de Securitate și a garanților de confidențialitate specifice pentru această zonă.

Ca invitați speciali din zona guvernamentală au participat domnii Robert Rucăreanu – Consilier de Stat în Guvernul României, specialist cu ani buni de experiență în industria de soluții de telecom, networking și securitatea datelor și Mihail Cazacu – Director de Cabinet în cadrul CIO Office de pe lângă Guvernul României. Ambele discursuri au vizat importanța strategică a domeniului IT&C și provocările la cae va trebui să rasundem, atât prin evoluția tehnologică, cât și în calitate de membrii ai Uniunii Europene.

Sesiunea plenară a RoCS-ului a mai conținut două prezentări de mare interes, legate de dezvoltarea pieței din România. Eugen Schwab-Chesaru, vicepreședinte CEE la PAC a susținut o analiză generală a schimbărilor intervenite pe piața de IT&C din România, unde tehnologiile asociate cu comunicațiile mobile, IoT și transformarea digital prezintă cele mai spectaculoase perspective, în timp ce Cloudul și creșterea maturității în business se mențin pe un trend optimist, în ciuda unor ponderi considerabile ale factorilor de risc, iar standardizarea este cea mai puțin accelerate tendință adoptată.  A doua prezentare a avut ca temă un studiu al evoluției sectorului IT&C din România din perspectiva contribuției la PIB-ul României, realizat de Direcția de modelare și prognoze macroeconomice din cadrul BNR. Contribuția cumulată a sectoarelor radio-tv, telco și IT pentru prima jumătate a anului 2017, reprezintă 6% din PIB-ul nominal al României. Principalii factori care au contribuie la această realitate sunt volumul și buna pregătire a forței de muncă, calitatea infrastructurii și apartenența la UE. Peste 10000 de noi angajați au fost înregistrați anual în perioada ultimilor 5 ani. Într-o proiecție până în anul 2025, bazată pe o modelare de analiză și prognoză pe termen mediu, reiese că sectorul IT&C va avea o pondere de 12,1% din PIB – dacă se păstrează ritmul de creștere din 2016, respectiv 9,6% în alte două scenarii în care se ia în calcul media pe ultimii 5 ani, respectiv ultimii 10 ani.

Alte două intervenții au întregit sesiunea plenară din cadrul RoCS 2017: Dragoș Mateescu – consultant de business, un alt veteran al industriei de IT din România, s-a referit la importanța impactului schimbărilor din tehnologie și, implicit, modul în care inovația tehnologică acționează asupra evoluției indivizilor. O altă prezentare interesantă, care ne trimite la viitorul tehnologic nu prea îndepărtat a fost susținută de Răzvan Popescu – senior manager E&Y, care  s-a referit la tendința în continua creștere de  asimilare a roboților, atât în industrie, cât și in domenii ce țin de zona de consumer. Cum trebuie să privim folosirea roboților software: ca pe o oportunitate sau ca pe o amenințare?

Despre protecția datelor personale

Tematica GDPR nu putea să lipsească de la RoCS, fiindu-i dedicată o sesiune specială care a conținut patru prezentări. În prima intervenție, intitulată ”10 elemente distruptive aduse de GDPR”, am ales ca temă de discuții importanța momentului GDPR văzută prin prisma efectului disruptiv pe care îl are asupra tuturor organizațiilor care prelucrează date cu caracter personal, indiferent de mărime și domeniul de activitate. Căci noul regulament EU 2016/ 679 vine cu o forță  schimbării fără precedent, care va produce mutații majore, continue și ireversibile pentru multe companii. GDPR nu este un simplu proiect IT. Este un amplu proces de business. După trecerea în revistă a principalelor elemente de noutate cu care vine GDPR, am încheiat expunerea cu un mesaj optimist, legat de beneficiile majore pe care îndeplinirea condițiilor de performanță stipulate de GDPR le va avea asupra eficientizării proceselor de afaceri. Căci GDPR nu trebuie privit doar ca pe o obligație birocratică sau un simplu proiect de upgrade a soluțiilor de siguranță a datelor. GDPR ne oferă marea oportunitate să parcurgem cea mai grea etapă din amplul proces de transformare digitală.

Ca o continuare firească a tematicii abordate, Fernanda Velter – GDPR Readiness Coordinator în cadrul IBM Client Innovation Centers Europe, a prezentat provocările cu care se confruntă furnizori de IT în implementarea EUGDPR. Puțini știu că IBM a demarat încă de acum 10 ani un program de protecție și siguranță a datelor, care fundamenta cele mai importante prevederi ale GDPR, dar la nivelul întregului proces de business. Astăzi IBM este conștient de importanța GDPR și derulează o serie de activități care vin în sprijinul comunităților de parteneri și de clienți, pentru continuitatea și eficientizarea proceselor de business.

Aceeași sesiune a găzduit o altă prezentare cu o tematică extrem de sensibilă în conjunctura GDPR. Daniel Nistor – CEO Infoworld a vorbit despre importanța păstrării echilibrului între intimitate și securitate în sistemele de eHealth. Infoworld este printre puținele companii din România specializată în soluții pentru domeniul medical, unde deține o vastă experiență în proiecte europene sau chiar în implementări în Statele Unite. Companie este membru al organizației HL7 Internațional și fondator al Asociației Naționale HL7 Romania.

O altă prezentare specializată a fost susținută de Bogdan Chevereșan – Business Development Manager la ESRI România care a discutat despre importanța activităților de observare ale terrei, ca unul dintre vectorii dezvoltării smart city și a unei societăți sigure și inteligente. Prezentarea a fost însoțită de ample discuții și comentarii referitoare la lipsa de interes pentru soluțiile geospațiale la nivelul multor organizații publice locale, confruntate cu probleme serioase legate de coordonatele diferitelor parcele sau chiar de hărțile digitale ale localităților care nu conțin adresele reale.

RoCS-ul în sine este cel mai bun exemplu de continuă adaptare și transformare, într-o industrie care evoluează nebunește. La RoCS puțini sunt cei care vin să vândă. Rar vezi o prezentare stereotipă de corporație. Fiecare ediție a reprezentat o reinventare, prin alegerea subiectelor de cea mai fierbinte actualitate. Așa cum scriam și într-un articol de anul trecut (vezi referințele din final) la RoCS se vorbește pe bune despre fiecare subiect. Pe bune, cu bune și cu rele. Oamenii se regăsesc în aceste subiecte și participă spontan la discuții.

Articole cu tematică asemănătoare:

”RoCS 2016: pe bune despre transformarea digitală a României”

”Despre RoCS din fața, dar mai ales din spatele cortinei”

 

Conferința de Cloud – o dovadă incontestabilă a maturizării pieței de Cloud din România

 

Una dintre primele impresii de la Conferința de Cloud a fost: ”Iată, în sfârșit un eveniment dedicat 100% Cloudului. Nu numai tehnologiilor Cloud, ci și implicațiilor de business pe care le generează”. Căci astăzi, Cloudul înseamnă tot mai mult pentru toți, fie că ne dăm seama de asta sau nu.

Contemporani cu evoluția Cloudului

Istoricul meu profesional este strâns împletit cu evoluția Cloudului. Am scris despre Cloud, despre beneficiile sale pentru business, dar și despre punctele sale critice de câțiva ani buni. Am făcut campanii de marketing și am vorbit cu oamenii la telefon despre beneficiile de a avea la dispoziție resurse 24 de ore/ 24. Am inițiat primele vânzări, timide, de Cloud într-o vreme în care nimeni nu se pricepea la asta, iar utilizatorii nu se simțeau prea confortabil cu stocarea datelor ”într-un loc al nimănui”… În fine, de peste 4 ani CloudMania s-a transformat dintr-un hobby într-o platformă de knowledge și servicii oferind celor care au nevoie informații și recomandări despre adoptarea, migrarea sau dezvoltarea soluțiilor Cloud.

În toată această perioadă, poziționarea Microsoft față de Cloud a evoluat de la primii pași timizi de susținere a produsului Business Productivity Online Suite, la strategia gândită de Satya Nadella, prin care se redefinește modul în care companiile fac afaceri în Cloud. M-am bucurat să regăsesc la Conferința de Cloud o comunitate românească de parteneri care dezvoltată și promovează soluțiile Microsoft pentru Cloud.

Mihai Tătăran – Azure MVP și CEO Avaelgo

Efectul disturbator generat de tehnologiile Cloud computing a ajutat multe companii să-și transforme practicile IT în ultimii ani. Experții sunt de acord că piața se pregătește pentru al doilea val de dezvoltare, odată cu adoptarea tot mai intensivă a serviciilor Cloud publice, private și hibride. Un sondaj Forrester Research relevă că 38% dintre factorii de decizie declară că mizează pe soluții Private Cloud, în timp ce 32% adoptă servicii de Cloud Public, iar restul planificând să pună în aplicare o formă de tehnologie Cloud în acest an. Soluțiile de Cloud Hybrid se bucură de cea mai spectaculoasă dinamică de evoluție, oferind o alternative care este pe placul tuturor. Conform Forrester, piața globală de Cloud Public va ajunge în 2018 la peste 178 miliarde de dolari, cu o creștere anuală de peste 22%, în timp ce platformele de Cloud Public vor genera în 2018 peste 44 miliarde de dolari.

Un eveniment făcut de profesioniști pentru profesioniști

Revenind la Conferința de Cloud, organizată de compania Avaelgo și partenerii săi în București pe 23 Noiembrie, a fost un eveniment al comunității Azure din România, făcut de profesioniști IT cu o mare experiență de piață, pentru profesioniști interesați de integrarea avantajelor oferite de Cloud în procesele lor de afaceri. Văzând entuziasmul speakerilor și concentrarea celor prezenți, mi-am amintit primele evenimente în care, în calitate de partener Silver, prezentam pentru prima oară soluțiile Cloud de la Microsoft, într-o perioadă de maximă glorie a soluțiilor dezvoltate on-premises. Și nu sunt prea mulți ani de atunci…

Am apreciat modul de abordare gândit de organizatori, care au grupat auditoriul în două secțiuni paralele, una de business și cealaltă tehnică. Trebuie să mărturisesc, că deși la început am fost interesat cu precădere de sesiunile de business am schimbat de mai multe ori cele două secțiuni, care au reunit 13 sesiuni, susținute de 16 experți, dintre care 4 Microsoft Most Valuable Professionals (MVPs).

După cum era și firesc, în zona de business s-a vorbit cu precădere despre adopția accelerată a soluțiilor Cloud și monitorizarea consumului acestora, definirea strategiilor de migrare a soluțiilor și a organizațiilor în Azure, migrarea soluțiilor în Microsoft Azure cu Lift & Shift, Microsoft Azure ca și soluție pentru Disaster Recovery, precum și meridianele Cloud – Rețele virtuale și compozite. O remarcă specială pentru prezentarea profesională a avantajelor migrării la platforma Azure, abordată în prezentările susținute de Mihai Tătăran – Azure MVP și CEO Avaelgo, Daniel Popescu – Senior Cloud Architect la Avaelgo și Alex Ricoban – Information Security Manager la Fortech. S-a vorbit aici despre situațiile în care Cloud-ul are sens, care sunt lucrurile la care trebuie să te gândești când se alege migrarea unei soluții în Cloud sau despre cum putem defini o strategie Cloud la nivel de organizație. Migrarea cu succes a proceselor de afaceri către Cloud este total diferită pentru fiecare companie. Aici nu există rețete de copiat. Sunt companii care preferă migrarea spre Cloud cu abordarea Lift and Shift, adică urcarea soluțiilor existente în Cloud, fără a le schimba arhitectura. O altă soluție este oferită de Microsoft 365, care asigură optimizarea managementului IT-ului prin creșterea eficienței globale și reducerea forței de muncă aferente.

O altă valență oferită de infrastructura Microsoft Azure pentru clienți este folosirea ca soluție pentru Backup și Disaster Recovery. Tudor Damian de la Avaelgo a susținut o pledoarie pentru ceea ce înseamnă cu adevărat continuitatea afacerii și recuperarea în caz de catastrofe. Continuitatea în business este o cerință critică esențială, în special în contextual noului regulament European pentru protecția datelor personale.

Invitații panelului GDPR

De altfel, tematica GDPR a devenit extrem de fierbinte, în special în industria de Cloud. Sesizând importanța subiectului și a momentului, Conferința de Cloud a avut două sesiuni dedicate acestei tematici. Prima a fost un Open Panel moderat de Tudor Damian – Cloud and Datacenter Management MVP & CIO  la Avaelgo la care au participat Cristiana Fernbach – Avocat cu specializare în IT și protecția datelor, Oana Terteleac – Enterprise Channel Manager și GDPR Advisor la Microsoft și Tudor Galoș senior consultant. Invitații prezenți la panelul “Pregătiți pentru GDPR” au prezentat o imagine de ansamblu, atât pe parte juridică și de securitate cibernetică, cât și pe parte operațională, prin abordarea schimbărilor necesare în cadrul companiilor pe parte de procese, proceduri și instrumente interne.

A doua, a abordat tematica GDPR și principalele provocări identificate de PwC, prezentate de Robert Stoicescu – Manager Servicii Securitate Informatică în cadrul PwC România.  Conform companiei de consultanță, cele mai multe provocări, cu care se confruntă marea majoritate a companiilor din România sunt legate de lipsa unor concepte teoretice de bună practică, care să poată fi puse în aplicare prin procese și funcționalități. Una dintre marile provocări ale adoptării GDPR în România va fi conștientizarea angajaților în privința răspunderii lor la procesarea datelor personale, și la implementarea unor coduri de conduită bazate pe regulile de bază din securitatea informațiilor.

Brian Kainec – Global Head Presales, COMPAREX

În contextual amplelor transformări pe care trebuie să le parcurgem, o altă prezentare interesantă din secțiunea de business a fost expunerea susținută de Brian Kainec – Global Head of Presales, UCM & CCM la COMPAREX care a abordat procesul de accelerare a transformării digitale prin adopția celor mai performante tehnologii. Asta înseamnă adopția tehnologiilor digitale la procese, produse și valorile companiei pentru a crește eficiența în business și nivelul de retenție al clienților.

Desfășurată în paralel, secțiunea tehnică a reunit prezentări ce au abordat soluțiile arhitecturale de tip Azure IaaS și PaaS, facilitățile de automatizare a dezvoltării integrate de platforma Azure, funcționalitățile Site Recovery & Backup oferte de Microsoft Azure. O mențiune specială pentru prezentarea susținută de Cornel Popescu – System Engineer la Veeam care a discutat despre protecția datelor în structurile de tip Cloud Hibrid. S-a pus accentul pe opțiunile de recuperare și disponibilitate a datelor, precum și pe strategiile legate de modul în care se poate asigura deplina disponibilitate a datelor.

O altă prezență interesantă a fost Chaim Shachar – Vicepresident Sales la compania AudioCodecs, care a prezentat ”To Cloud or not to Cloud?” – un ghid practic pentru adoptarea noilor tehnologii de comunicații. Cea mai convenabilă modalitate de protecție a investițiilor este alegerea unei soluții hibride de comunicații, care permite beneficiile comunicațiilor unificate, cu o migrare la soluțiile de voce în Cloud, atunci când vor fi disponibile.

Felicitări, încă o dată, echipei Avaelgo pentru ideea și eforturile depuse pentru organizarea Conferinței de Cloud, un eveniment care ar putea fi reluat cu succes în fiecare an. Partenerii care au susținut Avaelgo la Conferința de Cloud au fost Microsoft, Comparex, ALEF Distribution, PwC, Veeam, Yalos Solutions și AudioCodecs.  

Photo credit: Avaelgo – Conferința de Cloud

Cum poate organizația dumneavoastră să beneficieze de pe urma GDPR?

Autor: Scott REGISTER, Vice President of Product Management for Security and Cloud, Ixia Solutions Group, a Keysight business

GDPR (Regulamentul general privind protecția datelor) va intra în vigoare în spațiul Uniunii Europene în data de 25 mai 2018. Scopul principal al acestei reglementări este protecția datelor utilizatorului și acordarea controlului efectiv al utilizatorilor asupra acestor date.

Unul dintre principalele ingrediente ale GDPR este „pseudonimizarea” datelor, ceea ce înseamnă că, dacă cineva obține date aparținând unui utilizator, acestea nu trebuie să aibă capacitatea de a conecta acele date cu un anumit utilizator. Aceasta se poate realiza prin criptarea sau mascarea datelor și ar trebui efectuată cât mai curând posibil pentru a asigura protecția maximă. Companiile care încalcă GDPR prin protecția necorespunzătoare a datelor utilizatorului riscă amenzi mari, care pot merge până la 4% din venitul anual.

Deși acest lucru poate constitui o problemă pentru organizații în procesul de recuperare și reconstituire a datelor, acest proces nu este in mod necesar negativ, şi aceasta din mai multe motive. În primul rând, acesta înlocuiește un mozaic de reglementări naționale cu un singur set de reguli la nivelul UE, ceea ce face conformitatea mult mai facilă și mai puțin costisitoare pentru corporațiile multinaționale. În al doilea rând, poate fi folosit ca o oportunitate de a reglementa procesele interne și de a îmbunătăți securitatea, ceea ce are beneficii atât pe termen scurt, cât și pe termen mediu și lung.

Datele care au trecut prin procesul de „pseudonimizare”, criptarea acestora și constrângerile de audit (și de trasabilitate) sunt mai mult decât provocări tehnologice, întrucât tehnologia adecvată este disponibilă pe scară largă în produsele off-the-shelf. Acestea ar trebui văzute de drept ca provocări legate de gestionarea datelor. Pentru a asigura protecția și evidența datelor personale ale utilizatorilor în toate etapele procesării, trebuie stabilit un singur flux de proces pentru achiziționarea, manipularea, prelucrarea, stocarea și dispunerea datelor respective într-un singur flux de lucru.

Specialiștii IT știu că integrarea datelor – combinarea și compararea datelor din mai multe surse, cum ar fi bazele de date disparate – este una dintre cele mai dificile provocări operaționale cu care se confruntă și implică adesea multă muncă. Multe organizații ar putea fi chiar puse în încurcătura dacă ar trebui să dezvăluie că gestionarea și prelucrarea datelor cheie se realizează prin completarea manuală a unei foi de calcul, care nu este automatizată, eficientă, foarte sigură sau ușor de auditat.

GDPR oferă un catalizator extern prin care IT-ul poate avea un avantaj pentru a forța îmbunătățirile procesului de gestionare a datelor. Începând din luna mai a anului următor, organizațiile vor fi obligate să localizeze datele utilizatorilor într-un spațiu protejat și să monitorizeze cu atenție accesul la acesta – care este scopul final al personalului IT de securitate. Aceasta nu mai este o dezbatere cu privire la probabilitatea sau costul unei breșe reale. Simpla eșuare de a proteja datele în mod corespunzător va fi pedepsită și va fi costisitoare. Mai mult decât atât, spre deosebire de un atac de scurtă durată sau unul de tip DDoS, GDPR este larg mediatizat, ușor de înțeles în esența lui și foarte clar în privința faptului că fiecare organizație care operează în UE este supusă acestuia.

Un beneficiu suplimentar la această cerință îl reprezintă reducerea IT-ului din umbră, deoarece datele stocate în depozitele disparate nu pot fi ușor pseudonimizate sau auditate. Organizația inteligentă nu va utiliza GDPR ca pe un mijloc (sau a unui pretext) pentru a iniția cheltuieli majore de noi soluții de securitate, ci ca pe un laser pentru a re-imagina conductele lor de prelucrare a datelor având securitatea ca punct central, cu multe avantaje convingătoare:

1 Achiziționarea de date – în cadrul GDPR, va fi esențial ca datele utilizatorilor care stau în jurul punctelor de colectare (cum ar fi terminalele Point of Sale) să nu fie lăsate mai mult decât este necesar și ca acestea să fie criptate cât mai curând posibil. Acest lucru va reduce cerințele distribuite de stocare, va îmbunătăți securitatea și va facilita transferuri mai rapide de date de la punctele de colectare către miezul afacerii – fapt ce are avantajul de a permite o înțelegere mai rapidă a afacerilor în timp real. Într-o organizație de retail, de exemplu, nu ar fi mai bine să se știe în câteva minute că magazinele văd o creștere a vânzărilor unui anumit pulover, mai degrabă decât în câteva zile?

2 Transferul de date – până în prezent, majoritatea organizațiilor au implementat tehnologia VPN, însă pentru cei ramași în urmă acest lucru va alimenta IT-ul pentru a forța actualizarea.

3 Prelucrarea și stocarea datelor – GDPR cere ca datele să fie pseudonimizate cât mai curând posibil, ceea ce înseamnă că nu trebuie să fie posibilă corelarea unui anumit utilizator cu un set de date; de exemplu, datele ar putea arăta că 180 de cumpărători se aflau într-o anumită sucursală a unei bănci într-o zi, dar nu și cine erau acei utilizatori. Acest lucru poate determina o reconsiderare atentă a datelor colectate, modul în care acestea sunt stocate și asigurarea faptului că deciziile critice bazate pe utilizatori (cum ar fi direcționarea anunțurilor către un anumit client pe baza comportamentului acestuia) se fac cât mai repede posibil – cu rezultate de afaceri foarte benefice. Și prin automatizarea acestei procesări vs. Cea manuală se realizează o protecție mult mai ușoară și mai controlată a datelor.

4 Stocarea și dispunerea datelor – orice date stocate de utilizator prezintă un risc de compromis. Îndepărtarea mai agresivă a datelor utilizatorilor, în special a celor detaliate și non-pseudonimizate, va reduce atât costurile de stocare, cât și dictarea unor controale mai stricte privind gestionarea datelor (cum ar fi dispunerea copiilor de rezervă). În special, acești pași trebuie să fie clar documentați și auditați în mod regulat, fapt ce va intra adesea în sarcina responsabilului cu protecția datelor Data Protection Officer (DPO). Traseul de audit va deveni deosebit de important dacă practica unei organizații este contestată în instanță, deoarece un jurnal de audit clar și consecvent va oferi o apărare robustă a protecției datelor organizației și respectării GDPR.

Bazându-se pe publicitatea din jurul inițiativei de a face ca organizația să răspundă și cu deadline-ul apropiindu-se rapid, magazinele IT trebuie să facă din GDPR o prioritate urgentă. Piatra de temelie a unei abordări eficiente și productive în cadrul strategiei GDPR nu este de a descompune procesul actual în pași discreți și de a implementa soluții de securitate punct pentru a face ajustări de securitate necoordonate pe parcursul acestor pași. Cea mai bună abordare este de a lua în considerare și de a răspunde la următoarele întrebări:

  • Ce date colectăm despre utilizatorii noștri?
  • Cum le colectăm?
  • Cât de rapid le putem muta din punctul de colectare către centrul de date pentru procesare?
  • Cum procesăm acele date și cât timp trebuie ca elementele de date să fie identificabile
  • personal?
  • Cât de repede putem renunța la toate sau la o parte din ceea ce am colectat?
  • Cum putem proteja și pseudonimiza acele date într-un mod holistic și ușor de verificat?

Organizația care abordează GDPR ca pe o re-imaginare a proceselor de afaceri, mai degrabă decât ca pe o erupție a cheltuielilor noi de securitate, va constata că beneficiile pe termen lung depășesc cu mult securitatea și că atitudinea lor generală in privința securității este mult îmbunătățită.

Articol publicat de compania IXIA în Catalogul GDPR Ready, Octombrie 2017.

%d bloggers like this: