CÂT SUNTEM DE MULȚUMIȚI DE FUNCȚIA DE DPO?

Știm cu toții că funcția de responsabil cu protecția datelor personale ridică o serie de probleme, atât prin importanța rolului jucat în orice organizație, dar și prin caracterul său de noutate. Cum alegem un DPO, care este fișa postului, care sunt criteriile recomandate pentru selecția candidaților, ce condiții de muncă îi oferim, ce îi punem la dispoziție, cât de mult ne bazăm pe recomandările sale? Iată o serie de întrebări simple, dar esențiale pentru buna activitate, formarea profesională și demonstrarea eficienței activității de data protection officer.

Ce au făcut francezii?

Plecând de la aceste premise și de la faptul că autoritatea de supraveghere din Franța a înregistrat deja peste 18000 de DPO, Délégation Générale à l’Emploi et à la Formation Professionnelle (DGEFP) a demarat împreună cu Agenția pentru Formare Profesională a Adulților (l’Agence pour la Formation Professionnelle des Adultes – AFPA) un studiu care vizează o mai bună înțelegere a problemelor legate de ocuparea forței de muncă și competențele legate de punerea în aplicare a GDPR. Studiul acoperă condițiile reale de exercitare a acestei noi meserii, ținând cont de particularitățile specific formei de activitate: DPO intern, DPO intern mutualizat, DPO extern sau Profesionist responsabil cu protecția datelor. Chestionarele au fost la dispoziția celor interesați până la data de 15 aprilie 2019. Această inițiativă s-a bucurat de susținerea autorității reglementare a datelor din Franța și a CNIL (Comisia Națională pentru Informatică și Libertăți) și asociația franceză corespunzătoare protecției datelor (AFCDP).

Primele rezultate ale acestui studiu puse la dispoziție de CNIL oferă deja câteva răspunsuri foarte interesante:

  • La întrebarea “Credeți că recomandările dvs. sunt ascultate și sunt urmărite în mod regulat de managerul (managerii) dvs.?” 13% din specialiștii DPO interni au răspuns în mod surprinzător “Niciodată sau niciodată”, în comparație cu numai 8% dintre profesioniștii DPO externi care au dat același răspuns.
  • La întrebarea “În contextul misiunii unui DPO, credeți că ați luat în considerare cu succes respectarea GDPR de către managerii dvs.?” 18% dintre responsabilii DPO interni recunosc faptul că încă nu au reușit, în comparație cu doar 6% dintre cei care acționează ca DPO externi.
  • La întrebarea “Sunteți mulțumit de postul dvs. de specialist în protecția datelor?” 37% dintre cei care activează ca DPO interni și 45% dintre respondenții cu rol DPO extern apreciază că sunt “destul de mulțumiți”.

Ca o primă concluzie ce reiese din studiul întreprins de autoritățile franceze este faptul că un DPO extern are mult mai multă șanse să se impună într-o organizație și să poată influența evoluția acesteia către un stadiu ideal de conformitate.

A doua concluzie este, și nu ne miră deloc asta, că cel mai important factor de rezistență în transformarea unei organizații este chiar nivelul de management. Am zis că nu mă miră, pentru că exact aceasta este și una dintre concluziile personale în urma proiectelor de implementare și ale interacțiunilor cu cei pe care i-am instruit. Citiți articolul: ”10 SFATURI PENTRU MANAGERI, NU LĂSȚI PE MÂINE…”

Ce putem face ca să creștem procentajele eficienței activității de DPO într-o organizație?

În primul rând totul depinde de cel care asigură această funcție, fie că este angajat ”cu fișa postului”, supervizer GDPR pentru mai multe organizații, consultant DPO extern sau simplu responsabil cu adopția GDPR într-o companie. Un DPO trebuie să ia foarte în serios misiunea sa și să-și asigure în primul rând sprijinul din partea structurii de conducere. Orice efort de implementare GDPR este în primul rând un proiect, iar orice proiect trebuie să aibă un manager de proiect și un sponsor. Ori dacă tocmai sponsorul nu înțelege importanța alinierii la GDPR și nu susține echipa menită sa asigure acest lucru, atunci nici proiectul nu are șanse prea mari de reușită.

De aceea, crearea unei culturi GDPR într-o organizație trebuie să aibă în vedere, pe lângă asigurarea liantului în triada: legislație-organizare-tehnologie (L-O-T), sensibilizarea structurilor manageriale în susținerea eforturilor întregii organizații. Căci un proiect GDPR este bazat pe OAMENI – PROCESE – TEHNOLOGIE.

Ce vă propunem pentru a realiza o radiografie a nivelului de eficiență DPO în România?

Toți cei care activează ca DPO (intern, extern sau doar cu rolul de responsabil GDPR) sunt rugați să contribuie la realizarea unei EVALUĂRI A GRADULUI DE SATIFACȚIE DPO ÎN ROMÂNIA.

Pentru a participa la această EVALUARE sunteți rugați să completați Formularele de mai jos, menționând:

I. Cele mai importante 5 motive de satisfacție în activitatea GDPR în care sunteți implicați

II. Cele mai importante 5 motive de insatisfacție (la nivel de organizație)

III. Care sunt cele mai importante lucruri (intern și extern) de care aveți nevoie pentru eficientizarea activității dvs? (minim 2 recomandări)

Rezultatele acestei EVALUĂRI vor fi prezentate în cadrul Conferinței GDPR Talks din data de 21 Mai care are ca temă analiza fenomenului GDPR în România la un an de la intrarea în vigoare a GDPR. Toți cei care completează formularul vor primi Rezultatele acestei Evaluări.

Pentru Agenda și înscriere la conferință

APĂSAȚI AICI

Nu uitați să completați Formularul! Răspunsurile dvs. vor fi anonimizate. Adresa de e-mail este necesară doar în scopuri de comunicare.

 

Nota Confidentialitate: Datele Dvs. personale incluse in acest formular vor fi prelucrate doar in scopul pentru care au fost solicitate. Analiza răspunsurilor dvs. pentru Evaluare se face prin anonimizare. Citiți Politica de Confidentialitate.

Advertisements

5 SFATURI PENTRU MANAGERI LA NUMIREA UNUI DPO

Ofițerul responsabil cu protecția datelor personale este un personaj al cărui profil ideal este încă destul de controversat. Deși condițiile numirii unui DPO, sarcinile și competențele acestuia sunt stipulate destul de clar în Articolele 37 – 39 din Regulament, importanța strategică a acestei poziții face ca subiectul să fie în centrul atenției în toate discuțiile și recomandările legate de GDPR.

Dincolo de toate necunoscutele care nu apar în ghiduri și clarificări și speculațiile venite dinspre piață, după un an de la intrarea în vigoare a GDPR putem veni cu niște certitudini. Avem destulă informație ca să putem trage niște concluzii.

În primul rând un DPO joacă un rol fundamental în asigurarea respectului pentru cerințele legislației de protecție a datelor personale. DPO este special angajat de organizația pe care o reprezintă pentru consiliere la aplicarea regulilor, dar are în celași timp și rolul de a coordona obținerea conformității pe plan intern.

1. AVEM NEVOIE SAU NU DE DPO ?

Aici lucrurile s-au mai clarificat, se discută mult despre asta, există recomandări, s-au scris o sumedenie de articole, în fine, există algoritme, GDPR ne spune clar care sunt condițiile obligatorii, dar cu toate astea mulți decidenți nu sunt siguri încă dacă DA sau NU…

Cum facem totuși să fim siguri? E foarte simplu: există 4 situații obligatorii și una facultativă, în care se recomandă numirea unui DPO:

  • dacă prelucrarea este desfășurată de o autoritate publică sau de un organism public (GDPR, Art. 37, 1, a)
  • dacă activitățile principale ale operatorului sau procesatorului constau în prelucrări care prevăd monitorizarea regulată și sistematică pe scară largă (GDPR, Art. 37, 1, b)
  • dacă activitățile principale ale operatorului sau procesatorului constau în prelucrare pe scară largă a unor categorii speciale de date (GDPR, Art. 37, 1, c)
  • orice organizație care prelucrează un număr de identificare național (inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin) și are ca singur temei legal legitimul interes, trebuie să ofere o serie de garanții, printre care și numirea unui DPO (Legea 190/ 2018, Art.4, 2, b).
  • orice organizație care apreciază că prin natura activității sale execute o prelucrare sistematică a unor volume mari de date sau datele prelucrate au un grad ridicat de senzitivitate poate decide să își numească un DPO (Recomandare WP29, Ghid DPO)

Nu mai insist aici asupra ambiguității unor termini precum ”pe scară largă”, ”volume mari de date”  sau ”monitorizare regulată și sistematică. Am comentat în articolele anterioare. Din experiența practică, cuantificarea acestor termini trebuie făcută ”la bun simț”, în funcție de propriile criterii privitoare la numărul de persoane afectate de prelucrare, volumul de date, tipurile de date, durata, sau extinderea geografică a activităților de prelucrare.

2. CÂND NUMIM UN DPO?

Practicile GDPR vin cu o sumedenie de recomandări, în funcție de sferele de influență ale diferitelor Autorități de supraveghere. Există ghiduri care ne îndeamnă ca numirea DPO să fie făcută încă de la începutul coagulării unui plan de proiect pentru implementare, în timp ce alții ne sfătuiesc să stabilim mai întâi echipa de proiect și să ne apucăm de treaba, în timp ce numirea DPO – dacă este cazul – să fie făcută pe parcurs în funcție de abilitățile manageriale ale celor participanți la proiect.

Personal, înclin pentru a doua alternativă, bazându-mă pe următoarele considerente:

  • numirea unui DPO poate fi un proces anevoios, de durată și nu ne permitem să pierdem timp și să stăm cu mâinile la piept, în așteptarea unui super-erou…
  • cu și fără DPO, esențial este rolul echipei de proiect care trebuie să includă reprezentanți ai tuturor departamentelor implicate în prelucrarea de date personale
  • oricare dintre membrii acestei echipe poate fi numit DPO după demararea proiectului și acumularea de expertiză, cu condiția să nu existe o situație clară de conflict de interese
  • toți membrii acestei echipe trebuie să fie conștienți de importanța participării lor și trebuie să își însușească cunoștințele de bază ale unui DPO, fie prin participarea la un instructaj de 2-3 zile din puzderia de oferte de pe piață, fie prin instruirea ”in situ”, împreună cu ceilalți colegi
  • odată stabilit rolul de DPO, acesta trebuie să preia tot ce s-a făcut până la numirea sa și trebuie să parcurgă la rândul sau un curs de instruire
  • durata și nivelul de dificultate al acestui curs depind de interesele și posibilitățile operatorului, care trebuie să înțeleagă ca la numirea unui DPO nu este obligatorie prezența unei diplome de certificare, ci a unui CV din care să reiasă o experiență practică de sute de ore de proiect…

3. ÎN LIPSA CERTIFICĂRII, CE CRITERII FOLOSIM LA ALEGEREA DPO?

GDPR ne spune că Responsabilul cu protecția datelor trebuie să aibă calitățile tehnice și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. Cum spuneam, în prezent, nu există o cerință expresă de certificare. Cu toate acestea, deținerea unor certificări tehnice sau specializări care să faciliteze asigurarea cerințelor de conformitate cu GDPR pot constitui criterii de eficiență la stabilirea DPO.

Sfatul meu: să nu uităm că o diplomă este cu adevărat utilă doar atunci când specializarea academică sau profesională e însoțită de o expertiză pratică pe măsură în proiecte concrete, controlabile prin referințe.

4. CE CALITĂȚI PROFESIONALE TREBUIE SĂ AIBĂ UN DPO?

Potrivit Art. 37, responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor privind legislația și practicile privind protecția datelor și capacitatea de a îndeplini sarcinile menționate la Art. 39.

Cu alte cuvinte, un specialist în legislație cu experiență practică în protecția datelor și capacitatea de a îndeplini un set de sarcini cu care foarte puțini au fost familiarizați până acum… Câte personaje care pot corespunde acestui profil există în realitate și, mai ales, sunt dispuse să îți asume sarcina de DPO?

Ceea ce nu reiese cu claritate din GDPR și toate ghidurile aferente, dar este un factor determinant în alegerea DPO  este importanța experienței operaționale. Un DPO este în primul rând un manager de proiect, un specialist care are abilitatea de a manevra pârghiile manageriale, de a cunoaște procesele de business ale organizației și de a identifica cât mai corect circuitul fluxului de date și de a analiza integritatea acestora în fiecare dintre nodurile unui astfel de flux…

5. CE ABILITĂȚI PERSONALE TREBUIE SĂ DOVEDEASCĂ UN DPO?

Prin definiție un DPO este o personalitate enciclopedică, polivalentă. Trebuie să cunoască legislație, economie, să aibă business-ul în sânge, să știe să lucreze cu oamenii, să știe regulamente și politici, să nu se lase intimidat și să aibă putere de influență asupra managementului, să știe să discute cu partenerii și mai ales să identifice vulnerabilitățile din sistem care pot atrage riscuri majore pentru prelucrarea datelor personale.

Să analizăm pe scurt care sunt calitățile pe care trebuie să le dovedească un DPO în funcție de sarcinile minime stabilite prin Art. 39:

  • informarea și consilierea organizației și angajaților cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor: pentru asta DPO trebuie să știe legislație și să aiba abilități de comunicare și consultanță
  • monitorizarea respectării GDPR și a altor legi privind protecția datelor, inclusiv gestionarea activităților interne de protecție a datelor: cunoștințe legislație și protecția datelor, abilități de control, monitorizare, procedurare, audit, raportare
  • consilierea activităților organizației ce au legătură cu evaluările de impact privind protecția datelor: cunoștințe project management, analiza riscurilor, analiza de impact, abilități manageriale, surse de risc, identificare, analiză și elaborare a planului de risc
  • instruirea periodică a personalului și efectuarea de audituri interne: experiență trainer și auditor, abilități de analiză, sinteză, dicție, aplicare procedure, concluzii și rapoarte
  • primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate (angajați, clienți etc.când este cazul): experiență de comunicare, abilități dialog, reprezentare.

Dar poate cel mai important aspect al acestor atribuții este legat de faptul că, în îndeplinirea sarcinilor de DPO, trebuie să se ţină seama, în mod corespunzător (zice legea), dar cu maximă responsabilitate (zic cele mai bune practici) de riscul asociat operaţiunilor de prelucrare. Și aici trebuie să avem în vedere atât natura și domeniul de aplicare, cât și contextul şi scopurile prelucrării.

Rezumând, un DPO ar trebui să reunească o lungă listă de abilități personale la care trebuie să adăugăm: integritate, etică, inițiativă, organizare, perseverență, discreție, stapânire de sine, control, autoanaliză, interes, motivare, negociere, convingere, comunicare, sinteză, analiză, raportare, colaborare, control stare conflict, și mai ales abilitatea de a construi relații de muncă pe termen lung… Unde îl găsim pe omul ăsta?

Mai puteți citi pe această temă:

https://gdprreadyinitiative.com/2018/11/08/gdpr-explicitat-11-un-personaj-important-data-protection-officer-dpo/

https://gdprreadyinitiative.com/2018/10/30/cum-pot-obtine-certificarea-dpo-in-romania/

https://gdprreadyinitiative.com/2018/11/08/analiza-gdpr-1-cum-pot-deveni-dpo-in-romania/

https://gdprreadyinitiative.com/2018/10/30/avem-un-dpo-cum-il-certificam/

 

 

GDPR READY WEEKLY NEWS – No 8, March 2019

News, articles, legislation and analysis, all about data protection and cybersecurity technologies

EDPB: Interplay between the ePrivacy and the GDPR European Data Protection Board released Opinion 5/2019

Annual Report: 2018 was a busy year for the EDPS – First annual report of European Data Protection Supervisor

Overview: Nine months after GDPR entry – EDPB Releases Overview on the Implementation and Enforcement of the GDPR

Cookies: Dutch DPO released guidance for free access to webpages content unconditioned by cookies acceptance – Websites must remain accessible when refusing to track cookies

Research: 85% of organisations suffered phishing and social engineering attacks last year – according to an Accenture cybercrime study.

 

Infographic of the week – Secure by Design Infographic available in Press Quality for download: https://lnkd.in/dVW5sp8  

EDPB Opinion 5/ 2019

The interplay between the ePrivacy and the

In December 2018, the Belgian Data Protection Authority requested the European Data Protection Board to examine and issue an Opinion on the interplay between the GDPR and the ePrivacy Directive, in particular regarding the competence, tasks and powers of data protection authorities.

EDPB considers that these questions concern a matter of the general application of the GDPR, as there is a clear need for a consistent interpretation among data protection authorities on the boundaries of their competences, tasks and powers.

Clarification is particularly needed to ensure, amongst others, a consistent practice of mutual assistance in accordance with article 61 of the GDPR and joint operations in accordance with article 62 of the GDPR.

YOU CAN DOWNLOAD FROM HERE THE EDPB OPINION 5/ 2019  

EDPS Annual Report

First annual report of the European Data Protection Supervisor

2018 was a busy year for the EDPS and a pivotal year for data protection in general. Under new data protection rules, the rights of every individual living in the EU are now better protected than ever, the European Data Protection Supervisor (EDPS) said today, as he presented his 2018 Annual Report to the European Parliament’s Committee on Civil Liberties, Justice and Home Affairs (LIBE).

Giovanni Buttarelli, EDPS, said: Data protection hit the headlines in 2018. Public awareness about the value of online privacy is at an all-time high, while concern about the abuse of personal data by online service providers remains a topic of enquiry for governments around the world. In the EU, new rules on data protection go a long way towards addressing concerns, but more is required. Agreement on a new ePrivacy Regulation is urgent, but in the digital world, we also need to look beyond rules and regulations. Through initiatives focused on digital ethics and greater regulatory cooperation, the EDPS is determined to play a decisive part in shaping the digital future in the EU and further afield.

The 2018 Annual Report provides an insight into all EDPS activities in 2018. Chief among these were our efforts to prepare for the new legislation. The General Data Protection Regulation (GDPR) became fully applicable across the EU on 25 May 2018 and new data protection rules for the EU institutions are also now in place. Working with the new European Data Protection Board (EDPB), the EDPS aims to ensure consistent protection of individuals’ rights, wherever they live in the EU. Key figures for 2018:

  • 30 training sessions provided for EU institutions and bodies
  • 90 prior check Opinions issued (80% relating to EU administrative procedures)
  • 5 inspections
  • 3 visits to EU institutions
  • 11 Opinions issued on legislative proposals
  • 13 Formal Comments issued on legislative proposals

READ HERE THE FULL PRESS RELEASE  

EDPB Overview

Nine months after GDPR entry

On February 26, 2019, the European Data Protection Board (the “EDPB”) presented its first overview of the GDPR’s implementation and the roles and means of the national supervisory authorities to the European Parliament (the “Overview”).

Nine months after the entry into application of the GDPR, the members of the EDPB are of the opinion that”the GDPR cooperation and consistency mechanism works quite well in practice. The national supervisory authorities make daily efforts to facilitate this cooperation, which implies numerous exchanges (written and oral) between them. These cooperation duties lead to extra workloads, additional time dealing with cases and have an impact on the budget of the regulators.”

Cooperation Mechanism – The GDPR requires close cooperation between SAs of EEA (EU-28 + Iceland, Norway and Liechtenstein) in cases implying a cross-border component and supports this by using the following tools: ¾ the mutual assistance, ¾ the joint operation, ¾ the One-Stop-Shop cooperation mechanism, which introduces the obligatory intervention of a Lead Supervisory Authority for the cross-border cases. Here are a few statistics outlined on Hunton Privacy Blog (www.huntonprivacyblog.com ):

  • 642 procedures have been initiated to identify the lead DPA and concerned DPAs in cross-border cases. 306 of these procedures have concluded with the lead supervisory authority identified.
  • 30 different DPAs have registered a total of 281 cases with cross-border components in the Internal Market Information system– an IT system that provides a method of information sharing among supervisory authorities. The main topics of these cases relate to the exercise of individual rights, consumer rights and data breaches.
  • 45 one-stop-shop procedures were initiated by DPAs from 14 different EEA countries — 23 cases are currently at the informal consultation stage, 16 are at the draft decision stage and 6 cases have been finalized.
  • 444 mutual assistance requests, both formal and informal, have been triggered by DPAs from 18 different EEA countries.

Consistency Mechanism – One of the main tasks of the EDPB is to ensure the consistent application of the GDPR. One opportunity to ensure consistency is to provide general guidance on the interpretation of the GDPR, which will contribute to a common understanding and application of the provisions by the stakeholders, the supervisory authorities and the public in general. Since 25 May 2018, the EDPB has endorsed 16 guidelines prepared by the Article 29 Working Party (predecessor of the EDPB) and has adopted 5 additional guidelines. Another opportunity is to adopt consistency opinions and decisions. These decisions mainly address the national supervisory authorities and ensure a consistent application and enforcement of the GDPR.

  • The EDPB has adopted 28 consistency opinions regarding the national lists of processing subject to a data protection impact assessment.
  • The EDPB also has adopted a consistency opinion on a draft administrative arrangement for the transfer of personal data between financial supervisory authorities.
  • The EDPB is currently working on further consistency opinions and procedures relating to the interplay between the GDPR and the ePrivacy Directive, binding corporate rules and a draft standard contract between data controllers and data processors.

Budget and Human Resources

  • 23 DPAs reported an increase in their regulatory budgets for 2018-2019.
  • Three DPAs reported no increase in budget while two DPAs reported a decrease.
  • With respect to human resources, 17 DPAs reported an increase in headcount for 2018-2019, while eight reported no change and one DPA reported a decrease in personnel.

Implementation and Enforcement of the GDPR at National Level

  • The total number of cases reported by DPAs from 31 EEA countries totalled 206,326 with 94,622 of these comprising complaints and 64,684 initiated on the basis of data breach notification by controllers.
  • 52% of the above cases have concluded while 1% are being challenged before national courts.
  • DPAs from 11 EEA countries reported imposing administrative fines under the GDPR totalling €55,955,871.
  • The Overview concludes by noting that members of the EDPB view the GDPR as working well in practice and that the workload of DPAs is manageable due to thorough preparation for the GDPR over the past two years.

SOURCE:  

Cookies

Dutch DPO released guidance for free access to webpages content unconditioned by cookies acceptance

One of the most important legal basis processing personal data under GDPR is the consent — which should be specific, informed and freely given in order for it to be valid under the law. Many websites are conditioning web pages browsing by implicit accept of Cookies policy, what is representing a serious lack of compliance with GDPR consent rules.

After receiving dozens of complaints from internet users who had had their access to websites blocked after refusing to accept tracking cookies, the Dutch data protection agency released a few days ago a Guidance related to this issue.

According to this guidance website that only give visitors access to their site if they agree to place so-called ‘tracking cookies’ or other similar ways of monitoring and recording behaviour through software or other digital methods, do not comply with the General Data Protection Regulation.

“The digital tracking and recording of Internet surfing behaviour via tracking software or other digital methods are one of the largest processing of personal data because virtually everyone is active on the internet. To protect privacy, it is therefore important that parties request permission from website visitors “, says Aleid Wolfsen, chairman of the Dutch DPA. “In this way, people can deliberately and appropriately use their right to the protection of personal data. If a website is asked for permission for tracking cookies and if it is not possible to access the website or service if they refuse access to the website or service, people under pressure will receive their personal data and that is unlawful. “

With so-called ‘cookie walls’ on websites (no permission means no access), the permission is not given freely, because website visitors do not get access to the website without giving permission. On the basis of the GDPR permission is not ‘free’ if someone has no real or free choice. Or if the person can not refuse giving permission without adverse consequences. With the announcement of this explanation of the standard, the organizations involved are instructed to adjust their practice where necessary. The DPA sent a letter to the organizations to which it received the most complaints with the standard explanation, announcing also that it will intensify the audit in the coming period to see whether the standard is applied correctly in the interest of protecting privacy.

“Cookie walls are non-compliant with the principles of consent of the GDPR. Which means that any party with a cookie wall on their website has to be compliant ASAP, whether or not we will check that in a couple of months, which we certainly will do.” stated a Dutch DPA member. According to a TechCrunch article named ”Cookie walls don’t comply with GDPR, says Dutch DPA”, even the cookie wall on the official European Internet organization site looks like a textbook example of what not to do — given the online ad industry association is bundling multiple cookie uses (site-functional cookies; site-analytical cookies; and third-party advertising cookies) under a single “I AGREE” option. 

The website does not offer visitors any opt-outs at all. If the user does not click “I  AGREE” they cannot gain access to the IAB’s website. So there’s no free choice here. You have to agree with imposed cookies or leave. The main problem here is a clear contradiction between GDPR consent spirit and former rules covered by the ePrivacy Directive from 2002, which is be expected to be released also as ePR EU Regulation. According to the Recital 25 from ePrivacy Directive: “Access to specific website content may still be made conditional on the well-informed acceptance of a cookie or similar device if it is used for a legitimate purpose.” But we don’t have to forget other GDPR consent golden rules as granularity and an opt-out option.

Many website cookies bar show a single box acceptance for all cookies categories, and the big majority didn’t offer an opt-out check-box alternative or simple button to close cookies windows… More clear explanations about this could be found on one of the official EU websites.  Here, on the EU Commission EU Internet Handbook, we can find an explanation about Cookies policy in Europe.

According to the site, „EUROPA websites must follow the Commission’s guidelines on privacy and data protection and inform users that cookies are not being used to gather information unnecessarily. The ePrivacy directive – more specifically Article 5(3) – requires prior informed consent for storage or for access to information stored on a user’s terminal equipment. In other words, you must ask users if they agree to most cookies and similar technologies (e.g. web beacons, Flash cookies, etc.) before the site starts to use them. For consent to be valid, it must be informed, specific, freely given and must constitute a real indication of the individual’s wishes.” Hmm. This seems to be more close to the GDPR free consent spirit. And the things become more serious reading the steps proposed for the cookies use in Europe: “The use of cookies on EUROPA is allowed under certain conditions. You should take the following steps.

  • Ask yourself whether the use of cookies is essential for a given functionality and if there is no other, non‑intrusive alternative.
  • If you think a cookie is essential, ask yourself how intrusive it is: what data does each cookie hold? Is it linked to other information held about the user? Is its lifespan appropriate to its purpose? What type of cookie is it? Is it a first or a third‑party setting the cookie? Who controls the data?
  • Evaluate for each cookie if informed consent is required or not:
  • first‑party session cookies DO NOT require informed consent.
  • first‑party persistent cookies DO require informed consent. Use only when strictly necessary. The expiry period must not exceed one year.
  • all third‑party session and persistent cookies require informed consent. These cookies should not be used on EUROPA sites, as the data collected may be transferred beyond the EU’s legal jurisdiction.
  • Before storing cookies, gain consent from the users (if required) by implementing the Cookie Consent Kit in all the pages of any website using cookies that require informed consent.
  • Inform users about the use of cookies in a plain, jargon‑free language in a dedicated “cookie notice” page linked from the service toolbar of the standard templates. This page should explain:
  • why cookies are being used, (to remember users’ actions, identify users, collect traffic information, etc.)
  • if the cookies are essential for the website or a given functionality to work or if they aim to enhance the performance of the website
  • the types of cookies used (e.g. session or permanent, first or third‑party)
  • who controls/accesses the cookie‑related information (website or third‑party)
  • that the cookie will not be used for any purpose other than the one stated
  • how users can withdraw consent

If the issues are not very clear yet, we have an example on the same website: a webpage capture with a three-point legend:

  • 1)    The cookie header banner displayed on all pages of a site using cookies that require informed consent.
  • 2)    A link to the specific cookie notice page is also available.
  • 3)    This element of the page will only display its content once the user chooses to accept the site’s cookies.

DPA ANNOUNCEMENT SOURCE:  

Research

85% of organisations suffered phishing and social engineering attacks last year

Last year 85% of organisations experienced phishing and social engineering attacks and 76% suffered web-based attacks, according to the Ninth Annual Cost of Cybercrime Study, published by Accenture and Ponemon Institute.

Malware and web-based attacks were the most expensive at $2.6 million and $2.3 million respectively. Accenture says these two types of a cyber attack “represented a third of all cybercrime costs globally last year”.

However, the biggest jump in costs came from malicious insiders: last year, insider attacks cost each organisation $1.6 million on average, a 15% increase in 2017. Other key findings of the research are related to:

  • the average number of security breaches in the last year grew by 11 percent from 130 to 145.
  • the average cost of cybercrime for an organization increased US$1.4 million to US$13.0 million.
  • total value at risk of $US5.2 trillion globally over the next five years.

MORE INFO ABOUT STUDY HERE  

READ HERE OTHER  ISSUES OF GDPR NEWSLETTER:

GDPR READY WEEKLY NEWS NO7 – MARCH 2019

GDPR READY WEEKLY NEWS NO6 – FEBRUARY 2019

GDPR READY WEEKLY NEWS NO5 – FEBRUARY 2019

GDPR READY WEEKLY NEWS NO4 – FEBRUARY 2019

GDPR READY WEEKLY NEWS NO3 – JANUARY 2019

GDPR READY WEEKLY NEWS NO1 – JANUARY 2019

CE S-A FĂCUT BINE ȘI CE AR MAI FI DE FĂCUT DUPĂ UN AN DE GDPR

La 1 an de la  intrarea în vigoare a GDPR, agenția Concord Communication și GDPR Ready Initiative vă invită la un eveniment dezbatere ”GDPR Talks: Cât de pregătiți suntem la un an de la intrarea în vigoare a  noului regulament?”. Evenimentul va avea loc pe data de 21 mai 2019 la hotelul Pullman din București.

Ne apropiem vertiginos de aniversarea unui an de când discutăm despre GDPR ca despre o realitate concretă, pentru mulți un coșmar, pentru alții o oportunitate… Din câte am putut constata până acum, principalul obstacol în adoptarea proceselor GDPR nu se datorează lipsei tehnologiilor și abilităților oamenilor în domeniul securității informatice. Principalul factor de frânare este lipsa angajamentului managerial de a efectua schimbări. Atitudinea este dictată de rezistența conducerii față de schimbare. Și această atitudine nu este asociată doar cu „efectul tsunami” al GDPR. Este reacția de rezistență la orice tehnologie perturbatoare.

Mai 2018 a fost punctul de plecare pentru noile reguli care se aplica pentru protecția datelor personale. Toate organizațiile – companii, instituțiile de stat, asociații si fundații – care prelucrează date personale au adoptat noi proceduri, au investit in echipamente de securitate, in cursuri, au angajat DPO, toate pentru a fi conforme cu GDPR .

Ce am învățat din practică în această perioadă? Ce nu s-a făcut prea bine? Ce ar mai fi de făcut? Și în special, care sunt noile provocări cu care ne confruntăm? Cum se poate verifica conformitatea?  Sunt doar câteva dintre cele mai importante întrebări la care împreună cu invitații la eveniment vom încerca să găsim cele mai bune răspunsuri.

Panelurile de discuții pe care le-am gândit pentru acest eveniment vor avea ca invitați în calitate de speaker reprezentanți ai autorităților publice, asociațiilor patronale, avocați, consultanți, furnizori de soluții de securitate cibernetica sau alte servicii în domeniul tehnologiei digitale.

Împreună cu acești experții și cu participanții vor încerca să dezbatem problemele de care ne-am lovit în eforturile legate de adoptarea cerințelor de conformitate GDPR. Participanții la eveniment vor putea adresa întrebări pe tot parcursul conferinței, dar le pot transmite organizatorilor și în avans, în momentul înscrierii.

Înregistrați-vă la conferință și veți avea ocazia de a comunica direct si de a construi relații de afaceri cu oamenii care lucrează in acest domeniu. Veți putea discuta aspecte practice si mai ales, ce ar mai fi de făcut pentru conformitatea  cu legislația în domeniu, dar și cu cele mai bune practice de implementare. Veți putea aborda subiecte mai puțin discutate, pe care cursurile și alte conferințe poate nu le-au abordat.

Pe site-ul oficial al evenimentului de la adresa:  https://concordcom.ro/gdpr2019/ veți putea găsi o Agendă actualizată și deja vă puteți înregistra.

Aveți un interes special pentru GDPR? Vreți să știți ce s-a făcut bine anul ăsta și ce nu? Aveți întrebări la care nu a știut nimeni să vă răspundă? Veniți la eveniment și veți putea discuta cu cei care știu…

Nu uitați să vă marcați data în calendar și să vă înregistrați!

AICI GĂSIȚI FORULARUL DE ÎNREGISTRARE

Despre Concord Communication

Specializata in organizarea de evenimente B2B – o importanta componenta in cadrul relațiilor publice, Concord Communication a organizat pentru prima data in România evenimente private pe tema GDPR.  Pe parcursul anului 2017,  a organizat trei astfel de evenimente in cadrul cărora a dezbătut noile prevederi ale Regulamentului General de Protecție a Datelor Personale.

Gasiti in linkul de mai jos  fotografii si alte detalii despre evenimentele anterioare pe tema GDPR (derulati in jos pentru a vedea cele trei evenimente organizate de noi)

https://concordcom.ro/evenimente-trecute/protectia-datelor-personale/

Despre GDPR Ready

GDPR Ready!  este o platformă deschisă de know-how pentru toți cei preocupați de asigurarea conformității cu Regulamentul UE 679/ 2016. Pentru operatorii de date personale alinierea la cerințele GDPR presupune un proces complex, ce începe cu maparea datelor, înțelegerea fluxurilor de informații și scanarea proceselor de business. Prin GDPR Ready! aveți acces la resursele esențiale pentru înțelegerea implicațiilor noului Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică in cele mai bune condiții.

 

 

 

GDPR READY WEEKLY NEWS – No 7, March 2019

News, articles, legislation and analysis, all about data protection and cybersecurity technologies

Reports: 56% increase in the total number of complaints received by Irish data protection authority – according to the Annual Report 25 May – 31 December 2018 published by DPC

Research: Cybersecurity and risk management among top priorities for 2019 – according to research conducted by Computer Weekly/TechTarget

Data Breaches: 692,853,046 records leaked during data breaches and cyber-attacks in February 2019 – according to an IT Governance article

Guidelines: Assessing the proportionality of measures that limit the fundamental right to privacy stakeholder’s consultation launched by EDPS until 4th of April

Technology: Dublin is now Europe’s largest data hosting cluster – Capacity of Irish data centres to double in next four to five years, says the report

Graphic of the Week: A Layered Approach of Cybersecurity  

Source: The Cyber-security Hub

Reports

56% increase in the total number of complaints received by Irish data protection authority

Irish data protection authority launched this week the first annual report of the new Data Protection Commission (DPC) covering the period 25 May to 31 December 2018.

Highlights of the 2018 Annual Report include:

  • 2,864 complaints received. In total, 4,113 complaints were received in the 2018 calendar year representing a 56% increase in the total number of complaints (2,642) received in 2017.
  • 3,542 valid data security breaches notified. In total, 4,740 valid data security breaches were notified in the 2018 calendar year representing a 70% increase on the total number of valid data security breaches (2,795) recorded in 2017.
  • 136 cross-border processing complaints were received by the DPC through the new One-Stop-Shop mechanism that was lodged by individuals with other EU data protection authorities.
  • 15 statutory inquiries (investigations) were opened in relation to the compliance of certain technology companies with the GDPR.
  • 900 Data Protection Officer Notifications were received by the DPC.
  • Staffing numbers increased from 85 at the end of 2017 to 110 at the end of 2018.

Commenting on the impact the introduction of GDPR has had, the Data Protection Commissioner, Helen Dixon stated: “Although we are still in the stage of having to bust some myths and misunderstandings that have built up around the GDPR, we feel very optimistic about the improvements we will see in Ireland in personal-data-handling practices over the next few years.” READ HERE THE FULL REPORT ANNOUNCEMENT  

Research

Cybersecurity and risk management among top priorities for 2019

According to the 2019 Computer Weekly/TechTarget, IT Priorities survey cybersecurity and risk management are among the top investment priorities.

Cybersecurity and risk management (32%) is second only to IT automation (33%) in Europe, the Middle East and Africa (EMEA), followed by cloud migration (29%), when it comes to the broad initiatives 1,578 IT decision-makers in the region plan to implement, The focus on cybersecurity and risk is further underlined by the fact that budget is expected to increase in this area by 39% of EMEA respondents, while 34% expect security budgets to increase in the UK. The increased emphasis broadly on cybersecurity and risk driven by data protection concerns is also reflected in the fact that data governance is the third most highly ranked information management initiative, planned by 33% of EMEA respondents and second most highly ranked in the UK (39%).

The growing recognition by the business of the importance of application security in reducing cyber risk and improving data security is reflected in the fact that 20% of EMEA respondents and 21% in the UK plan to deploy continuous testing as a software development initiative in 2019. While security remains a key area of focus, the survey shows there has been a shift in priorities in the past year, with data loss prevention (DLP) falling from top priority in 2018 to fifth in this year’s rankings, with just 26% of EMEA respondents planning to implement DLP compared with 55% a year ago.

Topping the EMEA security initiative rankings in 2019 is email security (28%), followed by identity and access management (27%) and user security training (27%). This shift in focus shows an increased recognition of the fact that email continues to represent one of the top ways cyber attackers are compromising enterprise security and the continued importance of employees as an organisation’s first line of cyber defence. MORE ABOUT RESEARCH HERE  

Data Breaches

List of data breaches and cyber-attacks in February 2019 – 692,853,046 records leaked – according to IT Governance 

The shortest month of the year is over in a flash, but not before a significant number of data breaches and cyber-attacks could take place.

The total of leaked records in February is 692,853,046, enlarging the 2019’s total to 2,462,038,109. A simple statistic evaluation shows that’s roughly 30,000 records per minute so far this year…

Anyone is interested could subscribe to Daily Sentinel to receive daily updates on the latest data breaches and cyber-attacks

SEE A COMPLETE LIST OF CYBER ATTACKS AND DATA BREACHES HERE  

Guidelines:

Assessing the proportionality of measures that limit the fundamental right to privacy 

As the independent advisor to the EU institutions and bodies under Regulation (EU) 1725/2018 on all matters concerning the processing of personal data, the European Data Protection Supervisor ( EDPS) intends to issue Guidelines for assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data.

The Guidelines will complement the EDPS Necessity Toolkit and specify, having regard to the fundamental right to the protection of personal data enshrined under Article 8 of the Charter, the more wide-ranging guidance by the Commission and the Council to check compatibility of legislative measures with the Charter of Fundamental Rights of the European Union.

Before issuing the Guidelines in their final version, the EDPS is launching a stakeholders’ consultation on the draft version of the Guidelines, which you can find hereunder. The deadline for receiving your input is 4 April 2019.

The replies to the consultation should be sent to the Policy and Consultation Unit of the EDPS: POLICY-CONSULT@edps.europa.eu READ FULL INFO HERE  

Technology

Dublin is now Europe’s largest data hosting cluster – Capacity of Irish data centres to double in next four to five years says the report

Dublin is now Europe’s largest data hosting cluster, surpassing London with 25 per cent of the European market, according to a new report, which also shows that more than €1 billion was spent on data centres in Ireland last year.

The report from Host In Ireland, a strategic global initiative created to increase awareness of the benefits of hosting digital assets here, and Bitpower, a digital information provider, shows that there were 53 data centres in operation in the State at the end of 2018, with a capital investment spend of over €1 billion in 2018. A further spend of some €1.3 billion is expected in 2019. Ireland has become an increasingly popular location for data centres of global technology firms, with Facebook opening a facility in Clonee, Microsoft ramping up construction in Grange Castle, and Amazon Web Services building in Clonshaugh and Tallaght.

According to the report, some 16 data centres became operational over the course of 2018 with a further 28 in development, “the highest level of activity we’ve seen yet”. In total, there are 53 data centres here with “hyper-scale”, which typically have a minimum of 5,000 servers and are at least 929sq m  in size, but often much larger, accounting for 72 per cent of the market.

At the end of 2018, there were about three million square feet of data centre space in the Dublin Metro area, and according to the report, “indications are that this capacity will double in four to five years” with a spend of about €4 billion over the coming four years.

We expect 2019 to bring continued growth as Ireland continues to build its reputation”, said Garry Connolly, president and founder of Host in Ireland. Figures from the IDA show that the hosting industry had created about 2,800 jobs in Ireland as of May 2018, a figure that is expected to continue to rise.

CONSTRUIREA CULTURII GDPR ȘI REGÂNDIREA STRATEGIEI DE SECURITATE CIBERNETICĂ SUNT PILONII DE BAZĂ AI CONFORMITĂȚII GDPR

Iată un interviu publicat de revista Market Watch în primul număr din acest an. Cu ocazia ”Zilei protecției datelor” aniversată în întreaga Europă pe data de 28 ianuarie, am avut plăcerea să răspund la câteva întrebări legate de realitățile adopției GDPR după 7 luni de la intrarea în vigoare. Cum ne apropiem vertiginos de momentul ”1 an de GDPR”, iar lucrurile nu s-au schimbat prea mult de la sfârșitul lui ianuarie, redau mai jos discuția cu Mona Muscă.

La 7 luni de la data de 25 mai 2018, când legislația europeană în domeniu a devenit mai strictă, care este statusul în privința conformității cu GDPR al companiilor din România?
Privind din perspectivă regională, România nu oferă un statut special, diferit față de alte țări ale UE. Trebuie să ținem cont, bineînțeles, de specificul local legat de statutul economic și peisajul juridic, însă entitățile de afaceri din România se confruntă cu aceleași provocări cheie precum orice altă țară a UE. Ceea ce este important pentru orice verificator în privința datelor cu caracter personal este înțelegerea faptului că problematica GDPR nu ar trebui tratată ca o calamitate. Efectuând eforturi coordonate pentru a se alinia la standardele de conformitate coordonate de principiile GDPR, orice organizație ar trebui să adopte schimbările necesare în procesele de afaceri ca un motor al transformării afacerii. Și din această perspectivă apare drama. Potrivit cercetărilor mele și a unei interacțiuni permanente cu realitățile pieței, principalul obstacol în adoptarea proceselor GDPR nu se datorează lipsei tehnologiilor și abilităților oamenilor în domeniul securității informatice. Principalul factor de frânare este lipsa angajamentului managerial de a efectua schimbări. Atitudinea este dictată de rezistența conducerii față de schimbare. Și această atitudine nu este asociată doar cu „efectul tsunami” al GDPR. Este reacția de rezistență la orice tehnologie perturbatoare/disruptivă.

Confidențialitatea, integritatea și disponibilitatea datelor sunt principalele motoare ale politicilor de securitate a datelor. Credeți că se aplică după experiența din 2018?
Privind la unul dintre cele mai importante obiective ale noului Regulament al UE, conformitatea cu GDPR ar trebui să merite în primul rând din punct de vedere al drepturilor fundamentale de libertate ale oricărui cetățean al UE și sub aspectul consolidării încrederii în viața privată a datelor. Trebuie să învățăm cum să avem respect față de datele noastre, cum să le protejăm, pentru ca aceste date să ne confere libertate de mișcare în cea mai mare siguranță. Aceasta este una dintre paradigmele GDPR. Cealaltă este construirea unei culturi a datelor cu caracter personal. Un proiect de adoptare GDPR nu este o implementare IT simplă sau o actualizare a conținutului contractual pentru a se potrivi noului cadru legal. Un proiect de adoptare a GDPR ar trebui în primul rând să creeze baza pentru implementarea culturii GDPR. La fel ca în industria securității cibernetice (cybersecurity), nu am avut o soluție 100% sigură. Orice zid tehnologic nou a fost făcut să fie spart … În aceeași filozofie este practic imposibil să te consideri 100% conform GDPR. Dar pentru a te apropia mai mult de acest ideal, trebuie să construiești o cultură GDPR. Și pentru asta avem nevoie de timp. Trebuie să creăm o cultură de încredere, de confidențialitate în organizația noastră. Trebuie să educăm angajații cu privire la importanța și impactul protejării clienților, a angajaților și a informațiilor partenerilor, precum și în privința înțelegerii rolului cheie pe care îl joacă oricine, prin menținerea siguranței.

Înțeleg că înainte de orice trebuie să construim încredere …
Cam despre asta e vorba. Iar printre principalii driveri în construirea încredererii într-o cultură GDPR fiabilă sunt:
• Dacă colectați, protejați.
• Respectați măsurile de securitate rezonabile pentru a păstra informațiile personale ale persoanelor fizice în siguranță de la accesul necorespunzător și neautorizat.
• Fiți transparenți și etici în privința modului în care colectați, utilizați și distribuiți informații personale.
• Gândiți-vă la modul în care persoana individuală se poate aștepta ca datele sale să-i fie utilizate și la setările necesare pentru a-i proteja informațiile din start.
• Construiți încrederea făcând ceea ce spuneți că veți face.
• Comunicați clar și concis publicului politica dvs. de confidențialitate, publicați-o pe pagina dvs. web și actualizați Termenii și condițiile și Politicile cookie-urilor în acord cu spiritul GDPR.

Care este locul protecției datelor în cadrul strategiei de securitate cibernetică? Sunt conștienți managerii și angajații companiilor? Este omul factorul critic în această ecuație?
Transformarea esențială pe care o aduce GDPR-ul este legată de faptul că trebuie să reconsiderăm strategia de securitate cibernetică. Centrul datelor nu mai este protecția datelor. Avem nevoie de asigurarea ciclului de viață pentru întregul flux de date cu caracter personal. Trebuie să extindem eforturile noastre de protecție de la datele de business la întregul flux de date personale dintr-o companie, de la colectarea de date, procesarea simplă, stocarea locală, criptarea datelor, schimbul de date și instrumentele de comunicare, transferul datelor internaționale, până la arhivarea datelor și stocarea finală.
Rezumând, avem nevoie de soluții end-to-end. Iată diferența dintre conceptele foarte specifice ale evaluării impactului asupra vieții private (PIA – Privacy Impact Assessment) și conceptul mai amplu al evaluării impactului asupra protecției datelor (DPIA – Data Protection Impact Assessment).

Totul se referă la conformitate/compliance. Dar este acum o lume mai sigură?
„Conformitatea/compliance” este un termen folosit de 85 de ori în conținutul Regulamentului UE. Ce este cu adevărat conformitatea? În diferitele etape, controller-ul de date sau procesorul de date trebuie să demonstreze că desfășoară orice activitate legată de protecția datelor cu caracter personal, respectarea principiilor (articolul 5c.2), numirea unui RPD (articolul 37), alinierea la o analiză a riscurilor sau o DPIA (articolul 35), adoptarea protecției datelor prin proiectare (articolul 25), registrele activității de prelucrare (articolul 30) sau sistemul de gestionare a breșelor datelor (articolul 33, 34). Deci, practic, trebuie să dovedim această conformitate prin orice proces, politică sau procedură adoptată.

Ce schimbări a dus legislația privind protecția datelor la tendința spre cloud?

Aici este ceva chiar amuzant. Cloud computing-ul a fost perceput de la început ca o tehnologie perturbatoare. Acum trebuie să analizăm cât de disruptiv este GDPR pentru serviciile cloud. Vestea bună este că din punct de vedere al protecției datelor Cloud-ul nu este o problemă. Atâta timp cât termenii contractuali respectă principiile, avem o bază juridică pentru servicii, răspunderea este asumată în mod transparent, iar persoanele vizate sunt îndeajuns de informate cu privire la condițiile de procesare și stocare a datelor lor, totul fiind în concordanță.
În funcție de tipurile de servicii oferite, un furnizor de cloud poate fi considerat un procesor de date simplu (găzduire și hosting fără gestiune) sau un furnizor privat, public sau hibrid. Din punct de vedere al protecției datelor și al caracteristicilor de securitate, este binecunoscut faptul că un serviciu de cloud ar putea fi considerat o soluție de siguranță prin transferarea responsabilităților de protecție a datelor către furnizorul de servicii cloud.
Să ne reamintim că Alianța pentru Securitate în Cloud a stabilit acum doi ani un Cod de Conduită referitor la problemele de securitate a serviciilor cloud oferind furnizorilor din cloud o resursă foarte valoroasă pentru a demonstra conformitatea prin adoptarea acestui Cod de Conduită.

In piața românească care sunt cei mai importanți factori de risc legați de adoptarea GDPR?
Aici intrăm într-o zonă „50 grey shadows”. Debutul oricărui proiect de aliniere este organic legat de o decizie managerială. Nimic nu se poate face dacă managementul nu este convins de importanța subiectului. Dar înțelegerea importanței nu este totul. Conducerea trebuie să conducă activitățile, să înființeze o echipă, să delege o persoană responsabilă și, îndeosebi, să planifice resurse. Asta înseamnă să te implici. Orice analiză sau audit de afaceri, care reprezintă primul pas în realizarea unui proiect de asigurare a conformității, se referă la nivelul de implicare managerială. Sunt managerii direct implicați, participă la discuții sau deleagă o persoană de încredere care să se ocupe de tot?
Ce situații s-ar putea întâmpla de fapt? Toți pașii implementării până în prezent au fost, în majoritatea cazurilor, sub impulsul presiunii externe și rareori rezultatul convingerii reale a conducerii. Din păcate, există încă mulți manageri care consideră GDPR: o prostie, un exercițiu simplu birocratic, o amenințare cu sancțiuni uriașe care nu vor pune niciodată în pericol organizația noastră, o mulțime de bani aruncați, un mare bluf: niciunul dintre amici sau parteneri nu a făcut nimic pentru asta, și nu i s-a întâmplat nimic. Și lista ar putea continua mult și bine…

Aici poate fi citit articolul original ”Evoluția adopției GDPR la șapte luni de la lansare” publicat de Market Watch pe 14 februarie

 

GDPR READY WEEKLY NEWS – No 6, February 2019

News, articles, legislation and analysis, all about data protection and cybersecurity technologies

Guidelines: Codes of Conduct and Monitoring Bodies – The European Data Protection Board released guidelines on Codes of Conduct and certification mechanisms.

2018 Control activity results: 725 investigations were carried out by the Romanian Supervisory Authority – According to a brochure released during the official Data Privacy Day in 28th of January 2019, the Romanian Supervisory Authority published the first control activity results for 2018.

Cybersecurity: How easy is to spy on WhatsApp chats? – One Avira blog article is telling us about the silent danger shadowing in the WhatsApp messaging service.

Data Breaches: First GDPR fine in Hungary for exposing data subject’s rights – The Hungarian National Authority for Data Protection and Freedom of Information (NAIH) recently issued two decisions dealing with breaches of data protection rules set by the (‘GDPR’).

Brexit: “No deal” implication in the law enforcement sector – ICO released guidance for processing personal data in the event of a no-deal Brexit.

Data protection: 12 Types of Data That Businesses Need to Protect but Often Do Not – According to a 7wdata.be article businesses often do not adequately protect all of the information that they should be securing.

Research: CEO considered the weakest link in security measures – shows a new report from The Bunker, an UK’s cloud, and managed services and data centre provider.  

Guidelines

Codes of Conduct and Monitoring Bodies

The GDPR does not introduce a right to or an obligation of certification for controllers and processors; as per Article 42(3), certification is a voluntary process to assist in demonstrating compliance with the GDPR.

Member States and supervisory authorities should encourage the establishment of certification mechanisms and have to determine the engagement in the certification process and lifecycle These guidelines are limited in scope; they are not a procedural manual for certification in accordance with the GDPR.

The primary aim of these guidelines is to identify overarching criteria that may be relevant to all types of certification mechanisms issued in accordance with Articles 42 and 43 of the GDPR. To this end, the guidelines:

  • explore the rationale for certification as an accountability tool;
  • explain the key concepts of the certification provisions in Articles 42 and 43;
  • explain the scope of what can be certified under Articles 42 and 43 and the purpose of certification.

The GDPR allows for a number of ways for the Member States and supervisory authorities to implement Articles 42 and 43. The guidelines provide advice on the interpretation and implementation of the provisions in Articles 42 and 43 and will help the Member States, supervisory authorities and national accreditation bodies establish a more consistent, harmonised approach for the implementation of certification mechanisms in accordance with the GDPR. DOWNLOAD THE GUIDELINES HERE  

Control activity results in 2018

During the year 2018, a total of 725 investigations were carried out by the Romanian Supervisory Authority

Source: Romanian Supervisory Authority

According to a brochure released during the official Data Privacy Day in 28th of January 2019, the Romanian Supervisory Authority published the first control activity results for 2018.

During this period, the Supervisory Authority received a total number of 5020 of complaints and intimations. Out of these, 3064were received starting with the 25th of May 2018, the date from which the provisions of Regulation (EU) 2016/679 become applicable.

The main areas covered by the complaints and intimations received by the Supervisory Authority in 2018 were:

  • video surveillance by different entities
  • receiving unsolicited commercial messages by telephone, email or SMS
  • the disclosure of personal data over the Internet
  • violation of the rights provided by Regulation (UE) 2016/679
  • data reporting to “Biroul de Credit”
  • violation of security and confidentiality measures of personal data processing by not implemented by the data controllers the appropriate technical and organisational measures in order to ensure the security of the processing
  • non-compliance with the privacy by design/privacy by default principles by certain entities within the framework of the processing (in the case of online applications)
  • non-observance of the conditions for consent in the online environment
  • non-observance of the legal conditions for the uses of cookies

Also, according to the same brochure, during the year 2018, a total of 725 investigations were carried out both in writing and in situ, and the total amount of the sanctions with a fine applied during the same period is 631500 Romanian Lei. Furthermore, after the 25th of May 2018, in order to comply with the provisions of Article 33 of the GRPR, the data controllers have submitted a number of309 notifications of the personal data breach (security breaches). DOWNLOAD THE BROCHURE HERE

Cybersecurity

How easy is to spy on WhatsApp chats?

Avira blog article is telling us about the silent danger shadowing in the WhatsApp messaging service. If you want to share your little secrets with friends be extremely careful.

Around 1.2 billion people globally share intimate details and business secrets service each day. Anyone could penetrate the WhatsApp chats without any hacking knowledge. Here are some ways to do this:

Using a spying app – thousands of commercial monitoring services are popping up on the internet. These can help hobbyist spies keep tabs on everything that’s happening on target smartphones in one fell swoop – including entire WhatsApp chat histories. In addition, they can even gain access to incoming, outgoing, and even missed calls, the calendar, photos, location histories, and lots more besides – everything beautifully presented and accessible online.

Using the official WhatsApp app – Being also available for computers, is apparently easy to abuse this service for spying purposes each time the victim’s smartphone connects to the home Wi-Fi network.

Adopting hacker methods – the WhatsApp snoop pretends to hold the intended victim’s smartphone. But what’s actually happening is that this person is using special apps to swap their device’s MAC address with the target’s smartphone MAC address. While it sounds complicated, the whole thing is relatively easy to achieve when it’s being done within the close circle of family or friends. READ FULL ARTICLE HERE  

Data Breaches

First GDPR fine in Hungary for exposing data subject’s rights

The Hungarian National Authority for Data Protection and Freedom of Information (NAIH) recently issued two decisions dealing with breaches of data protection rules set by the European General Data Protection Regulation (‘GDPR’).

The subsequent investigations led to the levy of a fine of EUR 3,135 against one company. These are the first cases in which the NAIH considered the imposition of fines. Both procedures were conducted at the request of the data subjects, and the identities of the companies were not released. In one of the case, an individual visited the infringing company’s office and asked to inspect certain documents related to a dispute.

The company refused the request, and the individual requested a copy of relevant CCTV recordings as evidence in the litigation. The company refused the request, arguing that the recordings did not support the individual’s claims, but only proved that he was present in a given place at a given time.

After reviewing this case, the NAIH found that the company infringed the individual’s access rights, and clarified the following principles on the right to access:

  • the data controller cannot request any justification from an individual making a data request;
  • the data controller is not in a position to determine whether the required data would be necessary for the individual’s litigation purposes.

The NAIH imposed a fine of HUF 1,000,000 (EUR 3,135) against the company, which represents 6.5 % of its annual net sales revenue and considered the following circumstances when determining the amount of the fine: According to a lexology.com article Hungarian rules on CCTV operation are currently not in line with the GDPR, and stipulate that if an individual requests a data controller not to delete a CCTV recording, he must prove that the recording affects his rights or legal interests. This provision violates the GDPR, and cannot apply.

As a result, Hungarian companies are advised to update their subject access rights (SAR) procedures to reflect the GDPR. MORE ABOUT THIS HERE  

Brexit:

“No deal” implication in the law enforcement sector

ICO released guidance for processing personal data in the event of a no-deal Brexit. 

This checklist highlights five steps law enforcement authorities can take to prepare for data protection compliance if the UK leaves the EU without a deal.

This guidance is for ‘competent authorities’ processing personal data for law enforcement purposes under Part 3 of the Data Protection Act 2018 (DPA 2018). The relevant law enforcement processing regime in Part 3 of the DPA 2018 will continue to apply after the UK will leave the EU.

Therefore, the best preparation is to ensure compliance with the DPA 2018 MORE ABOUT THIS HERE  

Data protection

12 Types of Data That Businesses Need To Protect But Often Do Not

According to a 7wdata.be article businesses often do not adequately protect all of the information that they should be securing. $400 billion per year are espionage hacking costs in the United States, estimated the Office of the Director of National Intelligence in November 2015.

Security professionals commonly discover that many businesses that, in fact, do expend significant resources on information security often neglect to adequately shield some of their data that should be better protected. Some examples here:

While most people realize that payroll data and other records containing personal information must be protected, many folks neglect to afford proper protection for communications regarding performance on projects and other materials that could be highly damaging to a firm if they leak. Such HR-related information may exist in all sorts of formats, and hackers can exploit it to social engineer their way into an Organization.

Also, consider the damage to morale and staff productivity if HR data leaks – such adverse effects are often christened “indirect damage,” but, direct or not, they can certainly be quite costly to a company’s top and bottom lines.

Furthermore, when a business sees to hire new people, how many stars will want to join a firm that they know has leaked private information about prior employees? Many organizations that spend a lot to protect data, neglect to adequately protect the same information when it is stored in backups.

Organizations must address the risk of data on employees’ and contractors’ flash drives, memory cards, smartphones, home computers, and all sorts of other devices that can store information. Many firms do so only in part. READ FULL ARTICLE HERE  

Research

CEO considered the weakest link in security measures

Shows a new report from The Bunker, a UK’s cloud managed services and data centre provider. The report concluded that senior executives are still often the weakest link in the corporate cybersecurity chain and that cybercriminals target this vulnerability to commit serious data breaches.

According to the white paper, “Are You the Weakest Link? How Senior Executives Can Avoid Breaking the Cybersecurity Chain”, many senior executives ignore the threat from hackers and cybercriminals and often feel that security policies in their respective organisations do not apply to their unique position.

“Many businesses assume that a cloud-hosted service, such as Office 365, comes with automatic back-up and security provisions. Unfortunately, it does not,” said Phil Bindley, Managing Director, The Bunker. “Unless stated and agreed, vendors do not guarantee complete system security or data backup as standard, so organisations need to be careful and have a full understanding of the SLAs in place. We advise people to replace the word ‘cloud’ with ‘someone else’s computer’, to get a better perspective of the risks that need to be mitigated when deploying a cloud-based service”.

All employees -especially those at the top of the corporate ladder- need to realise that cybercriminals use social engineering, email phishing and malware to access personal accounts, and C-level staff especially need to avoid becoming the weakest link in the cybersecurity chain by adhering to regularly updated, company-wide security policies regarding data sharing and backup.

“Reviewing corporate policies, with a focus on people, premises, processes, systems and suppliers will provide valuable insights into which areas to improve, and by championing a ‘security first’ corporate culture, organisations and their senior executives will be well positioned to avoid the high financial costs, reputational damage and unexpected downtime that could result from a cyberattack or data breach,” concluded Phil Bindley.  DOWNLOAD A FREE COPY OF THE WHITE PAPER