AȘTEPTĂM PRIMA AMENDĂ SAU NE OCUPĂM DE CONFORMITATE ÎNAINTE SĂ NI SE ÎNTÂMPLE CEVA?

Pe 21 Mai, la hotelul Pullman, GDPR Talks organizat de agenția Concord Communication a fost unul dintre primele evenimente organizate în această săptămână care au avut ca temă  fenomenului GDPR din Romania, după un an de la intrarea in vigoare. Panelurile au fost gândite în așa fel încât sa acopere cât mai bine largul spectru de probleme care ne-au dat bătaie de cap, invitând la discuții oameni care vin din diferite culturi, cu diferite experiențe, din mediul public sau privat, reprezentând companii mai mari sau mai mici, asociații profesionale sau consultanți independenți, dar toți animați aceeași dorință de a împărtăși din propriile experiențe.

Primele două paneluri de discuții au abordat realizările și dificultățile GDPR din perspectiva sectorului public si a celui privat. Al treilea panel a fost o premieră pentru Romania, abordând tematica Digital Ethycs, o temă de care se va vorbi tot mai mult, pe măsura asimilării noilor tehnologii, care vin cu noi riscuri pentru protecția datelor personale și a drepturilor și libertăților fundamentale.

Din stanga: Yugo Neumorni, Nelu Munteanu, Catalin Giulescu, Simona Zanfir

Sectorul Public între penuria de specialiști și relaxarea generată de lipsa amenzilor

Panelul de discuții dedicat evoluției GDPR din perspectiva sectorului public, pe care am avut bucuria să îl moderez, s-a bucurat de o participare numeroasă și reprezentativă: Simona Zanfir – Consilier Birou Juridic ANSPDCP, Cătălin Giulescu – Specialist GDPR, Nelu Munteanu – Director Tehnic CERT.RO, Yugo Neumorni – Președinte CIO Council România, Silvia Axinescu – Senior Managing Associate Reff & Associates / Deloitte Romania, Iurie Cojocaru – Managing Associate CIPP/E NNDKP și Marius Dumitrescu – Președinte Asociația Specialiștilor în Confidențialitate și Protecția Datelor România.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a fost reprezentată de Doamna Simona Zanfir, consilier Birou Juridic și Comunicare, care a făcut o trecere în revistă a activității ANSPDCP în ultimul an:

  • Legea nr. 129/2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înființarea, organizarea şi funcționarea ANSPDCP, precum şi pentru abrogarea Legii nr. 677/2001
  • Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679.
  • Decizia nr. 99/2018 privind încetarea aplicabilității unor acte normative cu caracter administrativ emise în aplicarea Legii nr. 677/2001.
  • Decizia nr. 128/2018 privind aprobarea formularului tipizat al notificării de încălcare a securității datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679
  • Decizia nr. 133/2018 privind aprobarea Procedurii de primire și soluționare a plângerilor
  • Decizia nr. 161/2018 privind aprobarea Procedurii de efectuare a investigațiilor
  • Decizia nr. 174/2018 privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal.

Așteptate cu mult interes de către participanți au fost datele statistice legate de activitatea Autorității:

  • 391 încălcări de securitate a datelor notificate până la 17 mai 2019, investigate în totalitate.
  • 69 investigații efectuate ca urmare a sesizărilor primite
  • 456 investigații efectuate la plângerile persoanelor vizate de către Autoritate până la 01 mai 2019
  • 9335 DPO înregistrați la Autoritate până la data de 1 mai 2019

O prezență deosebită în primul panel a fost Cătălin Giulescu, pe care l-am invitat nu pentru funcția și poziția sa actuală, ci pentru experiența de peste 15 ani acumulată în domeniul protecției datelor personale. Cătălin este printre primii specialiști în protecția datelor din România, este DPO certificat de EIPA și a fost coordonatorul echipei tehnice care a gestionat negocierile la nivel european pentru elaborarea și adoptarea GDPR. Principalul sfat al lui Cătălin Giulescu pentru toți participanții a fost să nu ne lăsăm copleșiți de complexitatea unei situații și să încercăm să abordăm dificultățile cu calm: ”Un process de obținere a conformității GDPR este un fenomen extrem de complex și de fluid și fiecare etapă sau problemă trebuie abordată cu mult calm”. Cătălin a răspuns la un mare număr de întrebări venite din sală și chiar din partea celorlalți paneliști, dezamorsând una dintre cele mai critice probleme, aceea a aplicării unui sistem diferit de penalizare pentru organizațiile din sectorul public și privat. Exista falsa impresie că această situație se regăsește numai în România,   În realitate, acest sistem a fost gândit chiar la nivelul Uniunii Europene, ca o consecință a capacității restrânse de adaptare la risc ce se manifestă în sectorul public.

Începând din data de 2 mai 2019 a devenit disponibil numărul unic 1911 pe care Centrul Național de Răspuns la Incidente de Securitate Cibernetică îl pune la dispoziție pentru raportarea incidentelor de Securitate. Nelu Munteanu, director tehnic la CERT.RO ne-a oferit câteva detalii despre înființarea acestui call-center care poate oferi o asistență primară și consiliere persoanelor fizice, juridice și instituțiilor publice care raportează incidente de Securitate cibernetică. Din perspectiva GDPR, care vine cu obligativitatea ca fiecare organizație să aibă un plan de raportare a breșelor și o echipă de intervenție în caz de breșă, existența acestui serviciu de urgență specializat oferă operatorilor de date personale posibilitatea efectuării unei analize mult mai exacte cu privire la natura incidentului și amploarea lui, ajutând la luarea deciziei de notificare a breșei către Autoritate, atunci când este cazul, în termenul de 72 de ore hotărât. Nelu Munteanu a prezentat și alte activități și proiecte de conștientizare în care este implicate CERT.RO, precum supervizarea aplicării NIS în România, dar și buna colaborare cu Autoritatea și alte instituții publice și private pentru creșterea gradului de Securitate în spațiul cibernetic.

Printre cei mai profund implicați în problemele ridicate de GDPR sunt directorii informatici, care se află în prima linie în continua bătălie cu atacurile cibernetice dar și cu asigurarea măsurilor interne de reducere a vulnerabilităților datorate erorilor umane. Yugo Neumorni, Președinte CIO Council România s-a referit la preocupările concrete ale asociației profesionale a directorilor informatici, care în ultimii doi an a derulat o serie de proiecte speciale destinate asigurării condițiilor optime de securizare și eficientizare a sistemelor informatice. Există, din păcate, destule organizații în care aplicarea GDPR este percepută în mod eronat ca fiind o responsabilitate exclusivă a CIO când aceasta aparține, în realitate, Board-ului. Din perspectiva CIO, fenomenul GDPR aduce o mare provocare profesională și mult stres, dar și un sprijin și o argumentație în plus la constituirea bugetelor IT” a apreciat Yugo Neumorni. Una dintre marile probleme ridicate de GDPR este asigurarea efectivă a dreptului la ștergere a datelor personale ale unei persoane vizate. Se știe foarte bine că este destul de dificil din punct de vedere tehnic și costisitor, în același timp, să se asigure ștergerea unor seturi de date în cazul unor sisteme informatice, în marea lor majoritate heterogene, unde sistemele de backup sunt implementate pe diferite nivele și, evident, în diferite locații. Specialiștii așteaptă elaborarea unor seturi de recomandări care să faciliteze efectuarea operațiunilor necesare în cazul în care e nevoie să se răspundă la solicitări de acest fel.    

Radu Crahmaliuc, Marius Dumitrescu, Silvia Axinescu, Iurie Cojocaru

De la aspectele tehnice s-a trecut în mod natural la cele legale, ce pot fi însoți uneori cauze tehnice, precum procedurile asociate administrării multivalente a incidentelor de Securitate și rolul analizelor de impact în asigurarea conformității. Silvia Axinescu, Senior Managing Associate la Reff & Associates / Deloitte Romania a prezentat o interesantă abordare a utilității analizei de impact în cazul adoptării de noi tehnologii sau procese ce ar putea induce riscuri majore pentru securitatea datelor personale. O importanță apare o au și analizele de tip LIA (Legitim Interest Analyse) care sunt absolut obligatorii în cazurile în care legitimul interes este principalul temei legal la prelucrarea de date personale și unde trebuie menținută în permanență balanța între ceea ce pentru operator este un interes legitim, iar pentru persoana vizată un drept de asigurare a drepturilor și libertăților fundamentale. Iurie Cojocaru, Managing Associate la casa de avocatură NNDKP  a făcut o scurtă trecere în revistă a măsurilor organizatorice ce trebuie adoptate pentru reducerea riscurilor de apariție a unor incidente de Securitate, printre care și cele asociate instruirii corecte a angajaților și implementării politicilor și normelor interne. Sunt situații în care riscul apariției unor incidente de Securitate este datorat în proporție de peste 60-70% unor vulnerabilități interne, asupra cărora se poate acționa.

O prezență activă la organizarea și desfășurarea evenimentului a avut-o asociația profesională a DPO, reprezentată la discuțiile primului panel de Marius Dumitrescu, Președinte Asociația Specialiștilor în Confidențialitate și Protecția Datelor România, iar în sală de o numeroasă delegație de membrii ai asociației. Obiectivul ASCPD este de a oferi soluții concrete la problemele cu care se confruntă specialiștii în confidențialitate și protecția datelor, de a crește gradul de conștientizare a legislației și de a oferi membrilor săi un forum în care aceste subiecte să poată fi dezbătute, precum și un loc de pregătire profesională continuă. ASCPD militează pentru îmbunătățirea gradului de conștientizare cu privire la tehnologiile și legile care pun în pericol viață privată, pentru a se asigura că publicul este informat și implicat. Una dintre problemele ridicate de Marius Dumitrescu în cadrul discuțiilor din panel a fost cea legată de persoanele care sunt puse în postura de a activa ca DPO prin numirea conducerii și care nu posedă cunoștințele obligatorii necesare pentru exercitarea acestei funcții sau se află într-un posibil conflict de interese.

Sînziana Oghina, Bogdan Manolea, Ciprian Timofte

În Privat totul se vede altfel și orice risc poate deveni fatal pentru business

Așa cum anunțam în programul conferinței, al doilea panel a avut ca obiectiv realizarea unei perspective asupra GDPR din unghiul de vedere al mediului privat. Fiecare dintre invitații prezenți la discuții acumulează o bogată experiență în proiecte de implementare sau educație legate de GDPR, ceea ce a permis asigurarea unui climat de discuții deschis, colocvial, unde chiar diferențele de opinii au fost prezentate într-o manieră constructivă: Sînziana Oghină – Avocat Medlife, Ciprian Timofte – Managing Associate Țuca Zbârcea & Asociații, Bogdan Manolea – Trusted.ro, Daniel Suciu – Consultant GDPR, DPO Extern, iar ca moderator Tudor Galoș – ECPC-B DPO, Senior Consultant GDPR

Sînziana Oghină, Avocat Medlife a prezentat câteva dintre experiențele în domeniul privat, unde companiile mari au fost nevoite să ia mult mai în serios provocările GDPR. Cu toate eforturile pentru conformare depuse, elaborarea unor proceduri și a unor politici cu resurse interne sau externe și comunicarea acestora către angajați nu asigură conformitatea organizației. ”O soluție pentru o eficientă implementare și funcționare a Regulamentului este o mai buna informare, poate chiar organizarea unor workshopuri din partea Autorității, deoarece Regulamentul lasă multe locuri de interpretare”, a spus Sînziana Oghină.

Ciprian Timofte, Managing Associate, Țuca Zbârcea & Asociații a pus accentual pe necesitatea elaborării unor strategii la nivel de organizație, care să urmărească asimilarea regulilor și procedurilor la nivel intern. Din discuții a reieșit dificultatea acestui demers, oamenii fiind în general reticenți la schimbare. Constatare susținută cu exemple din situații reale și de ceilalți paneliști. O altă zonă de activitate importantă care a fost destul de puternic influențată de GDPR este marketingul. Noile condiții de obținere a consimțământului corelate cu obligativitatea respectării principiilor  promovate de GDPR determină departamentele și organizațiile de marketing să adopte o nouă disciplină, în care pe primul loc se găsește persoana vizată.

Bogdan Manolea – co-fondator Trusted.ro și Director Executiv al asociației pentru Tehnologie și Internet, a venit cu perspectiva provocărilor din zona de comerț electronic, unde există un cumul de norme, directive și regulamente ce guvernează funcționarea magazinelor online. Deși aici lucrurile par mai simple decât în alte zone de business, fiind vorba de Internet, totul ține de transparență, dar tocmai necesitatea respectării acestui principiu ridică o serie de mari probleme pentru cei care nu sunt pregătiți pentru asta, crezând că orice se poate posta pe Web. Marca de Încredere TRUSTED.ro este un program special de atestare dedicat magazinelor online și site-urilor profesionale. Cum  Internetul este un mediu transnaţional, iar reglementările legale pentru protecţia consumatorului nu pot fi singurul element care aduc dezvoltarea afacerilor online, sprin programele initiate și dezvoltate de Trust.ro se încearcă implicarea activă a mediului de afaceri în creşterea încrederii în domeniul în care activează. Chiar prin directiva privind comerţul electronic s-a încercat stipularea acestui lucru prin promovarea codurilor de conduită şi a metodelor extra-judiciare de rezolvare a disputelor ca opțiuni ce pot creşte comerţul electronic.

Daniel Suciu, Tudor Galos

Daniel Suciu – Consultant GDPR, DPO Extern are o bogată experiență în zona de protecție a datelor personale, atât la nivel de corporații, cât și pentru companii mici și mijlocii. Prin tot ceea ce face, Daniel încearcă să faciliteze accesul la informația generală, punând accentul pe aspectele practice din activitățile de zi cu zi, cu o grijă deosebită pentru detalii. Toate intervențiile susținute de Daniel au demonstrat o reală capacitate de transpunere în rolul clientului și de identificare cu cerințele acestuia. Una dintre temele de discuție de interes general a fost legată de provocările speciale cu care GDPR vine pentru companiile mici și mijlocii, care teoretic nu dispun de resursele necesare pentru investiții în tehnologie, fiind la fel de expuse la riscuri precum companiile mari. ”Soluții și abordări există pentru orice organizație implicată într-un proces de prelucrare a datelor personale. Diferența aici este că dacă sunt conștienți de amploarea acestor provocări pentru continuitatea în business, managerii unor companii mici sunt mult mai deschiși și mai dispuși să se implice direct în eforturile de asigurare a asigurare a conformității”, a spus Daniel Suciu..

Având rol de moderator, dar răspunzând aici și la câteva întrebări, Tudor Galoș a condus cu mult aplomb discuțiile, chiar dacă paneliștii aveau păreri total diferite. Tudor vine cu experiența unor mulți ani lucrați într-o mare corporație, dar și cu abilități acumulate în ultima perioadă, de când și-a deschis propriul cabinet de consultanță pentru business transformation și GDPR.

Catalin Gligan, Andreea Lisievici

Despre Etica Digitală din perspectiva unei noi generații de tehnologii de graniță

În premieră pentru evenimentele GDPR din România, cel de-al treilea panel a avut ca temă majoră modul în care transformările digitale respectă principiile GDPR și drepturile noastre fundamentale, adică articolele Art. 7 (Respectarea vieții private și de familie) și Art. 8 (Protecția datelor cu caracter personal) din Carta Drepturilor Fundamentale a UE. Revoluția digitală vine cu siguranță cu o grămadă de lucruri benefice, dar și cu foarte multe semne de întrebare legate de modul în care tehnologiile de graniță precum Cloud Computing, BigData, Analytics, IoT , Blockchain sau Inteligența Artificială pot garanta drepturile fundamentale ale utilizatorilor. În același timp, protecția datelor nu se face doar prin adoptarea de politici. Un rol de bază îl au și tehnologiile. Dar, e bineștiut: orice nouă tehnologie vine cu noi provocări, cu noi vulnerabilități de securitate care nu au apucat încă să fie studiate și evaluate. Cât este de importantă analiza de impact în adoptarea de noi soluții și ce se înțelege de fapt prin conceptele By Design si By Default?

În deschiderea discuțiilor legate de etica digitală, Cătălin Gligan – Marketing Coordonator la ESET Romania a prezentat un studiu de piață realizat de IDC pentru compania ESET. Au fost prezentate de asemenea și o serie de considerente care recomandă soluțiile ESET Data Loss Prevention pentru endpoint și pentru rețea ca alternative viabile pentru asigurarea prevederilor stipulate în Art.32 din GDPR, prin care operatorii și procesatorii de date sunt obligați să adopte și să implementeze măsuri tehnice şi organizatorice adecvate pentru garantarea securității datelor personale.

Ca invitați pentru acest panel i-am avut pe Andreea Lisievici, CIPP/E, partener PrivacyONE unul dintre cei mai activi specialiști GDPR în social media și pe Tudor Galoș, iar Cătălin Gligan a avut ocazia să răspundă unor întrebări din public legate de caracteristicile și funcționalitățile soluțiilor ESET. Discuțiile în cadrul panelului au pornit de la necesitatea ca orice nouă tehnologie revoluționară și disruptivă să servească în primul rând omului. Nu va exista niciodată un pericol real și critic de a fi înlocuiți în totalitate de roboți, drone și mașini care învață singure. Andreea a făcut o serie de comentarii extrem de pertinente legate de capcanele abordării greșite a unei politici de cookies și ce trebuie să conțină o informare corectă despre folosirea acestora, dar neuitând să facem același lucru pentru toate tehnicile de urmărire a unor parametrii ce reflectă locația sau preferințele noastre de consumatori. Un alt pericol sesizat de Andreea este cel al dispariției treptate a siteurilor care se bazează pe publicitate online, ca unică  sursă de finanțare. Alte teme discutate în care s-a implicat activ și Tudor se referă la așa zisa incompatibilitate între tehnlogia Blockchain și GDPR și la boomul pe care îl înregistrează tehnlogiile de Inteligență Artificială și refuzul de utilizare a tehnicilor de Recunoaștere Facială.

Conținutul prezentării ESET și rezultatele analizei de conformitate GDPR pentru politicele publicate pe website vor fi prezentate în alte articole dedicate.

Concluzionez acest articol cu un comentariu la întrebarea generală pusă tuturor participanților: Cum vedeți evoluția GDPR la noi în țară în anul care a trecut de la intrarea în vigoare? Cam toată lumea a fost de acord că scăderea bruscă de interes din ultimele 4-5 luni este un fenomen general. Cu toții am constatat că cei care au apucat să facă ceva pentru apropierea de un nivel ideal de conformitate s-au mulțumit cu ce au făcut, iar cei care nu au făcut mai nimic, își văd liniștiți de treabă văzând că nu pândește niciun pericol iminent. De altfel, în prezentarea Autorității s-a confirmat faptul că până acum nu au fost acordate amenzi, ci doar avertismente și măsuri corective.

Ce trebuie făcut ca să mai mișcăm lucrurile? Au fost păreri că apariția amenzilor ar redeștepta spiritele și ar pune lumea pe jar. Putem să ne mulțumim cu asta? Prea seamănă cu povestea cu drobul de sare…  

Photo Credit: Toate imaginile utilizate în acest articol aparțin Concord Communication

Advertisements

O ANALIZĂ GAP A CONFORMITĂȚII ÎN ROMÂNIA DUPĂ 1 AN DE GDPR

La un an de la  intrarea în vigoare a GDPR, agenția Concord Communication și GDPR Ready Initiative vă invită la un eveniment dezbatere ”GDPR Talks ce abordează o temă foarte fierbinte: Cât de pregătiți suntem la un an de la intrarea în vigoare a  noului regulament?”. Vă așteptăm pe 21 mai 2019 la hotelul Pullman să discutăm despre ce s-a făcut bine, ce s-a făcut rău, dar mai ales despre ce se mai poate face.

”Ce ați făcut în ultimul an?” Ar trebui să fie o întrebare obligatorie pentru toți cei implicați în activități legate de asigurarea conformității pentru protecția datelor personale. Dar pentru mulți decidenți, în special din zona organizațiilor publice, întrebarea ”cea grea” ar trebui să fie: ”Ce ați făcut în ultimii trei ani, stimabililor?” Mai trebuie să explic de ce…?

Panelurile de discuții pe care le-am gândit vor încerca să asigure climatul corespunzător pentru o analiză lucidă a realităților asociate cu nivelul de conformitate la care au ajuns operatorii de date personale. Au răspuns la invitația noastră de a participa ca speakeri un mare număr de specialiști, reprezentanți ai autorităților publice, asociațiilor profesionale, avocați, profesioniști, consultanți, specialiști în securitatea informației și furnizori de soluții cybersecurity. Din păcate, această perioadă fiind foarte încărcată cu evenimente, nu toți cei pe care i-am invitat au avut posibilitatea să participe la conferință. Unii dintre aceștia vor putea să-și aducă contribuția prin proiectele editoriale pe care vrem să le derulăm după evenimentul din 21 Mai.

Primul panel va avea ca tematică generală viziunea asupra GDPR din perspectivă publică. Reprezentanți ai autorității de supraveghere, organizații guvernamentale, asociații profesionale și case de avocatură vor avea greaua misiune de a crea o radiografie a modului în care principiile GDPR și drepturile persoanelor vizate sunt respectate în spațiul public. Grea misiune și pentru Moderator…

Al doilea panel, cum era și firesc, va oferi în contra-partidă o perspectivă asupra GDPR din unghiul de vedere al mediului privat. Aici am avut în vedere invitarea unor profesioniști, care indiferent de experiențele anterioare sunt acum capabili să răspundă unor întrebări pragmatice legate de strategiile de abordare a GDPR: greșeli și reușite în adopția GDPR, aspecte practice legate de proiectele de aliniere, recomandări oferite de oameni cu sute de ore de experiență în proiecte, aspecte legale și procedurale de care trebuie să țineți seama, recomandări de la specialiști care activează ca DPO sau erori frecvente legate de conformitatea GDPR a politicilor publice de pe paginile de Internet.

Până acum, se pare că vom acoperi cam tot. Ar mai fi nevoie de ceva? Păi, cam da… Dacă ne gândim care este unul dintre motive care a condus la actualizarea vechii directive europene din 1995 ar cam fi nevoie să facem legătura cu tehnologia. Dar nu oricum… E plină piața de oferte de soluții, care de care mai atotcuprinzătoare și rezolvatoare a tuturor problemelor pe care le ridică GDPR. Am simțit nevoia de ceva mai mult…

Și astfel, în premieră pentru evenimentele din România, cel de-al treilea panel va avea ca temă Etica Digitală, mai exact modul în care transformările digitale respectă principiile GDPR și drepturile noastre fundamentale. Revoluția digitală vine cu siguranță cu o grămadă de lucruri benefice, dar și cu multe semen de întrebare legate de modul în care tehnologiile de graniță precum Cloud Computing, BigData, Analytics, IoT , Blockchain sau Inteligența Artificială pot garanta drepturile fundamentale ale utilizatorilor. În același timp, protecția datelor nu se face doar prin adoptarea de politici. Un rol de bază îl au și tehnologiile. Dar, e bineștiut: orice nouă tehnologie vine cu noi provocări, cu noi vulnerabilități de securitate care nu au apucat încă să fie evaluate. Cât este de importantă analiza de impact în adoptarea de noi soluții și ce se înțelege de fapt prin By Design si By Default?

Aveți un interes special pentru GDPR?
Vreți să știți ce s-a făcut bine anul ăsta și ce nu?
Aveți întrebări la care nu a știut nimeni să vă răspundă?
Veniți la eveniment și veți putea discuta cu cei care știu…

Mai aveți încă dubii dacă trebuie să veniți? Nu uitați că evenimentul va fi exact peste O SĂPTĂMÂNĂ!  Hotelul Pullman. La Piața Presei, lângă World Trade Center.

AICI GĂSIȚI FORULARUL DE ÎNREGISTRARE

 

CE S-A FĂCUT BINE ȘI CE AR MAI FI DE FĂCUT DUPĂ UN AN DE GDPR

La 1 an de la  intrarea în vigoare a GDPR, agenția Concord Communication și GDPR Ready Initiative vă invită la un eveniment dezbatere ”GDPR Talks: Cât de pregătiți suntem la un an de la intrarea în vigoare a  noului regulament?”. Evenimentul va avea loc pe data de 21 mai 2019 la hotelul Pullman din București.

Ne apropiem vertiginos de aniversarea unui an de când discutăm despre GDPR ca despre o realitate concretă, pentru mulți un coșmar, pentru alții o oportunitate… Din câte am putut constata până acum, principalul obstacol în adoptarea proceselor GDPR nu se datorează lipsei tehnologiilor și abilităților oamenilor în domeniul securității informatice. Principalul factor de frânare este lipsa angajamentului managerial de a efectua schimbări. Atitudinea este dictată de rezistența conducerii față de schimbare. Și această atitudine nu este asociată doar cu „efectul tsunami” al GDPR. Este reacția de rezistență la orice tehnologie perturbatoare.

Mai 2018 a fost punctul de plecare pentru noile reguli care se aplica pentru protecția datelor personale. Toate organizațiile – companii, instituțiile de stat, asociații si fundații – care prelucrează date personale au adoptat noi proceduri, au investit in echipamente de securitate, in cursuri, au angajat DPO, toate pentru a fi conforme cu GDPR .

Ce am învățat din practică în această perioadă? Ce nu s-a făcut prea bine? Ce ar mai fi de făcut? Și în special, care sunt noile provocări cu care ne confruntăm? Cum se poate verifica conformitatea?  Sunt doar câteva dintre cele mai importante întrebări la care împreună cu invitații la eveniment vom încerca să găsim cele mai bune răspunsuri.

Panelurile de discuții pe care le-am gândit pentru acest eveniment vor avea ca invitați în calitate de speaker reprezentanți ai autorităților publice, asociațiilor patronale, avocați, consultanți, furnizori de soluții de securitate cibernetica sau alte servicii în domeniul tehnologiei digitale.

Împreună cu acești experții și cu participanții vor încerca să dezbatem problemele de care ne-am lovit în eforturile legate de adoptarea cerințelor de conformitate GDPR. Participanții la eveniment vor putea adresa întrebări pe tot parcursul conferinței, dar le pot transmite organizatorilor și în avans, în momentul înscrierii.

Înregistrați-vă la conferință și veți avea ocazia de a comunica direct si de a construi relații de afaceri cu oamenii care lucrează in acest domeniu. Veți putea discuta aspecte practice si mai ales, ce ar mai fi de făcut pentru conformitatea  cu legislația în domeniu, dar și cu cele mai bune practice de implementare. Veți putea aborda subiecte mai puțin discutate, pe care cursurile și alte conferințe poate nu le-au abordat.

Pe site-ul oficial al evenimentului de la adresa:  https://concordcom.ro/gdpr2019/ veți putea găsi o Agendă actualizată și deja vă puteți înregistra.

Aveți un interes special pentru GDPR? Vreți să știți ce s-a făcut bine anul ăsta și ce nu? Aveți întrebări la care nu a știut nimeni să vă răspundă? Veniți la eveniment și veți putea discuta cu cei care știu…

Nu uitați să vă marcați data în calendar și să vă înregistrați!

AICI GĂSIȚI FORULARUL DE ÎNREGISTRARE

Despre Concord Communication

Specializata in organizarea de evenimente B2B – o importanta componenta in cadrul relațiilor publice, Concord Communication a organizat pentru prima data in România evenimente private pe tema GDPR.  Pe parcursul anului 2017,  a organizat trei astfel de evenimente in cadrul cărora a dezbătut noile prevederi ale Regulamentului General de Protecție a Datelor Personale.

Gasiti in linkul de mai jos  fotografii si alte detalii despre evenimentele anterioare pe tema GDPR (derulati in jos pentru a vedea cele trei evenimente organizate de noi)

https://concordcom.ro/evenimente-trecute/protectia-datelor-personale/

Despre GDPR Ready

GDPR Ready!  este o platformă deschisă de know-how pentru toți cei preocupați de asigurarea conformității cu Regulamentul UE 679/ 2016. Pentru operatorii de date personale alinierea la cerințele GDPR presupune un proces complex, ce începe cu maparea datelor, înțelegerea fluxurilor de informații și scanarea proceselor de business. Prin GDPR Ready! aveți acces la resursele esențiale pentru înțelegerea implicațiilor noului Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică in cele mai bune condiții.

 

 

 

10 TITLES FOR YOUR GDPR BOOKS LIBRARY

 

Anyone interested to find available documentation about GDPR could read thousands of web resources including best practices, buyer’s guides, solution handbooks or implementation kits. All of these are very useful, but many time we need more advised recommendation related to the General Data Protection Regulation. And the best way to find a bit of professional advice is to read a book. Despite we are living now in a fully digital era, many of us still need the classical page-to-page reading books – even in print or online version.

In my documentation process for the specific content of GDPR, I had to review some interesting book. Although many of us are on vacation, I think that this year-end period in which GDPR was a hot topic for all, is the best time to stay quiet and browse an interesting book.

Is important to note this is not a “Top 10” classification. Is just a personal selection. A recommended list of books selected by GDPR Ready Initiative having various criteria like subject popularity, reviewing notes, relevance, and EU coverage. Images credit to various online bookshops.

EU GDPR, A Pocket Guide, Second Edition

Authors: Alan Calder
Publishers: IT Governance Publishing, 76 pages, October 2018
Language: English

Now in its second edition, this bestselling book provides a clear understanding of the EU GDPR (General Data Protection Regulation). It has been updated to include guidance on related laws, including the NIS Directive and the forthcoming ePrivacy Regulation.

This essential pocket guide explains:

  • The terms and definitions used within the GDPR in simple terms;
  • The key requirements; and
  • How to comply with the Regulation.

Alan Calder is an acknowledged authority on international cybersecurity and IT governance. He is the founder and executive chairman of IT Governance Ltd. Alan has published a wide range of books on IT governance and information security. These include the market-leading IT Governance: An International Guide to Data Security and ISO27001/ISO27002 (co-written with Steve Watkins), and bestselling guides to complying with regulations such as the GDPR and international standards such as ISO 27001. Alan has also developed training courses and consulted for clients in the UK and abroad. He regularly acts as a media commentator and speaker.

 

A Practical Guide to the General Data Protection Regulation (GDPR)

Authors: Keith Markham
Publishers: Law Brief Publishing, 168 pages, January 2018
Language: English

With everyone talking about the GDPR this book is intended to offer a guide through the maze of different requirements and also separate fact from myth. Beginning with a succinct summary of the key changes being introduced by the GDPR, emphasis then shifts to what needs to be done practically by way of response. Written in an accessible style and containing lots of useful resources, it is suitable for lawyers and non-lawyers alike who are seeking to better understand this topic and to comply with their obligations in common sense and risk-focused manner.

Keith Markham qualified as a Solicitor in 2001 and now works as a freelance training consultant. Drawing on his considerable experience Keith has designed and delivered a wide variety of training for BPP Professional Education and other providers as well as for his own clients in the commercial law field. In particular, he teaches topics relating to data protection and commercial contracts to lawyers and non-lawyers alike. He is also currently involved in a number of GDPR compliance projects.

GDPR: Guiding Your Business To Compliance: A practical guide to meeting GDPR regulations

Authors: Mark Foulsham, Brian Hitchen
Publishers: Independent published, 293 pages, second edition February 2018
Language: English

Many companies are will struggling to approach the requirements in a practical and timely way. Written by two industry experts, this book allows you to navigate the regulations from a real-world business perspective. Whether you are an Information Security expert or a business manager, this book outlines some of the most straightforward and common sense approaches from starting the project all the way through to the end.

The authors have over 100 years’ collective international experience in security, compliance and business disciplines and know what it takes to keep companies secure and in-line with regulators’ demands.

 

The Essential Business Guide to GDPR: A business owner’s perspective to understanding & implementing GDPR

Authors: Alistair J Dickinson
Publishers: Independent published, 372 pages, March 2018
Language: English

A business owner’s perspective to understanding the need for GDPR, with shared knowledge of what you will have to complete. After spending many months trying to define the GDPR project response for MyCRM, it became apparent that a single resource that could help our team plan and implement using a defined set of templates was somewhat lacking. This book is for all business owners and DPO’s and gives an overview of all the steps involved when implementing your response and journey to compliance with GDPR. This book also comes with a number of templates available from an online website dedicated to MyCRM publications and updates, papers and further general information will be provided as GDPR become law in May 2018.

GDPR – Fix it Fast: Apply GDPR to Your Company in 10 Simple Steps

Authors: Patrick O’Kane
Publishers: Brentham House Publishing Company Ltd, 136 pages, December 2017
Language: English

Have you been assigned responsibility for GDPR compliance but don’t know where to start?  Have you been reading articles and books that go into lengthy detail about legal issues but have no practical advice?  Do you want someone to explain exactly how your company should comply with GDPR so you can sleep at night?  If so, then this book is for you. Fix it Fast will help you to implement the key requirements of GDPR.  It contains templates, outlines, examples and plain-English explanations to help you to:

  • Complete your data inventory so you know where all your data is
  • Start and finish your data map
  • Draft and institute a Privacy Impact Assessment process
  • Plan how you’ll deal with a Data Breach
  • Implement Data Privacy Policies and Privacy Notifications
  • And much more

This book’s 10 Simple Steps will take you from beginning to end of your GDPR readiness and implementation project.  This isn’t a legal book – it’s a practical, no-nonsense guide to getting the job done fast.

 

Data Sovereignty and Enterprise Data Management: Extending Beyond the European Union General Data Protection Regulation

Authors: Sunil Soares, Mark Gallman, Pamela Basil
Publishers: Information Asset, 158 pages, April 2017
Language: English

As with all enacted regulations, compliance requires a sound data governance program with effective enterprise data management. Data governance is the formulation of policy to optimize, secure, and leverage information as an enterprise asset by aligning the objectives of multiple functions. Enterprise data management refers to an organization’s ability to precisely define, easily integrate, and effectively retrieve data for both internal applications and external communication. This book, geared toward business users, outlines 16 core steps to operationalize a data governance program geared to data sovereignty compliance. Successful data sovereignty requires collaboration across the organization, including among those responsible for legal, risk, compliance, information technology, and enterprise data management. The amalgamation of skills and technology within the organization will support the operationalization. As organizations extend the reach of their operations and customer base and look to leverage the cloud for computing, data distribution, and application hosting, they must understand the ramifications their business and IT decisions could have with respect to data sovereignty laws. With the concepts outlined in this book, organizations will be equipped to move forward to address the challenges of data sovereignty.

The Data Protection Officer: Profession, Rules, and Role

Authors: Paul Lambert
Publishers: Auerbach Publications, 367 pages, December 2016
Language: English

The EU’s General Data Protection Regulation created the position of corporate Data Protection Officer (DPO), who is empowered to ensure the organization is compliant with all aspects of the new data protection regime. Organizations must now appoint and designate a DPO. The specific definitions and building blocks of the data protection regime are enhanced by the new General Data Protection Regulation and therefore the DPO will be very active in passing the message and requirements of the new data protection regime throughout the organization. This book explains the roles and responsibilities of the DPO, as well as highlights the potential cost of getting data protection wrong.

Paul Lambert, PhD, lawyer, consultant, adjunct lecturer, is the author of various books on data protection, internet, social media and courtroom broadcasting including The Laws of the Internet (4th edition), International Handbook of Social Media Laws, A Users’s Guide to Data Protection and Television Courtroom Broadcasting Effects, and has published many articles in various professional, trade and academic journals including the European Intellectual Property Review. He speaks regularly at conferences and events across Europe and Asia on data protection, Internet, intellectual property, information technology, and courtroom broadcasting.

 

Le Délégué à la protection des données (DPO): Clé de voûte de la conformité (English: The Data Protection Officer, DPO: Keystone of Compliance)

Authors: Aline Alfer, Amandine Kashani-Poor, Garance Mathias
Publishers: Revue Banque, 120 pages, October 2017
Language: French

The objective of this book is to present and clarify in an operational way the positioning, the profile and the missions of the DPO on reading the GDPR, the recommendations of the National Commission for Informatics and Liberties (CNIL), the Group Article 29 (G29) and the expertise of the authors. Which responsibilities? Which means? What guarantees of independence? What ecosystem? This Essential offers practical recommendations allowing the interested parties to appropriate the role of the DPO, whatever the size of the company – from FinTech to the big banking group – and highlights the potential asset that the regulatory environment can represent. in the performance of the DPO’s missions. The authors propose, based on their own experiences in the implementation of compliance strategies, practical tools for the DPO in an Anglo-Saxon perspective of accountability. The book aims to accompany the new DPOs, the CILs in their necessary transition to a renewed function but also, more broadly, all the players involved in the ecosystem of personal data processing.

Mathias is Lawyer at the Paris Bar, Founder of Mathias Avocats and expert at the Council of Europe. Its activity is dedicated to business law and the legal issues raised by innovative technologies.
Kashani-Poor is an IT and Freedoms Correspondent of the French Development Agency. She has developed expertise in personal data protection law in the non-profit, retail and insurance sectors.
A. Alter is Attorney at the Paris Bar, Mathias Avocats. She intervenes both in consulting and litigation mainly in personal data protection law.

Guide Juridique du RGPD – La réglementation sur la protection des données personnelles (English: GDPR Legal Guide – The regulation on the protection of personal data)

Authors: Gérard HAAS
Publishers: Editions ENI, Collection Datapro, 204 pages, April 2018
Language: French

The purpose of this guide is to help companies to make the new law an opportunity and not a constraint for innovation, competitiveness and trust. After describing the context of the adoption of the new Data Protection Act and the GDPR and explained the concept of Accountability, the book focuses on the identification of the processing of personal data (Chapite1) then to determine how the controller should s ensure the legality of treatments (Chapter 2), what tools it has for its “compliance” (Chapter 3) and to secure treatments (Chapter 4). The chapters of the book: Foreword – Introduction – Identifying treatments – Ensuring the legality of treatments – The tools of Compliance – Securing treatments.

Founder of the Cabinet HAAS-Avocats, Gérard HAAS is a doctor of law, Lawyer at the Court of Appeal of Paris, a specialist in the law of intellectual property, communication and information and Expert INPI. Speaker, he speaks at ESCP-Europe, HEC Executive Education.

 

Datenschutz-Compliance nach der DS-GVO: Handlungshilfe für Verantwortliche inklusive Prüffragen für Aufsichtsbehörden (English: Data protection compliance according to the DS-GVO: Guidance for responsible persons including questions for supervisory authorities)

Authors: Thomas Kranig, Andreas Sachs, and Markus Gierschmann
Publishers: Bundesanzeiger, 230 pages, March 2017
Language: German

The book includes an introduction to the DS-GVO and explains the essential requirements for those responsible. Special attention is paid to the fulfilment of the accountability and its proof as well as the regular review of the effectiveness. It will answer general questions of data processing, ensuring data subject rights and the handling of data breaches, and will provide assistance for the recurring daily planning, operation, evaluation and improvement cycle. A comprehensive questionnaire catalogue provides clues as to how a supervisory authority checks compliance with the data protection compliance of those responsible and contract processors, and what expectations it has of the answers.

Thomas Kranig, lawyer, President of the Bavarian State Office for Data Protection Supervision (BayLDA),
Andreas Sachs, Dipl.-Informatiker, Head of the technical department at the Bavarian State Office for Data Protection Supervision (BayLDA) and
Markus Gierschmann, Dipl.-Wirtschaftsingenieur, Finance Economist (ebs), CIPP / E, CIPM, Data Protection Officer (udis, TÜV), Data Protection Auditor (TÜV), Management Consultant

 

Casă nouă pentru GDPR Ready!

Iată un proiect pe care trebuia să îl fac mai de mult, dar pentru care – evident că nu prea a fost timp. Acum, că lucrurile s-au mai liniștit, și toată lumea pare că a rezolvat deja problemele privitoare la datele personale, am găsit răgazul să fac un site dedicat pentru ceea ce mi-a ocupat ultimii doi ani: inițiativa și serviciile GDPR Ready.

Lansarea și evoluția inițiativei GDPR Ready

În mai 2017, la un an după aprobarea Regulamentului 679 de Parlamentul European, când toată lumea începuse să vorbească despre GDPR, dar foarte puțini știau ce ar trebui făcut pentru asigurarea conformității, am lansat o inițiativă privată denumită GDPR Ready! Menirea principală a acestei inițiative era să acopere un mare gol de informație de care toate organizațiile aveau nevoie și despre care existau foarte puține lucruri practice, concrete.

Ce am realizat într-un an și jumătate de inițiativă publică și benevolă ?

Articole GDPR Explicitat– o serie de 15 articole online ce explică principalele problematici GDPR pe înțelesul tuturor. Toate pot fi regăsite și pe nou site. Iată aici lista completă  a acestora cu linkurile originale:

Pagină dedicată GDPR Q&A  – ”Cele mai frecvente întrebări și răspunsuri despre GDPR”

Catalog GDPR Ready – primul catalog din România dedicat ofertelor de soluții și servicii pentru alinierea la GDPR, Editat in Octombrie 2017 în parteneriat cu trustul de presă Agora Media. Disponibil in format print si eBook.

Catalog GDPR Practic– o continuare firească a primului Catalog GDPR, dedicat aspectelor practice asociate cu proceduri, procese și soluții pentru protecția datelor personale. Publicat în martie 2018.

Catalog GDPR Provocări  – o abordare a cerințelor specifice GDPR pentru fiecare departament implicat în prelucrarea de date personale și principalele verticalele industriale. Publicat în iunie 2018.

Parteneriate, moderare și participare evenimente

Inițiator și moderator Grup de discuții GDPR Ready pe LinkedIn – Grup exclusiv pentru specialiștii români, deschis pentru toți cei interesați de conformitatea GDPR: întrebări, dezbateri, interpretări, recomandări, proceduri, standarde, soluții, evenimente, cercetări de piață, studii de caz, best practices. Până acum suntem peste 160 de membri.

Ce veți găsi pe noul site GDPR Ready

Urmând modelul de evoluție cloud☁mania, noul site își va păstra statutul de platformă de cunoaștere dedicată informațiilor din domeniul protecției datelor personale. Componenta publică benevolă a inițiativei GDPR Ready va continua să fie dezvoltată pe pagina ”GDPR 4 ALL”, atât  sub forma unei noi serii de articole reunite sub genericul Analiză GDPR, cât și prin contribuții ale unor invitați sau alte proiecte publice aflate în diferite stadii de evoluție.

Acumulările intense din ultima perioadă și experiența dobândită în proiectele din ultimul an se regăsesc în oferta de servicii GDPR de la pagina ”GDPR Services”, cu o abordare verticalizată pentru activitățile de analize de piață, business development, consiliere, consultanță și instruire.

Cunoașterea permanentă a nevoilor și cerințelor pieței este o constantă în Misiunea GDPR Ready. Plecând de la nevoia de informare și de consiliere a companiilor mici și mijlocii, am adaptat un pachet de activități și proceduri dedicate clasei de business IMM care conține Oferte de servicii și promoții sezoniere. Nu ratați ”Oferta specială a lunii Noiembrie” mapată pe cerința internă de permanentă instruire a angajaților dintr-o organizație.

Firește că site-ul se află încă într-o ”versiune Beta”, dar îmbunătățirile și modificările pot fi făcute și pe parcurs, ca exemplu de continuă transformare digitală. Important este că avem o nouă casă virtuală pentru GDPR Ready și xă ne așteaptă o serie de noi proiecte publice și private în pipeline.

Back to the Cloud…

Desigur că pentru încă o perioadă voi continua să public articole despre GDPR pe ambele site-uri, din rațiuni de continuitate și transfer de trafic. Dar a venit timpul ca portalul cloud☁mania să se întoarcă la subiectele care l-au consacrat: cloud computing și tehnologiile disruptive ale erei digitale: big data, IoT, Industry 4.0, fog computing, smart city, digital transformation, blockchain, inteligența artificială, realitatea augmentată și altele, despre care nici nu se vorbește încă…

Pentru cei care nu știau, cloud☁mania este inițiator și pionier în câteva proiecte editoriale, precum seria de Cataloage CloudComputing, realizată împreună cu prietenii de la Agora Media. Un pionierat care a deschis multe drumuri nebătătorite încă în România.

Început ca un hobby în februarie 2013 cloud☁mania a fost primul site independent dedicat 100% tehnologiilor de frontieră, devenind cu timpul o adevărată platformă tehnologică de cunoaștere implicată în dezvoltarea unei industrii și conglomerarea unei comunități de specialiști. Aici au fost publicate articole despre noutățile din domeniu cu mult înainte ca ele să se întâmple pe piața locală și regională, au fost făcute recenzii de soluții și platforme și s-au luat interviuri în exclusivitate cu personalități din domeniu.

Am publicat primul Catalog Cloud Compuing în ianuarie 2014, atunci când în România de-abia începuseră să se afirme primele platforme și aplicații bazate pe Cloud, deși multe erau încă doar la nivel declarativ, fără nici-o implementare în industrie. Răsfoiți prima ediție a Catalogului Cloud Computing și veți vedea care era starea Cloudului în acel moment și mai ales, câte s-au întâmplat de atunci.

În iunie 2014 a urmat ediția a doua a Catalogului Cloud Computing dedicată platformelor IaaS, deschisă cu un mesaj editorial în care spuneam: „Destul cu vorbele, cu teoria și cu tendințele. Haideți să mai și construim…“, deoarece… ”Cloudul s-a dovedit o realitate, nu mai e o utopie, o gaură neagră pentru date sau o marotă pentru sceptici. Cloudul este în viețile noastre, în casele noastre, pe birourile noastre, în mașinile noastre, în parcurile noastre și, mai ales, în buzunarele noastre…”

Lumea devenea tot mai mobilă și a fost firesc să facem o radiografie a influenței mobilității în Cloud, materializată prin cel de-al treilea Catalog Cloud Computing, publicat în martie 2015. Tema majoră de dezbatere era dualismul tehnologic Mobilitate – Cloud, ca motor al accesului ”3O” la date și aplicații (Oricând-Oriunde-Orice dispozitiv).

Când toată lumea a început să vorbească despre IoT a fost firesc să ne ocupăm și de această nouă tendință, Catalogul Cloud Computing ediția a 4-a, reprezentând primul proiect editorial dedicat tehnologiilor și aplicaților Internet of Things, publicat în decembrie 2015.

În august 2016 ne-am ocupat de digital industry, ca efect al uriașelor transformări înduse de cea de-a 4-a revoluție industrială. În ediția a 5-a a Catalogului Cloud Computing scriam despre Industry 4.0, despre 3rd Platform, despre proiectul unei Europe Digitale bazată pe accesul universal la informație, despre Internet IoT,  despre Industry Cloud și Cloud 2.0, despre dialogul dintre mașini, despre roboții industriali și automatizare, despre realitatea augmentată ca abecedar în deprinderea noilor aptitudini digitale și, în fine, despre pericolele care ne pândesc atunci când totul este conectat.

Primăvara anului 2017 marca începutul perioadei de maturizare a industriei de Cloud în România, o perioadă de adolescență tehnologică în care cuvântul de ordine era Hybryd Coud. Aceasta a și fost tema celei de-a șasea ediții a Catalogului Cloud Computing, editat în aprilie 2017, unde pentru prima oară erau abordate în mod sistematic modelele hibride, cu avantajele lor și provocările legate de implementare.

Edițiile 7-9 publicate în octombrie 2017,  martie 2018 și iunie 2018 s-au depărtat puțin de esența tehnologică a Catalogului Cloud Computing, fiind dedicate GDPR – temă deosebit de fierbinte pentru toată lumea, cu implicații majore pentru furnizorii de soluții de infrastructură și servicii Cloud. Aceasta a fost și rațiunea pentru care cele 3 Cataloage GDPR s-au suprapus cu formatul devenit extrem de popular al Catalogului Cloud.

În fine, revenind ”în contemporaneitate”, acum toată lumea vorbește despre Cloud, iar transformarea digitală a ajuns subiect de prelegeri în școli. Este timpul să ne întoarcem la proiectele noastre, iar cloudmania să își urmeze menirea de deschizător de drumuri și platformă de cunoaștere în tehnologie.

 

De ce GDPR Ready!

Inițiativa ”GDPR Ready!” a fost gândită pornind de la nevoia reală de informare. Volumul covârșitor de informații, arabescurile cadrului legal, lipsa unei culturi de project management, dar mai ales inexistența unei percepții clare asupra implicațiilor GDPR la nivel managerial, sunt tot atâtea frâne în elaborarea unor planuri concrete de acțiune.

Procesul de obținere a conformității GDPR nu este un simplu proiect de IT și nici o atribuție exclusiva a departamentului de legal. Acest proces necesită o acțiune concentrată și complexă din partea tuturor celor implicați în procesarea datelor personale dintr-o organizație.

Cam asta ne-am propus prin această inițiativă lansată în Iunie 2017. Spre bucuria noastră, un mare număr de specialiști și organizații s-au implicat în proiectele demarate în cadrul inițiativei ”GDPR Ready!”