Provocări aduse de datele cu caracter personal în industria telecom

 

 

Iulian MATACHE

Iulian MATACHE este advisor independent cu o experiență de peste 15 ani formată la granița dintre IT şi juridic. Certificărilor CIPP/E şi CIPM ale IAPP li se adaugă experiența în proiecte de audit şi implementare GDPR în companii din domeniul telecom, media, jocuri de noroc, energie și aviație.

 

 

Poate una dintre cele mai dinamice şi cu un înalt grad de digitalizare, industria telecom este confruntata cu provocări născute atât din GDPR, cât şi din interacțiunile Regulamentului cu legislația deja aplicabilă domeniului.

Astfel, dacă GDPR este aplicabil tuturor industriilor, în domeniul comunicațiilor electronice găsim ca lex specialis Directiva 2002/58/EC („ePrivacy Directive”) transpusă în legislația naționala prin Legea 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (cu modificările şi completările ulterioare). De asemenea, se afla în curs de aprobare Regulamentul ePrivacy care va aduce o sporită uniformitate a aplicării reglementarilor europene privind protecția datelor cu caracter personal într-un cadru extins al comunicațiilor electronice incluzând şi operatori OTT (Whatsapp) sau VOIP (Skype).

Intrând în specificitatea provocărilor aduse companiilor de telecom este de menționat faptul că prin natura tehnologiei operatorul este în posesia multor date cu caracter personal cum ar fi: localizarea precisa a utilizatorului, conținutul comunicațiilor, respectiv metadate despre trafic. Aceste date sunt procesate pentru furnizarea serviciului contractat, respectiv pentru operațiuni de optimizare a traficului sau rezolvarea incidentelor semnalate de anumite elemente de rețea. Independent de întemeierea legală a procesării, operatorul este obligat sa minimizeze colectarea şi retenția acestor date atât cât îi permit obligațiile legale sau contractuale.

Este important să înțelegem că un operator de telefonie mobilă reprezintă un organism viu prin care permanent circulă volume impresionante de date. Art. 32 privind securitatea procesării obligă la depunerea unor diligente adecvate riscului asociat datelor procesate. De asemenea, controlul accesului angajaților operatorului la datele cu caracter personal ale clienților trebuie gestionat foarte atent. Nu o dată au fost tentați diverși angajați să utilizeze în scop personal accesul privilegiat la aceste date, acțiuni care au generat reclamații şi sancțiuni disciplinare. Serverele pe care sunt testate diverse aplicații folosind date productive reprezintă risc de scurgeri de date. În astfel de situații se recomandă tratarea datelor cu soluții de data masking, rezultatul fiind echivalentul pseudonimizării.

O zonă de procesare sensibilă o reprezintă calcularea automată a scorului de risc la activarea serviciului, respectiv interogarea sistemului Preventel. Este un fapt cunoscut ca în absența unui istoric privind comportamentul de plată al abonatului, companiile telecom alcătuiesc un profil de risc al acestuia, profil care poate produce efecte juridice precum solicitarea unei plăţi în avans sau constituirea unei garanții, respectiv întreruperea mai devreme sau mai târziu a accesului la servicii. De asemenea, în sistemul Preventel toți operatorii telecom introduc date despre persoanele fizice care nu şi-au îndeplinit obligațiile de plată sau au desfășurat acțiuni fraudulente.

Art. 14(2)g) stipulează obligația operatorului de a prezenta informații privind „existenţa unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) şi (4), precum şi, cel puțin în cazurile respective, informații pertinente privind logica utilizată şi privind importanţa şi consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.” Ceea ce implică transparentizarea algoritmilor de scoring în Nota de Informare, obligație dificil de transpus în practică.

În plus, va fi interesant de urmărit exercitarea drepturilor persoanelor vizate, în special dreptul la rectificare sau ștergere în legătura cu sistemul Preventel. Profilarea de risc şi implementarea chatbot-ilor / asistenților digitali riscă să dea naștere unor conflicte cu dreptul persoanelor vizate de a nu face obiectul unor decizii automate (Art. 22). Pe acest aspect Grupul de Lucru Art. 29 a luat o poziție şi mai rigidă interpretând dreptul ante menționat ca o obligație a operatorului de a nu desfășura o atare procesare în scopul unor decizii automate, atrăgând critici din partea profesioniștilor din domeniul protecției datelor.

Forma finală a Regulamentului ePrivacy (aflat în prezent în curs de aprobare) va aduce noi obligații pe umerii operatorilor telecom. Va fi în continuare interesant de urmărit modul în care aceștia reușesc să echilibreze cerințele de reglementare cu constrângerile tehnologice şi necesitățile de business.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 61-62. 

Advertisements

Aplicarea regulamentului GDPR pentru departamentele de HR şi firmele de recrutare

Dana Cristina MATACHE 

 

Dana Cristina Matache este Avocat corporate cu experiență multisectorială, specializată în Protecția Datelor cu Caracter Personal, membră a Baroului București din anul 2009. În ultimii doi ani, a oferit asistență juridică și servicii de reprezentare în instanță unei bănci importante în a face față unui val de litigii. Anterior, a asistat o companie din domeniul petrolier cu scopul gestionării unui volum de litigii de muncă fără precedent.

 

În sfârșit, a venit și a și trecut ziua de 25 mai 2018 și Regulamentul este aplicabil. Regulamentul se aplică atât asupra departamentelor de HR din cadrul Companiilor cât şi asupra firmelor de recrutare. Voi analiza pe scurt câteva aspecte aplicate din perspectiva noului Regulament în domeniul relațiilor de muncă şi procedura de recrutare.

Resurse Umane (Human Resources/HR)

Noul Regulament impune obligații stringente care se vor aplica Companiilor în raporturile de muncă. Companiile sunt obligate să comunice angajaților/salariaților printr-o notificare faptul ca datele deținute sunt confidențiale, care sunt datele cu caracter personal pe care Compania le deține, care este scopul şi temeiul juridic în baza căruia se procesează datele cu caracter personal, care este perioada de retenție a datelor cu caracter personal și dacă există un transfer de date cu caracter personal în afara României.

De asemenea, conform art. 13 din Regulament, angajații/salariații trebuie să cunoască faptul că au dreptul de a solicita Companiilor accesarea şi modificarea datelor cu caracter personal. În situația în care Compania are numit un DPO (Persoana Responsabilă cu Protecția Datelor cu Caracter Personal), angajații au dreptul să cunoască datele de contact ale acestuia. O obligație în plus care aparține Companiilor este de a se asigura că au informat angajații că în situația în care un drept al acestora a fost încălcat se pot adresa cu o sesizare către A.N.S.P.D.C.P sau chiar în instanță.

Firmele de Recrutare – procesul de recrutare

Un aspect care trebuie luat în considerare și care nu trebuie să fie neglijat în domeniul recrutării este cel cu privire la perioada de stocare a datelor și obținerea consimțământului din partea candidaților sau a potențialilor candidați. Ce se întâmpla cu datele personale aflate în C.V. dacă procesul de recrutare nu se finalizează cu obținerea jobului pentru care candidatul a aplicat? Recomandat este ca datele personale ale candidatului din C.V.-ul care nu a fost acceptat pentru poziția deschisă sa fie stocate până la închiderea poziției. Este bine cunoscut faptul ca bazele de date ale companiilor de recrutare dețin C.V.-uri ale candidaților care au aplicat pentru anumite joburi și care au intrat in procesul de recrutare, sau care nici măcar nu au ajuns să intre în acest proces.

Din dorința de a deține

  1. a) o bază de date cu diferite profiluri cât mai numeroasă și
  2. b) de a obține un consimțământ cât mai compliant (sic!) din partea candidaților ale căror date personale sunt astăzi stocate în campaniile de re-consent, recomand firmelor de recrutare stabilirea unor reguli. Regulile stabilite trebuie comunicate candidaților pentru a le da posibilitatea de a-și exercita dreptul la opoziție privind stocarea/prelucrarea datelor cu caracter personal.

Un prim set de recomandări către firmele de recrutare ar fi:

  1. să își stabilească a priori un număr maxim de mesaje transmise persoane vizate/ candidat în campania de re-consent; iar
  2. absența unui răspuns din partea persoanei vizate reprezintă zero informație, chiar dacă este contrar așteptărilor și interesului firmelor de recrutare.

În situația în care o persoană vizată/candidat solicită ștergerea datelor sale cu caracter personal din baza de date a firmei de recrutare, am fi tentați sa facem aplicarea art.17 din Regulament, respectiv firma de recrutare să procedeze la ștergerea informațiilor din baza de date fără întârzieri nejustificate, în același timp trebuie să consideram și cazurile în care candidatul este plasat la client și reprezintă justificarea facturării onorariului recrutorului.

Concluzionând, Companiile si firmele de recrutare sunt obligate să respecte drepturile și libertățile persoanelor ale căror date cu caracter personal le procesează, urmând ca pe parcursul acestui proces să fie transparente și să acționeze conform dispozițiilor din noul Regulament devenit aplicabil.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 50-51. 

A APĂRUT EDIȚIA A TREIA A CATALOGULUI GDPR

 

 

 

Trustul de presă AGORA Group și inițiativa publică GDPR READY anunță publicarea celei de-a treia ediții a Catalogului GDPR – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Actuala ediție a Catalogului GDPR este dedicată soluțiilor specific pentru diferite epartamentesau verticale industriale.

 

 

 

Ceea ce se întâmplă la aproape o lună după intrarea în vigoare a noului Regulament EU 2016/ 679 demonstrează că piața românească nu este încă pregătită pentru importanța momentului. Departamentele de HR nu sunt conștiente de rolul lor de operator de date senzitive. Oamenii de marketing nu știu ce să facă cu vechile baze de date. Forțele de vânzări nu sunt instruite pentru introducerea prospecților în CRM.  Foarte puține contracte conțin clauze explicite de confidențialitate a datelor personale. Majoritatea site-urilor comerciale condiționează consimțământul clienților de accesul la conținut. Firmele mici habar nu au ce e de făcut.

Câteva constatări după momentul 25 mai:

  • Inexistența unei Politici elementare de IT la nivelul unor organizații mijlocii și mari. Chiar și acolo unde există niște norme interne, acestea nu se aplica.
  • O mare harababură privind procesarea, păstrarea și transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților.
  • Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază și se aplică șabloane culese de pe site-uri, fără a se înțelege esența principiilor GDPR.
  • Lipsa de interes a unor manageri de departamente – altele decât HR, FINANCIAR, Juridic, IT – care cred ca ei nu au nicio responsabilitate și că e treaba altora să își bata capul cu asta…
  • Inexistența unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea și transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele lor în business, închistați fiind de necunoaștere, neînțelegere si preluarea inadecvată a unor “sfaturi de bine”. ”GDPR nu e pentru noi”, ”Nimeni nu e fericit cu GDPR-ul acesta” sau ”Suntem prea mici ca să ni se întâmple ceva” sunt expresii des întâlnite în piață.

Prin ”GHIDUL GDPR PE VERTICALE” vrem să vă oferim câteva elemente despre activitățile concrete pe care trebuie să le abordăm în funcție de problemele specifice și provocările cu care se confruntă departamentele cheie dintr-o companie, precum resursele umane, marketingul și vânzările,  de la maparea proceselor de business și a datelor, la analizele de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație.

>> CITIȚI AICI CATALOGUL GDPR ONLINE!

Printre subiectele abordate în cadrul acestui Ghid sub forma a 25 de întrebări și răspunsuri despre B2B, IMM, HR, Marketing, Data Centere, Distribuție, ISO 27001 și Cultura GDPR pot fi menționate:

  • Ce înseamnă GDPR pentru B2B
  • Ce trebuie să facă o companie IMM pentru asigurarea conformității
  • Importanța GDPR pentru resursele umane și administrarea relațiilor cu angajații
  • Care sunt fluxurile de date în ecosistemele HR
  • Provocări pentru marketingul direct sub GDPR
  • Elemente de referință pentru o nouă strategie de marketing
  • Cum scăpăm de miturile legate de obligativitatea consimțământului
  • Impactul GDPR asupra furnizorilor de servicii datacenter și Cloud
  • Cum ne ajută standardul ISO27001 la implementarea mai ușoară a GDPR
  • Care sunt noile reguli privitoare la supravegherea video
  • Cultura GDPR și importanța pentru păstrarea conformității pe termen lung.

Ca și la edițiile anterioare, Ghidul este însoțit de recomandările unor specialiști din diferite domenii, care în actualul ghid vorbesc despre:

  • Dana Cristina MATACHE –”Aplicarea GDPR pentru departamentele de resurse umane și recrutare”
  • Tudor GALOS -”Cei 7 ani de acasă în politica de Cookies
  • Anca CRAHMALIUC –”Despre GDPR și respectul pentru interlocutor
  • Iulian MATACHE –”Provocări aduse de datele cu caracter personal in industria telecom
  • Dan Cristian MATEI –”ISO 27001 – un sprijin real pentru conformitatea  GDPR/RGPD
  • Daniel SUCIU –”Rolul și problemele departamentului IT în implementarea GDPR
  • Ion IORDACHE –”Australia, o țară non-UE conștientizează impactul GDPR asupra mediului său de afaceri

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de tehnologia informației.

Le mulțumim partenerilor de la AXIS Communications, BENTO, BINBOX, High Tech Systems & Software, Romsym Data, Star Storage, Tryamm, Veritas și Zitec pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate în secțiunea GDPR Ready de pe site-ul cloud☁mania
  • Ghidul de orientare rapidădin Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPRdin Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Readype LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

Ca o concluzie la o lună după 25 mai, aș puncta faptul ca dincolo de inexistenta unor tehnologii adecvate care pot rezolva o bună parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frână în adopția GDPR sunt oamenii, care nu sunt învățați sa respecte niște norme și proceduri elementare. Și plecând de la aceasta, nu atingerea unor condiții de conformitate GDPR va fi principala problemă în orice companie, ci păstrarea acestora pe termen lung…

 

FENOMENUL GDPR

Yugo NEUMORNI

Yugo Neumorni, CISA, EMBA este membru în Boardul asociației paneuropene EuroCIO și Chairman al Cybersecurity Council al EuroCIO. Este de asemenea președintele asociației CIO Council Romania, membru în British Computer Society Elite și Director IT al Hidroelectrica. A contribuit din poziția de CIO la ieșirea din insolvență a companiei Hidroelectrica și la transformarea în cea mai profitabilă companie din România. A coordonat cu succes implementarea unui proiect ERP complex pentru Hidroelectrica (300 utilizatori, 12 module) care a fost premiat cu Gold Winner in competiția SAP Quality Awards 2017 în categoria Fast Delivery. Anterior, Yugo a fost peste 10 ani Head of IT pentru Vimetco, cel mai mare producător de aluminiu din Europa de Sud-Est și peste 6 ani IT Manager în cadrul Deloitte Central Europe. Cu peste 24 de ani de experiență în industria IT, Yugo Neumorni este specializat în reorganizarea și dezvoltarea ecosistemelor IT din zona industrială și de manufacturing. Aria sa de expertiză include implementarea și dezvoltarea de proiecte ERP complexe, securitate IT și cybersecurity, sisteme SCADA și industrial control systems, IT audit și IT governance, modelare de procese în energie și manufacturing, COBIT framework. Este absolvent al Facultății de Automatizări și Calculatoare al Universităţii Politehnice Bucureşti și al programului EMBA de doi ani derulat în parteneriat de Asebuss și Kennesaw State University.

Practic de acum încolo toţi oamenii trebuie să gândească și să opereze zilnic în termenii GDPR, atât din perspectiva responsabilităţii ca angajat, dar și ca beneficiar în viaţa privată. Fenomenul GDPR apare într-un moment în care societatea s-a săturat de nenumăratele „accidente” prin care baze de date cu informații confidențiale ajung să circule liber în Internet, eliberate în mod voit, accidental sau sustrase prin atacuri de natura cibernetică.

Companii multinaționale de renume din toate sectoarele economice, alături de structuri din sectorul public sau de apărare, și-au văzut penetrate sistemele de securitate IT, având ca rezultat pierderea a sute de milioane de date medicale, financiare și alte informații cu caracter personal. Profilarea automată a persoanelor direct din instrumentele online sau prin rețelele sociale, agresivitatea vânzătorilor online și a departamentelor de marketing au devenit intens abuzive și constituie deja o intruziune nepermisă în viața privată a cetățeanului. Toate acestea au făcut ca societatea să ceară imperativ un control solid al operatorilor de date cu caracter personal și o schimbare de mentalitate asupra protecției datelor.

Interesant este că, deși legislațiile naționale dar și cea europeană aflate în vigoare acoperă de ani buni protecția datelor cu caracter personal, ele nu au fost popularizate și promovate până acum, rămânând practic necunoscute marelui public. Comasarea majorității actelor normative într-un singur regulament, optimizarea acestuia și promovarea ca directive europeană, dar mai ales creșterea considerabilă a cuantumului penalităților au făcut ca acest regulament GDPR să ajungă acum prioritate zero pentru companii.

Aplicarea regulamentului GDPR presupune schimbarea mentalității asupra protecției datelor, atât în companii, cât și în societate, în general. Ea implică cel puțin o procedurizare serioasă a proceselor de afaceri iar în multe situații o modificare substanțială a acestora. GDPR nu este un proces care se închide la 25 Mai ci, din contra, este un demers continuu care va modifica procesele operaționale ale companiilor. Practic de acum încolo toți oamenii trebuie să gândească și să opereze zilnic în termenii GDPR, atât din perspectiva responsabilității ca angajat, dar și ca beneficiar în viața privată.

În organizațiile insuficient de mature aplicarea GDPR este percepută în mod eronat ca fiind o responsabilitate a CIO când aceasta aparține, în realitate, Board-ului. La întreținerea acestei false percepții au contribuit din păcate și firmele de IT, care au văzut fenomenul GDPR ca o oportunitate de a vinde soluții de securitate IT.

Din perspectiva CIO, fenomenul GDPR aduce o mare provocare profesională și mult stres, dar și un sprijin și o argumentație în plus la constituirea bugetelor IT. Se știe de ani de zile despre dificultatea de „a vinde” securitatea IT către Board, mai ales în contextual în care operațiunile IT au fost mai mereu „pe verde”. Executivii nu acceptă cu ușurință nevoia de securitate IT în principal, pentru că este un element oarecum intangibil, și cu impact negativ în P&L. Regulamentul GDPR pune în mâna CIO, prin intermediul DPO, suficiente argumente pentru o bugetare corectă în domeniul securității IT și a protecției datelor personale.

GDPR este un fenomen eminamente pozitiv pentru societate, care deschide noi oportunități pentru „data protection officers”. Simultan directorii și departamentele IT se repoziționează și primesc un mare balon de oxigen în evanghelizarea nevoii de securitate IT și de protecție a datelor. Privită din anumite unghiuri însă, o interpretare excesivă și abuzivă a GDPR, în lipsa unor norme de aplicare clare, poate conduce la dereglarea mediului economic.

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. a 8-a, București, martie 2018, pag. 54-55. 

Cu ocazia celei de-a șasea Conferințe Naționale CIO Council Romania care va avea loc pe 16 mai, Yugo Neumorni va modera atît sesiunea principală din deschiderea evenimentului, cât și alte sesiuni cu subiecte deosebit de importante. 

Dimensiunea umană a GDPR-ului

Tudor Galoș

Tudor Galoș

Tudor Galoș a fost director de marketing pe consumer la Microsoft România vreme de șase ani și înainte de asta s-a ocupat de business-ul de Windows și Office pe România, Bulgaria și Europa de Sud-Est, fiind responsabil de lansări precum Windows Vista, Windows 7, Windows 10, Office 2003, Office 2007, Office 365 și multe alte produse și servicii. A lucrat cu firme mici, medii și mari din întreaga Europă. Din Septembrie 2017 coordonează propriul său business, Tudor Galos Consulting cu focus pe consultanța de business și management în zona start-up-urilor, a spin-off-urilor și a transformării digitale. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii – modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.

 

GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate.

Observ în ultimele luni o efervescență a subiectului GDPR în presă, în conferințe, în prezentări, pe net, peste tot. Oriunde întorci capul, GDPR. Amenzi uriașe, apocalipsa datelor personale, nu mai poți face nimic, pe toate le-am auzit. Este bântuit spațiul public de mituri, de anti-mituri ce invalidează aceste mituri și care creează alte mituri, de foarte, foarte multă speculă – atât în presupuneri cât și în bani (a explodat piața de consultanți, ce mai). Nu m-aș mira ca dacă deschizi o cutie de acatiste la biserică să găsești acolo câteva pomelnici de ferire de audit GDPR sau să vezi la vrăjitoare în lista de „competențe” pe lângă descântec și scos de argint viu și un „vrajă să te scape de GDPR”.

Toată această efervescență este în jurul amenzilor și a măsurilor organizatorice și de securitate ce trebuie luate. Aproape toți vendorii de tehnologie s-au îmbulzit să creeze metodologii, produse, abordări, recomandări, documente și recomandări – multe utile, multe inutile, multe complet și total greșite (paradoxul face ca mulți din acești vendor să nu implementeze mai nimic legat de GDPR în organizație). Însă foarte puțină lume vorbește de ce este cel mai important într-un proces de conformitate cu niște regulamente: de dimensiunea umană.

Au americanii o expresie: “guns don’t kill people; people do”. Cam așa și aici – poți avea cele mai bune proceduri interne, de securitate, cele mai bune procese, produse, tehnologii implementate, cele mai frumoase documente interne, portaluri, etc că dacă nea Nelu de la operațiuni vrea să scoată niște date personale își va scoate telefonul și își va poza ecranul monitorului trecând peste absolut toate procedurile atent dezvoltate de organizație. De aceea, aici trebuie lucrat cel mai mult. Și paradoxal, aici se lucrează cel mai puțin…

Ca să îți faci angajații și partenerii să accepte conformitatea la GDPR trebuie să îi faci să creadă în GDPR. GDPR este în primul rând despre oameni și despre drepturile lor referitoare la modul în care datele lor personale sunt procesate. Aș face o paralelă aici cu o bancă ce are casete valorice. Clienții vin și își depozitează bunuri în acele casete valorice, iar banca nu poate să facă cu acele casete valorice ce vrea, poate să facă doar ce este lăsată de către clienți. Nu poate cotrobăi prin ele, nu poate scoate, nu le poate strica. Similar și aici, organizația nu „are” date personale, ci este un custode al unor bunuri ale unor oameni. Bunuri pe care le poate procesa în limitele admise de către persoane, fie prin interes legitim, fie prin interes vital, fie prin consimțământ etc. Oamenii își pot retrage oricând aceste bunuri și le pot da altcuiva. Este dreptul lor!

Practic angajații trebuie educați și ei să își exercite drepturile în raport cu alți procesatori – nimănui nu îi place să fie bombardat de spam, nimănui nu îi place să fie sunat la telefon la ore aiurea de ceva call-center fără să existe o justificare obiectivă etc. Fiecare are dreptul să afle ce date ține un operator despre el, inclusiv dacă l-a inclus în categorii jignitoare gen „sărac”, „prost”, „fraier” etc – și da, sunt companii ce de amuzament au inclus aceste categorii prin diverse Excel-uri uitate pe diverse servere. Odată aceste drepturi înțelese oamenii au șansa ca cerând respect, să ofere respect. Să își dea seama chiar ei cât de importante sunt aceste date personale și să înțeleagă vechiul proverb – „ce ție nu-ți place altuia nu-i face”.

Închei spunând că alinierea la GDPR nu este un „one-time project” – oamenii vin și pleacă, vor intra noi angajați, noi parteneri, vor apărea noi oportunități de business – și toate trebuie abordate având respectul pentru datele personale în prim plan. Succes la implementare!

 Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. a 8-a, București, martie 2018, pag. 66-67. 

Portarea datelor în GDPR. Șah mat sau avantaj concurențial?

Andreea LISIEVICI

Andreea LISIEVICI

Andreea este partener la Privacy One, cabinetul specializat în asistenţă juridică în domeniul protecţiei datelor personale şi drept IT. Ea are peste 10 ani de experiență ca avocat în proiecte comerciale, de protecția datelor și de conformitate. A terminat un liceu de informatică și este la curent cu noile tehnologii, ceea ce îi conferă un avantaj deosebit în a înțelege chestiunile tehnice din domeniul protecției datelor. A acordat de-a lungul anilor consultanță unei game largi de clienți în domeniul IT și privacy, cum ar fi cloud computing, securitate cibernetică, publicitate comportamentală, reținerea datelor sau monitorizarea angajaților, și a fost implicată în arbitraje în domeniul IT. Scrie frecvent articole de specialitate și este un trainer și lector experimentat.

Ne-am obișnuit deja să ne portăm numerele de telefon, ne putem porta conturile bancare, iar din mai 2018 vom mai putea porta încă ceva: datele personale prelucrate de operatori.

Regulamentul general privind protecția datelor (Regulamentul 2016/679/UE, pe scurt GDPR) aduce o paletă largă de modificări în ce privește regimul prelucrării datelor personale ale persoanelor din Uniunea Europeană. Între acestea se numără introducerea dreptului la portabilitatea datelor, care, potrivit art. 20 GDPR, are următorul conținut:

(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

        (a) prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera (a) sau al   

         articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1) litera (b);

        (b) prelucrarea este efectuată prin mijloace automate.

(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

(3) Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul.

(4) Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților altora.

Portabilitatea datelor a generat o preocupare ridicată în rândul companiilor a căror activitate este dependentă de gestiunea bazelor de date. Un raport din 2017 arată că portabilitatea datelor apare ca fiind cea mai dificilă obligație de conformitate din cadrul GDPR1. Același raport arată, de asemenea, că respectarea GDPR va fi luată în considerare atunci când o companie selectează un furnizor de servicii cloud, ceea ce înseamnă că această conformitate, și implicit susținerea portabilității datelor, pot deveni un avantaj competitiv.

Portabilitatea vs. dreptul de acces

Dreptul la portabilitatea datelor are ca scop prevenirea blocării persoanelor vizate la un anumit serviciu („lock-in”), și facilitarea mutării datelor de la un furnizor la altul fără restricții în funcție de formatul ales de furnizor. Portabilitatea datelor se aseamănă cu dreptul de acces, care era reglementat și anterior, în sensul că și în temeiul dreptului de acces persoana poate obține o copie a datelor prelucrate. Însă, în vreme ce dreptul de acces privește datele prelucrate indiferent de suport și indiferent de temei, portabilitatea privește numai datele prelucrate în temeiul consimțământului sau executării unui contract, și numai prin mijloace automate. În plus, daca în răspunsul la dreptul de acces operatorii pot da datele în orice format (de exemplu, fișiere .pdf pentru emailuri sau mesaje), portabilitatea este menită să asigure continuitatea serviciului, astfel că datele trebuie portate în formatul lor nativ, care să asigure posibilitatea continuării prelucrării de către operatorul destinatar sau persoana vizată în același mod precum cel anterior portării. În plus, operatorul expeditor trebuie să porteze cât mai multe metadate posibil, pentru a păstra sensul exact al informațiilor schimbate.

Mai merita precizat faptul că portarea datelor este o măsură unică, ea nefiind destinată să asigure interconectarea unor servicii sau fluxul continuu de date – de exemplu, portarea nu este soluția potrivită în cazul in care un utilizator dorește să își primească emailurile dintr-un cont prin intermediul altui cont de la alt furnizor sau daca vrea ca documentele salvate pe o platforma cloud sa fie automat salvate și într-o alta. Mai mult, portarea datelor nu duce in mod automat la încetarea serviciului din care se efectuează portarea. Portarea în GDPR nu este văzută similar cu portarea numerelor de telefon, adică o schimbare totală a furnizorului, ci pur și simplu ca o modalitatea de transfer de date, inclusiv între servicii neechivalente (de exemplu, de la un furnizor de cloud la o soluție de analiză a informaţiilor).

Alocarea rolurilor pentru portarea în cazul serviciilor cloud computing

GDPR lucrează cu câteva concepte principale, între care dualitatea operator-împuternicit. Mai exact, „operatorul” („controller” în engleză) este entitatea care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, în vreme ce „împuternicitul” („processor” în engleză) înseamnă entitatea care prelucrează datele cu caracter personal pentru operator. În cazul particular al serviciilor cloud, pentru alocarea acestor roluri trebuie distins între serviciile cloud B2B și serviciile cloud B2C.

În scenariul B2B, unde clientul serviciului cloud este o companie, datele pe care aceasta le stochează în cloud nu sunt datele personale ale acesteia, ci ale utilizatorii finali ai companiei (fie că sunt angajaţi, clienţi, etc). Clientul va lua decizii privind modul de stocare și prelucrare a datelor, iar furnizorul de servicii cloud va urma doar instrucțiunile. Acest lucru face ca operatorul de date să fie clientul, iar furnizorul de servicii cloud să fie împuternicit.

Nu aceeași este situaţia în scenariul B2C. În cazul în care clientul unui serviciu cloud este o persoană fizică, datele personale ale acesteia sunt prelucrate direct de furnizorul de servicii cloud, care devine operator de date. Distincţia este una importantă, pentru că dreptul la portabilitatea datelor trebuie pus în aplicare numai de către operator. Cu alte cuvinte, acolo unde furnizorul de cloud este împuternicit, el trebuie să evite să intervină în vreun mod în catalogarea datelor, selecţia datelor supuse portării, a modalităţii de portare (dacă există alternative), a timpului, a destinatarului, etc, altfel riscând să fie calificat operator asociat.

În timp ce articolul 20 GDPR nu menționează în mod explicit nicio responsabilitate pentru împuterniciţi, articolul 28 GDPR prevede faptul că operatorii pot contracta numai împuterniciţi „care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în GDPR”. Astfel, furnizorii de cloud pentru firmele care prelucrează în mod direct datele cu caracter personal, vor trebui în mod similar să demonstreze conformarea la GDPR pentru a rămâne competitivi.

Datele care intră în obiectul portării

Art. 20 GDPR precizează faptul că portabilitatea se referă la „datele cu caracter personal care privesc” persoana vizată. Acest lucru a fost interpretat de Grupul de Lucru Art. 29 ca reunind atât datele furnizate cu bună știință și în mod activ de persoana vizată, cât și cele rezultate din observarea activității sale. Cu alte cuvinte, ceea ce nu intră în obiectul dreptului la portarea datelor sunt datele derivate de operator pe baza primelor două, deși și acestea pot fi obţinute de persoana vizată în temeiul dreptului de acces (dar nu pot fi transmise în mod direct altui operator).

În tot cazul, distincţia între aceste trei categorii de date (date furnizate explicit, date observate și date derivate) devina una importantă. Ea poate fi implementată atât prin etichete (tag-uri) care să susţină un proces automatizat de selecţie, dar poate fi inclusă și în registrul operaţiunilor de date întocmit de operator potrivit art. 30. Furnizorul de cloud trebuie însă să fie atent ca, în situaţia în care este împuternicit, să nu decidă el această etichetare, ci doar să pună la dispoziţia clientului său posibilitatea efectuării ei. Furnizorul de cloud împuternicit trebuie să păstreze o abordare neutră, în care el să cunoască cât mai puțin (spre deloc) din datele clienţilor. De altfel, acesta e motivul pentru care registrul operațiunilor ținut de împuterniciți nu trebuie sa includă categoriile de date, ci doar o descriere generala a acestora (art. 30.2.b GDPR).

Metode de a efectua portarea datelor în cazul serviciilor cloud

Articolul 20 GDPR nu impune o formă sau o metodă pentru portarea datelor, singurele cerinţe fiind ca transferul să se facă într-o formă „structurată, utilizată în mod curent și care poate fi citită automat”. Preambulul 68 dezvoltă și prevede că „operatorii de date ar trebui să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor”. Cu alte cuvinte, operatorii nu sunt obligați să asigure compatibilitatea sistemelor lor, ci doar interoperabilitatea. În acest context, pot fi identificate trei metode de portare a datelor:

Interfețele de programare a aplicațiilor (API-uri) sunt de obicei dezvoltate de furnizorul de servicii cloud, ceea ce înseamnă că ele diferă de API-urile altor furnizori. Astfel, clienții care doresc să utilizeze API-uri pentru a extrage date personale din serviciile cloud trebuie să se adapteze API-ului pus la dispoziţie. API-urile sunt avantajoase, deoarece clienții pot extrage date direct de la furnizorii de cloud și nu au nevoie să stocheze temporar datele pe infrastructura proprie. Totuși, API-urile ar putea să nu fie cea mai bună soluţie atunci când portarea se face în mod direct către un furnizor de alt fel de serviciu.

Protocoalele sunt de obicei concepute de o organizație de standardizare în industrie și, prin urmare, sunt acceptate pe scară largă de multe platforme, de cloud și nu numai (de exemplu SMTP, SFTP, IMAP, etc). În acest caz dispare nevoia de adaptare la platforme specifice, ceea ce ar sprijini interoperabilitatea. În mod similar API-urilor, clienții nu au nevoie să stocheze temporar datele pe infrastructura proprie.

O a treia metodă este descărcarea datelor ca un fișier de format utilizat în mod curent (de exemplu .csv, .xml). Această metodă facilitează importarea datelor în alte platforme, însă numai ca acţiune directă a utilizatorului, fără să fie o modalitate de portare direct operator-operator. Ea necesită deci stocarea datelor temporar pe infrastructura proprie a utilizatorului, și în plus se poate dovedi nepractică acolo unde volumul datelor este mare.

Toate cele trei metode sunt deja utilizate pe scară largă pe piață astăzi, fără însă ca acest lucru să însemne că nu pot apărea metode noi. Cert este că portabilitatea datelor necesită un proces automatizat sau semi-automatizat pus la dispoziţie de operator (sau de împuternicit pe seama operatorului), întrucât o operare manuală ar risca să blocheze activitatea operatorului.

Mai merită menţionat că în decembrie 2017 a fost publicat un standard ISO pentru interoperabilitate și portare în serviciile cloud: ISO/IEC 19941:20172, care deși nu este destinat să răspundă cerinţelor GDPR (fiind un standard global), poate fi adaptat pentru a acoperi cerinţele art. 20 GDPR.

Concluzii

Pentru a putea răspunde solicitărilor de portare, furnizorii de cloud trebuie să ia o serie de măsuri importante și posibil costisitoare. Între acestea se numără:

  • să pună la punct mecanisme de selecţie a datelor care intră în domeniul portabilității;
  • să decidă cine și cum face trierea datelor portate pentru a elimina tot ce este excesiv, precum și să decidă cum implică sau anunță persoana vizată referitor la datele excluse;
  • să adopte proceduri prin care să standardizeze procesul de răspuns la cererile de portare;
  • să implementeze mecanisme cât mai automate de efectuare a portării (API, protocol, download direct), preferabil care dau persoanei vizate posibilitatea selectării datelor portate;
  • să implementeze proceduri de identificare corespunzătoare a persoanei vizate și a operatorului destinatar;
  • să implementeze măsuri de securitate a datelor portate, inclusiv izolarea acestora de alte date prelucrate și asigurarea unui canal sigur de transfer;
  • nu în ultimul rând, să poată face distincţia între serviciile puse la dispoziţie clienţilor corporate (aceștia fiind operatori) și cele puse la dispoziţia clienţilor persoane fizice (caz în care furnizorul de cloud este operator).

Trebuie menționat că încălcarea dreptului la portabilitatea datelor se încadrează în palierul cel mai sever de sancțiuni, astfel că potrivit articolului 83 alineatul 5(b) GDPR operatorilor le pot fi impuse amenzi administrative de până la 20.000.000 EUR sau până la 4 % din cifra de afaceri globală în exercițiul financiar anterior, oricare este mai mare. Concomitent, persoana fizică vătămată prin neefectuarea portării poate angaja răspunderea solidară a operatorului şi împuternicitului (furnizorul de cloud), solicitând acoperirea prejudiciului dovedit. Aceste riscuri, precum şi prejudiciul reputaţional aferent, ar trebui să fie motive clare pentru a implementa măsuri tehnice de efectuare a portării, chiar dacă sunt costisitoare.

Referințe:

1 –  IAPP-EY AnnualPrivacyGovernance Report 2017, pag. 19, disponibil la https://iapp.org/media/pdf/resource_center/IAPP-EY-Governance-Report-2017.pdf  

(accesat ianuarie 2018).

2 – Disponibil la https://www.iso.org/standard/66639.htm

Acest articol a fost publicat în ”Ghidul Practic GDPR” din cadrul Catalogului Cloud Computing, ed. A 8-a, București, martie 2018, pag. 56-60. 

A APĂRUT CATALOGUL GDPR PRACTIC: PREMIERĂ PENTRU ROMÂNIA

Trustul de presă AGORA Group și platforma de knowledge cloudmania anunță publicarea Catalogului GDPR PRACTIC  – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Practic este al doilea Catalog GDPR după cel apărut în Octombrie 2017 și se înscrie în seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 8-a ediție.  

 

Regulamentul EU 2016 – 679 reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem operatori și procesatori de date și toți ne vom supune acelorași reguli.

Cu șase luni înainte de intrarea în vigoare a GDPR piața românească era destul de conștientă de importanța momentului. Peste 64% dintre operatorii de date nu făcuseră un plan de implementare,  72% nu organizaseră instructaje GDPR interne, iar 89% nu începuseră reevaluarea contractelor cu furnizorii și clienții.

Pornind de la această realitate și văzând succesul cu care a fost primit primul Catalog GDPR Ready în octombrie 2017, am decis să continăm susținerea operatorilor de date din România, făcând ceva mai mult decât o simplă sensibilizare și conștientizare. În acest spirit, a doua ediție a Catalogului GDPR este dedicată proceselor și soluțiilor de protecție a datelor personale, cu focalizare pe aspectele practice ale implementării procesului de conformitate GDPR.

Ca și ediția precedentă, Catalogul GDPR Practic e format din două părți:

  • GHIDUL DE IMPLEMENTARE GDPR – bazat pe o serie de recomandări de abordare practică a unui proiect de implementare GDPR;
  • Un CATALOG DE OFERTE pentru soluții compatibile GDPR, servicii de consultanță, audit și certificare disponibile la ora actuală pe piața din România.

 

Catalogul poate fi citit online la adresa: https://issuu.com/agoramedia/docs/catalog_cloud_2018_ed_8_gdpr

 

”Ghidul de implementare GDPR” conține 50 de întrebări și răspunsuri ce abordează probleme concrete ale unui proiect de implementare GDPR precum și o serie de valoroase recomandări pentru operatorii și procesatorii locali oferite de specialiști GDPR cu o bogată experiență în protecția și confidențialitatea datelor personale. Printre subiectele de larg interes care sunt discutate în acest Ghid amintim:

  • Ce este un proiect GDPR?
  • Care sunt fazele unui proces de implementare?
  • Cum alegem un DPO?
  • Cum facem maparea datelor?
  • Care sunt rolurile operatorilor și procesatorilor?
  • Avem nevoie de o analiza de impact?
  • Cît de importanță este Analiza de risc?
  • Cum gestionăm managementul incidentelor?
  • Cine, când și cui raportează?
  • Cum se face transferul internațional de date?

Ghidul este însoțit de recomandările unor specialiști din diferite domenii, precum servicii juridice – Andreea Lisievici și Dana Cristina Matache, soluții și management IT – Fernanda Velter și Yugo Neumorni sau servicii de consultanță: Tudor Galoș. Desigur că un astfel de ghid nu poate aborda în extenso toate procedurile și nici nu ne propunem să oferim rețete. Ghidul prezintă esența proceselor absolut necesare într-un proiect de implementare, care indiferent de ordinea abordării trebuie făcute. Și trebuie făcute bine. Căci atingerea conformității GDPR nu este un examen pentru a dovedi faptul că suntem în stare să asigurăm protecția datelor personale.  Nu este o barieră de depășit.  Este o țintă către un nivel superior de organizare și funcționare. GDPR este un certificat de încredere pe viață. Pe tot ciclul de viață al unui proces de business.

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ASBIS, Brinel, Deloitte, ESET, Essensys Software, IBM, Ingram Micro, Kingston Technology, Privacy One, Q-EAST Software, Romsym Data, Tryamm, Veritas și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPR din Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Ready pe LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

 

Inițiativa GDPR Ready!  își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Prin GDPR Ready! aveți acces la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

GDPR CATALOG2: LAST MINUTE REGISTRATION

This week we are preparing to close the subscriptions for the GDPR Catalog – the first GDPR publishing project in Romania. The Catalog will be released in February 2018, in both versions print and online. Any GDPR conformity solutions and services provider could send us last minute participation request.

What’s the point?

After the success of the first GDPR Ready Catalog published in October 2017 (A5 size, 96 pg), AGORA Group and cloud☁mania knowledge platform decided to continue to support data operators in Romania, doing just a little more than simply raising awareness.

In this spirit, the second edition of the GDPR Catalog will be dedicated to personal data protection processes and solutions focusing on the practical aspects of implementing the GDPR compliance process.

Like the previous edition, the GDPR Practical Catalog consists of two parts:

  • A Good Practice Guide that will offer recommendations from experts on concrete issues such as: How do we choose a DPO? How do we map data? What are the roles of operators and processors? How do we start the impact analysis? How do we conduct incidents management? Who, when and to who is reporting?
  • A Catalog of Offers for GDPR compliant solutions, consultancy, audit and certification services currently provided on the Romanian market.

By participating in the GDPR Practical Catalog, we offer you the chance to turn the market anxiety towards a Regulation that will affect 98% of Romanian companies in the opportunity to show your clients and prospects the value of the solutions and the expertise of the services provided for fast, and long-term compliance with GDPR.

Sounds interesting to you?

You can view the online edition of the first GDPR Ready Catalog here: https://issuu.com/agoramedia/docs/catalog_cloud_2017_ed7_gdpr

For the last minute registration, fill out the form below  

Sunteți pregătiți pentru GDPR? Noi suntem pregătiți să vă ajutăm

Acest articol a fost publicat de compania Omega Trust îCatalogul GDPR Ready, Octombrie 2017

Ce este GDPR? Regulamentul European privind Protecția Datelor (GDPR) stabilește principii și măsuri de protecție a datelor cu caracter personal ale cetăţenilor Uniunii Europene pentru companiile și instituțiile care procesează astfel de date. GDPR reprezintă challenge-ul companiilor publice și private din următoarele 12 luni și este prima reglementare completă cu privire la protecția datelor emisă în ultimii 20 de ani care înlocuiește cadrul legislativ actual (Directiva 95/46/CE).

Pentru cine se aplică? Orice activitate instituțională desfășurată la nivelul Uniunii Europene ce procesează date cu caracter personal cu privire la angajați, clienți sau oricare alte entități cu care interacționează trebuie să se alinieze la cerințele GDPR.

Așadar, orice instituție publică sau privată de pe teritoriul Uniunii Europene sau din afara teritoriului Uniunii Europene (dacă manipulează date cu caracter personal ale unor cetățeni ai Uniunii Europene) care colectează, prelucrează și/sau stochează date cu caracter personal trebuie să răspundă prevederilor GDPR.

Ce reglementări aduce GDPR? Dreptul de a fi uitat și dreptul la portabilitatea datelor sunt printre principalele noi drepturi introduse ce vor impune prestatorilor de servicii să știe exact unde se află datele în sistemele lor și să ia măsuri privind ștergerea acestor date dacă este solicitat.

Nevoia de responsabil pentru protecția datelor GDPR mandatează ca toate organismele din sectorul public și cele implicate în monitorizarea sistematică și regulată a persoanelor vizate la scară largă sau în prelucrarea categoriilor speciale de date, vor trebui să angajeze un Responsabil cu Protecția Datelor (DPO).

Operatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

  • pseudonimizarea și criptarea datelor
  • capacitatea de a asigura confidențialitatea,
  • integritatea, disponibilitatea și rezistența sistemelor și serviciilor de prelucrare;
  • capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică;
  • un proces pentru testarea, evaluarea și aprecierea periodica a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării

Efectele neaplicării Neaplicarea prevederilor GDPR coroborată cu apariția unor incidente de securitate de natură să afecteze datele cu caracter personal poate atrage pentru instituții amenzi însemnate de până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală (în funcție de impactul incidentului produs).

Termen de implementare Regulamentul intră in vigoare la data de 25 mai 2018, dată până la care toate entitățile vizate de către GDPR trebuie să pună în aplicare prevederile specifice.

Cum putem sprijini procesul de aliniere la GDPR?

Oferim întregul suport necesar înțelegerii în primă etapă a prevederilor GDPR, a modului în care acestea trebuie transpuse și, ulterior, prin evaluarea modului în care se realizează prelucrarea datelor în companie și identificarea punctelor slabe, respectiv, prin asistarea selectării și implementării măsurilor tehnice și operaționale în cadrul organizației.

Serviciile noastre de consultanță pentru alinierea la GDPR se concentrează în jurul următoarelor module principale:

  • Modulul 1 – Cursuri de introducere și instruire, al căror scop este acela de a prezenta organizației și personalului component cerințele GDPR și modalitatea în care aceste cerințe trebuie puse în aplicare.
  • Modulul 2 – Analiza gap, al cărei scop este realizarea unei evaluari asupra conformității organizației și a sistemului de controale implementat în prezent în raport cu cerințele tehnice și operaționale specifice GDPR în urma căreia se va elabora un plan de acțiuni detaliat pentru corectarea acestor diferențe și, implicit, alinierea organizației la GDPR.
  • Modulul 3 – Analiza modelului de date utiliza, în cadrul căreia se analizează în detaliu impactul GDPR asupra organizației prin identificarea și punerea în evidență a datelor cu caracter personal procesate de organizație. Ca parte a acestei analize, urmărim identificarea activităților, proceselor și fluxurilor operaționale care colectează, prelucrează și stochează datele cu caracter personal. La finalul acestei analize, vom putea contura o imagine asupra datelor cu caracter personal, a tipologiei acestora și a dispunerii lor în cadrul organizației pentru a asigura o implementare uniformă și eficientă a măsurilor tehnice și organizaționale ale GDPR.
  • Modulul 4 – Definirea politicii de prelucrare a datelor cu caracter personal. În cadrul acestei etape, avem în vedere elaborarea pe seama informațiilor colectate în etapele anterioare și a prevederilor GDPR, politica de prelucrare a datelor cu caracter personal în cadrul organizației.
  • Modulul 5 – Implementarea politicilor și procedurilor GDPR. Avem în vedere suportul pentru implementarea într-o manieră uniformă și eficientă a politicilor și procedurilor privind managementul datelor cu caracter personal în cadrul organizației pentru o corectă aliniere la cerințele GDPR.
  • Modulul 6 – Implementarea sistemelor IT de securitate necesare. Putem răspunde necesităților organizației cu privire la sistemele IT de securitate (de exemplu: sisteme de detecție și prevenție a intruziunilor, sisteme de prevenire a scurgerii datelor etc.) prin furnizarea și implementarea unor soluții IT eficiente și potrivite pentru dimensiunea și particularitățile organizației.
  • Modulul 7 – Asigurarea poziției de Responsabil cu Protecția Datelor. Asigurăm experți calificați cu competențe în domeniul protecției datelor pentru îndeplinirea rolului de Responsabil cu Protecția Datelor și execuția responsabilităților specifice în cadrul organizației.

Date de contact: Cosmin Măcăneață, Managing Partner,

 cosmin.macaneata@omega-trust.ro, 0722812812

 

Info World – „Ready” pentru implementarea GDPR în domeniul medical

Cu peste 17 ani de experiență exclusivă în domeniul eHealth, atât în plan naţional, cât şi  internaţional, compania Info World are ca misiune protecţia şi securitatea datelor medicale. Acest regulament european şi, implicit adoptarea lui, vin de fapt să confirme ceea ce noi avem deja implementat în produsele şi serviciile noastre dedicate zonei medicale. 

Pe scurt, GDPR îşi propune să ofere cetățenilor Uniunii Europene controlul asupra datelor lor personale, iar pentru îndeplinirea acestui scop enunță anumite principii, unele cu impact asupra sistemului medical. În primul rând, pentru datele colectate şi pentru scopul utilizării acestora trebuie să existe un consimțământ valid, explicit din partea cetățeanului. Există totuși o serie de excepții, cum ar fi furnizarea de îngrijiri medicale sau sociale, tratament în scopul protejării intereselor vitale ale persoanei vizate.

O noutate care va avea impact major asupra sistemului medical şi chiar asupra cetăţeanului este reprezentată de oferirea posibilităţii ca persoana vizată să îşi administreze singură dosarul medical. Apare astfel dreptul persoanei vizate de a-şi transfera datele sale personale dintr-un sistem electronic de procesare în altul, fără a fi împiedicat de operatorul de date să facă acest lucru. Datele furnizate de operatorul de date trebuie să fie într-un format electronic standard, deschis şi utilizat în mod obișnuit.

În ceea ce priveşte domeniul sănătăţii, cel căruia Info World îi este integral dedicat, articolul 15 defineşte faptul că pacientul are dreptul să obţină de la operatorul de date confirmarea că datele sale personale sunt prelucrate sau nu, şi după caz, accesul la datele personale, precum şi o copie a acestor date care fac obiectul unei prelucrări. În cazul în care persoana vizată depune cererea prin mijloace electronice şi nu solicită altfel, informaţiile pot fi furnizate într-o formă electronică utilizată în mod obişnuit, ceea ce înseamnă un fişier uzual, de tip PDF sau alt format de uz general. Acest aspect permite persoanelor fizice să obţină şi să reutilizeze datele lor personale şi medicale în diverse scopuri, cum ar fi: a doua opinie medicală, schimbarea furnizorilor de asistenţă medicală, păstrarea datelor intr-un sistem de tip dosar personal de sănătate. În acest mod, persoanele vizate pot să copieze sau să transfere cu uşurinţă informaţiile dintr-un sistem informatic în altul.

Portabilitatea datelor se aplică acelor date cu caracter personal referitoare la persoana vizată şi anume:

  • Sunt procesate automat – chiar dacă pacientul beneficiază de dreptul de a-şi accesa toate înregistrările medicale, portabilitatea datelor este limitată doar la datele colectate în format electronic;
  • Sunt furnizate de persoana vizată – informaţii funizate verbal sau scris de pacient şi/sau rezultatul examinărilor, analizelor de laborator, investigaţii imagistice, etc.;
  • Sunt procesate pe baza consimţământului persoanei vizate sau pentru executarea unui contract – există excepţii care pot scoate datele medicale de sub dreptul de portabilitate, dar ca principiu general, orice procesare sau schimb de date care necesită consimţământul pacientului intră sub incidenta dreptului de portabilitate a datelor.

Considerăm că dreptul la portabilitatea datelor va genera un impact major asupra întregii activităţi medicale şi în special eHealth. Operatorii de date vor trebui să garanteze că datele cu caracter personal sunt transmise într-un format electronic standard, deschis şi utilizat în mod obişnuit şi vor trebui să asigure interoperabilitatea formatului de date în cazul unei solicitări de portabilitate a datelor.

Nivelul de cooperare dintre industria de eHealth şi asociaţiile profesionale va creşte datorită necesităţii de a elabora împreună un set de standarde şi formate de interoperabilitate pentru a îndeplini cerinţele dreptului la portabilitatea datelor.

Din punct de vedere tehnic, punerea la dispoziţia persoanelor vizate a datelor cu caracter personal se va putea face fie printr-un mecanism de transmitere directă a setului global de date al persoanei vizate, fie prin utilizarea unui instrument automatizat de extragere a datelor relevante.

Costurile generate de implementarea modificărilor nu vor putea fi imputate persoanelor vizate şi nici nu vor putea fi folosite ca justificare a refuzului de a răspunde solicitărilor de portabilitate a datelor. Desigur că intrarea în vigoare a acestui regulament, începând cu 25 mai 2018, presupune o pregătire amplă a infrastructurii la nivel gurvernamental şi privat în ceea ce priveşte furnizorii de servicii şi produse în domeniul eHealth.

«Info World „ready” înseamnă foarte mult. Dincolo de Privacy by design & Privacy by default, de gradul înalt de conformitate cu toate prevederile regulamentului european, de securitatea datelor şi de garanţia unor servicii care să onoreze experienta şi reputaţia consolidată în peste 17 de ani de actitivitate, Info World „ready” înseamnă investiţii, inovaţie, dialog şi comunicare cu toţi factorii implicaţi în proces, reacţie rapidă şi garanţia serviciilor şi aplicaţiilor la cele mai înalte standarde.» – Daniel Nistor, CEO Info World

Articol publicat de compania Info World în Catalogul GDPR Ready, Octombrie 2017

Cum pot obține certificarea DPO în România?

International Association of Privacy Professionals (IAPP) estimează un necesar de peste 75.000 de ofițeri pentru protecția datelor în întreaga Europă – înt-o apreciere inițială cifra era de 28.000). Chiar și așa, privind cu luciditate, această cifră pare mult subdimensionată față de nevoile reale din toate țările membre și din toate industriile.

Victimă sigură sau super-erou?

Una dintre marile noutăți cu care vine GDPR este necesitatea stabilirii unui ofițer cu protecția datelor personale, care să joace rolul de intermediar între organizație și autoritatea de supraveghere. Regulamentul stipulează destul de clar în articolele 37 – 39 când trebuie ales, care este rolul și ce îndatoriri are un DPO. Puteți citi despre toate acestea pe larg în recentul meu articol ” GDPR Explicitat (11) : Un personaj important – Data Protection Officer (DPO)”.  Mai mult de atât, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a postat pe site-ul sau în versiunea românească ”Ghidul privind Responsabilul cu protecția datelor (DPO)” care conține recomandări valoroase ale grupului de lucru Articolul 29.

Există deja destule surse de informare legate de condițiile în care trebuie să numim un DPO și cam ce ar trebui să facă un astfel de personaj care va avea un o poziție distinctă în schema oricărei organizații. Cu toate aceste, continuă să existe o serie de incertitudini legate de diferite aspecte. De exemplu, într-o versiune inițială GDPR menționa că orice companie care are peste 250 de angajați e obligată să numească un DPO. Ulterior s-a renunțat la această delimitare și au rămas în vigoare cele trei situații clare în care suntem obligați să numim un DPO.

În conformitate cu Articolul 37, Aliniat 1 din GDPR, trebuie să desemnăm un ofițer de protecție a datelor (DPO) dacă:

  • suntem o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • efectuăm o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online);
  • facem o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiuni.

În rest, rămâne la latitudinea noastră dacă vom aloca sau nu o astfel de poziție, chiar dacă avem o microîntreprindere cu 2 angajați… Recomandarea grupului de lucru Articolul 29 este totuși ca în funcție de complexitatea și riscurile asociate activităților de prelucrare a datelor cu caracter personal să fie numit un DPO care poate coordona activitățile de mapare a fluxurilor de date, poate realiza o evaluare de impact sau poate administra analizele de risc.

Alte neclarități sunt legate de statutul oarecum special de subordonare în schema unei organizații, precum și de condițiile în care un DPO poate fi tras la răspundere. De aici și pozițiile oarecum extreme de victimă sigură a autorităților de supraveghere sau de super-erou, care cu vitejia sa poate apăra compania de orice amenințare. În fine, alte discuții controversate se referă la pregătirea optimă a unui DPO și din ce departament ar trebui recrutat: HR, legal, operațional sau IT? Și aici există o multitudine de recomandări ce oferă o plajă largă de soluții, precum constituirea unui grup de acțiune cu reprezentanți ai tuturor departamentelor implicate care să susțină în permanență – și la o adică să poată să suplinească, rolul unui DPO. La limita extremă este apelarea la serviciile unui DPO super-specializat, care eventual poate consilia mai multe organizații, la limita conflictului de interese. Și aici fiecare poate să aleagă soluția cea mai convenabilă.

Dacă ne uităm însă la recomandările organismelor de certificare cu recunoaștere internațională precum IAPP sau PECB vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în protecția datelor personale. De aici reiese că un candidat serios la poziția de DPO trebuie să fi avut un rol cu certe competențe tehnologice și operaționale, oameni cu experiență în project management, data quality, baze de date, managementul riscurilor, securitatea sau protecția datelor. Diferitele statistici arată că în prezent e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de ceva mai mult timp pentru pregătirea poziției de DPO.

Unde ne certificăm ofițerii pentru protecția datelor? O soluție este programul de cursuri RQM Cert

Iată-ne ajunși la un alt punct de răscruce în eforturile noastre pentru conformitate. Am identificat cel mai potrivit om din organizație care ne poate reprezenta în fața autorităților, dar cum îl instruim? Unde găsim cursuri de certificare pentru poziția de DPO? Dacă veți citi Catalogul GDPR Ready publicat recent, veți găsi mai multe programe de instruire disponibile la ora aceasta la noi în țară.

La evenimentul Noua ordine europeană pentru protecția datelor personale organizat de agenția Concord Communication în 12 octombrie și având ca partener principal casa de avocatură Mușat & Asociații, a participat și compania RQM Certification, partener PECB pentru România, care a oferit o prezentare a serviciilor de pregătire profesională pentru poziția de Certified Data Protection Officer.

Programul de instruire oferit de RQM Certification este acreditat de PECB, organizație cu sediul în Canada recunoscută internațional pentru competențele și expertiza în implementările standardelor ISO. PECB este un organism de certificare pentru persoane, sisteme de management și produse, pentru o gamă largă de standarde internaționale. Ca furnizor global de servicii de instruire, examinare, audit și certificare, PECB oferă expertiza sa în mai multe domenii precum securitatea informației, IT, continuitatea afacerii, managementul serviciilor, sistemele de management al calității sau managementul riscului. Prin parteneriatul cu PECB, compania RQM Cert poate asigura în România obținerea certificărilor pentru standardele ISO 9001, ISO/TS 16949, ISO 31000, ISO 14001 și ISO 27001.

Certificarea DPO oferită de RQM permite specialiștilor desemnați să dobândească expertiza necesară pentru a înțelege riscurile care ar putea avea un impact negativ asupra organizației, oferindu-le cunoștințele esențiale pentru a implementa strategia necesară, pe baza celor mai bune practici, cerințe și principii GDPR. Cursurile Certified Data Protection Officer  organizate de RQM Cert sunt eșalonate pe o durată de 5 zile lucrătoare și sunt structurate în 25 de secțiuni ce acoperă o largă paletă de probleme, de la elementele de bază conținute de GDPR, la analiza nivelului de pregătire, implementarea și complianța, la obținerea și mai ales păstrarea nivelului de conformitate necesar pentru evitarea oricărui risc și continuitatea în business.

    

 

%d bloggers like this: