Casă nouă pentru GDPR Ready!

Iată un proiect pe care trebuia să îl fac mai de mult, dar pentru care – evident că nu prea a fost timp. Acum, că lucrurile s-au mai liniștit, și toată lumea pare că a rezolvat deja problemele privitoare la datele personale, am găsit răgazul să fac un site dedicat pentru ceea ce mi-a ocupat ultimii doi ani: inițiativa și serviciile GDPR Ready.

Lansarea și evoluția inițiativei GDPR Ready

În mai 2017, la un an după aprobarea Regulamentului 679 de Parlamentul European, când toată lumea începuse să vorbească despre GDPR, dar foarte puțini știau ce ar trebui făcut pentru asigurarea conformității, am lansat o inițiativă privată denumită GDPR Ready! Menirea principală a acestei inițiative era să acopere un mare gol de informație de care toate organizațiile aveau nevoie și despre care existau foarte puține lucruri practice, concrete.

Ce am realizat într-un an și jumătate de inițiativă publică și benevolă ?

Articole GDPR Explicitat– o serie de 15 articole online ce explică principalele problematici GDPR pe înțelesul tuturor. Toate pot fi regăsite și pe nou site. Iată aici lista completă  a acestora cu linkurile originale:

Pagină dedicată GDPR Q&A  – ”Cele mai frecvente întrebări și răspunsuri despre GDPR”

Catalog GDPR Ready – primul catalog din România dedicat ofertelor de soluții și servicii pentru alinierea la GDPR, Editat in Octombrie 2017 în parteneriat cu trustul de presă Agora Media. Disponibil in format print si eBook.

Catalog GDPR Practic– o continuare firească a primului Catalog GDPR, dedicat aspectelor practice asociate cu proceduri, procese și soluții pentru protecția datelor personale. Publicat în martie 2018.

Catalog GDPR Provocări  – o abordare a cerințelor specifice GDPR pentru fiecare departament implicat în prelucrarea de date personale și principalele verticalele industriale. Publicat în iunie 2018.

Parteneriate, moderare și participare evenimente

Inițiator și moderator Grup de discuții GDPR Ready pe LinkedIn – Grup exclusiv pentru specialiștii români, deschis pentru toți cei interesați de conformitatea GDPR: întrebări, dezbateri, interpretări, recomandări, proceduri, standarde, soluții, evenimente, cercetări de piață, studii de caz, best practices. Până acum suntem peste 160 de membri.

Ce veți găsi pe noul site GDPR Ready

Urmând modelul de evoluție cloud☁mania, noul site își va păstra statutul de platformă de cunoaștere dedicată informațiilor din domeniul protecției datelor personale. Componenta publică benevolă a inițiativei GDPR Ready va continua să fie dezvoltată pe pagina ”GDPR 4 ALL”, atât  sub forma unei noi serii de articole reunite sub genericul Analiză GDPR, cât și prin contribuții ale unor invitați sau alte proiecte publice aflate în diferite stadii de evoluție.

Acumulările intense din ultima perioadă și experiența dobândită în proiectele din ultimul an se regăsesc în oferta de servicii GDPR de la pagina ”GDPR Services”, cu o abordare verticalizată pentru activitățile de analize de piață, business development, consiliere, consultanță și instruire.

Cunoașterea permanentă a nevoilor și cerințelor pieței este o constantă în Misiunea GDPR Ready. Plecând de la nevoia de informare și de consiliere a companiilor mici și mijlocii, am adaptat un pachet de activități și proceduri dedicate clasei de business IMM care conține Oferte de servicii și promoții sezoniere. Nu ratați ”Oferta specială a lunii Noiembrie” mapată pe cerința internă de permanentă instruire a angajaților dintr-o organizație.

Firește că site-ul se află încă într-o ”versiune Beta”, dar îmbunătățirile și modificările pot fi făcute și pe parcurs, ca exemplu de continuă transformare digitală. Important este că avem o nouă casă virtuală pentru GDPR Ready și xă ne așteaptă o serie de noi proiecte publice și private în pipeline.

Back to the Cloud…

Desigur că pentru încă o perioadă voi continua să public articole despre GDPR pe ambele site-uri, din rațiuni de continuitate și transfer de trafic. Dar a venit timpul ca portalul cloud☁mania să se întoarcă la subiectele care l-au consacrat: cloud computing și tehnologiile disruptive ale erei digitale: big data, IoT, Industry 4.0, fog computing, smart city, digital transformation, blockchain, inteligența artificială, realitatea augmentată și altele, despre care nici nu se vorbește încă…

Pentru cei care nu știau, cloud☁mania este inițiator și pionier în câteva proiecte editoriale, precum seria de Cataloage CloudComputing, realizată împreună cu prietenii de la Agora Media. Un pionierat care a deschis multe drumuri nebătătorite încă în România.

Început ca un hobby în februarie 2013 cloud☁mania a fost primul site independent dedicat 100% tehnologiilor de frontieră, devenind cu timpul o adevărată platformă tehnologică de cunoaștere implicată în dezvoltarea unei industrii și conglomerarea unei comunități de specialiști. Aici au fost publicate articole despre noutățile din domeniu cu mult înainte ca ele să se întâmple pe piața locală și regională, au fost făcute recenzii de soluții și platforme și s-au luat interviuri în exclusivitate cu personalități din domeniu.

Am publicat primul Catalog Cloud Compuing în ianuarie 2014, atunci când în România de-abia începuseră să se afirme primele platforme și aplicații bazate pe Cloud, deși multe erau încă doar la nivel declarativ, fără nici-o implementare în industrie. Răsfoiți prima ediție a Catalogului Cloud Computing și veți vedea care era starea Cloudului în acel moment și mai ales, câte s-au întâmplat de atunci.

În iunie 2014 a urmat ediția a doua a Catalogului Cloud Computing dedicată platformelor IaaS, deschisă cu un mesaj editorial în care spuneam: „Destul cu vorbele, cu teoria și cu tendințele. Haideți să mai și construim…“, deoarece… ”Cloudul s-a dovedit o realitate, nu mai e o utopie, o gaură neagră pentru date sau o marotă pentru sceptici. Cloudul este în viețile noastre, în casele noastre, pe birourile noastre, în mașinile noastre, în parcurile noastre și, mai ales, în buzunarele noastre…”

Lumea devenea tot mai mobilă și a fost firesc să facem o radiografie a influenței mobilității în Cloud, materializată prin cel de-al treilea Catalog Cloud Computing, publicat în martie 2015. Tema majoră de dezbatere era dualismul tehnologic Mobilitate – Cloud, ca motor al accesului ”3O” la date și aplicații (Oricând-Oriunde-Orice dispozitiv).

Când toată lumea a început să vorbească despre IoT a fost firesc să ne ocupăm și de această nouă tendință, Catalogul Cloud Computing ediția a 4-a, reprezentând primul proiect editorial dedicat tehnologiilor și aplicaților Internet of Things, publicat în decembrie 2015.

În august 2016 ne-am ocupat de digital industry, ca efect al uriașelor transformări înduse de cea de-a 4-a revoluție industrială. În ediția a 5-a a Catalogului Cloud Computing scriam despre Industry 4.0, despre 3rd Platform, despre proiectul unei Europe Digitale bazată pe accesul universal la informație, despre Internet IoT,  despre Industry Cloud și Cloud 2.0, despre dialogul dintre mașini, despre roboții industriali și automatizare, despre realitatea augmentată ca abecedar în deprinderea noilor aptitudini digitale și, în fine, despre pericolele care ne pândesc atunci când totul este conectat.

Primăvara anului 2017 marca începutul perioadei de maturizare a industriei de Cloud în România, o perioadă de adolescență tehnologică în care cuvântul de ordine era Hybryd Coud. Aceasta a și fost tema celei de-a șasea ediții a Catalogului Cloud Computing, editat în aprilie 2017, unde pentru prima oară erau abordate în mod sistematic modelele hibride, cu avantajele lor și provocările legate de implementare.

Edițiile 7-9 publicate în octombrie 2017,  martie 2018 și iunie 2018 s-au depărtat puțin de esența tehnologică a Catalogului Cloud Computing, fiind dedicate GDPR – temă deosebit de fierbinte pentru toată lumea, cu implicații majore pentru furnizorii de soluții de infrastructură și servicii Cloud. Aceasta a fost și rațiunea pentru care cele 3 Cataloage GDPR s-au suprapus cu formatul devenit extrem de popular al Catalogului Cloud.

În fine, revenind ”în contemporaneitate”, acum toată lumea vorbește despre Cloud, iar transformarea digitală a ajuns subiect de prelegeri în școli. Este timpul să ne întoarcem la proiectele noastre, iar cloudmania să își urmeze menirea de deschizător de drumuri și platformă de cunoaștere în tehnologie.

 

Advertisements

Analiza GDPR (2): 10 SFATURI PENTRU MANAGERI – NU LĂSAȚI PE MÂINE…

Au trecut 6 luni de la intrarea în vigoare a noului Regulament UE 679 și aproximativ un an de când alinierea GDPR a devenit un subiect extrem de discutat. După o perioadă extrem de agitată, care a culminat cu avalanșa de declarații și solicitări de consimțământ de la sfârșitul lunii mai, lucrurile au intrat treptat, într-o stare de acalmie. Asta poate fi BINE, dacă presupunem că oamenii au înțeles despre ce e vorba și au început demersurile de aliniere. Dar realitatea ne arată că presupunerea este FALSA. REALITATEA ESTE ALTA ȘI ASTA NU E BINE.  

Totul pleacă de la manageri

Demararea unor proiecte de aliniere este legată ombilical de o decizie managerială. Nimic nu se poate face dacă managementul nu este convins de importanța subiectului. Dar înțelegerea importanței nu este totul. Managementul trebuie să gestioneze demararea activităților, să stabilească o echipă, să delege un responsabil și, mai ales să planifice resursele. Adică să se implice.

Orice analiză sau audit de business care constituie prima fază în derularea unui proiect de asigurare a conformității are în vedere nivelul de implicare managerial. Sunt managerii implicați direct, participă la discuții sau au delegat o persoană de încredere care să se ocupe de tot?

Ce situații am întâlnit în realitate? Toate demersurile de implementare realizate până acum, în majoritatea cazurilor,  au fost impulsul unei presiuni externe și destul de puțin și de rar rezultatul unei convingeri reale. Din păcate, încă sunt mulți manageri care consideră GDPR:

  • o mare prostie,
  • un simplu exercițiu birocratic,
  • o amenințare cu penalități uriașe care nu vor periclita niciodată propria organizație,
  • mulți bani aruncați degeaba.
  • o bătaie de cap în plus, care mai poate să aștepte
  • o mare cacealma, nimeni nu a fost amendat pana acum
  • niciunul dintre amici sau parteneri nu a făcut nimic pentru asta și nu li s-a întâmplat nimic
  • cei care au angajat o firmă de consultanță a dat banii degeaba pentru că au fost nevoiți să facă totul singuri…
  • ceva inutil. Eu nu lucrez decât cu date de business. Astea sunt date publice, nu personale

Și lista ar putea continua mult și bine…

Ce trebuie făcut

Oameni buni, niciodată nu e prea târziu. Oricând puteți începe exercițiile de aliniere. Iată câteva sfaturi:

  1. GDPR NE PRIVEȘTE PE TOȚI – Nu e o prostie, o găselniță a politicienilor sau avocaților ca să ne mai ia niște bani. Orice organizație, asociație, sau persoană fizică autorizată exercită o activitate în care ajunge să dețină niște date personale ale clienților, partenerilor sau angajaților E OBLIGATĂ să se supună GDPR.
  2. MĂRIMEA NU CONTEAZĂ – Fie că avem o companie cu 10, 50 sau peste 250 de angajați, fie că suntem o microîntreprindere, un ONG sau o asociație profesională, fie că administrăm o asociație de locatari sau că suntem un consultant independent, avocat, stomatolog sau blogger specializat, AVEM NEVOIE DE GDPR. Desigur că nu toți avem nevoie de toate procedurile și politicile. Dar există un nucleu de activități și măsuri care sunt absolut obligatorii pentru orice fel de organizație. Nu avem cum să evităm asta. TREBUIE SĂ FIM PREGĂTIȚI.
  3. GDPR ÎNSEAMNĂ ASUMAREA RĂSPUNDERII – Suntem răspunzători pentru datele noastre personale. Pentru angajații noștri. Pentru clienții noștri. Pentru partenerii noștri. Nu facem asta cu gândul la inspecțiile Autorității și nici ca pe o simplă formalitate birocratică. O facem pentru binele nostru și al comunității în care trăim și activăm. O FACEM CA RESPONSABILI PENTRU RESPONSABILITATEA NOASTRĂ.
  4. GDPR ESTE MAI MULT DECÂT UN SIMPLU PROIECT – Mai mult decât o implementare de soluții IT. Mai mult decât o revizuire birocratică a documentelor dintr-o altă perspectivă birocratică. Este o acțiune asumată, documentată și permanentă care presupune luarea de decizii, elaborarea de politici, adoptarea de proceduri, dar mai ales o acțiune de echipă, în care avem o triplă implicare: OAMENI, TEHNOLOGIE, PROCESE.
  5. GDPR ESTE O CERINȚĂ PERMANENTĂ – Nu este un simplu hei-rup, o activitate punctuală sau o implementare de proceduri după care cineva îți dă o diplomă. Este un exercițiu permanent, o cerință obligatorie de business pentru întregul ciclu de viață al uni afaceri. Ca să păstrăm un nivel optim de conformitate trebuie să acționăm continuu, să rămânem între anumiți parametri.
  6. GDPR ESTE O INVESTIȚIE ÎN EFICIENȚĂ – Nu sunt bani aruncați. Nimeni nu ne obligă să facem toate achizițiile dintr-o dată. O analiză de risc poate ajuta la crearea unor planuri de remediere gradată a eventualelor surse de incidente legate de pierderea de date personale. Ne concentrăm pe ce e mai important acum și facem un efort. Un buget alocat pentru viitorul exercițiu financiar ne va ajuta la păstrarea echilibrului balanței. Sunt multe posibilități de realocare a unor bugete în momentul în care am devenit conștienți că E MUSAI NEVOIE DE ASTA.
  7. INSTRUIȚI-VĂ OAMENII –  Invățarea nu este o rușine. Este o nevoie permanentă. Nu înțelegeți exact despre ce e vorba și nu aveți timp să vă bateți capul. Participați la o ședință de instruire GDPR de una sau două zile. Sunt deja zeci de cursuri care oferă asta. O puteți face și online, de la birou sau din fotoliul de acasă. Veți vedea despre ce e vorba. Veți înțelege de ce e important. VEȚI REALIZA CE RESPONSABILITĂȚI AVEȚI.
  8. PREGĂTIȚI-VĂ UN SPECIALIST ÎN PROTECȚIA DATELOR – Chiar dacă legea nu vă obligă să angajați sau să numiți un DPO, multe aspecte legate de adoptarea GDPR reclamă competențele unui om care a parcurs o instruire de DPO. Nu așteptați ca să se rezolve problema certificării. Nu mai este timp pentru așteptare. Nu aveți nevoie de diplome, ci de (cel puțin) un om care să știe de unde să înceapă, cu cine să înceapă și ce e de făcut.
  9. AVEM NEVOIE DE CULTURĂ GDPR – Asta înseamnă respectul pentru date. Instruirea permanentă a angajaților. Testarea eficienței sau efectivității procedurilor existente. Adaptarea la schimbare. GDPR va suferi modificări în timp. Verificarea conformității cu normativele conexe precum e Privacy sau NIS. Conformitatea GDPR devine o permanență, la fel ca regulamentele de ordine interioară, protecție împotriva incendiilor sau măsurile de evacuare în caz de calamități naturale. Protejați-vă datele! Scrieți un postit-ul lipit pe ușă unde scrie: ”stinge lumina!”, ”verifică gazele!” sau ”activează alarma!”
  10. GDPR ESTE O OPORTUNITATE, NU O CALAMITATE – Priviți eforturile de aliniere ca pe o investiție în eficientizarea activităților. Ca pe un prim demers în transformarea digitală a organizației. Ca pe o etichetă de încredere față de angajații noștri, clienții noștri și partenerii noștri.

Iată un exemplu pe care îl folosesc des în discuțiile din proiecte sau de la ședințele de instruire: Obținerea conformității GDPR poate fi comparată cu pregătirile de decolare pe care le face echipajul unei aeronave. Pregătim instrucțiunile de zbor, verificăm echipajul, consultăm aparatura de bord și demarăm procedurile de decolare. Dar menținerea conformității GDPR pe termen lung trebuie comparată cu zborul propriu-zis. Cu activitățile absolut necesare pentru menținerea la un plafon de 11000 de metri. Nu ne permitem sa greșim. Chiar dacă se setează pilotul automat, cineva tot trebuie să vegheze și să știe în permanență ce este de făcut.

Depinde doar de noi. Este responsabilitatea noastră ca manageri. Conformitatea GDPR nu se poate asigura fără implicarea noastră și a întregii organizații. De noi depinde cum aplicăm procedurile recomandate de un consultant. De noi depinde cum asimilăm politicile și cum ne asigurăm că oamenii le și respectă. De noi depinde sănătatea și eficiența afacerii noastre. De noi depinde cum putem transforma conformitatea într-un avantaj competitiv.

GDPR Explicitat (15): Penalitățile cu care vine GDPR

Articol publicat pe siteul cloud☁mania în data de  22 Decembrie 2017. Autor: Radu Crahmaliuc

Iată-ne ajunși la finalul serialului de articole GDPR Explicitat. A fost o încercare de analiză și parcurgere pe orizontală a celor mai importante articole din GDPR care au egală importanță pentru toți operatorii și procesatorii de date personale. Desigur se mai pot povesti și comenta multe despre toate subiectele abordate. Vom mai avea ocazia să le reluăm când vom face analizele pe verticale, pe grupe de companii sau pe anumite industrii.

Când se dau amenzile administrative?

Orice încălcare a noului regulament este supusă unui regim de sancțiuni financiare cu amenzi de până la 4% din cifra de afaceri globală anuală sau de 20 milioane EUR, oricare dintre acestea este mai mare. La stabilirea nivelului amenzii, autoritatea de supraveghere trebuie să ia în considerare o serie de factori, inclusiv gravitatea încălcării, dacă încălcarea a fost intenționată sau rezultatul neglijenței și orice măsuri luate pentru a atenua încălcarea. În plus, persoanele pot da în judecată organizațiile pentru compensare pentru a acoperi atât pagubele materiale, cât și cele nemateriale (de exemplu, suferință).

Având în vedere magnitudinea eventualelor amenzi, drepturile persoanelor fizice de a introduce cazuri și cererea de despăgubiri, precum și prevalența și eficacitatea criminalității cibernetice, riscul unei încălcări a datelor ar trebui să treacă direct în registrul de risc al consiliului, cu respectarea înaltă a ordinii de zi a conducerii superioare.

Conform Articolului 83 – ”Condiții generale de impunere a amenzilor administrative”, aplicarea penalităților va fi, în fiecare caz, eficace, proporțională și disuasivă (descurajantă). Amenzile administrative se acordă în funcție de:

  • Natura, gravitatea și durata încălcării;
  • Caracterul intenționat sau neglijent al încălcării;
  • Orice acțiune întreprinsă de operator sau de procesator pentru a diminua daunele suferite de persoanele vizate;
  • Gradul de responsabilitate al operatorului sau al procesatorului, ținând cont de măsurile tehnice și organizatorice implementate de aceștia;
  • Orice încălcări anterioare relevante;
  • Gradul de cooperare;
  • Categoriile de date cu caracter personal afectate de încălcare;
  • Modul în care încălcarea a devenit cunoscută;
  • Existența unor cazuri anterioare în care au fost ordonate competențe corective împotriva operatorului sau a procesatorului;
  • Respectarea codurilor de conduită aprobate sau a mecanismelor de certificare aprobate;
  • Existența unor alți factori agravanți sau atenuanți.

Care sunt situațiile în care amenda e de 2% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 10 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 2% din exercițiul financiar precedent (oricare dintre acestea este mai mare) în situațiile în care autoritatea de supraveghere constată încălcarea următoarelor Articole:

  • Obligațiile operatorului și ale procesatorului de date stabilite în Articolele 8, 11, 25 la 39, 42 și 43;
  • Obligațiile corpului de certificare conforme cu Articolele 42 și 43;
  • Obligațiile corpului de monitorizare aferente Articolului 41 (Alineat 4)

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

  • 8: Consimțământul copilului
  • 11: Prelucrarea care nu necesită identificare
  • 25: Protecția datelor prin design și implicit
  • 26: Operatori comuni
  • 27: Reprezentanți ai operatorilor care nu sunt stabiliți în UE
  • 26, 29 & 30: Prelucrarea
  • 31: Cooperarea cu autoritatea de supraveghere
  • 32: Securitatea datelor
  • 33: Notificarea încălcărilor autorității de supraveghere
  • 34: Comunicarea încălcărilor la persoanele vizate
  • 35: Evaluarea impactului protecției datelor
  • 36: Consultare prealabilă
  • 37-39: Protecția datelor
  • 41 (4): Monitorizarea codurilor de conduită aprobate
  • 42: Certificare
  • 43: Organisme de certificare

Care sunt situațiile în care amenda e de 4% din cifra de afaceri?

Conform Articolului 83, Alineatul 4, se impune o amendă de 20 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 4% în exercițiul financiar precedent (oricare dintre acestea este mai mare) în următoarele condiții de încălcare:

  • Principiile de bază ale procesării, incluzând condițiile pentru consimțământ, aferente Articolelor 5, 6, 7 și 9;
  • Drepturile subiecților aferente Articolelor de la 12 la 22;
  • Transferul datelor personale către un recipient dintr-o țară terță sau o organizație internațională, aferent Articolelor de la 44 la 49.

Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor:

  • 5: Principii privind prelucrarea datelor cu caracter personal;
  • 6: Legalizarea procesării;
  • 7: Condiții pentru consimțământ;
  • 9: Prelucrarea categoriilor speciale de date cu caracter personal (adică date personale sensibile);
  • 12 -22: Dreptul la informație, accesul, rectificarea, ștergerea, restricționarea procesării, transferabilitatea datelor, obiectul, profilul;
  • 44 -49: Transferuri către țări terțe;
  • 58 alineatul (1): cerința de a oferi acces la autoritatea de supraveghere;
  • 58 (2): Comenzi / limitări privind prelucrarea sau suspendarea fluxurilor de date.

Norme privind sancțiunile impuse de fiecare stat membru

În Articolul 83, Alineatul 7 se mai specifică faptul că ”Fără a aduce atingere competenţelor corective ale autorităţilor de supraveghere menţionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv.”

Mai departe se prevede că exercitarea de către autoritatea de supraveghere a competenţelor sale în temeiul Art.83 are loc cu condiţia existenţei unor garanţii procedurale adecvate în conformitate cu dreptul Uniunii şi cu dreptul intern, inclusiv căi de atac judiciare eficiente şi dreptul la un proces echitabil.

Dar acestea nu sunt toate sancțiunile prevăzute de GDPR. În Articolul 84: ”Sancţiuni”, Alineatul 1  se specifică faptul că statele membre au dreptul de a stabili normele privind alte sancţiuni aplicabile în caz de încălcare a Regulamentului, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul Articolului 83, şi iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancţiunile respective trebuie să fie eficace, proporţionale şi disuasive. Totodată, până la 25 mai 2018 fiecare stat membru trebuie să informeze Comisia cu privire la dispoziţiile de drept intern pe care le adoptă în temeiul alineatului (1), precum şi, fără întârziere, cu privire la orice modificare ulterioară a acestora.