Abordarea „D(atelor)” în GDPR

 

Acest articol a fost publicat de compania Relational în Catalogul GDPR Ready

Relational este un integrator de software internațional, fiind cel mai important distribuitor al Informatica INC. în România.

 

Pentru a ajuta la înțelegerea regulamentelor, Informatica identifică următoarele puncte, care evidențiază provocările GDPR:

1 Descoperirea datelor sensibile și analiza riscurilor – caracterizată ca fiind un caz de detectare și protecție. Aceste capabilități furnizează informații despre unde sunt datele sensibile din domeniul de aplicare și unde se proliferează, cu informații analitice.

Soluții tehnologice: Informatica Secure@Source poate descoperi locația datelor, să le clasifice, să monitorizeze proliferarea datelor și să aloce scorurile de risc. Urmărind în timp aceste informații, putem aprecia modul în care modificările influențează pozitiv sau negativ eforturile de conformitate.

2 Interpretarea politicilor – caracterizată ca fiind un caz de Enterprise Data Governance. Aceste capabilități oferă o vizualizare completă a gestionării organizaționale a datelor, legând viziunea informațiilor între Business şi IT.

Soluții tehnologice: soluțiile de Enterprise Data Governance permit funcțiilor din Business și IT să colaboreze în vederea atingerii scopului comun al administrării datelor. Soluțiile, precum Informatica Axon, sunt concepute pentru a uni vizibilitatea datelor pentru Business și IT, și pentru a crea o legătură între data asset-urile logice și fizice.

3 Gestionarea datelor personale – caracterizată ca fiind un caz de potrivire si legare a datelor. Acestea sunt capabilități pentru identificarea în sisteme a înregistrărilor datelor persoanelor vizate și pentru oferirea unei vizualizări încrucișate a datelor, prin potrivirea și crearea de legături între ele.

Soluții tehnologice: ajuta la descoperirea înregistrărilor persoanelor vizate din toate domeniile de date, utilizând algoritmi avansați pentru a se potrivi cu toate datele referitoare la același subiect de date, indiferent de locul în care sunt stocate datele. Informatica Relate 360 utilizează algoritmi avansați pentru identificarea datelor asociate aceleiași persoane, iar Master Data Management oferă cadrul pentru menținerea și gestionarea unei vizualizări comune a datelor privind persoanele vizate.

4 Activarea controlului consimțământului – caracterizat ca fiind un caz de detectare și protecție a utilizării. Acestea sunt capabilități de bază pentru protejarea și securizarea accesului la date, aplicarea unor controale centrate pe date, precum mascarea, criptarea și controlul accesului, gestionarea ciclului de viață al datelor, inclusiv arhivarea, ștergerea datelor și a aplicației.

Soluții tehnologice: pot contribui la gestionarea ciclului de viață al activelor de date și pot aplica controale asupra acestor active. Informatica Permanent/Dynamic Data Masking şi Data Archiving pot fi utilizate pentru a limita automat numărul de persoane și sistemele care au acces nerestricționat la datele cu caracter personal.

PENTRU DETALII: RELATIONAL ROMANIA SRL, Address: 4, Splaiul Unirii, Bloc B3, Tronson 2, Bucuresti, Sector 4, Phone: 021/ 3155730, 021/3155731, Fax: 021/3155733, Email: sales@relational.ro; http://www.relationalfs.com
Advertisements

GDPR: Prima sursă de informare – Portalul UE

 

AU MAI RĂMAS: 345 zile

GDPR Ready! este o inițiativă care își propune să ofere asigure un transfer deschis de know-how către toți cei interesați de obținerea compatibilității cu Regulamentul Uniunii Europene 679/ 2016, care va intra in vigoare pe 25 mai 2018. Prin această inițiativă se dorește catalizarea eforturilor unui număr cât mai mare de organizații guvernamentale și private care oferă servicii de evaluare și consultanță tuturor celor care operează cu date personale.  

După un prim articol introductiv intitulat ”GDPR Ready? AMR 1 an! Cât suntem de pregătiți pentru noul Regulament de Protecție a Datelor Personale?” continuăm seria de materiale exploratorii referitoare la noul Regulament EU 2016/ 679 privitor la Protecția Datelor Personale. În articolul menționat, am făcut o scurtă analiză asupra  importanței și obiectivelor noului Regulament, o trecere în revistă a direcțiilor de acțiune și o prezentare generală a conținutului site-ului Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Vom continua acum cu prezentarea sursei de informare primară, Portalul General Data Protection Regulation administrat de Uniunea Europeană, care este gândit ca o pagină oficială a regulamentului UE 2016/ 679.

Puțină istorie

După patru ani de intense dezbateri și peste 3000 de amendamente, noul regulament GDPR intră în funcțiune pe 24 Mai 2016, la 20 de zile după aprobarea de către Parlamentul European, oferind tuturor țărilor un răgaz de aplicare de 2 ani, cu dată limită de asigurare a conformității pe 25 Mai 2018. Dar preocupările legislative privitoare la protecția datelor personale au o lungă istorie în Europa. Iată câteva repere în timp:

1981/ 2 Ianuarie – În cadrul Convenției 108 a Consiliului Europei se semnează primul tratat de protecție a cetățenilor europeni referitor la procesarea automată a datelor personale, care a intrat în vigoare pe 1 Octombrie 1985.

1995/ 24 Octombrie – Este creată Directiva 95/46/EC, prima directivă europeană privitoare la procesarea și protecția datelor personale și libera circulație a acestora, ca element esențial drepturilor personale ale cetățenilor europeni. Directiva devine valabilă în 13 Decembrie 1995 și le-a oferit statelor membre un răgaz de aplicare până la 24 Octombrie 1998.

2012/ 25 Ianuarie – Comisia Europeană propune o reformare comprehensivă a Directivei EC 95/46 pe linia progresului tehnologic și a globalizării care au afectat felul în care sunt colectate, accesate și folosite datele personale.

2012/ 23 Martie – Grupul de lucru intitulat ”Article 29 Data Protection” și-a publicat Opinia 01/ 2012 ca sinteză a discuțiilor și dezbaterilor legate de noile imperative legate de protecția datelor personale în noul context al unei politici europene unitare pentru o piață unică digitală.

2012/12 Aprilie – germanul Jan Philipp Albrecht, membru al Committee for Civil Liberties, Justice and Home Affairs (LIBE) este numit oficial ca Raportor al Parlamentului European pentru GDPR.

2016/ 2 Februarie – Grupul de Lucru ”Articolul 29” lansează un plan de acțiune pentru implementarea GDPR care reanalizează un mare număr de drepturi existente și stabilește unele noi la nivel individual, precum dreptul la portabilitatea datelor și dreptul ca datele personale să nu fie procesate în alte scopuri decât cele legale sau cele prevăzute printr-un contract.

2016/ 24 Mai – Noul Regulament UE 2016/ 679 înlocuiește vechea Directivă 95/46/EC și are ca menire armonizarea legislației privitoare la protecția datelor personale din întreaga Europă.

Care sunt principalele modificări

Iată o trecere în revistă a principalelor modificări ale vechii legislații, care poate fi citită pe Portalul GDPR: Principalul scop al noului Regulament de Protecție a Datelor Personale este de a oferi cetățenilor europeni cadrul modern legal necesar pentru protejarea datelor personale într-o economie tot mai dependentă de mobilitate și tehnologii digitale.

Aplicabilitatea extra-teritorială – una dintre cele mai importante modificări legislative se referă la extinderea jurisdicției GDPR, care devine aplicabil pentru toate companiile care procesează date personale ale cetățenilor care au reședința în Uniunea Europeană, indiferent de locația geografică a companiei. În versiunea precedentă, aplicabilitatea teritorială a directivei era ambiguă și se referea la procesarea datelor doar ”în contextul unei instituții”, ceea ce a generat o serie amplă de dezbateri și numeroase cazuri nerezolvate în justiție.

Amenzile – Penalizările financiare pentru nerespectarea prevederilor Regulamentului sunt copleșitor de mari, cu maxime ce se referă la 4% din cifra de afaceri globală anuală sau maximum 20 milioane de euro pentru situațiile în care operatorul de date nu are consimțământul clienților într-o proporție suficientă sau afectează elementele cheie de confidențialitate prin-o abordare eronată a conceptului. Cele mai puțin aspre penalități prevăd amenzi de 2% din cifra de afaceri anuală pentru o slabă gestionare a înregistrărilor referitoare la prelucrarea datelor (Articolul 28), pentru ne-notificarea autorității de supraveghere în situația apariției unei breșe, sau pentru neafectarea de evaluări de impact. De notat că aceste prevederi se aplică atât celor care gestionează datele, cât și celor care le procesează – ceea ce extinde obligativitatea GDPR și asupra companiilor care oferă servicii de hosting sau furnizorilor de Cloud.

Consimțământul – condițiile de obținere a unui consimțământ din partea clienților s-au înăsprit, iar companiile nu vor mai putea folosi termeni contractuali necompatibili GDPR sau în condiții greu de probat. Consimțământul trebuie să fie clar și liber de orice impunere și solicitat într-un format inteligibil și ușor de accesat, fiind însoțit de o explicare clară a scopului pentru care se procesează datele. Limbajul trebuie să fie simplu și clar, iar consimțământul trebuie să fie la fel de simplu de solicitat și de acordat.

Notificarea breșelor de securitate – devine obligatorie pentru toate țările membre ale comunității, unde prin breșă se înțelege ”orice incident de securitate care induce un risc pentru drepturile și libertățile individuale”. Orice incident trebuie comunicat către autoritățile de raportare într-un interval de maximum 72 de ore, de la momentul în care breșa a fost constatată. Procesatorii vor trebui de asemenea să își anunțe clienții, fără nici-o întârziere, imediat după ce s-a dovedit că incidentul de securitate a afectat datele personale ale acestora.

Dreptul la acces – parte din drepturile extinse ale cetățenilor în noul format al GDPR se referă la dreptul acestora de a solicita procesatorilor sau controlorilor de date confirmări legate de modul în care datele personale sunt procesate, unde și în ce scopuri. Mai mult, operatorii vor trebui să furnizeze gratuit o copie a datelor personale, într-un format electronic.

Dreptul de a fi uitat – cunoscut și ca ”dreptul de a fi șters”, asigură cetățenii de posibilitatea de a își asigura deplina confidențialitate prin ștergerea tuturor înregistrărilor cu caracter personal, chiar și în situațiile de diseminare de date sau folosirea potențială de către o terță parte. Condițiile de ștergere sunt prevăzute în Articolul 17, fiind valabile pentru situațiile în care datele devin irelevante pentru scopurile asumate inițial sau când posesorul datelor își retrage consimțământul. De notat aici, că există încă unele neclarități asupra moduli în care unii operatori de date pot considera aceste date de interes public, situații în care datele trebuie să rămână disponibile.

Portabilitatea datelorse referă la dreptul oricărui cetățean de a primi datele personale într-un format prestabilit, ușor de citit de către orice dispozitiv, care poate fi transmis la solicitarea posesorului unui alt procesator de date.

Confidențialitate prin design
– ”Privacy by design” este un concept care se folosește de mult, dar care abia acum devine parte din pachetul de cerințe GDPR.  În esență, acest concept constă în includerea instrumentelor de protecție a datelor încă de la început, de la proiectarea unui sistem informatic. Mai exact, un operator de date personale trebuie să adopte cerințele tehnice și operaționale într-o manieră efectivă, pentru a corespunde cerințelor regulamentului și a proteja datele personale ale clienților. Articolul 23 recomandă operatorilor să păstreze și să proceseze doar datele absolut necesare pentru îndeplinirea sarcinilor (minimizarea datelor), precum și să limiteze accesul celor interesați de prelucrarea datelor în alte scopuri.

Data Protection Officers (DPO) – în mod curent, operatorii de date erau obligați să notifice activitățile de procesare a datelor către diferite autorități, ceea ce a condus la generarea multor probleme birocratice, în special pentru companiile multinaționale, obligate să trimită multiple feluri de notificări către diferite autorități. Conform noului Regulament, nu va mai fi necesar ca o multinațională să trimită notificări către fiecare autoritate de supraveghere și nici nu va fi o cerință de notificare / obținere a aprobării transferurilor pe baza unui Model Contract Clauses (MCC). În schimb, vor exista cerințe interne de păstrare a înregistrărilor. Numirea unui responsabil Data Protection Offcier devine obligatorie doar pentru acei operatori care au ca activitate de bază operațiuni de procesare care necesită monitorizarea regulată și sistematică a datelor la scară largă, sau doar pentru anumite categorii de date legate de activitățile ce intră sub incidența legii.

 Numirea unui DPO se va face după un set riguros de criterii:

  • Alegerea DPO trebuie făcută pe baza unor calități profesionale foarte clare, ce în bună parte presupune și un nivel mediu de cunoaștere a legilor și practicilor de protecție a datelor.
  • Poate fi un angajat propriu sau un furnizor extern de servicii
  • Detaliile de contact trebuie furnizate autorității de supraveghere
  • Trebuie să raporteze direct, la cel mai înalt nivel de management
  • Nu trebuie să I se atribuie nicio altă sarcină care ar putea intra în conflict de interese cu protecția datelor personale.

Urmăriți viitoarele articole din categoria GDPR Ready!

INIȚIATIVA ”GDPR READY!”

 

Inițiativa GDPR Ready!  își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Prin GDPR Ready! aveți acces la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

A trecut vremea discuțiilor. E timpul să trecem la fapte

Inițiativa ”GDPR Ready!” a fost gândită pornind în primul rând de la o nevoie reală de informare. În ciuda evenimentelor tot mai numeroase pe subiectul GDPR și a discuțiilor în social media, perceperea GDPR ca ”ceva extrem de important” pentru sănătatea de business a organizației noastre se află încă la un nivel destul de redus. Volumul care poate părea covârșitor de informații, arabescurile cadrului legal, lipsa unei culturi de project management, dar mai ales lipsa unei percepții clare asupra implicațiilor GDPR la nivel managerial sunt tot atâtea frâne în elaborarea unor planuri concrete de acțiune. Puțini înțeleg că procesul de obținere a conformității GDPR nu este un simplu proiect de IT și nici o atribuție exclusiva a departamentului de legal. Acest proces necesită o acțiune concentrată și complexă din partea tuturor celor implicați în procesarea datelor personale dintr-o organizație. Cam asta ne-am propus prin această inițiativă în Iunie 2017, plecând în primul rând de la nevoia de cunoaștere. Spre bucuria noastră, un mare număr de specialiști și organizații s-au implicat în proiectele demarate în cadrul inițiativei ”GDPR Ready!”.

Ce trebuie să știe companiile care operează cu date personale în România?

Comunitățile și industriile au nevoie să cunoască mai bine ce au de făcut și să înceapă activitățile ce vor asigura premisele de obținere a conformității. De aceea toate activitățile propuse și efectuate sub umbrela inițiativei ”GDPR Ready!” au ca obiectiv:

  • Conștientizarea importanței GDPR în contextul transformărilor digitale
  • Înțelegerea noilor prevederi ale GDPR
  • De ce e nevoie ca operatorii de date personale să devină compatibili cu noile reglementări?
  • Care sunt sancțiunile?
  • Care sunt problemele pe care le au de rezolvat operatorii de date personale ce oferă servicii online sau bazate pe Cloud
  • Care sunt problemele legale și administrative?
  • Care sunt problemele operaționale?
  • Care sunt problemele tehnice?
  • Care sunt pașii pentru pregătirea și obținerea compatibilității?
  • Cine ne consiliază?
  • Cui alocam responsabilitatile de DPO (Data Protection Officer)?
  • Cine ne certifică ofițerii responsabili cu protecția datelor?

Ce acțiuni a inițiat și a susținut cloud☁mania în cadrul inițiativei ”GDPR Ready!”

Articole GDPR Explicitat* – o serie de 15 articole ce explică principalele problematici GDPR pe înțelesul tuturor. Iată aici lista completă  a acestora și link-urile către articolele respective:

 

Pagină dedicată GDPR Q&A  – ”Cele mai frecvente întrebări și răspunsuri despre GDPR”

Catalog GDPR Ready* – primul cataog din România dedicat ofertelor de soluții și servicii pentru alinierea la GDPR, Editat in Octombrie 2017 în parteneriat cu trustul de presă Agora Media. Disponibil in format print si online.

NOU! Catalog GDPR Practic** – o continuare firească a primului Catalog GDPR, dedicat aspectelor practice asociate cu proceduri, procese și soluții pentru protecția datelor personale. Publicare estimată la sfârșitul lunii Ianuarie 2018**.

Parteneriat Media – eveniment Noua ordine europeană pentru protecția datelor personale organizat de agenția Concord Communication în Bucuresti, 12 octombrie 2017 și având ca partener principal casa de avocatură Mușat & Asociații.

Moderare Panel GDPR în cadrul evenimentului organizat de ALEF Distribution** pentru partenerii sai, Predeal 5-7 Octombrie 2017.

Prezentări dedicate GDPR* la evenimente precum RoCS 2.0 (23 Noiembrie 2017) și conferința ”Data Centers and IT Infrasructure Management”, (12 decembrie 2017).

Grup de discuții GDPR Ready pe LinkedIn** – Grup deschis pentru toti cei interesati de conformitatea GDPR: întrebări, dezbateri, interpretări, recomandări, proceduri, standarde, soluții, evenimente, cercetări de piață, studii de caz, best practices. Până acum avem peste 100 de membri. Cei interesați se pot înregistra la adresa: https://www.linkedin.com/groups/13562247

ÎN CURÂND! Newsletter GDPR Ready!* – Serviciu săptămânal de informare a abonaților interesați de știri de ultimă oră despre GDPR, recomandări, comentarii, definiții, noi soluții și tehnologii dedicate, studii de caz, etc.

NOU! Pachet de servicii personalizate de consiliere și instruire GDPR** – O ȘEDINȚĂ GRATUITĂ DE CONSILIERE DE 3 ORE. Cei interesați sunt rugați să completeze formularul de contact din partea de jos a paginii. 

Note:

*Disclaimer

Conținutul paginii ”GDPR Ready! Initiative”, conținutul tuturor articolelor de pe siteul cloud☁mania postate la categoria ”GDPR Ready!”, precum și conținutul tuturor materialelor menționate pe această pagină reprezintă opinia personală a autorului despre GDPR la data publicării, în conformitate cu un mare volum de documente și surse publice consultate în calitate de analist de piață. Prin urmare, acest conținut este furnizat doar în scopuri informative și nu trebuie să fie asociat unor activități profesionale de consultanță juridică, operațională sau tehnologică.

Pentru a determina modul în care GDPR se poate aplica pentru dvs. și organizația dvs. vă încurajăm să colaborați cu consultanții acreditați din punct de vedere juridic sau cu specialiștii certificați DPO, singurii în măsură să vă ofere recomandări viabile despre GDPR, modul în care se aplică în mod specific organizației dvs. și cum se poate asigura cea mai bună conformitate. Orice alte activități de consiliere individuală se vor supune contractelor de prestări servicii aferente. 

**Contact request

Cei intersesați de informații suplimentare sunt rugați să ne contacteze prin completarea formularului de mai jos.  

 

DUMNEATA ŞTII CINE SUNT EU, DOMNULE CLOUD?

Iată un articol publicat de HotNews care trebuie semnalat, pentru că merită. E un prim exemplu de document în media (cu excepţia publicaţiilor din zona IT)  în care nu se face o teoretizare academică a cloudului şi nici nu ni se prezice o catastrofă dacă ne punem pozele pe Facebook… Publicat la rubrica: „Dosare juridice” articolul Protectia datelor cu caracter personal şi serviciile de tip cloud computing” oferă un comentariu foarte pertinent legat de stadiul de legiferare în care se află protecţia datelor personale în cadrul serviciilor de cloud, care deja sunt accesibile şi în România. hotnews

Cum era şi firesc, principalele conotaţii legislative adresează problemele de securitate asociate cu serviciile cloud, legate de garantarea confidenţialităţii datelor personale ale utilizatorilor, care (aici autorii sunt foarte indulgenţi cu aprecierile) „sunt mai puţin luate în seamă în actualul context legislativ, unde, cel putin în Romania, nivelul sancţiunilor aplicate pentru încalcarea prevederilor legale este relativ scazut.” Aici eu aş veni cu o completare puţin mai realistă: „sunt mai puţin luate în seamă, adică aproape de loc luate în seamă…”

În fine, articolul face o trecere în revistă a preocupărilor la nivelul legislatiei europene şi explică necesitatea accelerării procesului de elaborare a unor acte normative privitoare la protecţia persoanelor fizice în legătură cu prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.

Se povesteşte despre „Avizul nr. 5/2012 privind “cloud computing”, recent adoptat de către un grup de lucru înfiinţat printr-o directivă europeană (articolul 29, Directiva 95/46/CE). Analiza riscurilor asociate cu folosirea unor servicii de cloud-computing este destul de pertinentă, iar concluziile sunt edificatoare: „În actualul context legislativ, furnizorii de servicii de tip “cloud” ar trebui sa verifice în ce măsură structura serviciului “cloud” oferit ridica problemele semnalate mai sus. În masura în care sunt identificate probleme, acestea ar trebui remediate…”

O concluzie destul de optimistă, dat importantă nu este maniera de rezolvare a problemelor de securitate propusă furnizorilor de servicii cloud şi asociaţilor acestora, ci faptul că aceste probleme sunt discutate public şi că sunt şanse reale ca într-un viitor nu prea îndepărtat procesul legislativ să se mapeze la realitate. Căci, vorba reclamei:”Dumneata ştii cine sunt eu?….”

Despre garantarea practică a confidenţialităţii serviciilor de către furnizorii de cloud, care ar trebui să se realizeze prin SLA şi adevăratele probleme de formă şi de fond ale contractelor de servii cloud actuale, voi discuta în postările viitoare. Pănă atunci merită să citiţi articolul original de pe HotNews.

Sursa: HotNews Protectia datelor cu caracter personal şi serviciile de tip cloud computing”

Photo source: captură HotNews.

%d bloggers like this: