CELE MAI CITITE ARTICOLE CLOUDMANIA DIN 2018

A mai trecut un an și ne apropiem de cea de a 6-a aniversare a site-ului cloud☁mania.

Conform unui obicei devenit tradiție, iată o trecere în revistă a celor mai apreciate articole ale anului 2018, în funcție de numărul de accesări:

  1. CUM POT OBȚINE CERTIFICAREA DPO ÎN ROMÂNIA
  2. GDPR EXPLICITAT (11) UN PERSONAJ IMPORTANT: DATA PROTECTION OFFICER 
  3. GDPR EXPLICITAT (2) CE SUNT DATELE PERSONALE?
  4. A APĂRUT CATALOGUL GDPR PRACTIC, PREMIERĂ PENTRU ROMÂNIA
  5. GDPR EXPLICITAT (10) IMPORTANȚA EVALUĂRILOR DE IMPACT (DPIA)
  6. A APĂRUT PRIMUL CATALOG GDPR DIN ROMÂNIA
  7. AVEM UN DPO; CUM ÎL CERTIFICĂM?
  8. INIȚIATIVA GDPR READY!
  9. CLOUDMANIA, A CLOUD AND BUSINESS TRANSFORMATION KNOWLEDGE AND SERVICES PLATFORM
  10. CUM ÎL CONVINGEM PE DIRECTOR CĂ NU E DE GLUMĂ CU GDPR

Mulțumiri tuturor celor care au accesat și au citit articolele și și-au exprimat opiniile în legătură cu conținutul lor.

E ușor de vazut că interesul majoritar al cititorilor cloud☁mania a fost pentru articolele legate de noul Regulament UE și implicațiile acestuia pentru companiile care prelucrează date cu caracter personal. Dar pentru ca site-ul cloud☁mania s-a consacrat ca un portal de knowledge destinat tehnologiilor de frontieră, la sfârșitul anului trecut am avut răgazul de a dedica subiectului GDPR un site special. Amanunte puteți citi în articolul ”Casă nouă pentru GDPR”.  Evident că toate articolele de autor legate de GDPR și scrise în ultimii 2 ani au fost portate pe noul site: GDPR READY

 

Un an Nou 2019 cu cât mai multe beneficii din implementarea noilor tehnologii și cât mai puțină bătaie de cap cu adopția cerințelor GDPR!

 

 

 

Advertisements

GDPR – UN STATUS DUPĂ 100 DE ZILE

Au trecut 100 de zile de la data luată ca reper pentru intrarea efectivă în vigoare a Regulamentului UE 679/ 2016. Pentru cei mai scrupuloși, ei bine, la data publicării acestui articol  sunt exact 110 zile, dar de ce să stricăm frumusețe de titlu… Important este ce s-a mai întâmplat în aceste 100++ zile…

Graba strică treaba și ne canibalizează bazele de date

Ei bine, încercând să păstrăm o ordine cronologică, primul fenomen cu care ne-am confruntat cu toții încă de prin 20 mai a fost abundența de mesaje de opt-in menite să asigure continuitatea livrării unor mesaje sub pălăria consimțământului. Ideea nu a fost rea și laudă celor care s-au gândit la asta. Nefericită a fost de cele mai multe ori forma sub care s-a ajuns să se solicite asta, chiar și în mult situații în care nu era nevoie de consimțământ. În lipsa unor ghidaje clare, bazate pe un desfășurător de acțiuni și a unei agende de derulare în timp, fiecare a făcut ce a știut, ce i s-a spus, sau cum s-a priceput. A fost un test dur, care dacă ar fi să presupunem că se urmează în continuare regulile, ar trebui să conducă la canibalizarea bazelor de date cu prospecți. Regula zice clar că dacă nu ți se răspunde la solicitarea de confirmare a consimțământului, persoana vizată trebuie trecută pe lista celor care nu sunt de acord cu aceasta.

Am păstrat câteva mesaje din acea perioadă, ca exemplu viu pentru cursurile de GDPR pentru oamenii de marketing. Evident, fără menționarea surselor… Din curiozitate, am făcut și câteva teste interactive, doar cu operatorii din România. La unele mesaje am răspuns, la altele am cerut unsubscribe, iar la altele nu am dat nici-un răspuns, propunându-mi să urmăresc comportamentul în timp. Spre lauda operatorilor, 98% din teste au fost reușite, demonstrând că există oameni care chiar se preocupă de răspunsurile persoanelor vizate. Recunosc, nu am făcut încă nicio solicitare de acces la date, deși aș fi avut motive să testez și viteza de răspuns la solicitările persoanei vizate. Nu mă grăbesc cu asta. Oamenii au nevoie de timp, și acolo unde s-a început un proiect de aliniere GDPR lucrurile nu pot fi făcute peste noapte…

Spre deosebire de multe atitudini din social – media, eu nu mă grăbesc să dau cu barda și acolo unde este nevoie intervin cu blândețea sfatului. Sunt de părere că oamenii care chiar încearcă să schimbe lucrurile trebuie lăsați să lucreze și nu să ii arătăm cu degetul că au făcut totul intern sau că au apelat la unul și la altul. Fiecare a acționat cum a crezut de cuviință, atunci când a avut un management care a fost sensibilizat în legătură cu subiectul. Chiar și cu lipsuri sau mici greșeli, orice pas înainte este un plus și este destul vreme pentru subtilități teoretice. Importantă este reacția oamenilor, a celor care trebuie să asimileze și să pună în aplicare politicile GDPR.

Ghidul GDPR pe verticale

Pentru a face ca mesajele esențiale să ajungă la cât mai mulți oameni, inițiativa GDPR Ready a publicat seria de Ghiduri reunite sub forma Cataloagelor GDPR, apărute în noiembrie 2017 și martie 2018 ca rod al colaborării cu Agora Group. la începutul lunii Iunie a apărut cea de-a treia ediție a Catalogului GDPR – dedicată unor probleme mai specifice ridicate de GDPR pentru micile companii sau diferitele departamente cu rol de operator de date personale. Prin ”GHIDUL GDPR PE VERTICALE” am adus în discuție câteva elemente generale și particulare despre provocările cu care se confruntă departamente cheie dintr-o companie, precum resursele umane, marketingul și vânzările sau echipa IT,  de la maparea proceselor de business și a datelor, la analiza de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație. Ca și la edițiile anterioare, Ghidul este însoțit de recomandările unor specialiști din diferite domenii, ale căror opinii ați avut ocazia să le citiți sau  le veți citi în următoarele zile, sub forma unor articole dedicate.

>> CITIȚI AICI CATALOGUL GDPR ONLINE!

Cu ocazia anunțării apariției Catalogului, la aproape o lună după data de 25 mai, am făcut și o primă analiză bazată pe situațiile întâlnite în piață, din care reieșea că organizațiile din România nu erau încă pregătite pentru importanța momentului. Principalele constatări de la acea vreme se refereau

la cele mai des întâlnite situații posibil generatoare de riscuri pentru datele personale:
1. Inexistenta unei Politici elementare de IT la nivelul unor organizații mijlocii si mari. Chiar si acolo unde există niște norme și politici interne, acestea nu se aplică.
2. Harababura privind procesarea, păstrarea si transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților.
3. Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază si se aplică șabloane culese de pe Internet, fără a se înțelege esența principiilor GDPR.
4. Inexistenta unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea si transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele lor în business, închistați fiind de necunoaștere, neînțelegere și preluare inadecvată a unor “sfaturi” oferite de binevoitori.
5. Lipsa de interes a unor manageri de departamente – altele decât HR, FINANCIAR, Juridic, IT – care cred ca ei nu au nicio responsabilitate, e treaba altora să își bată capul cu problemele astea birocratice…

Legea 190

În data de 17 iulie, Președintele României a aprobat prin Decretul 557/ 2018 Propunerea legislativă privind măsuri de punere în aplicare a regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/EC (Regulamentul general privind protecţia datelor). Aceste măsuri de punere în aplicare, cunoscute de acum ca Legea 190/ 2018 au dat naștere la multe controverse și discuții în social media. În fine, Legea a fost publifată în Monitorul Oficial nr. 651 din 26 iulie 2018, adică la 2 luni după data oficială a intrării în vigoare a GDPR.

Fără să intru în alte comentarii, voi prezenta pe scurt cele mai importante articole ale legii 190/ 2018. După cum se arată în Articolul 1, Scopul Legii nr. 190/2018 este de a reglementa măsurile necesare punerii în aplicare la nivel național, în principal, a următoarelor prevederi GDPR :

  • Art. 6 (Legalitatea prelucrării), alin. (2) – ” Statele membre pot menţine sau introduce dispoziţii mai specifice de adaptare a aplicării normelor prezentului regulament în ceea ce priveşte prelucrarea în vederea respectării alineatului (1) literele (c – obligații legale) şi (e – interes public) prin definirea unor cerinţe specifice mai precise cu privire la prelucrare şi a altor măsuri de asigurare a unei prelucrări legale şi echitabile, inclusiv pentru alte situaţii concrete de prelucrare, astfel cum este prevăzut în capitolul IX”;
  • Art. 9 (Prelucrarea de categorii speciale de date cu caracter personal) alin. (4) – Statele membre pot menţine sau introduce condiţii suplimentare, inclusiv restricţii, în ceea ce priveşte prelucrarea de date genetice, date biometrice sau date privind sănătatea”;
  • Art. 37-39 (Desemnarea, funcșia și sarcinile responsabilului cu protecția datelor
  • Art. 42 (Certificarea);
  • Art. 43 (Organisme de certificare);
  • Art. 83 (Condiţii generale pentru impunerea amenzilor administrative), alin. (7) – ” Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv”;
  • Art. 85 (Prelucrarea şi libertatea de exprimare şi de informare);
  • Art. 87 (Prelucrarea unui număr de identitate național);
  • Art. 88 (Prelucrarea în contextul ocupării unui loc de muncă);
  • Art. 89 (Garanții şi derogări privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice

De departe, Articolul 4 – Prelucrarea unui număr de identificare național, este cel mai important articol din legea 190/ 2018, statuând condițiile de prelucrare a unui număr de identificare național prin oricare dintre temeiurile legale stabilite de GDPR în Art.1, alin (1).

Dar asta nu e suficient. Cei care au ca temei legal interesele legitime urmărite de operator pot prelucra date personale ce conțin numere de identificare naționale doar în condițiile în care pot oferi o serie de garanții, precum:

  1. punerea în aplicare de măsuri tehnice și organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minimum a datelor, precum și pentru asigurarea securității și confidențialității prelucrărilor de date cu caracter personal, conform dispozițiilor Art. 32 GDPR (Securitatea prelucrării);
  2. numirea unui responsabil pentru protecția datelor, în conformitate cu prevederile art. 10 din Legea 190/ 2018 – Desemnarea și sarcinile responsabilului cu protecția datelor;
  3. stabilirea de termene de stocare în funcție de natura datelor și scopul prelucrării, precum și de termene specifice în care datele cu caracter personal trebuie șterse sau revizuite în vederea ștergerii;
  4. instruirea periodică cu privire la obligațiile ce le revin a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.

În fine, la fel de important poate fi considerat și Articolul 5 din Legea 190/ 2018 care stabilește câteva reguli cu privire la prelucrarea datelor cu caracter personal în contextul relațiilor de muncă, care sunt supuse unei forme de monitorizare. Dacă angajatorul folosește sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

  1. interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
  2. angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
  3. angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
  4. alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și
  5. durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Am spus ca prefer să nu comentez, dar pot măcar să menționez că printre controversele iscate de legea 190/ 2018 se numără aparenta libertate acordată partidelor și organizațiilor politice care pot prelucra date cu caracter personal fără a avea nevoie de consimțământ și disproporția aplicării de sancțiuni cu dublă măsură pentru firmele de stat și cele private. Legea 190/ 2018 poate fi descărcată în format pdf de pe siteul ANSPDCP 

Ce se întâmplă acum?

La trei luni și ceva după momentul 25 mai 2018, s-a așternut liniștea peste piață. Cine a avut ce face și cu cine face și-a rezolvat problemele esențiale. Așa cum s-a putut, cu cine s-a putut. Nimeni nu se mai agită. S-au rărit și postările, apărând între timp alte subiecte de interes. Cei care nu s-au agitat în mai, stau liniștiți și acum, mizând pe șansa de a fi prea mic pentru a se întâmpla ceva.

Liniște – prea multă liniște și din partea Autorității de supraveghere. Oamenii așteptau o creștere a fluxului de informații oferite de singurul organism național abilitat să supravegheze prelucrarea de date personale. Cu excepția publicării unor comunicate legate de adoptarea formularelor oficiale de notificare a breșelor și de numire a unui DPO, activitatea Autorității a fost destul de puțin vizibilă.

Singura știre publică legată de aplicarea efectivă a GDPR în România a venit de pe un site al Uniunii Europene, unde erau analizate dinamica primelor notificări de după 25.mai, în raport cu bugetele alocate în 2017 pentru autoritățile din țările respective…

Principalul rol în mediatizarea și discutarea diferitelor aspecte legate de GDPR a revenit organizațiilor și inițiativelor private. O serie de asociații profesionale au publicat ghiduri de aliniere GDPR specifice unor activități precum cele de contabilitate, cabinet de avocatură, instituții medicale sau școli. Foarte puține resurse sunt însă disponibile public, majoritatea având un rol comercial.

Din fericire, a crescut numărul inițiativelor individuale, care prin intermediul unor site-uri dedicate au amplificat promovarea subiectelor de larg interes privind condițiile de aliniere GDPR specific pentru companiile și organizațiile din România. Merită a fi apreciate toate aceste inițiative care presupun un mare volum de muncă din partea celor implicați public și social. O simplă căutare pe ”GDPR România” vă va conduce la cele mai populare site-uri sau pagini de profil.

Cât privește activitatea GDPR Ready, în perioada mai-septembrie a avut în vedere cu precădere proiectele de implementare și serviciile de instruire. Ghidurile aferente celor trei Cataloage GDPR și articolele publicate au avut cu certitudine un impact important în creșterea aportului de cunoaștere și în explicarea principalelor provocări GDPR pe înțelesul tuturor. Nu întâmplător, pe 25 mai, secțiunea GDPR Ready a site-ului cloudmania a înregistrat un număr record de vizitatori.

Iată cele mai accesate articole GDPR Ready din această perioadă:

Cum pot obține certificarea DPO în România

Un personaj important: Data Protection Officer

A apărut Catalogul GDPR Practic – premieră pentru România

Dreptul de acces, rectificare, ștergere sau restricționare

Avem un DPO: cum îl certificăm?

Importanța evaluărilor de impact DPIA

GDPR Q&A: Cele mai frecvente întrebări și răspunsuri

Notificarea breșelor de Securitate

Inițiativa GDPR Ready

Avem ISO 27001. Ce ne mai trebuie pentru alinierea GDPR

 

Ca o concluzie a experienței acumulate din proiecte și inițiativele de instruire, aș puncta faptul ca dincolo de inexistenta unor tehnologii adecvate care pot rezolva buna parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frană în larga adopție a GDPR sunt oamenii, care nu sunt învățați să respecte niste norme și proceduri elementare. Problema principală în orice companie este legată nu de nu atingerea unor condiții de conformitate GDPR, ci de păstrarea acestora pe termen lung prin asimilarea Culturii GDPR.

 

Vă interesează o recomandare pentru cursuri DPO? Completați formularul de mai jos și veți fi contactați.

Nota Confidențialitate: Completând acest formular vă dați acordul pentru a fi contactați în scopul discutării ofertelor de cursuri DPO. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar în scopul pentru care au fost încredințate. Citiți mai mult în Politica de Confidentialitate.

 

MAI AVEM NEVOIE DE CĂRȚI DE VIZITĂ SAU LE ARUNCĂM?

Unul dintre cele mai discutate subiecte în această perioadă este modul în care se aplică noul regulament european în relațiile curente de afaceri. De ce am avea nevoie de consimțământul unor oameni cu care suntem de ani buni în relații de afaceri pentru a le trimite e-mailuri? Multe dintre datele partenerilor sau clienților noștri sunt publice pe site-urile de companie sau pe cărțile de vizită pe care ni le dau. Și multe alte întrebări legate de necesitatea atâtor măsuri de precauție și proceduri…

Realitatea este că GDPR nu aplică datelor personale din zona de business un regim preferențial față de zona de retail… Toate datele B2B și B2C sunt la fel de importante și în consecință trebuie să avem egală responsabilitate față de ele. Desigur, că în interpretarea diferitelor articole și preambuluri din Regulamentul 679/ 2016 precum și în ghidurile de aplicare emise de Grupul de Lucru Articolul 29, de multe ori apare o oarecare îngăduință pentru tot ce ține de zona B2B, pe care foarte mulți o consideră destul de eronat în afara obiectivului și domeniului de aplicare material definite încă din primele 2 articole ale GDPR.

Definiția datelor personale din Art. 4 GDPR relevă faptul că orice date de identificare direct sau indirect identificabile reprezintă date personale. Adresa de email în care apare cel puțin o componentă a numelui, telefonul de servici, adresa locului de muncă și alte informații care pot conduce la stabilirea identității profesionale a unei persoane constituie date personale, cu egală valoare individuală cu cele legate de telefon, email și adresă personală.

Cărțile de vizită au menirea de a facilita comunicarea. Dacă sunt folosite corect, ele nu fac decât să  putem avea acces mai ușor la datele de contact ale unui reprezentant al companiei care ne interesează. Căci de multe ori vizăm compania și implicit persoana de legătură care corespunde cel mai bine intereselor noastre.

Există o serie de false mituri care sunt atribuite relațiilor B2B și care pleacă în principal de la cazurile care solicită sau nu prezența unui consimțământ, în special în comunicarea directă prin e-mail. Dar dacă citim cu atenție Art. 6 GDPR referitor la Legalitatea prelucrării, vom vedea că obținerea consimțământului nu este singurul temei legal și că în zona relațiilor de afaceri existența unor condiții contractuale sau interesul legitim dictat de profilul de business constituie în marea majoritate a cazurilor suficiente garanții pentru continuitatea în business și derularea unor acorduri B2B comune.

Din perspectiva transparenței, cărțile de vizită pe care le schimbăm în activitățile noastre cotidiene conțin surse de date personale asupra cărora trebuie să ne concentrăm în egală măsură atenția. Oricine ne dă o carte de vizită nu numai că își dă acceptul, dar are și toate motivele să spere că vom folosi acele date pentru dezvoltarea de activități ulterioare reciproc avantajoase. E greu de crezut că cineva care ne-a dat datele sale de business ne va refuza vreodată comunicarea sau va protesta pe motive legate de încălcarea drepturilor la viață privată…   Și asta e valabil evident pentru cei cu care avem interese comune de business.

Cei cu experiență în marketing și vânzări știu și că datele de business sunt și foarte perisabile, în sensul în care multe dintre contactele actuale, peste trei-patru luni nu mai sunt valabile și trebuie făcute eforturi consistente pentru actualizarea sistematică a informațiilor de contact. Trebuie să avem permanent în vedere că toate acestea sunt valabile doar pentru relațiile de business directe. De oricâte ori ajungem în posesia unei baze de date cu adrese de servici prin metode indirecte, avem datoria de a anunța persoanele respective care este sursa de proveniență a acestor date și în ce scop le contactăm, conform Art. 14 din GDPR. Acesta este și cazul în care cărțile de vizită ne parvin pe căi indirecte, fie de la un coleg, fie prin colectarea acestora din surse neutre – standuri de târguri și expoziții, participanți la evenimente, etc.

În concluzie, ar merita să mai păstrăm cărțile de vizită dacă știm ce să facem cu ele… Adică să le folosim cu corectitudine, doar pentru scopuri de business. Deși în marea majoritate a cazurilor datele B2B nu sunt atât de critice fiind limitate la date de contact – de multe ori publice, asta nu înseamnă că nu trebuie să avem grijă de ele…

Articol publicat în revista IT Trends Mai 2018

GDPR explicitat (10): Importanța evaluărilor de impact (DPIA)

 

AU MAI RĂMAS 227 de zile!

Una dintre practicile recomandate pentru evaluarea riscurilor și impactului pe care îl poate avea procesarea datelor personale în anumite condiții, este efectuarea unui studiu de impact asupra protecției sau confidențialității datelor, cunoscut sub denumirea generică de DPIA (Data Protection Impact Assessment) sau mai popular PIA (Privacy Impact Assessment).

Iată-ne ajunși la cel de-al 10-lea ”episod” din seria de articole GDPR Explicitat. După ce în articolul precedent am prezentat și comentat responsabilitatea și guvernanța în viziunea GDPR, în acest articolul ne ocupăm de evaluarea impactului pentru protecția datelor.

Ce este Data Protection Impact Assessment (DPIA)

Cum protecția datelor trebuie gândită acum ”by design”, fiind proiectată în mod implicit odată cu sistemele de procesare, pot apărea o multitudine de situații în care se recomandă evaluarea de impact asupra protecției datelor. O bună practică pentru noile tehnologii și procese este de a evalua dacă prelucrarea are un “risc ridicat”, dacă  aduce atingere drepturilor persoanelor vizate și dacă acest risc poate fi redus sau evitat, de exemplu prin pseudonimizare. Evaluările de impact sunt absolut necesare în cazul în care există o prelucrare automată și prelucrarea unor categorii speciale de date pe scară largă.

Evaluarea impactului privind protecția datelor (DPIA) – în versiunea mai populară mai des folosit ca Privacy Impact Assesment (PIA), reprezintă un instrument care poate ajuta organizațiile să identifice cea mai eficientă modalitate de a se conforma obligațiilor lor privind protecția datelor și de a răspunde așteptărilor individuale de confidențialitate. O evaluare de impact eficientă va permite organizațiilor să identifice și să remedieze problemele într-un stadiu incipient, reducând riscurile, costurile asociate și deteriorarea reputației, legată de apariția oricărui incident.

Evaluarea DPIA este parte integrantă a proiectării unei abordări privind confidențialitatea prin design. Punctele cheie ale unei astfel de evaluări sunt:

  • DPIA este un proces care ajută organizațiile să identifice și să minimizeze riscurile de confidențialitate ale proiectelor sau politicilor noi;
  • Efectuarea unei evaluări de impact implică lucrul cu oamenii din organizație, dar și cu partenerii, pentru a identifica și a reduce riscurile de confidențialitate;
  • Evaluarea vă ajuta la identificarea unor potențiale probleme într-un stadiu cât mai incipient, când remedierea poate să fie mai simplă și mai puțin costisitoare;
  • Realizarea unei evaluări de impact asupra confidențialității ajută organizațiile să elaboreze și să adopte cele mai bune politici de îmbunătățire a relațiilor dintre organizații și indivizi.

Când ar trebui să facem o evaluare DPIA?

În acord cu bunele practici, trebuie să efectuați o DPIA atunci când:

  • utilizarea noilor tehnologii impune asumarea unui anumit grad de risc;
  • prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor.

Procesarea care poate duce la un risc ridicat include, dar nu se limitează la acestea:

  • activități de prelucrare sistematice și extinse, inclusiv profilarea;
  • prelucrări în care deciziile care au efecte juridice – sau efecte similare, asupra persoanelor fizice;
  • prelucrarea pe scară largă a unor categorii speciale de date sau date cu caracter personal în legătură cu condamnările sau infracțiunile penale.

În general, trebuie avute în vedere orice activități care includ prelucrarea unor cantități considerabile de date cu caracter personal la nivel regional, național sau supranațional, care afectează un număr mare de indivizi și care  implică un risc ridicat pentru drepturi și libertăți.

Ce informații ar trebui să conțină DPIA?

Orice evaluare de impact trebuie să conțină:

  • descrierea operațiunilor de prelucrare și a scopurilor, inclusiv (dacă este cazul) a intereselor legitime urmărite de operator;
  • evaluarea necesității și proporționalității procesării în raport cu scopul;
  • evaluarea riscurilor pentru persoane fizice;
  • măsurile luate pentru a reduce riscul, inclusiv securitatea și pentru a demonstra că vă conformați;
  • numărul proiectelor similare care pot fi vizate de aceeași evaluare.

Beneficiile unei evaluări de impact asupra protecției datelor

Realizarea unei evaluări de impact pentru protecția datelor nu este o obligație a persoanei desemnate ca DPO. Acesta este o activitate de echipă, cu participanți din toate liniile de business. DPO poate coordona procesul de evaluare, poate face recomandări și trebuie să asigure alinierea la cerințele de conformitate. După elaborare, rolul DPO este acela de a ajuta organizația să folosească evaluarea de impact ca pe un instrument de conformare cu protecția datelor personale.

Chiar dacă efectuarea unui studiu de impact nu este o cerință legală, în anumite conjuncturi, autoritatea națională sau teritorială de supraveghere poate adresa o cerere oricărei organizații să realizeze o evaluare DPIA. Totodată, o evaluare de impact PIA, poate fi modul cel mai eficient pentru o organizație de a demonstra autorității de supraveghere modul în care prelucrarea datelor personale respectă cerințele de securitate și confidențialitate. În același timp, posesorii datelor personale pot fi asigurați că organizațiile care procesează informațiile lor urmează cele mai bune practici de securitate și confidențialitate. Un proiect care a fost supus unei evaluări PIA ar trebui să fie garantat ca un proces care are cele mai puțin ridicate riscuri de afectare intruzivă a datelor personale.

Un al doilea beneficiu pentru persoanele fizice este acela că PIA ar trebui să se asigure transparența în procesul de comunicare și de cunoaștere a modului în care sunt utilizate informațiile personale. Realizarea și publicarea unui raport de evaluare PIA va ajuta orice organizație să construiască relații de încredere cu oamenii care folosesc serviciile lor. Acțiunile întreprinse în timpul și după ce procesul de evaluare pot îmbunătăți experiența organizațiilor în relațiile de înțelegere cu clienții lor.

Nu trebuie desconsiderate beneficiile financiare pe care le poate aduce efectuarea unei evaluări de impact. Orice identificarea a unei probleme, într-o fază cât mai timpurie, va necesita o soluție mai puțin costisitoare. O evaluare de impact poate reduce, de asemenea, costurile unui proiect, prin minimizarea cantității de informații colectate, procesate și stocate.

În general, utilizarea consistentă a unei evaluări de impact va spori gradul de conștientizare a problemelor de confidențialitate și de protecție a datelor în cadrul unei organizații. Asta ne asigură că toți cei implicați în procesul de prelucrare sunt conștienți de importanța înțelegerii și păstrării acestor norme, încă din primele etape ale unui proiect.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready!  În următorul material ne vom ocupa de condițiile de numire ale unui Data Protection Officer (DPO), precum și principalele sarcini ale acestuia.

Invitație la un eveniment dezbatere: Noua ordine europeană pentru protecția datelor personale

 

Suntem pregătiți pentru asigurarea conformității cu nou Regulament european?  Este o întrebare care apare tot mai des, în cele mai diferite medii, de la marile case de avocatură, la companiile de consultanta și la furnizorii de soluții de optimizare operațională și securitate IT.

Studiile de piață arată clar că NU. Peste 70% dintre operatorii europeni de date nu au încă un program clar de asigurare a compatibilității cu noile reglementari ale Uniunii Europene. Mai grav este că mai mult de jumătate dintre cei care au afirmat că sunt pregătiți, nu au baze reale pentru obținerea conformității GDPR.

Pe măsură ce trece timpul, ideile principale care se desprind sunt legate de faptul că obținerea conformității cu prevederile GDPR este un must, un lucru foarte serios pe care nu trebuie să îl trecem cu vederea, o abordare, pe care dacă nu o tratăm cu toată seriozitatea riscăm să pierdem enorm: material, moral, dar mai ales eficiența în business.

Pentru a putea fi cu adevărat pregătiți pentru GDPR trebuie să înțelegem în primul rând importanța majoră a Regulamentului și responsabilitățile pe care le vom avea ca operatori de date personale. Iată câteva elemente definitorii, esențiale pentru schițarea unei bune strategii de conformitate.

Toți cei care au neclarități legate de aspecte legale, operaționale sau tehnologice vor avea ocazia să participe la un eveniment dedicat unei largi audiențe, unde pot adresa direct întrebările esențiale celor mai avizați specialiști.

Înregistrați-vă la evenimentul dezbatere

“Noua ordine europeană pentru PROTECŢIA DATELOR PERSONALE”

12 Octombrie 2017, București, sediul Muşat & Asociaţii

 

Aflat deja la cea de-a treia ediție, evenimentul este organizat de agenția de PR Concord Communication și are ca parteneri principali companiile Mușat și Asociatii, Clico Romania și Power Net Consulting.

Printre principalele teme abordate se numără problematici de mare interes, precum  ghiduri practice de implementare a măsurilor de conformitate GDPR, diverse aspecte legate de securitatea datelor cu caracter personal, obligațiile și responsabilitățile ofițerilor responsabili cu protecția datelor, transferurile de date cu caracter personal către țări terțe sau organizații internaționale, precum și reguli corporative legate de răspunderea angajaților pentru încălcarea obligațiilor GDPR în Romania și în alte state membre.

Evenimentul “Noua ordine europeană pentru PROTECŢIA DATELOR PERSONALE” se adresează companiilor și instituțiilor publice din cele mai diverse domenii, precum operatorii de utilități din energie, petrol și gaze, sau transport, sectorul financiar-bancar, sănătate, servicii publice, servicii Cloud computing, data center și eCommerce, motoare de căutare online, platforme de joburi, furnizori telecom, agenții de marketing sau operatori de turism.

Evenimentul este gândit într-o manieră transparentă și interactivă, fiind structurat sub formă de întrebări și răspunsuri. Pentru detalii despre eveniment, agenda și specialiștii care vor răspunde la întrebări nu trebuie decât să vă înregistrați la adresa: https://concordcom.ro/evenimente/protectia-datelor-personale/

Prin intermediul Fomularului de înscriere pot fi adresate întrebările esențiale la care doriți să primiți răspunsuri din partea specialiștilor prezenți în panel.

Image source: Concord Communications

%d bloggers like this: