Cum pot obține certificarea DPO în România?

International Association of Privacy Professionals (IAPP) estimează un necesar de peste 75.000 de ofițeri pentru protecția datelor în întreaga Europă – înt-o apreciere inițială cifra era de 28.000). Chiar și așa, privind cu luciditate, această cifră pare mult subdimensionată față de nevoile reale din toate țările membre și din toate industriile.

Victimă sigură sau super-erou?

Una dintre marile noutăți cu care vine GDPR este necesitatea stabilirii unui ofițer cu protecția datelor personale, care să joace rolul de intermediar între organizație și autoritatea de supraveghere. Regulamentul stipulează destul de clar în articolele 37 – 39 când trebuie ales, care este rolul și ce îndatoriri are un DPO. Puteți citi despre toate acestea pe larg în recentul meu articol ” GDPR Explicitat (11) : Un personaj important – Data Protection Officer (DPO)”.  Mai mult de atât, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a postat pe site-ul sau în versiunea românească ”Ghidul privind Responsabilul cu protecția datelor (DPO)” care conține recomandări valoroase ale grupului de lucru Articolul 29.

Există deja destule surse de informare legate de condițiile în care trebuie să numim un DPO și cam ce ar trebui să facă un astfel de personaj care va avea un o poziție distinctă în schema oricărei organizații. Cu toate aceste, continuă să existe o serie de incertitudini legate de diferite aspecte. De exemplu, într-o versiune inițială GDPR menționa că orice companie care are peste 250 de angajați e obligată să numească un DPO. Ulterior s-a renunțat la această delimitare și au rămas în vigoare cele trei situații clare în care suntem obligați să numim un DPO.

În conformitate cu Articolul 37, Aliniat 1 din GDPR, trebuie să desemnăm un ofițer de protecție a datelor (DPO) dacă:

  • suntem o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară);
  • efectuăm o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online);
  • facem o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiuni.

În rest, rămâne la latitudinea noastră dacă vom aloca sau nu o astfel de poziție, chiar dacă avem o microîntreprindere cu 2 angajați… Recomandarea grupului de lucru Articolul 29 este totuși ca în funcție de complexitatea și riscurile asociate activităților de prelucrare a datelor cu caracter personal să fie numit un DPO care poate coordona activitățile de mapare a fluxurilor de date, poate realiza o evaluare de impact sau poate administra analizele de risc.

Alte neclarități sunt legate de statutul oarecum special de subordonare în schema unei organizații, precum și de condițiile în care un DPO poate fi tras la răspundere. De aici și pozițiile oarecum extreme de victimă sigură a autorităților de supraveghere sau de super-erou, care cu vitejia sa poate apăra compania de orice amenințare. În fine, alte discuții controversate se referă la pregătirea optimă a unui DPO și din ce departament ar trebui recrutat: HR, legal, operațional sau IT? Și aici există o multitudine de recomandări ce oferă o plajă largă de soluții, precum constituirea unui grup de acțiune cu reprezentanți ai tuturor departamentelor implicate care să susțină în permanență – și la o adică să poată să suplinească, rolul unui DPO. La limita extremă este apelarea la serviciile unui DPO super-specializat, care eventual poate consilia mai multe organizații, la limita conflictului de interese. Și aici fiecare poate să aleagă soluția cea mai convenabilă.

Dacă ne uităm însă la recomandările organismelor de certificare cu recunoaștere internațională precum IAPP sau PECB vom vedea că pentru acordarea unei diplome de Certified Data Protection Officer este nevoie de o experiență de minim 2-3 ani în protecția datelor personale. De aici reiese că un candidat serios la poziția de DPO trebuie să fi avut un rol cu certe competențe tehnologice și operaționale, oameni cu experiență în project management, data quality, baze de date, managementul riscurilor, securitatea sau protecția datelor. Diferitele statistici arată că în prezent e nevoie de cel puțin 25-30 de ore de instruire doar pentru a obține o înțelegere coerentă a problematicii GDPR, și de ceva mai mult timp pentru pregătirea poziției de DPO.

Unde ne certificăm ofițerii pentru protecția datelor? O soluție este programul de cursuri RQM Cert

Iată-ne ajunși la un alt punct de răscruce în eforturile noastre pentru conformitate. Am identificat cel mai potrivit om din organizație care ne poate reprezenta în fața autorităților, dar cum îl instruim? Unde găsim cursuri de certificare pentru poziția de DPO? Dacă veți citi Catalogul GDPR Ready publicat recent, veți găsi mai multe programe de instruire disponibile la ora aceasta la noi în țară.

La evenimentul Noua ordine europeană pentru protecția datelor personale organizat de agenția Concord Communication în 12 octombrie și având ca partener principal casa de avocatură Mușat & Asociații, a participat și compania RQM Certification, partener PECB pentru România, care a oferit o prezentare a serviciilor de pregătire profesională pentru poziția de Certified Data Protection Officer.

Programul de instruire oferit de RQM Certification este acreditat de PECB, organizație cu sediul în Canada recunoscută internațional pentru competențele și expertiza în implementările standardelor ISO. PECB este un organism de certificare pentru persoane, sisteme de management și produse, pentru o gamă largă de standarde internaționale. Ca furnizor global de servicii de instruire, examinare, audit și certificare, PECB oferă expertiza sa în mai multe domenii precum securitatea informației, IT, continuitatea afacerii, managementul serviciilor, sistemele de management al calității sau managementul riscului. Prin parteneriatul cu PECB, compania RQM Cert poate asigura în România obținerea certificărilor pentru standardele ISO 9001, ISO/TS 16949, ISO 31000, ISO 14001 și ISO 27001.

Certificarea DPO oferită de RQM permite specialiștilor desemnați să dobândească expertiza necesară pentru a înțelege riscurile care ar putea avea un impact negativ asupra organizației, oferindu-le cunoștințele esențiale pentru a implementa strategia necesară, pe baza celor mai bune practici, cerințe și principii GDPR. Cursurile Certified Data Protection Officer  organizate de RQM Cert sunt eșalonate pe o durată de 5 zile lucrătoare și sunt structurate în 25 de secțiuni ce acoperă o largă paletă de probleme, de la elementele de bază conținute de GDPR, la analiza nivelului de pregătire, implementarea și complianța, la obținerea și mai ales păstrarea nivelului de conformitate necesar pentru evitarea oricărui risc și continuitatea în business.

    

 

Advertisements

O amplă reuniune de forțe la cel mai important eveniment dezbatere dedicat GDPR

Evenimente, dezbateri, conferințe, webinarii, workshopuri, cursuri de certificare… Pe măsură ce ne apropiem de ”Ziua 0: 25 Mai 2018”,  o dată memorabilă pentru istoria modernă a proceselor de afaceri, se întețesc și de diversifică activitățile de sensibilizare a operatorilor și promovare a soluțiilor și serviciilor capabile să asigure conformitatea.  În peisajul local al activităților de acest gen, iese în evidență Evenimentul Dezbatere “Noua ordine europeană pentru protecția datelor personale” desfășurat în 12 Octombrie la sediul Muşat & Asociaţii din București.

”Suntem pregătiți pentru asigurarea conformității cu noul Regulament european?  Este o întrebare pe care o auzim tot mai des, în cele mai diferite medii, dar care din păcate este urmată destul de rar și de răspunsuri care să ne ofere o direcție de acțiune în acest amalgam de recomandări, articole și proceduri. Am început să înțelegem cu toții că obținerea conformității GDPR este un must, un lucru foarte serios pe care nu trebuie să îl trecem cu vederea, o abordare, pe care dacă nu o tratăm cu toată seriozitatea riscăm să pierdem enorm.

Un eveniment unicat pentru piața din România

Aflat deja la cea de-a treia ediție, evenimentul organizat de agenția de PR Concord Communication a beneficiat de suportul partenerilor principali: Mușat și Asociații, Clico Romania și Power Net Consulting și de participarea ANSSI (Asociația Națională pentru Securitatea Sistemelor Informatice). Prin ce iese în evidență acest eveniment față de alte acțiuni asemănătoare? În primul rând prin seriozitatea abordării A fost cu adevărat un eveniment dezbatere, unde participanții au avut posibilitatea să pună întrebări încă de la înregistrare și să și obțină răspunsurile dorite. Și s-a răspuns chiar la toate întrebările, atât la cele pre-adresate, cât și la cele spontane, din timpul evenimentului.

Un rol important în derularea coerentă a evenimentului l-a avut moderatorul Toma Cîmpeanu, CEO ANSSI, care a dirijat cu profesionalism și eleganță un adevărat maraton de prezentări și intervenții.  Căci evenimentul s-a făcut remarcat și prin larga concentrare de forțe a unor vectori, care deși acționează în zone diferite, s-u aliniat pe aceeași directoare, cu scopul declarat de a face mai mult decât o simplă sensibilizare a participanților. Reprezentanți guvernamentali, experți în legislație și probleme de securitate, avocați, furnizori de soluții IT, firme de consultanță și servicii de instruire, au contribuit la consolidarea unei agende din care n-au lipsit prezentările de ghiduri practice, aspecte legate de securitatea datelor cu caracter personal, obligațiile și responsabilitățile ofițerilor responsabili cu protecția datelor, transferurile de date, reguli corporative, date statistice și studii de piață, precum și oferte profesionale de instruire a viitorilor DPO.

Un alt aspect important: larga adresabilitate. Evenimentul “Noua ordine europeană pentru protecția datelor personale” s-a adresat companiilor și instituțiilor publice din cele mai diverse domenii, precum operatorii de utilități din energie, petrol și gaze, sau transport, sectorul financiar-bancar, sănătate, servicii publice, servicii Cloud computing, data center și eCommerce, motoare de căutare online, platforme de joburi, furnizori telecom, agenții de marketing sau operatori de turism.

Implicații juridice importante generate de noul regulament

Reprezentanții casei de avocatură Mușat & Asociații au avut un rol esențial în desfășurarea evenimentului, prin mai multe contribuții de valoare care au alterant prezentărilor de soluții tehnice. Astfel, avocatul Bogdan Mihai, Partener Mușat și Asociații a prezentat participanților un ghidul practic de implementare a măsurilor de conformitate GDPR,  în care sunt explicitate principalele cerințe ale noului Regulament și principalele obligații ale operatorilor și procesatorilor de date. O importanță majoră a noilor reglementări este operarea transferurilor de date personale către țări terțe sau organizații internaționale, care este supusă unor rigori suplimentare față de legislația precedentă.

Una dintre cele mai importante schimbări cu care vine noul regulament este severitatea sancțiunilor care vor fi impuse celor care nu pot dovedi că au făcut tot ce le stătea în putință pentru prevenirea și limitarea consecințelor în cazurile în care au avut loc scurgeri sau pierderi de date, cu implicații pentru posesorii acestora. Avocatul Bogdan Mihai a trecut în revistă care sunt principalele categorii de amenzi prevăzute și cele mai frecvente cauze care pot conduce la aplicarea acestora.

O altă noutate adusă de GDPR la care s-a făcut referire este dreptul persoanelor fizice de a cere companiilor ștergerea datelor personale – dreptul de a fi uitat. În multe situații posesorii datelor personale pot renunța la acordul dat într-o anumită conjunctură și au dreptul să solicite ștergerea informațiilor din toate bazele de date. Dificultăți pot apărea atunci când datele sunt stocate în Cloud și nu există garanția că pot fi șterse de pe toate serverele sau în cazul unor instituții speciale, precum cele bancare, care au nevoie de istoricul clienților în acțiunile de prevenirea a spălării banilor sau pentru alte clauze contractuale.

Alte aspecte deosebit de importante ridicate de noul regulament vizează reflectarea relațiilor dintre angajați și angajatori, prin prisma prevederilor din dreptul muncii. Anca Vătășoiu, avocat la Mușat & Asociații, s-a referit la noile obligații care pot sau nu să fie asociate cu răspunderea angajaților prin contractul de muncă. Există deja cazuri concrete în domeniul juridic, legate de monitorizarea și supravegherea angajaților la locul de muncă, în care încălcări clare ale regulamentelor interioare ale angajatorilor au fost contestate în spiritul drepturilor omului. Un alt aspect important discutat de doamna avocat Vătășoiu este răspunderea administrativă, disciplinară sau civilă a salariaților pentru încălcarea obligaților conferite de GDPR în România.

Cel mai titrat specialist GDPR din România

Un alt element cu totul special al evenimentului a fost prezența Comisarului Șef de Poliție Aurel Cătălin Giulescu, director împuternicit al Direcției de Evidență a Persoanelor și Administrarea Bazelor de Date, DPO certificat de EIPA, coordonatorul echipei MAI care a gestionat negocierile tehnice la nivel european, pentru elaborarea și adoptarea GDPR. Cu alte cuvinte, am avut onoarea să îl ascultăm și să discutăm cu cel mai titrat specialist GDPR din România, primul DPO cu atestare internațională și unul dintre cei mai mari experți în probleme de securitate a datelor personale.

Comisarul Șef Giulescu a făcut o expunere la obiect privitoare la numirea responsabilului cu protecția datelor, ce experiență trebuie să dețină și care sunt principalele atribuții. O atenție specială trebuie acordată unei bune înțelegeri a obligațiilor și responsabilităților pe care le are un DPO, care are rolul de liant între diferitele linii de business și compartimente ale unei organizații. De altfel, importanța acestui rol a fost subliniată și de faptul că majoritatea întrebărilor adresate a avut legătură cu poziția de DPO, iar ce e cel mai important, toate întrebările critice au primit răspuns.

Iată răspunsurile la cele două întrebări adresate de cloud☁mania, partener media al acestui eveniment:

I1: Există riscul ca un DPO să fie tras la răspundere în eventualitatea unui incident de pierdere a unor date, pasibil de expunere la penalități?

R1: Din perspectiva GDPR, un DPO nu poate fi tras la răspundere în mod direct și personal pentru incidente la nivelul unei organizații, ci organizația ca atare este cea penalizată. Evident, că există cazuri speciale în care un DPO care s-a dovedit clar ca ar fi principala sursă responsabilă de producerea unor pierderi de date, poate fi tras la răspundere potrivit regulamentelor și politicilor specifice organizației de care aparține.

I2: DPO este o persoană cu un rol special în cadrul unei organizații, care trebuie instruită și antrenată pentru a-și putea exercita cât mai eficient toate atribuțiile. Ce se întâmplă însă, în situațiile sau în perioadele în care DPO nu este disponibil pentru a-și exercita obligațiile, din diferite motive obiective sau subiective?

R2: Există recomandări în cadrul GDPR ca cel puțin pentru organizațiile mari și foarte mari să existe în permanență un ajutor de DPO sau cel puțin o persoană la fel de pregătită din cadrul echipei de coordonare, formată din reprezentanți ai tuturor departamentelor.  

Tehnologia ca sursă și ca panaceu al noilor riscuri

În condițiile în care actualizarea legislației privitoare la protecția datelor personale se datorează evoluției tehnologice, care diversifică substanțial poziția posesorului de date, tot tehnologiei îi revine rolul de a veni cu soluții care să rezolve noile probleme apărute. Astfel, noua prevedere legată de dreptul individual de solicitare a ștergerii datelor, ridică o serie de întrebări de natură tehnică: sunt șterse cu adevărat datele personale de pe un dispozitiv de stocare? Cum putem dovedi unui solicitant că datele sale au fost șterse de pe toate serverele unui sistem Cloud? Compania Tryamm Trading Consulting reprezentată de Cristian Aionesei, Managing Partner, a prezentat una dintre cele mai performante soluții de ștergere fizică și virtuală a datelor. Soluția Blancco Eraser asigură o ștergere permanentă a datelor, atestată de 18 organisme de certificare, atât în driverele unităților fizice de stocare, cât și în mediile virtuale și mobile.

Monitorizarea fluxului de date personale și securizarea acestora sunt două dintre cerințele de conformitate cu noul Regulament pentru protecția datelor personale.  Alina Pavel, Channel Manager Clico Romania a făcut o amplă trecere în revistă a soluțiilor se Securitate a datelor pe care compania le furnizează pe piața din România. Unul dintre cele mai cunoscute branduri reprezentate este PaloAlto Networks, care oferă o platformă ce îmbină soluții firewall de ultimă generație cu elemente de protecție la nivel de stație și analiză la nivel de Cloud a pericolelor cibernetice ce pot afecta o companie. ForcePoint este o soluție de ”data loss prevetion”, care protejează atât datele de pe sistemele fixe, cât și cele din rețea, din Cloud sau din bazele de date mobile.

Un alt brand reprezentat de Clico este Imperva, furnizor de soluții de securizare și auditarea a bazelor de date și aplicații Web care asigură funcționalități de securitate prin minimizarea datelor, limitarea accesului utilizatorilor, pseudonimizare, anonimizare sau transfer securizat. Soluția MobileIron este forte utilă pentru aplicare politicilor BYOD, separând datele personale de pe orice dispozitiv mobil, de cele folosite în scop profesional. Clico oferă consultanță, cursuri de training și soluții de pre si post vânzare pentru toate aceste soluții.

Puterea exemplului Cisco

Un alt moment important al evenimentului a fost conexiune de la distanță cu unul dintre specialiștii Cisco Systems implicați direct în procesul de implementare GDPR la nivel de corporație. Astfel, grație echipamentelor de videoconferință Cisco, am putut asculta povestea de succes prezentată de la Bruxelles de Lorena Marciano, DPO Cisco Systems Europe. În eforturile de implementare GDPR și susținere a ecosistemului de parteneri, Cisco a optat pentru o strategie bazată pe puterea exemplului. Ce garanție mai bună de compatibilitate pentru soluțiile oferite, decât faptul că sunt folosite pentru implementarea propriei conformități? În fine, plecând de la acest proces de best practices, Cisco vine pentru partenerii săi cu o serie de recomandări, care încep cu consolidarea unei echipe multidisciplinare, alegerea unui program cadru care să funcționeze pentru organizație, stabilirea obiectivelor și priorităților, inventarierea datelor și analiza de risc, evaluarea nivelului de maturitate al sistemelor de protecție a datelor, utilizarea facilităților existente și rezolvarea rapidă a lacunelor de securitate.

Studiile de piață arată că nu suntem pregătiți

Sursa: Power Net Consulting

În vara acestui an, compania Power Net Consulting a realizat un studiu printre directorii IT ai unor companii private din Romania. Scopul principal al studiului a fost realizarea unei radiografii a nivelului de pregătire a companiilor, pe baza unui eșantion reprezentativ. Studiul a fost axat pe câteva direcții principale de cercetare, fiecare direcție fiind însoțită de un set de întrebări. Principalele tematici vizate au fost:

  • Cât de informate sunt companiile cu privire la noile reglementări GDPR?
  • Există proceduri interne conforme?
  • Care sunt problemele majore de conformitate?
  • Ce soluții IT și-au propus companiile să implementeze?
  • Care este nivelul actual de pregătire al organizațiilor?

Iată câteva dintre cele mai relevante rezultate ale studiului prezentate de Emil Munteanu, Managing Partner Power Net Consulting: deși 79% dintre companiile chestionate pe tema pregătirii pentru implementarea Regulamentului UE 679/2016 sunt informate despre aceste subiect, doar 14% dintre acestea au persoane nominalizate pentru funcția de responsabil cu prelucrarea datelor personale. De asemenea, 57% dintre respondenți au recunoscut că până în prezent nu au revizuit sau nu au actualizat politicile de securitate existente, iar 50% nu au făcut încă o evaluare internă a datelor cu caracter personal prelucrate. Un alt aspect îngrijorător relevat de acest studiu este că doar 36% din respondenți au instruit GDPR personalul care se ocupă cu problemele de securitate, 18% au organizat traininguri GDPR interne și doar 11% au reevaluat contractele cu furnizorii. Dintre soluțiile IT pe care companiile și-au propus să le adopte în vederea conformității GDPR se numără: Data Loss Prevention (75%), Network Protection (68%) și Encription/ Tokenization/ Pseudonomization (61%).

Cum certificăm un DPO în România?

Compania RQM Certification, partener PECB pentru România, a oferit o prezentare a serviciilor de pregătire profesională pentru poziția de Certified Data Protection Officer. Această certificare permite specialiștilor desemnați să dobândească expertiza necesară pentru a înțelege riscurile care ar putea avea un impact negativ asupra organizației oferindu-le cunoștințele pentru a implementa strategia necesară, pe baza celor mai bune practici, cerințe și principii GDPR. Cursurile DPO beneficiază de certificarea PECB, un furnizor de certificări pentru standarde ISO cu recunoaștere internațională.  Prin parteneriatul cu PECB, compania RQM Certification poate asigura în România obținerea certificărilor pentru standardele ISO 9001, ISO/TS 16949, ISO 31000, ISO 14001 și ISO 27001.

 

Concluzionând, evenimentul “Noua ordine europeană pentru protecția datelor personale” marchează o certă maturizare  a preocupărilor legate de GDPR pe piața din România, cu o evidentă determinare în depășirea fazei de conștientizare, cu trecere la planificare  și acțiune concretă. Prezența celui mai titrat specialist GDPR din România care a răspuns la toate întrebările, implicarea casei de avocatura Mușat și Asociații, videoconferința cu DPO Cisco de la Bruxelles, prezentarea de soluții concrete de securizare a proceselor și a datelor, studiul de piață realizat de Power Net Consulting precum și cursurile de certificare DPO deja existente pe piață, au contribuit la succesul acestui eveniment. Felicitări tuturor celor implicați și în special organizatorului Concord Communication.  

Sursă fotografii: Concord Communiction

%d bloggers like this: