PARIUL CELOR 100 DE ZILE

Au mai rămas fix 100 de zile până la intrarea în vigoare a noului Regulament european privitor la prelucrarea datelor personale. Să fie 25 Mai 2018 data la care detonează bomba? N-ar trebui să privim așa. Trebuie să ne gândim că este un deadline pentru terminarea și predarea unui proiect. În mod firesc urmează consolidarea și susținerea acestuia.

Mulți apreciază că cele mai mari companii nu au cum să fie gata până atunci. Sunt speculații că ar apărea niște termene de grație. Cât despre companiile mici și mijlocii, proorocii zic că multe or să dispară. Povești. Cu cât o companie este mai mica, și procesele de business sunt mai simple, iar fluxurile de date mai ușor de mapat și implicit datele mai simplu de protejat. Tot ce trebuie să facă un IMM este să cunoască foarte bine prevederile GDPR și să mențină o serie de proceduri obligatorii pentru sănătatea în business. Da, lucrurile nu sunt simple și nu oricine are răbdare să citească cele 99 de articole și 173 de considerații din textul GDPR. Dar pentru asta sunt specialiștii și consultanții. Și mai sunt și diferitele ghiduri elaborate din inițiativele autorităților sau comunității private.

 

Europa are nevoie de firul Ariadnei în labirintul către GDPR

Se cuvine să amintim aici recentul Ghid online  lansat de Comisia Europeană la sfârșitul lunii ianuarie, care conține întrebări și răspunsuri esențiale pentru cetățeni și organizații, în special cele din zona IMM. Important pentru companiile mici și mijlocii din țara noastră este că au la dispoziție și o versiune de conținut a Ghidului în limba română.

Pe această pagină putem găsi un document foarte important pentru analiza procesului de adopție GDPR și în special pentru activitățile care urmează să se desfășoare în sprijinul autorităților locale și al cetățenilor. Este vorba de o ”Comunicare a Comisiei către Parlamentul European și Consiliul Europei” prin care se trec în revistă Orientările Comisiei privind aplicarea directă a Regulamentului general privind protecția datelor de la 25 mai 2018. Documentul recapitulează principalele inovații și oportunități oferite de noua legislație a UE privind protecția datelor, face bilanțul activităților pregătitoare efectuate până în prezent la nivelul UE, evidențiază ceea ce ar trebui să facă în continuare Comisia Europeană, autoritățile naționale pentru protecția datelor și administrațiile naționale pentru finalizarea cu succes a etapei de pregătire, stabilind totodată măsurile pe care Comisia intenționează să le adopte în următoarele luni.

Tot în acest document găsim o evidență a activității Grupului de lucru Articolul 29 – cunoscut sub abrevierea WP29, care reunește toate autoritățile naționale pentru protecția datelor, inclusiv Autoritatea Europeană pentru Protecția Datelor. WP29 joacă un rol esențial în pregătirea punerii în aplicare a regulamentului, prin publicarea de orientări pentru întreprinderi și pentru alte părți interesate. Iată o listă complete a diferitelor ghiduri și recomandări elaborate de Grupul de lucru sau aflate în curs de procesare:

 

Dreptul la portabilitatea datelor Adoptat la 4-5 aprilie 2017
Responsabili cu protecția datelor
Desemnarea autorității de supraveghere principale
Evaluarea impactului asupra protecției datelor Adoptat la 3-4 octombrie 2017
Amenzi administrative Adoptat la 3-4 octombrie 2017
Crearea de profiluri Activitate în curs
Încălcarea securității datelor Activitate în curs
Consimțământul Activitate în curs
Transparența Activitate în curs
Certificarea și acreditarea Activitate în curs
Criterii de referință privind adecvarea Activitate în curs
Reguli corporatiste obligatorii pentru operatori Activitate în curs
Reguli corporatiste obligatorii pentru persoanele împuternicite de către operatori Activitate în curs

Întrucât este esențial ca operatorii să dispună de un set unic și coerent de orientări, ghidurile actuale realizate din inițiative naționale trebuie aduse în conformitate cu cele adoptate de WP29 cu privire la același subiect.

Aceste ghiduri nu sunt bătute în cuie, ci se actualizează prin procese consultative permanente și pe baza celor mai bune practici. Fiecare ghid de recomandări trebuie să fie supus unei consultări publice înainte de a fi finalizat. Responsabilitatea finală pentru aceste orientări revine grupului de lucru instituit prin articolul 29 și viitorului Comitet european pentru protecția datelor. Pentru a crea posibilitatea modificării orientărilor în lumina evoluțiilor și a practicilor, este esențial ca autoritățile pentru protecția datelor să promoveze o cultură a dialogului cu toate părțile interesate, inclusiv cu organizațiile. Este de reținut că în momentul în care apar neclarități referitoare la interpretarea și aplicarea regulamentului, instanțele de la nivel național și de la nivelul UE sunt cele care vor furniza interpretarea definitivă a acestuia. Citiți cu atenție textul Comunicării. Cu siguranță veți mai găsi multe aspect de interes pentru etapele care urmează.

Norme pentru companii și organizații

Ce mai găsim în Ghidul online al Comisiei Europene? În primul rând o serie de întrebări și răspunsuri fundamentale, menite să expliciteze normele aplicabile organizațiilor care procesează date personale. Iată o trecere în revistă a acestora:

Aplicarea regulamentului: ● Cui i se aplică Regulamentul privind protecția datelor? ● Se aplică normele în cazul IMM-urilor? ● Normele de protecție a datelor se aplică datelor referitoare la societăți?

Principiile GDPR: ● Ce date pot fi prelucrate și în ce condiții? ● Scopul prelucrării datelor ●  Cât de multe date se pot colecta? ● Cât timp pot fi păstrate datele și se impune actualizarea lor? ● Ce informații trebuie să le oferim persoanelor ale căror date sunt colectate? ● Privire generală asupra principiilor r

Administrațiile publice și protecția datelor: ● Care sunt principalele aspecte ale Regulamentului general privind protecția datelor (RGPD) pe care ar trebui să le cunoască o administrație publică? ●Cum tratăm solicitările din partea persoanelor fizice? ●Ce se întâmplă dacă o administrație publică nu respectă normele privind protecția datelor?

Temeiul juridic al prelucrării datelor: ●  Motivele prelucrării ●Date sensibile ● Există garanții specifice pentru datele referitoare la copii? ● Pot fi folosite pentru marketing datele primite de un terț?

Obligații: ● Operator/persoana împuternicită de operator ● Sunt identice obligațiile indiferent de volumul de date pe care îl gestionează societatea/organizația mea? ● Ce înseamnă asigurarea protecției datelor „începând cu momentul conceperii” și „în mod implicit”? ● Ce este o încălcare a securității datelor și ce trebuie făcut în cazul unei asemenea încălcări? ● Când este necesară o evaluare a impactului asupra protecției datelor (DPIA)? ● Responsabilii cu protecția datelor ● Ce norme se aplică dacă organizația mea transferă date în afara UE? ● Cum pot demonstra că organizația mea se conformează la GDPR?

Relațiile cu cetățenii: ● Cum trebuie tratate solicitările din partea persoanelor fizice care își exercită drepturile privind protecția datelor? ● Ce date și informații cu caracter personal poate accesa o persoană fizică la cerere? ● Suntem obligați întotdeauna să ștergem datele cu caracter personal dacă o persoană ne cere acest lucru? ● Ce se întâmplă dacă cineva se opune la prelucrarea datelor sale cu caracter personal de către societatea mea? ● Pot persoanele fizice să solicite transferarea datelor lor la o altă organizație? ● Există restricții privind utilizarea proceselor decizionale automate?

Aplicarea legii și sancțiuni: ● Aplicarea legii ● Sancțiuni

Ghilotina amenzilor uriașe

Ce se mai întâmplă în România?  GDPR a ajuns în sfârșit un subiect pe burtierele emisiunilor de știri și un cuvânt cheie în titlurile mari de prin ziare. S-au înmulțit evenimentele de popularizare și conștientizare a noului regulament, ceea ce e bine pentru că GDPR trebuie să ajungă la mase. Personal am mari îndoieli legate de eficiența unora dintre evenimente care își propun să facă awareness, dar percep taxe de participare de peste 100 de euro…

Cu toate astea, mai de frică, mai de spaimă, lucrurile au început să se miște. E bună și spaima, dacă în cele din urmă te convingi că lucrurile sunt serioase și e timpul să faci ceva pentru afacerea ta acum. O bună parte din presiunea care s-a pus pe orice are legătură cu GDPR e legată de ghilotina amenzilor uriașe. Majoritatea covârșitoare a articolelor, prezentărilor și materialelor de popularizare pe care le-am văzut încep cu triada:

  1. Mai ai de trăit până pe 25 mai 2018
  2. Oricând riști o amendă de 20 de milioane de euro
  3. Vin-o la noi și îți arătăm calea…

În acest context, de salutat inițiativa Autorității Naționale de Supraveghere pentru Prelucrarea Datelor cu Caracter Personal (ANSPDCP) de a face puțină lumină în discuțiile legate de amenzile cu care vine GDPR. Într-un Comunicat de presă de la începutul acestei luni Autoritatea explică persoanelor vizate că au posibilitatea de ași exercita drepturile privitoare la protecția datelor personale în mod gratuit, și tot gratuite sunt și plângerile adresate operatorilor sau autorității. Dacă plângerea este admisibilă, aceasta va putea fi urmată de o investigație la operatorul de date reclamat.

Măsurile corective pe care Autoritatea de Supraveghere le va putea dispune în temeiul Noului Regulament General privind Protecția Datelor Personale se referă la: dispunerea unei avertizări în atenția unui operator, acordarea unei mustrări, obligarea operatorului să informeze persoana vizată cu privire la o încălcare a protecției datelor, impunerea unei limitări temporare sau definitive, inclusiv o interdicție asupra prelucrării, rectificarea sau ștergerea datelor sau restricționarea prelucrării, etc.” se arată în comunicatul Autorității.

Mai departe se face clarificarea cazurilor în care e nevoie să se aplice sancțiuni cu amendă. Acestea nu vor fi aplicate fără a avea la bază o analiză temeinică, în funcție de circumstanțele fiecărui caz în parte.” Și totuși, ”atunci când se va lua decizia dacă să se impună o amendă administrativă, precum și valoarea acesteia în fiecare caz în parte, se va acorda atenția cuvenită criteriilor prevăzute de Regulamentul General privind Protecția Datelor, astfel încât să se asigure principiul proporționalității,” se specifică în comunicat.

În fine, propunându-și susținerea creșterii nivelului de conștientizare, Autoritatea de Supraveghere se delimitează de opiniile lansate tot mai des în spațiul public, care induc în mod greșit ideea că sancțiunile cu amenzi la nivel maxim sunt singurele măsuri corective la care se poate recurge”. Totodată, Autoritatea se delimitează și respinge publicitatea agresivă a unor terțe părți în încercarea de monetizare a prevederilor Regulamentului General privind Protecția Datelor, prin mediatizarea ”perspectivei de a se aplica amenda maximă de 4% din cifra de afaceri” și acreditarea ideii false că aplicarea amenzii maxime ar fi principalul obiectiv al Regulamentului.

 În toate discuțiile pe care le am cu diferitele organizații și în luările mele publice de cuvânt pledez pentru o atitudine optimist-constructivă în relația cu GDPR, pe care trebuie să îl abordăm cu toată responsabilitatea. Oricine parcurge procedurile și procesele esențiale din proiectul de implementare a conformității GDPR face un mare pas înainte pentru că își pune ordine în toate datele cu care operează, nu numai în datele personale. Odată parcurse niște etape, cele mai multe asimilabile cu un proces de implementare a unui standard de calitate, capeți o încredere mai mare în oportunitățile tale și, ce e cel mai important oferi încredere clienților, partenerilor și angajaților.

Advertisements

Provocarea GDPR: de la oameni, la procese și tehnologie

Cât de pregătiți sunteți?

Pe lângă provocările de ordin procedural (consimțământ, training-ul angajaților, codurile de conduită, certificări, notificări în caz de incidente), noul regulament, GDPR, vine și cu provocări de ordin tehnic: securizarea, clasificarea datelor, definirea utilizatorilor, a accesului. Toate acestea reprezintă subiecte cărora trebuie să le acordam o atenție sporită, deoarece este vorba de implementări de soluții software care necesită bugetări, aprobări speciale pentru achiziție, POC-uri, instalări, într-un cuvânt, TIMP, iar în acest moment suntem la doar câteva luni până la aplicarea sancțiunilor (2% din CA globală sau până la 20 milioane de euro).

Știți unde să vă concentrați atenția? Știți unde se află datele necesare pentru a evalua dacă îndepliniți cerințele de conformitate cu GDPR? Toate tehnologiile pe care le implementați pentru a obține conformitatea cu GDPR vă vor ajuta să îmbunătățiți strategia generală de securitate, astfel încât să puteți avea o afacere mai bună și mai competitivă.

Pașii unui proiect de conformitate cu GDPR:

1.Descoperirea datelor și evaluarea riscurilor – Identificați datele personale și unde se află acestea în mediile dumneavoastră de tip cloud/local. Acest lucru ar putea dura luni și implică colaborarea cu toate departamentele pentru a înțelege ce date sunt utilizate, stocate și tranzacționate.

2.Audit de protecție a datelor – Acum că știți unde se găsesc toate datele dumneavoastră, trebuie să evaluați dacă există tehnologii și procese potrivite pentru a vă ajuta să controlați accesul la sistemele dumneavoastră.

3.Evaluarea securității – Evaluați soluțiile de securitate existente pentru a stabili dacă tehnologiile pe care le aveți în utilizare oferă o protecție adecvată, în timp real, construită pentru amenințările actuale. Ca de exemplu, malware-urile complexe care sunt concepute pentru a ocoli măsurile tradiționale de securitate bazate pe semnături. Identificați toate vulnerabilitățile și lacunele. Experții noștri vă vor ajuta să creați un sistem de securitate integrat și actual.

4.Planul de răspuns la incidente – Aplicați tehnologiile și procesele de securitate pentru a opri un incident, pentru a atenua impactul și a îl raporta. Raportul dumneavoastră către autorități trebuie să includă consecințele posibile ale încălcării și acțiunea pe care o veți lua pentru a atenua posibilele efecte negative asupra persoanelor vizate.

Romsym Data, prin intermediul partenerilor și a specialiștilor săi, vă propune un program de conformitate care vă va ajuta să înțelegeți:

  • Cât de pregătit sunteți;
  • La ce riscuri ar putea fi expusă organizația dumneavoastră;
  • Principalele proiecte și implementări de tehnologii pe care le-ați putea întreprinde în pregătirea pentru GDPR.

Acest articol a fost publicat de compania Romsym Data în Catalogul GDPR Ready

Sunteți pregătiți pentru GDPR? Noi suntem pregătiți să vă ajutăm

Acest articol a fost publicat de compania Omega Trust îCatalogul GDPR Ready, Octombrie 2017

Ce este GDPR? Regulamentul European privind Protecția Datelor (GDPR) stabilește principii și măsuri de protecție a datelor cu caracter personal ale cetăţenilor Uniunii Europene pentru companiile și instituțiile care procesează astfel de date. GDPR reprezintă challenge-ul companiilor publice și private din următoarele 12 luni și este prima reglementare completă cu privire la protecția datelor emisă în ultimii 20 de ani care înlocuiește cadrul legislativ actual (Directiva 95/46/CE).

Pentru cine se aplică? Orice activitate instituțională desfășurată la nivelul Uniunii Europene ce procesează date cu caracter personal cu privire la angajați, clienți sau oricare alte entități cu care interacționează trebuie să se alinieze la cerințele GDPR.

Așadar, orice instituție publică sau privată de pe teritoriul Uniunii Europene sau din afara teritoriului Uniunii Europene (dacă manipulează date cu caracter personal ale unor cetățeni ai Uniunii Europene) care colectează, prelucrează și/sau stochează date cu caracter personal trebuie să răspundă prevederilor GDPR.

Ce reglementări aduce GDPR? Dreptul de a fi uitat și dreptul la portabilitatea datelor sunt printre principalele noi drepturi introduse ce vor impune prestatorilor de servicii să știe exact unde se află datele în sistemele lor și să ia măsuri privind ștergerea acestor date dacă este solicitat.

Nevoia de responsabil pentru protecția datelor GDPR mandatează ca toate organismele din sectorul public și cele implicate în monitorizarea sistematică și regulată a persoanelor vizate la scară largă sau în prelucrarea categoriilor speciale de date, vor trebui să angajeze un Responsabil cu Protecția Datelor (DPO).

Operatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

  • pseudonimizarea și criptarea datelor
  • capacitatea de a asigura confidențialitatea,
  • integritatea, disponibilitatea și rezistența sistemelor și serviciilor de prelucrare;
  • capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică;
  • un proces pentru testarea, evaluarea și aprecierea periodica a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării

Efectele neaplicării Neaplicarea prevederilor GDPR coroborată cu apariția unor incidente de securitate de natură să afecteze datele cu caracter personal poate atrage pentru instituții amenzi însemnate de până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală (în funcție de impactul incidentului produs).

Termen de implementare Regulamentul intră in vigoare la data de 25 mai 2018, dată până la care toate entitățile vizate de către GDPR trebuie să pună în aplicare prevederile specifice.

Cum putem sprijini procesul de aliniere la GDPR?

Oferim întregul suport necesar înțelegerii în primă etapă a prevederilor GDPR, a modului în care acestea trebuie transpuse și, ulterior, prin evaluarea modului în care se realizează prelucrarea datelor în companie și identificarea punctelor slabe, respectiv, prin asistarea selectării și implementării măsurilor tehnice și operaționale în cadrul organizației.

Serviciile noastre de consultanță pentru alinierea la GDPR se concentrează în jurul următoarelor module principale:

  • Modulul 1 – Cursuri de introducere și instruire, al căror scop este acela de a prezenta organizației și personalului component cerințele GDPR și modalitatea în care aceste cerințe trebuie puse în aplicare.
  • Modulul 2 – Analiza gap, al cărei scop este realizarea unei evaluari asupra conformității organizației și a sistemului de controale implementat în prezent în raport cu cerințele tehnice și operaționale specifice GDPR în urma căreia se va elabora un plan de acțiuni detaliat pentru corectarea acestor diferențe și, implicit, alinierea organizației la GDPR.
  • Modulul 3 – Analiza modelului de date utiliza, în cadrul căreia se analizează în detaliu impactul GDPR asupra organizației prin identificarea și punerea în evidență a datelor cu caracter personal procesate de organizație. Ca parte a acestei analize, urmărim identificarea activităților, proceselor și fluxurilor operaționale care colectează, prelucrează și stochează datele cu caracter personal. La finalul acestei analize, vom putea contura o imagine asupra datelor cu caracter personal, a tipologiei acestora și a dispunerii lor în cadrul organizației pentru a asigura o implementare uniformă și eficientă a măsurilor tehnice și organizaționale ale GDPR.
  • Modulul 4 – Definirea politicii de prelucrare a datelor cu caracter personal. În cadrul acestei etape, avem în vedere elaborarea pe seama informațiilor colectate în etapele anterioare și a prevederilor GDPR, politica de prelucrare a datelor cu caracter personal în cadrul organizației.
  • Modulul 5 – Implementarea politicilor și procedurilor GDPR. Avem în vedere suportul pentru implementarea într-o manieră uniformă și eficientă a politicilor și procedurilor privind managementul datelor cu caracter personal în cadrul organizației pentru o corectă aliniere la cerințele GDPR.
  • Modulul 6 – Implementarea sistemelor IT de securitate necesare. Putem răspunde necesităților organizației cu privire la sistemele IT de securitate (de exemplu: sisteme de detecție și prevenție a intruziunilor, sisteme de prevenire a scurgerii datelor etc.) prin furnizarea și implementarea unor soluții IT eficiente și potrivite pentru dimensiunea și particularitățile organizației.
  • Modulul 7 – Asigurarea poziției de Responsabil cu Protecția Datelor. Asigurăm experți calificați cu competențe în domeniul protecției datelor pentru îndeplinirea rolului de Responsabil cu Protecția Datelor și execuția responsabilităților specifice în cadrul organizației.

Date de contact: Cosmin Măcăneață, Managing Partner,

 cosmin.macaneata@omega-trust.ro, 0722812812

 

%d bloggers like this: