DE-A HOȚII ȘI VARDIȘTII ÎN CYBERSPACE: o bătălie nedrept de inegală

În timp ce Intelgența Atificială (AI), 5G, Blockchain sau algoritmii biometrici sunt tehnologii care nu au depășit încă faza de tatonare, băieții din ”dark space” nu se sfiesc să le folosească în noi metode de a-și păcăli victimele.

Deși ne place să spunem că trăim într-o eră digitală, de cele mai multe ori suntem depășiți și copleșiți de viteza cu care vin peste noi așa zisele tehnologii de graniță, pe care ne place să le numim disruptive. Dar în majoritatea cazurilor nu tehnologiile sunt de vină, cu toată pleiada de necunoscute și noi pericole cu care vin, ci viteza noastră de reacție, predispoziția pentru schimbare și recunoașterea limitelor.

Aplicațiile și soluțiile bazate pe Inteligența Artificială (AI) sunt clar la început de drum, deși au început să fie adoptate cu timiditate, în aplicații de creștere a productivității, creștere a vânzărilor sau îmbunătățire a experienței de cunoaștere. Unul dintre domeniile cu un real potențial, dar și de un interes major, este utilizarea soluțiilor bazate pe inteligența artificială în lupta împotriva cybercriminalității.

De ce de interes major? Pentru că hackerii au început deja să folosească aceste tehnologii! La începutul acestui an, managerul executiv al unui mare jucător din industria energiei a dispus transferul urgent al sumei de 220000 de euro către un nou furnizor din Europa de Est, în urma unei discuții telefonice cu cineva care se presupune că era CEO al companiei centrale. Vocea era cea a acelui CEO, dar acesta nu se afla la telefon… În câteva ore banii erau livrați printr-un lanț de conturi într-o țară din America Latină. Iată un exemplu de adopție rapidă a noilor tehnologii, hackerii perfecționându-și tehnicile de inginerie socială prin tehnici de imitare vocală bazate pe inteligența artificială.  Întâmplarea a făcut multă vâlvă în presa vremii. Acest articol din The Wall Street Jurnal conține mai multe detalii.

Specialiștii spun că e perfect posibil ca hackerii să folosească mii de ore de înregistrări publice pentru a putea simula vocea sau imaginea video a unor celebrități sau a unor manageri importanți. Mai mult de atât, algoritmii AI sunt deja folosiți în trimiterea de ”spear phishing tweets”, adică scurte mesaje personalizate trimise către un grup țintă de utilizatori pentru a-i determina să partajeze informații senzitive. Folosind inteligența artificială, pot fi trimise de șase ori mai multe tweeturi și șanse duble de reușită…

Se estimează că pierderea economică globală produsă de criminalitatea informatică va depăși 3 trilioane de dolari până în 2020, iar 74% din marile companii se pot aștepta la atacuri în următorul an. Atacul ransomware WannaCry din 2017 a afectat 150 de țări și instituții, precum Serviciul Național de Sănătate din Regatul Unit, demonstrând atât marea creșterea razei de acțiune a atacatorilor, cât și consecințele devastatoare pentru victimele lor. Eforturile curente de a contraataca infracțiunile informatice sunt insuficiente, balanța înclinând în mod nedrept în favoarea atacatorilor.

Printre cele mai importante provocări în cybersecurity care vor fi analizate se numără creșterea gradului de sofisticare al atacatorilor, discrepanța între nevoia de prevenție în 100% din cazuri și succesul unei singure vulnerabilități detectate de atacatori, creșterea teritorială a ariilor de protejat – pe măsura adoptării de noi tehnologii în procesele de business, precum și nevoia de balansare a riscurilor în funcție de nevoile operaționale.

Pentru a încerca să echilibreze această balanță și a trasa câteva linii directoare pentru viitorul securității cibernetice, Forumul Economic Mondial a demarat în 2018 inițiativa Centre for Cybersecurity, susținută de o rețea globală de parteneri din industrie, organizații internaționale, mediul academic, agenții guvernamentale  și societatea civilă.

Printre inițiativele de Securitate cibernetică demarcate deja sub umbrela World Economic Forum se pot remarca:

  • Sprijinirea guvernanței globale – prin sprijinirea guvernanței la nivel de organizație, regional și internațional, inclusiv prin dezvoltarea unor practici eficiente de gestionare a riscurilor și a politicilor de securitate cibernetică
  • Stimularea eforturilor de reducere a criminalității informatice – detectarea infracțiunile informatice prin identificarea, adoptarea și punerea în aplicare a măsurilor care contracarează modelele criminale populare, incluziv cele bazate pe câștiguri mari prin riscuri minore.
  • Facilitarea gestionării globale a cybercrizei – creșterea pregătirii și rezistenței cibernetice organizaționale ca parte a eforturilor mai largi de a construi capacități globale în gestionarea și atenuarea criminalității informatice.
  • Anticiparea amenințărilor și riscurilor viitoare – prin proiectarea viitoarelor riscuri și colaborarea cu furnizorii de tehnologie dintr-o perspectivă globală, industrială și organizațională.
  • Dezvoltarea unei forțe de muncă globale – o rețea activă de parteneri pentru educarea capitalului uman, în scopul prevenirii vulnerabilităților de natură internă.

 

Advertisements

Cum puteți reduce vulnerabilitățile interne cu 40-50%?

Protectia datelor personale este un proces continuu. Pastrarea unui nivel optim de conformitate GDPR presupune  o instruire temeinica a tuturor oamenilor din organizatie care au de-a face cu prelucrarea de date personale.

Statisticile arata ca intre 40-50% dintre vulnerabilitatile sistemelor informatice au cauze interne. Asta inseamna ca cea mai mare parte dintre pericole pot fi reduse. Sta in puterea noastra. Singura conditie este ca oamenii sa fie instruiti, sa stie ce au voie si ce nu au voie sa faca. V-ati educat oamenii in spiritul GDPR?

Comandați o sesiune GDPR MASTERCLASS la sediul dvs și vă puteți pregăti oamenii chiar în timpul programului… Câți oameni doriți… prețul este per sesiune, nu pe numărul de participanti!

Conformitate GDPR de nivel enterprise: Veritas 360 Data Management

Obținerea conformității cu GDPR este o provocare a proceselor de afaceri iar tehnologia are un rol foarte important pentru a răspunde acestor provocări. Pornind de la aceste cerințe, Veritas a identificat zonele unde poate ajuta, iar apoi și-a mapat funcționalitățile soluțiilor din portofoliu la cerințele specifice ce decurg din GDPR.

În viziunea Veritas, aceste zone sunt împărțite în 5 categorii principale:

  • LOCALIZARE – vă ajută să descoperiți datele personale și să le faceți vizibile.
  • CĂUTARE – cum faceți ca datele personale să poată fi căutate și găsite.
  • MINIMIZARE – e important să păstrați doar informațiile de care aveți nevoie ca să asigurați mai bine controlul datelor personale.
  • PROTEJARE – cum să protejați datele personale împotriva pierderilor, atacurilor și breșelor de securitate.
  • MONITORIZARE – esențial este să puteți asigura respectarea continuă a standardelor GDPR.

LOCALIZARE – Descoperiți datele personale și faceți-le vizibile

Primul pas, considerat critic pentru o organizație, poate fi și cel mai important pentru conformitatea cu GDPR. Practic, acest proces constă în abilitatea de a obține o viziune holistică asupra locurilor în care se află diferitele categorii de date personale ale organizației și de a le putea identifica imediat.

Acest lucru se poate face printr-o cartografiere a datelor, prin care să înțelegem cât mai clar care este fluxul datelor personale în cadrul fiecărui proces de business, care sunt punctele de colectare, unde se face procesarea, cine are acces la date, cu cine sunt ele partajate, cât timp sunt păstrate sau ce spațiu ocupă pe diferite sisteme de stocare. Totodată e important de înțeles care este modalitatea în care datele sunt mutate, transferate sau copiate pe diferite platforme, cu scopul de a îmbunătăți managementul acestora. Această hartă fluxurilor de date este „cheia” pentru a înțelege modul în care organizația gestionează și procesează datele personale.

Toate aceste informații legate de localizare sunt oferite de Veritas cu ajutorul soluțiilor Veritas Data Insight și Veritas Information Map care asigură o abordare unică prin:

  1. Identificarea în 24 ore a tipului de fișiere, proprietarului, locației și vechimii acestora.
  2. Obținerea în timp real a unei imagini unitare asupra mediului companiei și monitorizarea continuă.
  3. Inițierea de remedieri asupra datelor printr-un cadru integrat de acțiuni.

CĂUTARE – Căutarea datelor

Orice rezident UE poate afla detalii despre datele sale personale deținute de un operator de date prin trimiterea unei solicitări de acces (Subject Access Request – SAR). De asemenea, poate solicita corectarea datelor (dacă e cazul), portarea lor (transmiterea către un alt operator folosind un format de export adecvat) sau ștergerea acestora. Respectarea drepturilor persoanei vizate prin soluționarea acestor solicitări într-o manieră efectivă și în timp util este esențială pentru evitarea sancțiunilor GDPR în baza articolelor 15,16,17,18 și 20.

Soluția Veritas eDiscovery Platform poate răspunde oricăror probleme legate de soluționarea acestor solicitări. Soluția dispune de un motor puternic de căutare și indexare ce permite descoperirea atributelor și proprietăților datelor personale și pune la dispoziție un mecanism inteligent de învățare, cu scopul de a identifica automat articolele relevante și elementele similare pentru o examinare detaliată ulterioară.

De asemenea, soluția oferă și un flux de lucru integrat pentru procese de analiză și verificare, fără a mai fi nevoie de operațiuni suplimentare de import sau export a datelor.

MINIMIZARE – Păstrarea informațiilor de care avem nevoie şi asigurarea controlului datelor personale

Reducerea volumului de date stocat de către companii și a perioadei de retenție, fac parte dintre principiile de bază ale GDPR, având ca scop reducerea volumului de date cu caracter personal stocate pe diferite tipuri de echipamente. Perioada optima de retenție vizează păstrarea datelor cu caracter personal pentru o perioadă de timp, direct legată de scopul propus pentru prelucrarea acestora. Implementarea și aplicarea politicilor de retenție, care reglează automat perioada și forma de păstrare a datelor, reprezintă piatra de temelie a strategiei GDPR.

Prin soluțiile Enterprise Vault şi Enterprise Vault.Cloud, Veritas oferă inclusiv posibilitatea de clasificare completă în funcție de conținut şi context, putând să eticheteze automat fișierele şi mesajele de email care conțin date personale și să controleze astfel procesul de retenție până la nivel de element. Odată făcută etichetarea, va fi ușor să găsiți date cu caracter personal utilizând instrumentele puse la dispoziție de Veritas.

PROTEJARE – Protejați datele personale împotriva pierderilor, atacurilor și breșelor de securitate

Organizațiile au obligația generală de a pune în aplicare o serie de măsuri tehnice și organizatorice pentru a arăta că au luat în considerare protecția datelor în toate activitățile de colectare și prelucrare a datelor personale.

Indiferent dacă se desfășoară activități de formare a personalului, se efectuează audituri interne ale activităților de prelucrare sau catalogarea documentației relevante privind activitățile de prelucrare, organizațiile trebuie să fie pe deplin pregătite să demonstreze transparența în ceea ce privește validarea conformității cu GDPR. Aceasta înseamnă că este mai important decât oricând să revizuim procesele de protecție și de securitate a datelor și să ne asigurăm că îndeplinim aceste cerințe stricte de recuperare, disponibilitate și prevenire (și notificare).

Veritas oferă o serie de soluții cum ar fi NetBackup, Data Insight, InfoScale, Resiliency Platform sau Access, prin intermediul cărora se asigură protecția datelor și aplicațiilor în mediile enterprise și nu numai, pe platforme independente de sisteme de operare (Windows, Linux, Unix), folosind inclusiv facilități de integrare cu o gamă extinsă de furnizori de servicii Cloud.

MONITORIZARE – Asigurați respectarea continuă a standardelor GDPR

Regulamentul GDPR obligă toate organizațiile să raporteze cele mai grave încălcări ale securității datelor către Autoritatea Națională de Supraveghere și, în anumite cazuri, să trimită informații despre aceste vulnerabilități persoanelor ale căror date au fost afectate. Ca urmare a acestei obligații, companiile trebuie să își evalueze capacitatea de monitorizare a incidentelor de Securitate și să declanșeze imediat procedurile pentru aplanarea efectelor acestora pentru menținerea conformității cu GDPR.

Veritas pune la dispoziție soluții consacrate cum ar fi Data Insight și Enterprise Vault care oferă posibilitatea de a căuta foarte rapid în datele personale (date nestructurate, email, servere de fișiere, SharePoint, etc.) cu scopul de a permite investigatorilor să analizeze și să identifice fișierele ce prezintă riscuri sau anumite comportamente anormale ale utilizatorilor și apoi, să remedieze aceste probleme printr-un singur click. Pentru o analiză și mai amănunțită, imediat după declanșarea riscului, se pot activa politici de retenție la nivelul acestor fișiere.

Totodată, platforma pentru experți Veritas Advisory Services asigură contacte strânse cu fiecare client, pentru a realiza o evaluare cuprinzătoare a mediului existent, cu scopul de a ajuta companiile să înțeleagă mai bine gradul de maturitate al conformității GDPR. Toate acestea se realizează printr-o gamă integrată de servicii care includ GDPR Workshop, GDPR Readiness Assessment, GDPR Classification Service și GDPR Solution Deployment

Alinierea la GDPR ca un prim pas către TRANSFORMAREA DIIGITALĂ

Datele sunt în centrul transformării digitale. Organizațiile care au depus eforturi pentru adoptarea de procese, politici și proceduri menite sa le asigure un nivel optim de conformitate GDPR au dovedit că sunt capabile să folosească controale adecvate pentru a asigura integritatea tuturor tipurilor de date, nu numai a celor personale, ceea ce le poate accelera procesul de transformarea digitală. La polul opus, organizațiile care tratează superficial aceste probleme se expun la riscuri inutile și, mai mult ca probabil, pot suferi consecințele unei crize informaționale.

Scopul GDPR este de a ajuta organizațiile să ia în serios protecția datelor. Veritas 360 Data Management pentru GDPR reprezintă o soluție de conformitate de nivel enterprise, asigurând mijloacele pentru respectarea celor mai stricte reguli și oferind clienților o abordare sigură și eficientă a proceselor de guvernare a datelor personale.

Pachetul de soluții Veritas oferă instrumentele și serviciile adaptate pentru fiecare etapă a pregătirii pentru GDPR, iar echipa de consultanță vă asigură că investițiile organizației în GDPR sunt orientate către cerințele de conformitate cu cel mai bun impact.

Image Source: VERITAS

BACK TO SCHOOL TRAINING: ROLUL DPO ÎN CULTURA OPERAȚIONALĂ A UNEI ORGANIZAȚII

A trecut vara și ne-am întors la treabă cu forțe proaspete. E timpul să continuăm procesele de implementare GDPR, iar dacă nu le-am început încă, e vremea să facem un plan serios de acțiune.

Din experiențele acumulate până acum reiese că este un proces nu tocmai ușor. Primele penalități anunțate de Autoritatea de Supraveghere din România au demonstrate că, indiferent de mărimea organizației și de gradul de conformitate la care s-a ajuns teoretic, modul de punere în practică și de demonstrare a aplicării celor mai adecvate metode tehnice și operaționale este încă deficitar. Asta poate fi o sursă clară de vulnerabilități de natură internă și, implicit, de potențialul pericol al unor sancțiuni.

Puteau fi penalitățile evitate? Cu siguranță, dacă pe lângă aspectele legale și cele de IT erau tratate cu maximă seriozitate și cele operaționale. Dacă pentru cadrul legal și backgroundul IT avem la dispoziție specialiști cu super-pregătire, de partea operațională trebuie să ne ocupăm singuri, cu resursele pe care le avem la dispoziție.

Exact acesta este obiectivul principal al Workshopului de formare DPO oferit de RINA SIMTEX: transferul de cunoaștere și suportul pentru rezolvarea cât mai eficientă și pe termen lung a problemelor legate de asimilarea condițiilor de conformitate impuse de GDPR.

În perioada 02-04 OCTOMBRIE 2019, RINA SIMTEX  în parteneriat cu GDPR Ready Services organizează o nouă serie a cursului de formare DATA PROTECTION OFFICER (DPO), care își propune ca pe durata celor 3 zile să familiarizeze participanții cu Rolul DPO în cultura operațională a unei organizații.

  • Durata cursului: 3 zile
  • Perioada: 02-04 Octombrie
  • Locație: Sediul RINA SIMTEX, Splaiul Independentei Nr.179, București
  • La cerere: cursul poate fi organizat în oricare dintre sediile RINA SIMTEX din țară.
  • Instructor: Certificat ca Formator de ANC

DE CE AVEM NEVOIE DE PREGĂTIRE PRACTICĂ DE DPO?

Una dintre cel mai importante noutăți ale Regulamentului UE 679/ 2016 este obligativitatea numirii unui ofițer responsabil cu protecția datelor (DPO – Data Protection Officer) al cărui rol principal este de coordonare și supraveghere a implementării condițiilor de conformitate GDPR, precum și de persoană de legătură între organizație și autoritatea de supraveghere.

În plus, Articolul 4 din Legea 190/ 2018 stipulează ca orice Operator sau Procesator de date personale care prelucrează date cu caracter special precum numerele de identificare națională (serie Card Identitate, CNP, serie Pașaport, serie Permis Conducere, serie Card Sănătate) și are ca temei legal Legitimul interes, e obligat să numească un DPO, pe lângă alte condiții speciale.

Mai mult de atât, chiar și organizațiilor care nu sunt obligate să numească un DPO, prin natura activității și volumul de date personale prelucrate li se recomandă numirea unui responsabil cu asigurarea condițiilor de conformitate. Indiferent de funcția și experiența acestui responsabil, este recomandat ca acesta să cunoască tot ceea ce trebuie să știe un DPO.

Cursul de formare oferit de RINA SIMTEX pregătește DPO pentru cele mai importante atribuții, oferind o însușire temeinică a legislației în vigoare, cunoașterea obligațiilor operatorilor și procesatorilor (împuterniciților), precum și instrumente și proceduri specifice managementului de proiect. În plus, participanții la curs vor beneficia de o bogată expertiză operațională acumulată în proiecte interne și internaționale de implementare GDPR și modalități eficiente de rezolvare a celor mai dificile provocări, pe baza unor situații reale.

CUI NE ADRESĂM?

  • Știți foarte puține despre GDPR? Cursul nostru este cea mai bună ocazie să descifrați elementele de bază și să vă construiți în cel mai scurt timp propria strategie GDPR
  • Ați fost la un curs dar ați ascultat numai legislație și teorie? Cursul RINA vă oferă cel mai bun cadru să treceți de la teorie la practică
  • Șeful v-a pasat responsabilitatea de DPO și nu știți de unde și cu ce să începeți? Veniți la Curs și vom lucra împreună la demararea propriului proiect GDPR
  • Ați fost numit DPO, ați făcut un curs costisitor dar nu aveți o experiență practică adecvată? Veți avea cea mai bună ocazie să lucrați împreună cu un Formator de DPO, care vă va arata prin exemple de bună practică care sunt secretele rezolvării celor mai complicate probleme
  • Indiferent de cunoștințele și pregătirea anterioară, participați la Curs și veți deveni GDPR READY!

CARE SUNT CELE MAI IMPORTANTE BENEFICII ALE PARTICIPANȚILOR

  • Suport de curs atestat internațional
  • Instructor cu experiență în proiecte locale și internaționale, discutare studii de caz bazate pe situații reale
  • Oportunități unice de angajare ca DPO în orice țară din Uniunea Europeană
  • Diplomă participare atestată internațional
  • Kit substanțial de resurse pentru suportul de curs.

RINA SIMTEX oferă servicii de certificare pentru sisteme de management (ISO 9001, ISO 14001, OHSAS, ISO 22000, ISO 27001, ISO 20000 etc), servicii de certificare produse în domeniul construcțiilor și instruire pentru formare auditori, servicii de clasificare, inspecție si testare.

PARTICIPAȚI LA CURSUL DE INSTRUIRE DPO ORGANIZAT DE RINA SIMTEX ȘI VEȚI FI PREGĂTIȚI PENTRU CELE MAI IMPORTANTE PROVOCĂRI ALE ALINIERII LA GDPR!

SOLICITARE OFERTĂ  CURS FORMARE DPO

Pentru detalii și înscrieri sunteți rugați să completați Formularul de mai jos.

Nota Confidentialitate: Completand acest formular va dati acordul pentru a fi contactati in scopul discutarii ofertei RINA SIMTEX de formare DPO. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar in scopul pentru care au fost solicitate. Cititi Politica de Confidentialitate.

 

MOST FREQUENT MISTAKES IN GDPR ADOPTION PROJECTS

Here is a summary of the most common mistakes that arise in adopting the sets of measures designed to ensure GDPR compliance. We need to learn from these mistakes and become proactive. Only in this way we can demonstrate our accountability, the seventh GDPR principle (as some consider) and become responsible for our responsibility.

Lack of a project plan – the decision to “do something for the GDPR” was most often made under pressure, passing the responsibility of someone from IT or from the Legal, who started why they thought it was more urgent. Of course, anyone can lead an action team, but without a step-by-step implementation project, it is difficult to see the end of the road and to make the alignment efforts more efficient.

Nothing was done until the appointment of a DPO – this delayed things quite often, wasting precious time to initiate organizational measures, which could also be taken in the absence of a DPO, where the appointment is mandatory.

Incorrect understanding of the notion of ”Personal Data” – the definitions in Art.4, the preambles and WP29 guides did not solve the problem of correctly identifying personal data. There are many websites that at the Cookies Policy declare that they do not use personal data. Certainly their administrators did not find out that IP is considered as personal data, they simply did not bother to update their policies…

The difficulty in establishing the role of Controller or Processor – the mere analysis of the fact that an organization determines the purpose and the means is not sufficient to assume the Controller role. There is still a lot of confusion between the position of Processor and that of Joint Controller or Independent Controller (B2B). The most omitted idea is the same organization may play different roles in the processing of personal data, depending on the business process being analysed.

Excess of Consent – too much emphasis is placed on obtaining the agreement, to the detriment of the other 5 legal grounds that can justify the processing of personal data. You can avoid the need to obtain consent by introducing an additional provision in a contract. Moreover, it does not take into account the requirement that a consent can always be proven, in the idea that it can be withdrawn with the same ease with which it was obtained.

Lack of online transparency – Many organizations that have a website do not show transparency by not publishing a Privacy Policy or Notifications for processing personal data. The presence of a page with the privacy policy of the organization is a public declaration of conformity and a label is trusted for the way the personal data is processed.

Non-updating of content – There are concerns that many of the sites that publish a Privacy Policy have not updated their content, referring to Law associated with EU Directive from 1995 or continuing to display the Registration Number as National Operator of Personal Data. This may be a reflection of the fact that the organization to which the site belongs has not made enough efforts to ensure the alignment, failing to update the only visible content, meant to publicly confirm compliance and take responsibility for the personal data processed.

Deficiencies of Internet pages – a lot of public sites do not have a Terms and Conditions page, which establishes rules for accessing and browsing online, although this is not a GDPR requirement, but a rule of conduct for all organizations present. Internet.

 Lack of cookies bar – There are many sites that, although they have a page dedicated to the cookie policy, do not have a cookie bar that requires them to accept their use before starting browsing the site.

Unnecessary Acceptance of Privacy Policy – There are many websites that use online forms for collecting personal data (newsletter sign-ups, contact page, document downloads, etc.) and make it necessary to send this data by checking a box to accept the Privacy Policy. Why do we ask for this approval? It is my Policy as a Data Controller and it is public. At most I can make a reference informing that the personal data collected through the form are processed only for the purpose for which they were collected, according to the Privacy Policy.

Lack of granularity in requesting the agreement – there is excessive use of the Legitimate Interest, as a legal basis for marketing processes, which also involves third parties, without a granular approach to the types of activities that fall into this category of processing activities.

Granularity Abuse – granular pop-up pages are displayed, with the possibility of setting options, but which appear with pre-ticked acceptance boxes – a serious contradiction of the rules for requesting/obtaining consent in the spirit of GDPR.

Conditional consent without the possibility of opt-out – the vast majority of cookie bars offer only the option of OK, with the condition of continuing browsing by choosing this option. As I pointed out in a previous analysis, not everything the old ePrivacy law allows is GDPR acceptable, where consent to the use of cookies does not have to be conditional on access to the content of the page. Of course, the user must know the consequences of not accepting cookies, but this must be his freely agreed option. Moreover, the GDPR teaches us that a consent obtained through a certain process must be as simple as possible. That is, if I put a box of Accept on the cookie bar, it is absolutely advisable to offer the possibility of opt-out, by displaying a box of Reject.

Protection vs. Security – there is a high degree of confusion between data security and personal data protection. Data protection involves all the measures that can be taken to restore them in case of loss or corruption. While data security refers to the mechanism for keeping data safe, from unauthorized access and distribution. Data security protects data from unauthorized access that could lead to data corruption or deletion, if data security strategy fails, data protection facilitates the recovery of clean data copies.

Incident vs. Security breaches – At the same time, there is confusion between Security incidents and Data breaches. An incident can be any event that violates the security or confidentiality policies of an organization and can be anything from a malfunction of a memory unit, to the loss of a laptop containing personal data. A data breach, on the other hand, is an event that led to a loss or theft of data, the severity of the loss being quantified by the volume and importance of the data affected. By Art.33 the GDPR obliges the organizations to report a data breach within a maximum 72 hours from the awareness of the breach, recommending a breach plan and organizing a response team to the data breach. One of the duties of this team is to keep a strict record of the Security incidents, in the idea of ​​being able to later associate the emergence of a breach of the vulnerability of the system that led to its occurrence.

Can all these problems be solved? Surely, yes, as long as everyone involved understands and takes responsibility. The success of a long-term GDPR project is based on creating an organization-wide culture, in which people primarily think about how they would like their personal information to be processed. Companies must adopt this attitude when handling personal data of customers, employees and other subjects. It’s not just about threatening financial sanctions. It’s about business continuity and building a trustworthy attitude.

27% DINTRE COMPANIILE IT NU DAU PREA MULTĂ IMPORTANȚĂ POLITICILOR GDPR DE PE WEBSITE

Prin publicarea politicilor publice pe un Website, o companie trebuie să facă dovada clară a transparenței în prelucrarea datelor personale, asumându-și și dovedindu-și responsabilitatea. Asta poate asigura o etichetă de încredere pentru tot ecosistemul de business de care aparține.

În ”STUDIU CONFORMITATE GDPR POLITICI WEBSITE COMPANII IT” realizat de  GDPR READY, se face o analiză asupra existenței, dar și a conținutului politicilor publice de pe site-urile a 150 de companii de IT din România, ceea ce reprezintă o radiografie obiectivă a gradului de conformitate GDPR  pentru cei mai importanți jucători din industrie.

METODOLOGIE

Studiul de conformitate s-a bazat pe o analiză generală preponderent calitativă pe un număr de 150 de site-uri, ale unor companii din zona IT selectate pe baza rezultatelor de profit publicate de Registrul Comerțului. Scopul Analizei GDPR Ready este acela de a vedea în ce măsură companiile de IT din România au găsit resursele necesare pentru asigurarea alinierii la noul Regulament UE 679/ 2016. Paginile de Web care  conțin politicile publice ale organizației reprezintă cea mai elocventă carte de vizită pentru stadiul de conformitate în care se găsește o companie de top.

Companiile IT analizate sunt producători de echipamente hardware, producători software, integratori de sistem, furnizori de servicii Cloud și infrastructură, distribuitori, reselleri și magazine online.

Analiza a urmărit cu precădere modul în care pe site-urile din eșantionul de cercetare se regăsesc politicile publice ale organizației:

  • Politica de confidențialitate (sau Politica de prelucrare a datelor personale),
  • Pagina de Termeni și Condiții actualizată conform GDPR
  • Pagina dedicată Politicii de Cookies, actualizată din perspectiva regulilor GDPR de obținere a consimțământului
  • Prezența notificărilor de confidențialitate asociate oricărei formă de colectare a datelor personale ale vizitatorului unei pagini Web,
  • Prezența formularelor de adresare a solicitărilor de acces la datele personale,
  • Prezența informațiilor de contact ale DPO/ responsabilului cu protecția datelor personale.

Analiza s-a bazat pe evaluarea conținutului publicat pe site-urile din eșantionul studiat, pe baza unor criterii de analiză, cărora li s-a atribuit ponderi diferite, în funcție de importanța aspectului urmărit.

Forma de prezentare a conținutului

  • Poziționare pe site
  • Ușurința accesului la informație
  • Vizibilitate
  • Acuitatea informațiilor prezentate
  • Structurarea conținutului la cerințele Art. 13 și 14 din GDPR

Prezența unor informații esențiale :

  • Datele de contact pentru probleme de GDPR
  • Adresa de contact DPO
  • Drepturile persoanelor vizate – pondere specială
  • Afișarea versiunii și a datei publicării pe site
  • Drepturi de proprietate intelectuală
  • Disclaimer site parteneri
  • Date de contact
  • Versiune
  • Ce tipuri de Cookies se folosesc
  • Perioada de activitate a acestora
  • Cum se poate renunța la Cookies

Forme de publicare a barei de Cookies:

  • Bară pop-up statică sau mobilă cu opțiune unică de acceptare a Politicii pentru continuarea navigării – pondere specială
  • Bară cu notă de informare și link către Politica de Confidențialitate/ Detalii despre Cookies
  • Bară cu posibilitate granulară de acord pentru fiecare categorie de Cookies – pondere specială
  • Buton de Opt-Out (Renunțare) – pondere specială

Puteți găsi o descriere mai amplă a premiselor și metodologiei utilizate în articolul: ”ANALIZA GDPR READY: POLITICILE DE PE WEBSITE CA IMAGINE PUBLICĂ A CONFORMITĂȚII”, publicat în 29 mai 2019.

REZULTATE

Unul dintre obiectivele vizate de această analiză, care a studiat 150 de site-uri ale unor companii IT, a fost evaluarea generală a prezenței politicilor publice pe Website. Cele șase tipuri de politici studiate au fost analizate din perspectiva prezenței pe site-urile Web, criteriile de apreciere fiind prezența pe site, absența paginii respective sau prezența parțială (incompletă) – de exemplu, notificările specifice unei politici sunt descrise în alte pagini decât cele dedicate.

Care sunt principalele rezultate relevate de acest studiu?

Pentru o clasificare generală a fost analizată distribuția procentuală a indicelui de conformitate GDPR rezultat în urma criteriilor de analiză aplicate:

  • 16% dintre companiile IT studiate nu au nicio formă de referire la politicile GDPR
  • 11% dintre paginile studiate au un indice redus de conformitate (1%-25%)
  • 47% dintre companiile de IT studiate au un nivel mediu-redus de conformitate (26%-50%)
  • 25% dintre paginile Web studiate au un indice peste mediu de conformitate (51%-75%)
  • Doar 1% – o companie de IT a îndeplinit criteriile asociate unui indice bun de conformitate (peste 75%)

Din analiza Politicilor de conformitate reiese că: Doar 63% dintre site-urile companiilor de IT au o Politică de Confidențialitate, 29% nu au o astfel de politică, deci nu se aliniază principiului de transparență privitor la protecția datelor personale. Restul de 8% au  politică incompletă: Fie nu au actualizat conținutul de pe site, fie conținutul publicat nu atinge toate elementele esențiale care trebuie să existe într-o astfel de politică.

Din perspectiva analizei paginilor de Termeni și Condiții: Doar 41% dintre siteuri au o pagină de Termeni & Condiții, în timp ce 49% nu au o astfel de pagină, deși aceasta ar trebui să se regăsească pe orice site public.

La analiza prezenței și conținutului paginilor de Cookies se relevă că: Doar 42% dintre companiile IT folosesc Cookies și au o pagină dedicată Politicii de Cookies, 40% dintre paginile studiate nu au o astfel de politică, iar 18% dintre Politicile afișate sunt incomplete, neoferind toate elementele de cunoaștere esențiale sau sunt neactualizate.

În fine, cele 91 de  site-uri care afișează o bară de Cookies au fost analizate din perspectiva conformității cu regulile GDPR de obținere a consimțământului, modul de afișare și conținutul barelor de Cookies, prezența sau nu a unor casete de acceptare predefinite, precum și prezența unei casete de REJECT alături de cea de ACCEPT. Rezultatele indică faptul că:

  • 81% Dintre siteurile firmelor IT studiate nu sunt conforme cu criteriile GDPR de obținere a consimțământului afișând pe bara de Cookies mesaje din care reiese că navigarea pe pagina respectivă este condiționată de acceptarea de Cookies, singura opțiune a vizitatorilor fiind apăsarea butonului de OK sau acceptarea de Cookies. În această categorie intră și site-urile care oferă explicații legate de posibilitatea de dezactivare pentru Cookies opționale, dar accesul la aceste setări este condiționat de acceptarea generală. Cu alte cuvinte ești obligat să accepți, pentru a dezactiva Cookies-urile nedorite după aceea, ceea ce este în totală contradicție cu modul de obținere necondiționată și neimpusă a consimțământului.
  • 16% din siturile studiate oferă navigatorilor prin intermediul unei bare de opțiuni granulare, posibilitate setării categoriilor de Cookies acceptate. Problema este că la jumătate dintre aceste site-uri (8%), casetele de bifare vin cu opțiunea de acceptare predefinită, ceea ce este o altă încălcare a regulilor de obținere a unui consimțământ. Deci un utilizator care nu dorește Cookies de marketing sau pentru terți trebuie se dezactiveze casetele respective, în cazul în care observă acest lucru. Marea majoritate nu sunt atenți la aceste detalii.
  • Doar 9% dintre siteurile studiate afișează pe bara de Cookies opțiunea de RENUNȚARE la Cookies (butonul de opt-aut). GDPR spune clar că un consimțământ ar trebui să fie retras la fel de ușor cum a fost acordat și că orice buton de ACCEPT de pe o bară de Cookies trebuie să fie însoțit de un buton similar de REFUZ, care trebuie să asigure utilizatorul că încă de la deschiderea paginii dorite, nu rămân setate decât cookie-urile funcționale, care nu au nicio relevanță din perspectiva prelucrării datelor personale.

Din dorința de a vedea care dintre companiile IT din România  sunt mai bine pregătite pentru GDPR, am făcut o analiză a indicilor de conformitate pentru principalele categorii de companii IT cercetate: producători de echipamente hardware, producători software, integratori de sistem, furnizori de servicii Cloud și infrastructură, distribuitori, reselleri și magazine online.

Iată câteva considerații sugerate de rezultatele acestei analize:

  • Cele mai ridicate nivele de conformitate pentru politicile publice de pe Website le au furnizorii de echipamente hardware (sisteme de calcul, rețele și comunicații (medie de 53%), integratorii de sistem (medie 46%) și magazinele online (medie 43%).
  • La polul opus se găsesc companiile IT din categoriile reselleri (medie index conformitate 28%) și distribuitorii de echipamente și soluții software (medie 33%)
  • Medie de conformitate destul de mică (39%) a reieșit pentru furnizorii de soluții și aplicații software, care prin natura activității acționează de multe ori ca operatori de date asociați pentru datele personale ale clienților lor, cărora le asigură servicii de mentenanță și suport. Aceeași constatare care naște multe semne de întrebare pentru furnizorii de servicii de infrastructură și Cloud care prin media scăzută de doar 40% arată că nu sunt suficient de pregătiți pentru demonstrarea conformității prin politicile publicate pe site.

La o analiză generală de poziționare a companiilor de IT față de nivelul de conformitate evaluat pentru alte verticale industriale (vezi rezultatele ”ANALIZA GDPR READY: POLITICILE DE PE WEBSITE CA IMAGINE PUBLICĂ A CONFORMITĂȚII”, publicată în 29 mai 2019, reiese că media de 37% a companiilor de IT este mult mai mică decât a companiilor din retail, utilități, automotive și telecom, care par mult mai preocupate de imaginea publică a conformității GDPR (medie 57-58%).

GREȘELI FRECVENTE

Printre cele mai frecvente greșeli întâlnite la companiile de IT se numără:

  • Omiterea menționării drepturilor persoanei vizate, obligatorie în orice informare a acestora
  • Neactualizarea conținutului paginii cu Politica dă Confidențialitate – multe site-uri fac trimitere la Legea 677/ 2001 sau pe Site este afișat mesajul: ”Compania noastră este Operator de date personale înregistrat în Registrul național cu Nr…….”
  • Lipsa sau neactualizarea paginii de Termeni & Condiții în spiritul GDPR
  • Obligativitatea Acceptării utilizării de Cookies ca o condiționare a continuării navigării pe site
  • Prezența unui meniu granular de acceptare a diferitelor categorii de Cookies cu casete Pre-bifate
  • Lipsa posibilității de Opt-Out la acceptarea utilizării de Cookies: 91% dintre site-urile care au o politică de Cookies.
  • Bara de Cookies este plasată în așa fel încât maschează prezența celorlalte politici, de regulă la partea inferioară a site-ului.
  • Politicile publice, deși există, sunt greu de găsit

CONCLUZII

Lipsa preocupărilor legate de publicarea sau actualizarea Politicilor Publice de pe Website poate fi o constatare îngrijorătoare și o radiografie transparentă a modului în care organizațiile din România, în cazul de față un eșantion cât de reprezentativ pentru industria de IT,  sunt dispuse să învestească în alinierea la GDPR.

Așa cum spuneam și în concluziile Analizei publicate în luna mai, prezența acestor politici pe site reprezintă o carte de vizită, o declarație publică a preocupărilor unei companii pentru conformitate și asumarea responsabilității. Companiile din industria IT, fie că sunt producători, integratori, distribuitori, reselleri sau furnizori de servicii, acționează prin esența activității lor fie ca operatori, fie ca procesatori de date personale pentru întreaga gamă de categorii de date personale, de cele mai multe ori cu caracter special sau senzitive.

Faptul că 29% dintre companiile de IT nu au o politică de confidențialitate publicată pe site, iar 79% nu au notificări legate de prelucrarea datelor personale pe care le colectează prin intermediul formularelor online, nu poate fi decât îngrijorător cu privire la seriozitatea cu care e abordată conformitatea. Asta ridică mari semne de întrebare cu privire la nivelul general de pregătire la nivel de organizație.  Este greu de crezut că o organizație care nu e preocupată de imaginea sa publică se poate apropia de un nivel de conformitate acceptabil în privința proceselor, procedurilor și politicilor aplicate pe plan intern.

Prin esența activităților lor, companiile de IT trebuie să fie în linia întâi a bătăliei pentru asigurarea condițiilor tehnologice optime necesare pentru prelucrarea oricăror tipuri de date, din care datele personale nu reprezintă decât o parte. Faptul că o companie IT nu are o politică publică de confidențialitate și, de cele mai multe ori o politică de Securitate IT pentru proprii angajați, poate reduce foarte mult credibilitatea și garantarea soluțiilor și serviciilor oferite clienților. Directorilor  informatici, dar mai ales managerilor le revine responsabilitatea de a demonstra faptul că pot să aibă grijă de propriile lor date personale și de cele ale clienților și partenerilor.   

DESPRE ”STUDIU DE CONFORMITATE GDPR POLITICI WEBSITE COMPANII IT” – Un proiect de cercetare conceput și realizat de GDPR READY. Toate drepturile rezervate.  Cei interesați pot solicita Broșura cu același nume (8 pag) disponibilă în format electronic.

A COMPLIANCE ANALYSIS OF WEBSITE PRIVACY POLICIES

Transparency is one of the fundamental principles in the protection of personal data. Each of us has the right to understand how our personal data are processed, how are used or shared. By publishing GDPR policies on a website, a company can make clear evidence of transparency in the processing of personal data, assuming and proving responsibility and obtaining a trustworthy label for the entire business ecosystem it belongs to. A GDPR READY research made in this year spring analysed more than 450 Romanian websites looking at how companies are respecting this transparency by publishing Privacy Policy, Terms & Conditions, Cookies Policy and Privacy Notes.

1. COMPLIANCE ANALYSIS PREMISES

 1.1. PRIVACY POLICY

Any organization that maintains an online public image should publish a privacy policy or a personal data processing statement on the Website. A link to this privacy statement must be clearly visible on each page of this site, under a commonly used term (such as “Privacy”, “Privacy Policy” or “Data Protection Statement”).

Articles 13 and 14 of the GDPR explain all the information we have to give to the individual persons when we collect their personal information or shortly after we have come into their possession in an indirect way. In order to clarify this, the Article 29 Working Group (WP29) published in November 2017 a guide dedicated to transparency policies, reviewed on April 2018.

1.2. TERMS & CONDITIONS

Another aspect of transparency, this time not just for personal data, is the presence of the page that describes the Terms and Conditions for using the site for visitors. The Terms and Conditions Webpage should represent the agreement by which the users of the site are informed about the rules, terms and regulations they must follow. Although not imposed by GDPR, the Terms and Conditions page may retain the rights to exclude certain users who may create abusive issues on the site or not comply with the rules set.

Usually, there are five reasons why a Terms and Conditions page is required:

  • Abuse prevention – in the case of problems related to spamming, abusive behaviour, uncontrolled activities that can lead to defamation reactions. Without the Terms and Conditions, there is no authority to suspend or prohibit users from displaying problematic trends.
  • Content protection – any site owner holds the logo, content and design of the site. The Terms and Conditions inform users of this fact and prevent the diversion of intellectual property.
  • The right to cancel the accounts – while the termination may be implicit in other clauses, a distinct right highlighted in the Terms and Conditions for cancelling the accounts is better.
  • Limitation of liability – The terms and conditions also limit the causes of actions that users may try to use against the site. These limits on liability may address errors in content or shutdown of the system. Basically, the terms explain that users take these risks when they register on the site and you cannot be held responsible for any losses they incur in these events.

Applicable legal notice – If the company is located in Romania, it is doubtful that you want to participate in an arbitration procedure in California or Singapore. Here is the section on the applicable law: the competence of the terms is stated and the place where any dispute settlement takes place.

1.3. COOKIES POLICY

At present, there is no dedicated legislation in the European Union that exclusively concerns the Cookies policy. There is a set of laws, recommendations and considerations that address how cookies can be used. They apply to all Member States of the European Union, and websites outside the EU must align to this if they are addressed to people in the Member States. In the absence of explicit legislation, the conditions of use for cookies are regulated by the Directive no. 58/2002, updated in 2009 known as “ePrivacy”, which is transposed in Romania by Law 506 of 2004, updated by Law 235 of 2015, regarding the processing of personal data and the protection of privacy in the electronic communications sector.

Until the advent of GDPR, compliance with this law meant a statement placed at the bottom or top of the site, which allows the user to know what kind of cookies are used. Most of us are familiar with the famous expression: “By using this website, you accept our cookie policy” or something similar. This information is useful but to what extent does it offer us an alternative? GDPR aims to change this, giving users a real and informed choice.

What ePrivacy says about Cookies – Article 5 (3) of ePrivacy requires prior informed consent regarding the storage or access to information stored on the user’s terminal equipment. In other words, users should be asked if they agree with most cookies and similar technologies (for example, web beacons, Flash cookies, etc.), and their consent must be obtained before the site begins to use them.

Users should be informed about the use of cookies in plain, non-jargon language, on a dedicated “Cookie Policy” page, which can be reached from a popup or from the standard template toolbar. This page should explain:

  • Why cookies are used (to remind users actions, identify users, collect traffic information, etc.)
  • Whether cookies are essential for the operation of the website or for certain functionality or if it is aimed at improving the performance of the website
  • The types of cookies used (for example, session or permanent, first or a third party) that control/access the information regarding the cookies (site or a third party)
  • That these cookies will not be used other purposes than those indicated
  • How users can withdraw cookies consent.

What the GDPR says about Cookies – The main cause of the inconsistencies related to the Cookies Policy is that EU Regulation 679/ 2016 considers IP identifiers as personal data, which Directive 58 did not provide. This makes the site owners have to have a big headache in addition to ensuring compliance requirements for the acquisition and retention of IPs.

In GDPR, the only place where cookies are explicitly mentioned is Recital 30 which states: “Individuals may be associated with the online identifiers provided by their devices, applications, tools and protocols, such as IP addresses, cookie identifiers or others. Identifiers such as radio frequency identification tags. They can leave traces that, especially when combined with unique identifiers and other information received by servers, can be used to create profiles of individuals and to identify them.”

The idea is relatively simple: cookies can be used to uniquely identify a person, so they should be treated as personal data. It will affect those identifiers used for analysis, advertising, but also for those used for functional services such as chats and surveys.

What needs to be changed? – Users must be able to CHOOSE. Browsing a website does not mean that I agree with all the cookies. The type of phrase used at the moment is barely informative and, of course, does not offer a choice. Anyone who owns the site will not be able to force users to accept cookies in exchange for access to information.

Like any other consent under the GDPR, consent for cookies must be a clear AFFIRMATIVE action. An example is to click on a sign-in box or choose menu settings. Users must be careful not to have pre-checked boxes on the consent form!

Let’s not forget the OPT-OUT. The GDPR clearly states that any data subject should be able to withdraw consent as easily as he or she has given it. In the case of the new cookie policy, this requires any user to be able to revoke consent by the same type of action as when they gave their consent. For example, if a box is clicked to obtain consent, the same method must be offered for revoking the agreement by inserting a REJECT button.

1.4. PERSONAL DATA PROCESSING NOTES

Returning to the obligation to publish a Privacy Policy, any window, pop-up, form, and questionnaire or comment box on a public site must include a notification informing the user of how the data will be used, with reference to the confidentiality credential where all the explanations required by Art.13 and Art.14 have been given.

The GDPR sets higher standards for obtaining consent than previous legislation. Individuals need to understand clearly and unequivocally what they agree to – so notifications need to be simply articulated and specific – and the agreement must be given in the form of a clear affirmative action by the data subject. In practical terms, this means asking for a positive “opt-in” and also means that the use of pre-checked boxes should not be used.

The most common errors that appear on the sites are related to the lack of these notifications, preferring the usual formulas of authentication such as “Not a robot”, “1 + 2 = ...” or Captcha. The few sites that make a note about the processing of personal data collected on the site make a mistake by asking the user before pressing the subscribe button or sending the personal data the agreement for the privacy policy. Several examples of these usage errors will be presented in the chapter presenting the results of the Compliance Analysis.

2. METHODOLOGICAL ASPECTS

The compliance analysis of the GDPR policies on the Internet pages consisted of studying a sufficiently large number of sites to meet the optimal conditions for statistical analysis, on a sample as representative as possible.

The compliance study was based on two types of analysis:

– A predominantly qualitative general analysis on a number of 450 sites, which followed the way in which the websites that were the object of the research find the public policies of the organization (the owner, the policy of processing personal data (or Privacy Policy, Privacy Policy, etc.), page dedicated to the Terms and Conditions updated at the GDPR, a page dedicated to Cookies Policy, the presence of confidentiality notices associated with any form of personal data collection of the web visitor, the presence of the forms for addressing the requests for access to the data personal information, as well as the presence of the contact information of the PDO.

– A detailed, quantitative-qualitative analysis of the presence and quality of the content of public policies, taking into account the minimum mandatory information that must appear in these declarations of conformity.

2.1. QUALITATIVE ANALYSIS

The research sample consists of about 450 sites, chosen on different criteria such as:

  • ACUITY – a sufficient number of sites are needed to ensure good quality statistical processing;
  • REPRESENTATIVENESS – the sites belong to public and private companies from different areas of activity, so that the results can be considered as covering for all verticals;
  • LEADERSHIP – for each of the activity areas considered, the companies that were noted for the results obtained were selected. The 100 companies from the Top Profitability analyzed in the Detailed Study are also included in this analysis;
  • RESPONSIBILITY – were followed sites from all areas that may involve an increased level of responsibility by appointing a DPO or the obligation to carry out an impact analysis – according to the list of activities presented in Decision 174 October 2018, Art. 1, Alin a – g.

The qualitative analysis was based on the evaluation of the content published on the sites of the studied sample, based on analysis criteria, to which different weights were assigned, depending on the importance of the aspect pursued.

2.2. IN-DEPTH ANALYSIS

The research sample consists of about 150 sites, chosen on the criteria of belonging to the Top 100 companies in Romania after Profitability for 2017, realized and published by Capital magazine, based on the results declared at the Trade Register ( Capital magazine, EXCLUSIVE TOP 100 the most profitable companies in Romania, July 2018). Another 50 sites were selected based on business results criteria, according to the results presented at the Trade Register.

The purpose, easy to guess, of the GDPR Ready Analysis, is to see to what extent the top companies in Romania have found the resources necessary to ensure the alignment of the new Regulation 679/2016, and the web pages containing the public policies of the organization represent the most eloquent business card for the state of compliance where a top company is located.

The detailed analysis was based on the evaluation of the content published on the websites of the studied sample, based on analysis criteria, to which different weights were assigned, depending on the importance of the aspect pursued. Part of these criteria, regarding the presence on the site of the different policies and the form of presentation, content, accessibility and format of the cookie bar are the same as those used in the qualitative analysis. The differences appear in the specific analysis for each of the policies (Confidentiality, Terms & Conditions, Cookies), wherein the used benchmark has been considered all the mandatory criteria by which the data subjects are informed of the way their personal data are processed, as it is clearly shown in Articles 13 and 14 of the GDPR.

3. MAIN RESEARCH RESULTS

Here is a brief rendering of the results obtained from the two types of analysis

3.1. QUALITATIVE ANALYSIS RESULTS

One of the objectives of this analysis, which studied 450 sites, was the general evaluation of the presence of public policies on the website. The six types of policies studied were analysed from the perspective of the presence on the websites, the criteria of appreciation being the presence, the absence and the presence partially or incomplete – for example, the specific notifications of a policy are described on pages other than those dedicated. What is to be emphasized here?

  • Only 63% of sites have a Privacy Policy
  • 31% do not have such a policy, so they do not comply with the principle of transparency regarding the protection of personal data
  • Only 40% of sites have a Terms & Conditions page, although it should be found on any public site and not directly related to GDPR.
  • Only 60% of the studied sites have a displayed cookie policy, of which 14% are incomplete
  • 79% of the sites do not have a confidentiality note although they collect personal data from the site
  • Only 8% of the sites offer the possibility of downloading forms for access requests to personal data.
  • Only 55% of sites offer a mailing address for GDPR issues, whether they have a dedicated DPO or not.
Source: GDPR READY RESEARCH, Sample: 450 Websites

Figure 1: PRESENCE OF THE WEBSITE POLICY

The analysis of the industrial verticals gives us an overview of the areas of activity in which there are concerns related to updating the public policies on the website. For the histogram of the analysis for the main industries verticals, an average of the percentage of compliance for all the sites belonging to the respective industry were chosen.

Some comments on the results:

  • The highest level of compliance can be found in the utilities, telco, retail – hypermarket, pharmaceutical & cosmetics, and the automotive industries.
  • On the opposite side, and this is quite sad, there are areas that by the nature of their activity are obliged to have a DPO: public administration (town halls), education (schools, colleges, universities), healthcare (hospitals, clinics) and government (ministries and supervised organizations)
  • A surprisingly low compliance average of 36% was found for companies in the IT industry, which had a fairly large research population (121 sites).
Source: GDPR READY RESEARCH, Sample: 450 Websites

Figure 2: TOP VERTICAL AVERAGE VALUES FOR INDUSTRY

3.2. IN-DEPTH ANALYSIS RESULTS

A general appreciation for the 150 sites studied in detail refers to the presence of policies cumulated with criteria of visibility, accessibility and content of policies. Compliance level is rated as a percentage and classified as Low (below 25%), Medium (25% – 75%) and Good (over 75%)

While 4% of the organizations analysed do not have a functional website, 13% have no policies, 14% have poor compliance, 53% average and only 17% have a satisfactory level of compliance.

Source: GDPR READY RESEARCH, Sample: 150 Websites

Figure 3: GENERAL APPRECIATION

Another objective of the detailed analysis was the policy evaluation of the compliance criteria presented in the methodology chapter:

From the perspective of Confidentiality, only 21% of the 150 sites have a satisfactory level of compliance, while 51% have an average level, 13% are insufficient, and 15% do not have a Privacy Policy.

Source: GDPR READY RESEARCH, Sample: 150 Websites

Figure 4: PRIVACY POLICY CONFORMITY

Regarding the pages dedicated to the Terms and Conditions, only 14% have a satisfactory level of compliance, 42% a medium level, 25% poor compliance, and 19% have no place Terms and Conditions.

When analysing the Cookies Policy, it appears that only 3% of the sites have an acceptable level of compliance, 33% an average one, 44% an unsatisfactory one, and 23% of the sites do not have cookies.

Finally, the 114 sites that have cookies, were analysed from the perspective of compliance with the GDPR rules for obtaining consent, the way of displaying and the content of the cookie bars, the presence or not of predefined acceptance boxes, as well as the presence of a box of REJECT next to the one of ACCEPT. The results are summarized in Figure 5.

Source: GDPR READY RESEARCH, Sample: 114 Websites

Figure 5: COOKIES BAR CONFORMITY

4. MOST FREQUENT MISTAKES

Among the most common mistakes encountered during this Compliance Review are:

  • The omission of the description of rights, mandatory in any information of the data subjects
  • Not updated content of Privacy Policy – There are many sites where the respective policy refers to Law 677/2001 or the message is displayed: “Our company is a Personal Data Operator registered in the National Register with No. ……”
  • Missing / Not updating Terms & Conditions page
  • Cookies bar is missing although a cookie policy is present on the site
  • The obligation to accept the use of cookies as a condition of continuation on the site
  • The presence of a granular menu for accepting the different categories of cookies with Prefixed boxes
  • Lack of the possibility of Opt-out accepting the use of cookies: 92% of the sites that have a cookie policy.
  • The cookie bar is placed in such a way that it hides the presence of the other policies, usually at the bottom of the site.

5. CONCLUSIONS

The lack of concerns regarding the publication or updating of the Public Policies on the Website can be a worrying finding and a transparent x-ray of how Romanian organizations are willing to invest in aligning with the GDPR.

The presence of these site policies represents a business card, a public statement of the company’s concerns for compliance and accountability.

The public policies on the website represent only the visible part of what can be called a GDPR compliance project. It is hard to believe that an organization that is not concerned with its public image can approach an acceptable level of compliance with internally applied processes, procedures and policies.