Mușat & Asociații se implică activ în conștientizarea GDPR

Evenimentul de GDPR care s-a bucurat de cel mai mare impact în ultima perioadă a fost dezbaterea “Noua ordine europeană pentru protecția datelor personale” care a beneficiat de implicarea activă  a casei de avocatură Mușat & Asociații. Pe lângă găzduirea efectivă a evenimentului, avocații de la Mușat & Asociații au susținut o serie de prezentări cu impact major pentru conștientizarea importanței GDPR, care au alternat cu descrierile de soluții tehnologice și răspunsurile la un mare număr de întrebări.

Forța componentei legislative

Alături de tehnologie și operațional, componenta legală are o contribuție esențială în triada vectorilor care cumulează esența unui proiect de conformitate GDPR. Rolul conștientizării importanței noului regulament este genetic legat de esența legislativă. GDPR reprezintă o schimbare fundamentală în legislația UE în ceea ce privește datele și intimitatea personală. Regulamentul are două obiective majore:

  • Actualizarea legislației privind protecția datelor pentru a reflecta noile comportamente digitale și valorile societății;
  • Armonizarea regulilor privind protecția datelor la nivelul UE, deoarece vechea Directivă privind Protecția Datelor a fost abordată și implementată în maniere diferite de statele membre, adaptată la propriile culturi, nevoi și preferințe. Asta a influențat o inhibare a comerțului și activităților cross-border, acționând ca o frână în calea unei viitoare piețe unice digitale.

De aici, orice proces de implementare a măsurilor care asigură conformitatea cu GDPR trebuie să înceapă cu înțelegerea cadrului legal: structură, importanță, elemente de noutate, noile obligații, și mai ales, noile penalități. Punerea în aplicare a procedurilor de obținere a complianței intră în sfera operațională și evident ajunge sub incidența tehnologiilor de  asigurare a protecției datelor personale, dar fiecare etapă și procedură a acestui proces trebuie să fie în concordanță cu dispozițiile și cu spiritul Regulamentului. Ofițerul cu protecția datelor personale sau persoana desemnată să acționeze potrivit acestui rol are datoria de a coordona și de a face recomandări în spiritul legii. Potrivit Articolului 39, printre principalele atribuții ale unui DPO se numără:

  • Informarea și consilierea organizației și angajaților cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor;
  • Monitorizarea respectării GDPR și a altor legi privind protecția datelor;
  • Primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate.

Rolul ghidurilor de bune practici în succesul unui proiect GDPR

Avocat Bogdan Mihai, Partener Muşat & Asociații.

Pentru a veni în sprijinul celor interesați de procesul de obținere a conformității, reprezentanții casei de avocatură Mușat & Asociații au realizat un Ghid practic de implementare a măsurilor de conformitate GDPR  în care sunt explicate cerințele principale ale GDPR-ului, aplicate tuturor companiilor care prelucrează date personale, prezentat de avocatul Bogdan Mihai, Partener Muşat & Asociații.

Ghidul acoperă toate cerințele principale impuse de GDPR, de la temeiul juridic pentru controlul și prelucrarea datelor cu caracter personal, la scopul legitim pentru colectarea și prelucrarea acestora, documentarea activităților, evaluarea riscurilor, și până la notificarea autorității de supraveghere,  desemnarea responsabilului cu protecția datelor, actualizarea datelor inexacte și transferul datelor în afara UE.

O bună premisă pentru demararea unui proces de implementare GDPR presupune o bună cunoaștere a condițiilor introduse de Regulament, prin educația administratorilor și personalului, începând cu directorul executiv, echipa de conducere și personalul care se ocupă de prelucrarea datelor. Programul de instruire trebuie să coincidă cu crearea unui grup de lucru comun, din care va fi desemnat și care va susține responsabilul cu protecția datelor. Acest grup de acțiune trebuie să stabilească niște activități concrete legate de ce ar trebui să facă/ să nu facă angajații, precum și sarcinile și responsabilitățile în asigurarea protecției datelor.

Avocatul Bogdan Mihai a insistat pe importanța unei evaluări corecte a riscului de penalitate și ce ar însemna valoarea investiției în soluții care pot asigura conformitatea, în raport cu valoarea amenzilor preconizate. Foarte interesante au fost studiile de caz prezentate, privitoare la valoarea penalităților impuse unor organizații europene care nu au respectat actualele prevederi de protecție a datelor personale, precum o companie de televiziune din Spania sau o companie de telecomunicații din UK.

Ghidul realizat de Mușat & Asociații pune accentul pe importanța desfășurării unui inventar de tip end-to-end și a unui audit, precum și pe stabilirea unei baze legitime pentru fiecare prelucrare a datelor, ca de exemplu deținerea consimțământului persoanei vizate. O altă activitate recomandată este examinarea și actualizarea politicilor pentru protecția datelor, precum și exactitatea înregistrării oricăror activități de prelucrare.

Ca măsuri tehnice, Ghidul recomandă implementarea de instrumente automate pentru descoperirea, catalogarea și clasificarea datelor personale în întreaga organizație, soluțiilor de prevenire a pierderilor de date (DLP), criptarea datelor, adoptarea de măsuri de identificare, blocare și investigare a criminalității, precum și soluții pentru exportul de date.

Sancțiuni severe pentru nerespectarea GDPR

Una dintre cele mai importante schimbări cu care vine noul regulament este severitatea sancțiunilor care vor fi impuse celor care nu pot dovedi că au făcut tot ce le stătea în putință pentru prevenirea și limitarea consecințelor în cazurile în care au avut loc scurgeri sau pierderi de date, cu implicații pentru posesorii acestora.

Dar până la stabilirea și aplicarea sancțiunilor mai există o serie de prevederi ale GDPR mai puțin discutate și comentate public. În prezentarea sa referitoare la sancțiuni, avocatul Bogdan Mihai s-a referit la secțiunea privitoare la Remedii, răspundere și penalități. Potrivit Articolului 77: Dreptul de a depune o plângere la o autoritate de supraveghere – Fiecare persoană vizată are dreptul de a lansa o plângere la o autoritate de supraveghere, care din punct de vedere teritorial se află în statul membru de reședință obișnuită, în țara unde se află locul de muncă sau acolo unde s-a produs presupusa încălcare a protecției datelor personale. Autoritatea de supraveghere are obligația de a-l informa pe reclamant cu privire la progresele înregistrate, inclusiv posibilitatea recursului judiciar.

O altă problemă majoră o reprezintă răspunderea pe care o au operatorii și procesatorii de date. Operatorii sunt responsabili pentru daunele cauzate de prelucrarea care încalcă GDPR. Persoanele împuternicite de operator sunt responsabile atunci când nu au respectat obligațiile care le-au fost date in mod specific sau atunci când au acționat în afara sau contrar instrucțiunilor legale primate de la operatorul de date.

Este important de reținut că un operator poate fi exonerat de răspundere dacă dovedește ca nu este răspunzător în niciun fel pentru evenimentul care a cauzat prejudiciul. Dacă e vorba de mai mulți operatori implicați în aceeași operațiune de prelucrare, fiecare operator este răspunzător pentru întregul prejudiciu.

Pentru impunerea amenzilor administrative se iau în considerare următoarele aspecte:

  • Natura, gravitatea și durata încălcării
  • Intenția sau neglijența
  • Măsurile luate de contravenient pentru atenuarea sau prevenirea efectelor încălcării
  • Gradul de responsabilitate al operatorului
  • Eventualele încălcări anterioare relevante comise de operator
  • Gradul de cooperare cu autoritatea de supraveghere
  • Dacă operatorul a notificat încălcarea
  • Aderarea la coduri de conduită aprobate sau mecanisme de certificarea probate.

Autoritățile de protecție a datelor au puterea de a dispune unui operator de date să impună o interdicție temporară sau nedeterminată pe prelucrare, să suspende fluxurile de date către un destinatar dintr-o țară terță, să respecte solicitările persoanei vizate, să asigure conformitatea cu autorizațiile și consultările prealabile sau să dispună rectificarea, ștergerea sau distrugerea datelor.

Mai multe drepturi pentru noi, ca persoane fizice

Unul dintre cele mai importante aspecte prevăzute de GDPR este respectarea celor șase principii fundamentale de prelucrare a datelor personale, care îl responsabilizează pe operatorul sau procesatorul de date:

  • Legalitate, echitate și transparență;
  • Datele sunt colectate în scopuri determinate, explicite și legitime;
  • Reducerea la minim a datelor prelucrate;
  • Exactitate și menținerea actualității datelor;
  • Păstrarea datelor pe perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate;
  • Integritate și confidențialitate.

O altă noutate adusă de GDPR la care s-a făcut referire este dreptul persoanelor fizice de a cere companiilor ștergerea datelor personale – dreptul de a fi uitat. În multe situații posesorii datelor personale pot renunța la acordul dat într-o anumită conjunctură și au dreptul să solicite ștergerea informațiilor din toate bazele de date. Dificultăți pot apărea atunci când datele sunt stocate în Cloud și nu există garanția că pot fi șterse de pe toate serverele sau în cazul unor instituții speciale, precum cele bancare, care au nevoie de istoricul clienților în acțiunile de prevenirea a spălării banilor sau pentru alte clauze contractuale.

Drepturile angajaților în lumina GDPR

Alte aspecte deosebit de importante ridicate de noul regulament vizează reflectarea relațiilor dintre angajați și angajatori, prin prisma prevederilor din dreptul muncii. Anca Vătășoiu, avocat la Mușat & Asociații, s-a referit la noile obligații care pot sau nu să fie asociate cu răspunderea angajaților prin contractul de muncă. Primele departamente vizate de GDPR sunt cele de resurse umane, dar și angajații, în mod individual, prin prisma faptului că intră în contact, într-un fel sau altul, cu date personale. Angajații trebuie să fie foarte atenți la modul în care prelucrează datele, deși întreaga răspundere în fața legii este a angajatorului. Cu toate acestea, angajatorul se poate întoarce împotriva acestora pentru recuperarea prejudiciului.

Potrivit Articolului 247(2) din Codul Muncii, ”abaterea disciplinară este o faptă în legătură cu munca şi care constă într-o acţiune sau inacţiune săvârşită cu vinovăţie de către salariat, prin care acesta a încălcat normele legale, regulamentul intern, contractul individual de muncă sau contractul colectiv de muncă aplicabil, ordinele şi dispoziţiile legale ale conducătorilor ierarhici.”

Pentru protecția companiilor, primul pas în concepția av. Anca Vătășoiu, este ”identificarea persoanelor care jonglează zilnic cu date personale și o definire clară a atribuțiilor descrise în fișa postului și a contractului de muncă.” Pe lângă aceste lucruri este nevoie de o informare și o prelucrare a legislației, a obligațiilor și a mecanismelor pe care angajatorul trebuie să le implementeze cu salariații. În paralel, trebuie reglementate, foarte detaliat, regulile cu privire la protecția datelor într-un regulament intern, chiar într-o politică dedicată. Tot în regulamentul intern trebuie definite şi încadrate în mod expres abaterile pentru încălcările GDPR. Angajatorii pot instrui şi comunica salariaţilor toate masurile şi procedurile care trebuie respectate pentru a nu ajunge în situaţia de a răspunde disciplinar, administrativ sau patrimonial.

Avem dreptul să monitorizăm angajații la locul de muncă și în ce condiții?

Anca Vătășoiu, avocat Mușat & Asociații

Una dintre cele mai interesante și mai controversate probleme abordate de doamna avocat Anca Vătășoiu a fost cea legată de monitorizarea angajaților la locul de muncă. Aici politicile companiilor sunt destul de diferite. De cele mai multe ori monitorizarea fiind făcută în scopul eficientizării activității angajaților, prin limitarea sau eliminarea accesului la internet sau la anumite instrumente sau aplicații în alte scopuri decât cele personale. În lumina GDPR apare problema creșterii responsabilității angajatului implicat în prelucrarea de date personale. Orice politică restrictivă prost aplicată poate conduce la încălcarea drepturilor individuale.

S-a făcut referire la un caz concret, celebru deja în mediul juridic, în care un angajat a utilizat o platformă de comunicare cu clienții în scopuri personale. Pe baza monitorizării companiei angajatoare, s-au luat măsuri de punere în aplicare a regulamentului intern. Angajatul a contestat decizia de concediere a companiei, în mai multe instanțe din România, dar a obținut câștig de cauză la CEDO, după mai multe răsturnări de situație.

Concluziile acestui caz sunt destul de controversate, dar ceea ce este sigur este faptul că, în special în departamentele unde se operează cu date personale, e nevoie de politici de monitorizare cât mai detaliate, în condițiile în care statisticile arată că peste 70% dintre incidentele legate de pierderea sau alterarea datelor sunt de natură internă. Pentru eliminarea oricăror situații critice, se recomandă construirea unei culturi organizaționale pentru GDPR, prin care fiecare angajat, manager și departament să își cunoască cu exactitate atribuțiile. Acolo unde politica companiei include sisteme sau acțiuni de monitorizare a angajaților, este bine ca toți angajații implicați să cunoască necesitatea monitorizării, perioada de timp, scopul și mijloacele de efectuare a acestei supravegheri.  Una dintre condițiile esențiale pentru evitarea oricărei neplăceri este ca monitorizare să fie cât mai puțin intruzivă.

O descriere mai largă a evenimentului Noua ordine europeană pentru protecția datelor personale” organizat de Concord Communication pe data de 12 Octombrie 2017 la sediul Mușat & Asociații poate fi citită în articolul ”O amplă reuniune de forțe la cel mai important eveniment dezbatere dedicat GDPR”.

Sursă fotografii: Concord Communiction

Advertisements

O amplă reuniune de forțe la cel mai important eveniment dezbatere dedicat GDPR

Evenimente, dezbateri, conferințe, webinarii, workshopuri, cursuri de certificare… Pe măsură ce ne apropiem de ”Ziua 0: 25 Mai 2018”,  o dată memorabilă pentru istoria modernă a proceselor de afaceri, se întețesc și de diversifică activitățile de sensibilizare a operatorilor și promovare a soluțiilor și serviciilor capabile să asigure conformitatea.  În peisajul local al activităților de acest gen, iese în evidență Evenimentul Dezbatere “Noua ordine europeană pentru protecția datelor personale” desfășurat în 12 Octombrie la sediul Muşat & Asociaţii din București.

”Suntem pregătiți pentru asigurarea conformității cu noul Regulament european?  Este o întrebare pe care o auzim tot mai des, în cele mai diferite medii, dar care din păcate este urmată destul de rar și de răspunsuri care să ne ofere o direcție de acțiune în acest amalgam de recomandări, articole și proceduri. Am început să înțelegem cu toții că obținerea conformității GDPR este un must, un lucru foarte serios pe care nu trebuie să îl trecem cu vederea, o abordare, pe care dacă nu o tratăm cu toată seriozitatea riscăm să pierdem enorm.

Un eveniment unicat pentru piața din România

Aflat deja la cea de-a treia ediție, evenimentul organizat de agenția de PR Concord Communication a beneficiat de suportul partenerilor principali: Mușat și Asociații, Clico Romania și Power Net Consulting și de participarea ANSSI (Asociația Națională pentru Securitatea Sistemelor Informatice). Prin ce iese în evidență acest eveniment față de alte acțiuni asemănătoare? În primul rând prin seriozitatea abordării A fost cu adevărat un eveniment dezbatere, unde participanții au avut posibilitatea să pună întrebări încă de la înregistrare și să și obțină răspunsurile dorite. Și s-a răspuns chiar la toate întrebările, atât la cele pre-adresate, cât și la cele spontane, din timpul evenimentului.

Un rol important în derularea coerentă a evenimentului l-a avut moderatorul Toma Cîmpeanu, CEO ANSSI, care a dirijat cu profesionalism și eleganță un adevărat maraton de prezentări și intervenții.  Căci evenimentul s-a făcut remarcat și prin larga concentrare de forțe a unor vectori, care deși acționează în zone diferite, s-u aliniat pe aceeași directoare, cu scopul declarat de a face mai mult decât o simplă sensibilizare a participanților. Reprezentanți guvernamentali, experți în legislație și probleme de securitate, avocați, furnizori de soluții IT, firme de consultanță și servicii de instruire, au contribuit la consolidarea unei agende din care n-au lipsit prezentările de ghiduri practice, aspecte legate de securitatea datelor cu caracter personal, obligațiile și responsabilitățile ofițerilor responsabili cu protecția datelor, transferurile de date, reguli corporative, date statistice și studii de piață, precum și oferte profesionale de instruire a viitorilor DPO.

Un alt aspect important: larga adresabilitate. Evenimentul “Noua ordine europeană pentru protecția datelor personale” s-a adresat companiilor și instituțiilor publice din cele mai diverse domenii, precum operatorii de utilități din energie, petrol și gaze, sau transport, sectorul financiar-bancar, sănătate, servicii publice, servicii Cloud computing, data center și eCommerce, motoare de căutare online, platforme de joburi, furnizori telecom, agenții de marketing sau operatori de turism.

Implicații juridice importante generate de noul regulament

Reprezentanții casei de avocatură Mușat & Asociații au avut un rol esențial în desfășurarea evenimentului, prin mai multe contribuții de valoare care au alterant prezentărilor de soluții tehnice. Astfel, avocatul Bogdan Mihai, Partener Mușat și Asociații a prezentat participanților un ghidul practic de implementare a măsurilor de conformitate GDPR,  în care sunt explicitate principalele cerințe ale noului Regulament și principalele obligații ale operatorilor și procesatorilor de date. O importanță majoră a noilor reglementări este operarea transferurilor de date personale către țări terțe sau organizații internaționale, care este supusă unor rigori suplimentare față de legislația precedentă.

Una dintre cele mai importante schimbări cu care vine noul regulament este severitatea sancțiunilor care vor fi impuse celor care nu pot dovedi că au făcut tot ce le stătea în putință pentru prevenirea și limitarea consecințelor în cazurile în care au avut loc scurgeri sau pierderi de date, cu implicații pentru posesorii acestora. Avocatul Bogdan Mihai a trecut în revistă care sunt principalele categorii de amenzi prevăzute și cele mai frecvente cauze care pot conduce la aplicarea acestora.

O altă noutate adusă de GDPR la care s-a făcut referire este dreptul persoanelor fizice de a cere companiilor ștergerea datelor personale – dreptul de a fi uitat. În multe situații posesorii datelor personale pot renunța la acordul dat într-o anumită conjunctură și au dreptul să solicite ștergerea informațiilor din toate bazele de date. Dificultăți pot apărea atunci când datele sunt stocate în Cloud și nu există garanția că pot fi șterse de pe toate serverele sau în cazul unor instituții speciale, precum cele bancare, care au nevoie de istoricul clienților în acțiunile de prevenirea a spălării banilor sau pentru alte clauze contractuale.

Alte aspecte deosebit de importante ridicate de noul regulament vizează reflectarea relațiilor dintre angajați și angajatori, prin prisma prevederilor din dreptul muncii. Anca Vătășoiu, avocat la Mușat & Asociații, s-a referit la noile obligații care pot sau nu să fie asociate cu răspunderea angajaților prin contractul de muncă. Există deja cazuri concrete în domeniul juridic, legate de monitorizarea și supravegherea angajaților la locul de muncă, în care încălcări clare ale regulamentelor interioare ale angajatorilor au fost contestate în spiritul drepturilor omului. Un alt aspect important discutat de doamna avocat Vătășoiu este răspunderea administrativă, disciplinară sau civilă a salariaților pentru încălcarea obligaților conferite de GDPR în România.

Cel mai titrat specialist GDPR din România

Un alt element cu totul special al evenimentului a fost prezența Comisarului Șef de Poliție Aurel Cătălin Giulescu, director împuternicit al Direcției de Evidență a Persoanelor și Administrarea Bazelor de Date, DPO certificat de EIPA, coordonatorul echipei MAI care a gestionat negocierile tehnice la nivel european, pentru elaborarea și adoptarea GDPR. Cu alte cuvinte, am avut onoarea să îl ascultăm și să discutăm cu cel mai titrat specialist GDPR din România, primul DPO cu atestare internațională și unul dintre cei mai mari experți în probleme de securitate a datelor personale.

Comisarul Șef Giulescu a făcut o expunere la obiect privitoare la numirea responsabilului cu protecția datelor, ce experiență trebuie să dețină și care sunt principalele atribuții. O atenție specială trebuie acordată unei bune înțelegeri a obligațiilor și responsabilităților pe care le are un DPO, care are rolul de liant între diferitele linii de business și compartimente ale unei organizații. De altfel, importanța acestui rol a fost subliniată și de faptul că majoritatea întrebărilor adresate a avut legătură cu poziția de DPO, iar ce e cel mai important, toate întrebările critice au primit răspuns.

Iată răspunsurile la cele două întrebări adresate de cloud☁mania, partener media al acestui eveniment:

I1: Există riscul ca un DPO să fie tras la răspundere în eventualitatea unui incident de pierdere a unor date, pasibil de expunere la penalități?

R1: Din perspectiva GDPR, un DPO nu poate fi tras la răspundere în mod direct și personal pentru incidente la nivelul unei organizații, ci organizația ca atare este cea penalizată. Evident, că există cazuri speciale în care un DPO care s-a dovedit clar ca ar fi principala sursă responsabilă de producerea unor pierderi de date, poate fi tras la răspundere potrivit regulamentelor și politicilor specifice organizației de care aparține.

I2: DPO este o persoană cu un rol special în cadrul unei organizații, care trebuie instruită și antrenată pentru a-și putea exercita cât mai eficient toate atribuțiile. Ce se întâmplă însă, în situațiile sau în perioadele în care DPO nu este disponibil pentru a-și exercita obligațiile, din diferite motive obiective sau subiective?

R2: Există recomandări în cadrul GDPR ca cel puțin pentru organizațiile mari și foarte mari să existe în permanență un ajutor de DPO sau cel puțin o persoană la fel de pregătită din cadrul echipei de coordonare, formată din reprezentanți ai tuturor departamentelor.  

Tehnologia ca sursă și ca panaceu al noilor riscuri

În condițiile în care actualizarea legislației privitoare la protecția datelor personale se datorează evoluției tehnologice, care diversifică substanțial poziția posesorului de date, tot tehnologiei îi revine rolul de a veni cu soluții care să rezolve noile probleme apărute. Astfel, noua prevedere legată de dreptul individual de solicitare a ștergerii datelor, ridică o serie de întrebări de natură tehnică: sunt șterse cu adevărat datele personale de pe un dispozitiv de stocare? Cum putem dovedi unui solicitant că datele sale au fost șterse de pe toate serverele unui sistem Cloud? Compania Tryamm Trading Consulting reprezentată de Cristian Aionesei, Managing Partner, a prezentat una dintre cele mai performante soluții de ștergere fizică și virtuală a datelor. Soluția Blancco Eraser asigură o ștergere permanentă a datelor, atestată de 18 organisme de certificare, atât în driverele unităților fizice de stocare, cât și în mediile virtuale și mobile.

Monitorizarea fluxului de date personale și securizarea acestora sunt două dintre cerințele de conformitate cu noul Regulament pentru protecția datelor personale.  Alina Pavel, Channel Manager Clico Romania a făcut o amplă trecere în revistă a soluțiilor se Securitate a datelor pe care compania le furnizează pe piața din România. Unul dintre cele mai cunoscute branduri reprezentate este PaloAlto Networks, care oferă o platformă ce îmbină soluții firewall de ultimă generație cu elemente de protecție la nivel de stație și analiză la nivel de Cloud a pericolelor cibernetice ce pot afecta o companie. ForcePoint este o soluție de ”data loss prevetion”, care protejează atât datele de pe sistemele fixe, cât și cele din rețea, din Cloud sau din bazele de date mobile.

Un alt brand reprezentat de Clico este Imperva, furnizor de soluții de securizare și auditarea a bazelor de date și aplicații Web care asigură funcționalități de securitate prin minimizarea datelor, limitarea accesului utilizatorilor, pseudonimizare, anonimizare sau transfer securizat. Soluția MobileIron este forte utilă pentru aplicare politicilor BYOD, separând datele personale de pe orice dispozitiv mobil, de cele folosite în scop profesional. Clico oferă consultanță, cursuri de training și soluții de pre si post vânzare pentru toate aceste soluții.

Puterea exemplului Cisco

Un alt moment important al evenimentului a fost conexiune de la distanță cu unul dintre specialiștii Cisco Systems implicați direct în procesul de implementare GDPR la nivel de corporație. Astfel, grație echipamentelor de videoconferință Cisco, am putut asculta povestea de succes prezentată de la Bruxelles de Lorena Marciano, DPO Cisco Systems Europe. În eforturile de implementare GDPR și susținere a ecosistemului de parteneri, Cisco a optat pentru o strategie bazată pe puterea exemplului. Ce garanție mai bună de compatibilitate pentru soluțiile oferite, decât faptul că sunt folosite pentru implementarea propriei conformități? În fine, plecând de la acest proces de best practices, Cisco vine pentru partenerii săi cu o serie de recomandări, care încep cu consolidarea unei echipe multidisciplinare, alegerea unui program cadru care să funcționeze pentru organizație, stabilirea obiectivelor și priorităților, inventarierea datelor și analiza de risc, evaluarea nivelului de maturitate al sistemelor de protecție a datelor, utilizarea facilităților existente și rezolvarea rapidă a lacunelor de securitate.

Studiile de piață arată că nu suntem pregătiți

Sursa: Power Net Consulting

În vara acestui an, compania Power Net Consulting a realizat un studiu printre directorii IT ai unor companii private din Romania. Scopul principal al studiului a fost realizarea unei radiografii a nivelului de pregătire a companiilor, pe baza unui eșantion reprezentativ. Studiul a fost axat pe câteva direcții principale de cercetare, fiecare direcție fiind însoțită de un set de întrebări. Principalele tematici vizate au fost:

  • Cât de informate sunt companiile cu privire la noile reglementări GDPR?
  • Există proceduri interne conforme?
  • Care sunt problemele majore de conformitate?
  • Ce soluții IT și-au propus companiile să implementeze?
  • Care este nivelul actual de pregătire al organizațiilor?

Iată câteva dintre cele mai relevante rezultate ale studiului prezentate de Emil Munteanu, Managing Partner Power Net Consulting: deși 79% dintre companiile chestionate pe tema pregătirii pentru implementarea Regulamentului UE 679/2016 sunt informate despre aceste subiect, doar 14% dintre acestea au persoane nominalizate pentru funcția de responsabil cu prelucrarea datelor personale. De asemenea, 57% dintre respondenți au recunoscut că până în prezent nu au revizuit sau nu au actualizat politicile de securitate existente, iar 50% nu au făcut încă o evaluare internă a datelor cu caracter personal prelucrate. Un alt aspect îngrijorător relevat de acest studiu este că doar 36% din respondenți au instruit GDPR personalul care se ocupă cu problemele de securitate, 18% au organizat traininguri GDPR interne și doar 11% au reevaluat contractele cu furnizorii. Dintre soluțiile IT pe care companiile și-au propus să le adopte în vederea conformității GDPR se numără: Data Loss Prevention (75%), Network Protection (68%) și Encription/ Tokenization/ Pseudonomization (61%).

Cum certificăm un DPO în România?

Compania RQM Certification, partener PECB pentru România, a oferit o prezentare a serviciilor de pregătire profesională pentru poziția de Certified Data Protection Officer. Această certificare permite specialiștilor desemnați să dobândească expertiza necesară pentru a înțelege riscurile care ar putea avea un impact negativ asupra organizației oferindu-le cunoștințele pentru a implementa strategia necesară, pe baza celor mai bune practici, cerințe și principii GDPR. Cursurile DPO beneficiază de certificarea PECB, un furnizor de certificări pentru standarde ISO cu recunoaștere internațională.  Prin parteneriatul cu PECB, compania RQM Certification poate asigura în România obținerea certificărilor pentru standardele ISO 9001, ISO/TS 16949, ISO 31000, ISO 14001 și ISO 27001.

 

Concluzionând, evenimentul “Noua ordine europeană pentru protecția datelor personale” marchează o certă maturizare  a preocupărilor legate de GDPR pe piața din România, cu o evidentă determinare în depășirea fazei de conștientizare, cu trecere la planificare  și acțiune concretă. Prezența celui mai titrat specialist GDPR din România care a răspuns la toate întrebările, implicarea casei de avocatura Mușat și Asociații, videoconferința cu DPO Cisco de la Bruxelles, prezentarea de soluții concrete de securizare a proceselor și a datelor, studiul de piață realizat de Power Net Consulting precum și cursurile de certificare DPO deja existente pe piață, au contribuit la succesul acestui eveniment. Felicitări tuturor celor implicați și în special organizatorului Concord Communication.  

Sursă fotografii: Concord Communiction

Invitație la un eveniment dezbatere: Noua ordine europeană pentru protecția datelor personale

 

Suntem pregătiți pentru asigurarea conformității cu nou Regulament european?  Este o întrebare care apare tot mai des, în cele mai diferite medii, de la marile case de avocatură, la companiile de consultanta și la furnizorii de soluții de optimizare operațională și securitate IT.

Studiile de piață arată clar că NU. Peste 70% dintre operatorii europeni de date nu au încă un program clar de asigurare a compatibilității cu noile reglementari ale Uniunii Europene. Mai grav este că mai mult de jumătate dintre cei care au afirmat că sunt pregătiți, nu au baze reale pentru obținerea conformității GDPR.

Pe măsură ce trece timpul, ideile principale care se desprind sunt legate de faptul că obținerea conformității cu prevederile GDPR este un must, un lucru foarte serios pe care nu trebuie să îl trecem cu vederea, o abordare, pe care dacă nu o tratăm cu toată seriozitatea riscăm să pierdem enorm: material, moral, dar mai ales eficiența în business.

Pentru a putea fi cu adevărat pregătiți pentru GDPR trebuie să înțelegem în primul rând importanța majoră a Regulamentului și responsabilitățile pe care le vom avea ca operatori de date personale. Iată câteva elemente definitorii, esențiale pentru schițarea unei bune strategii de conformitate.

Toți cei care au neclarități legate de aspecte legale, operaționale sau tehnologice vor avea ocazia să participe la un eveniment dedicat unei largi audiențe, unde pot adresa direct întrebările esențiale celor mai avizați specialiști.

Înregistrați-vă la evenimentul dezbatere

“Noua ordine europeană pentru PROTECŢIA DATELOR PERSONALE”

12 Octombrie 2017, București, sediul Muşat & Asociaţii

 

Aflat deja la cea de-a treia ediție, evenimentul este organizat de agenția de PR Concord Communication și are ca parteneri principali companiile Mușat și Asociatii, Clico Romania și Power Net Consulting.

Printre principalele teme abordate se numără problematici de mare interes, precum  ghiduri practice de implementare a măsurilor de conformitate GDPR, diverse aspecte legate de securitatea datelor cu caracter personal, obligațiile și responsabilitățile ofițerilor responsabili cu protecția datelor, transferurile de date cu caracter personal către țări terțe sau organizații internaționale, precum și reguli corporative legate de răspunderea angajaților pentru încălcarea obligațiilor GDPR în Romania și în alte state membre.

Evenimentul “Noua ordine europeană pentru PROTECŢIA DATELOR PERSONALE” se adresează companiilor și instituțiilor publice din cele mai diverse domenii, precum operatorii de utilități din energie, petrol și gaze, sau transport, sectorul financiar-bancar, sănătate, servicii publice, servicii Cloud computing, data center și eCommerce, motoare de căutare online, platforme de joburi, furnizori telecom, agenții de marketing sau operatori de turism.

Evenimentul este gândit într-o manieră transparentă și interactivă, fiind structurat sub formă de întrebări și răspunsuri. Pentru detalii despre eveniment, agenda și specialiștii care vor răspunde la întrebări nu trebuie decât să vă înregistrați la adresa: https://concordcom.ro/evenimente/protectia-datelor-personale/

Prin intermediul Fomularului de înscriere pot fi adresate întrebările esențiale la care doriți să primiți răspunsuri din partea specialiștilor prezenți în panel.

Image source: Concord Communications

%d bloggers like this: