ANALIZA GDPR READY: POLITICILE DE PE WEBSITE CA IMAGINE PUBLICĂ A CONFORMITĂȚII

Transparența este unul dintre principiile fundamentale în protecția datelor personale. Fiecare dintre noi are dreptul să înțeleagă cum sunt prelucrate datele noastre personale, cum sunt folosite sau partajate. În acest fel, putem să luăm decizii mult mai informate despre ce putem face cu datele noastre. Prin publicarea politicilor publice pe un website, o companie poate face dovada clară a transparenței în prelucrarea datelor personale, asumându-și și dovedind responsabilitatea și obținând o etichetă de încredere pentru tot ecosistemul de business de care aparține.  

PREMISELE ANALIZEI DE CONFORMITATE

Politica de confidențialitate – În secţiunea 1: Transparenţă şi modalităţi, din GDPR,  Art. 12: Transparenţa informaţiilor, a comunicărilor şi a modalităţilor de exercitare a drepturilor persoanei vizate indică foare clar că ”Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la articolele 13 şi 14 şi orice comunicări în temeiul articolelor 15-22 şi 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă,utilizând un limbaj clar şi simplu, în special pentru orice informaţii adresate în mod specific unui copil.”

Orice organizație care păstrează un site Web ar trebui să publice o declarație de confidențialitate / o notificare pe site-ul web. Un link către această declarație / notă de confidențialitate trebuie să fie vizibil în mod clar pe fiecare pagină a acestui site, sub un termen folosit în mod obișnuit (cum ar fi “Confidențialitate”, “Politica de confidențialitate” sau “Notificare privind protecția datelor”).

În Preambulul 60 sunt descrise tipurile de informații care trebuie communicate persoanei vizate, și care sunt reluate apoi pe larg în Art.13 și Art.14. ”Conform principiilor prelucrării echitabile şi transparente, persoana vizată este informată cu privire la existenţa unei operaţiuni de prelucrare şi la scopurile acesteia. Operatorul ar trebui să furnizeze persoanei vizate orice informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă, ţinând seama de circumstanţele specifice şi de contextual în care sunt prelucrate datele cu caracter personal. În plus, persoana vizată ar trebui informată cu privire la crearea de profiluri, precum şi la consecinţele acesteia. Atunci când datele cu caracter personal sunt colectate de la persoana vizată, aceasta ar trebui informată, de asemenea, dacă are obligaţia de a furniza datele cu caracter personal şi care sunt consecinţele în cazul unui refuz.”

Articolele 13 și 14 din GDPR ne explică toate informațiile pe care trebuie să le dăm persoanelor individuale în momentul în care le colectăm informațiile personale sau la scurtă vreme după ce am intrat în posesia acestora într-o manieră indirectă. Pentru a face lumină în aceste lucruri, Grupul de Lucru Articolul 29 (WP29) a publicat în noiembrie 2017 un ghid dedicat politicilor de asigurare a transparenței pe care l-a revizuit în aprilie 2018.

Termenii & Condițiile  O altă latură a transparenței, de data asta nu doar pentru datele personale, este prezența paginii care descrie Termenii și Condițiile de utilizare a site-ului pentru vizitatori. Termenii și Condițiile reprezintă acordul prin care utilizatorii site-ului sunt informați despre regulile, termenii și regulamentele pe care trebuie să le urmeze pentru a utiliza și accesa un website. Deși nu este impusă de legi în present, prin pagina de Termeni și Condiții pot fi menținute drepturile de a exclude anumiți utilizatori care ar putea să creeze probleme abusive pe site sau să nu respecte regulile stabilite.

Există cinci motive pentru care este necesară o pagină cu Termeni și Condiții:

  • Prevenirea abuzurilor – în cazul problemelor legate de spamuri, comportamente abusive, activități necontolate care pot atrage reacții de defăimare. Fără Termeni și Condiții, nu există autoritatea de a suspenda sau de a interzice utilizatorii care afișează tendințe problematice.
  • Protejarea conținutului – orice proprietar de site deține logo-ul, conținutul și designul site-ului. Termenii și Condițiile informează utilizatorii despre acest fapt și împiedică deturnarea de proprietate intelectuală.
  • Dreptul de anulare a conturilor – în timp ce rezilierea poate fi implicită în alte clauze, un drept distinct evidențiat în Termeni și condiți de a anula conturile este mai bun.
  • Limitarea răspunderii – Termenii și condițiile limitează, de asemenea, cauzele acțiunilor pe care utilizatorii pot încerca să le utilizeze împotriva site-ului. Aceste limite privind răspunderea pot să abordeze erori în ceea ce privește conținutul sau oprirea sistemului. Practic, termenii explică faptul că utilizatorii își asumă aceste riscuri atunci când se înscriu pe site și nu puteți fi trași la răspundere pentru eventualele pierderi pe care le suportă în aceste evenimente.
  • Aviz de lege aplicabil – Dacă compania este situată în Romania, este îndoielnic că doriți să participați la o procedură de arbitraj în California sau Singapore. Aici intră secțiunea privind legea aplicabilă: se declară competența termenilor și se indică unde are loc orice soluționare a litigiilor.

Politica de Cookies – În prezent nu există în Uniunea Europeană o legislație dedicată care să vizeze în exclusivitate politica de cookies. Există un set de legi, recomandări și considerații care vizează modul în care pot fi utilizate cookies. Ele se aplică tuturor statelor membre ale Uniunii Europene, iar site-urile Web din afara UE trebuie să se alinieze la aceasta dacă se adresează persoanelor din statele membre. În lipsa unei legislații explicite, condițiile de utilizare pentru cookies sunt reglementate de Directiva nr. 58/ 2002, actualizată în 2009 cunoscută ca ”ePrivacy”, care este transpusă în țara noastră prin Legea 506 din 2004, actualizată prin Legea 235 din 2015, privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice.

Până la apariția GDPR  conformitatea cu această lege însemna o declarație plasată în partea de jos sau în partea de sus a site-ului, care permite utilizatorului să știe ce fel de module cookie sunt utilizate. Cei mai mulți dintre noi suntem familiarizați cu faimoasa expresie: “Prin utilizarea acestui site web, acceptați politica noastră de cookie-uri” sau ceva similar. Această informare este utilă dar în ce măsură ne oferă o alternativă? GDPR își propune să schimbe acest lucru, oferind utilizatorilor o posibilitate de alegere reală și informată.

Ce spune ePrivacy despre Cookies – Art. 5 (3) din ePrivacy impune consimțământul în prealabil în cunoștință de cauză privind stocarea sau accesul la informațiile stocate pe echipamentul terminal al utilizatorului. Cu alte cuvinte, utilizatorii trebuie întrebați dacă sunt de acord cu cele mai multe cookie-uri și tehnologii similare (de exemplu, beaconuri web, cookie-uri Flash etc.), iar acordul acestora trebuie obținut înainte ca site-ul să înceapă să le utilizeze.

Utilizatorii trebuie Informați despre utilizarea cookie-urilor în limbaj simplu, lipsit de jargon, într-o pagină dedicată “Politica de cookies”, la care se ajunge de la un popup sau de la bara de instrumente a șabloanelor standard. Această pagină ar trebui să explice:

  • de ce se utilizează cookie-urile (pentru a reaminti acțiunile utilizatorilor, a identifica utilizatorii, a colecta informații despre trafic etc.)
  • dacă cookie-urile sunt esențiale pentru funcționarea site-ului web sau pentru o anumită funcționalitate sau dacă vizează îmbunătățirea performanței site-ului web
  • tipurile de cookie-uri utilizate (de exemplu, sesiune sau permanent, prima sau terță parte) care controlează / accesează informațiile referitoare la modulele cookie (site sau terță parte)
  • că aceste cookies nu vor fi utilizat în alte scopuri decât cele indicate
  • modul în care utilizatorii pot retrage consimțământul.

Ce spune GDPR despre Cookies – Principala cauză a neconcordanțelor legate de Politica de Cookies este faptul că Regulamentul 679 consideră idetificatorii IP ca date personale, ceea ce Directiva 58 nu prevedea. Asta face ca proprietarii de site-uri să fie nevoiți să aibă o mare bătaie de cap în plus, legată de asigurarea cerințelor de conformitate pentru achiziția și retenția de IP-uri.

În GDPR, singurul loc unde sunt menționate în mod explicit cookie-urile este Considerentul 30 care prevede: ”Persoanele fizice pot fi asociate cu identificatorii online furnizaţi de dispozitivele, aplicaţiile, instrumentele şi protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alţi identificatori precum etichetele de identificare prin frecvenţe radio. Aceştia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici şi alte informaţii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice şi pentru identificarea lor.”

Ideea este relativ simplă: cookie-urile pot fi folosite pentru a identifica în mod unic o persoană, prin urmare ar trebui tratate ca date personale. Acesta va afecta acei identificatori utilizați pentru analiză, publicitate, dar și pentru acelea utilizate pentru servicii funcționale cum ar fi chat-urile și sondajele.

Ce trebuie să se schimbe?  Utilizatorii trebuie să aibă posibilitatea de A ALEGE. Faptul că navighează pe un site Web nu înseamnă că sunt de acord cu toate cookie-urile. Tipul de frază folosit în acest moment este abia suficient de informativ și, desigur, nu oferă o alegere. Oricine ar fi proprietar al site-ului nu va putea să-i constrângă pe utilizatori să accepte cookie-uri în schimbul accesului la informații.

Ca orice alt consimțământ în cadrul GDPR, consimțământul pentru cookie-uri trebuie să fie o acțiune AFIRMATIVĂ CLARĂ. Un exemplu este să faceți clic pe o casetă de înscriere sau să alegeți setările din meniu. Utilizatorii trebuie să fie atenți să nu aibă casete pre-bifate pe formularul de consimțământ!

Să NU UITĂM DE OPT-OUT. GDPR afirmă în mod clar că orice subiect de date ar trebui să poată retrage consimțământul la fel de ușor cum l-a dat. In cazul noii politici de cookie acest lucru impune ca orice utilizator sa poată revoca consimțământul prin același tip de acțiune ca atunci când și-au dat consimțământul. De exemplu, dacă pentru obținerea consimțământului se dă un click pe o casetă, aceeași modalitate trebuie oferită pentru revocarea acordului prin inserarea unui buton de REJECT.

Notele de confidențialitate – Revenind la obligativitatea publicării unei Politici de confidențialitate, orice fereastră, pop-up, formular, chestionar sau caseta de comentarii de pe un site public trebuie să includă o notificare prin care utilizatorul este informat despre modul în care vor fi folosite datele sale personale pe care le furnizează în acel mod, cu trimitere la credențialul de confidențialitate unde se dat toate explicațiile impuse de Art.13 și Art.14.

GDPR stabilește standarde mai ridicate pentru obținerea consimțământului decât legislația anterioară. Persoanele fizice trebuie să înțeleagă în mod clar și fără echivoc ceea ce sunt de acord – astfel încât notificările trebuie să fie pur și simplu articulate și specifice – iar acordul trebuie să fie dat sub forma unei acțiuni clare afirmative din partea persoanei vizate. În termeni practici, aceasta înseamnă a cere un “opt-in” pozitiv și, de asemenea, înseamnă că utilizarea cutiilor pre-bifate nu ar trebui să fie utilizată.

Cele mai frecvente greșeli care apar pe site-uri sunt legate de lipsa acestor notificări, preferându-se banalele formule de autentificare de tipul ”Nu sunt robot” , ”1+2=…” sau Captcha. Puținele siteuri care pun o notiță legată de prelucrarea datelor personale captate pe site mai fac o greșeală solicitând utilizatorului înainte de a apăsa butonul se subsciere sau de trimitere a datelor pesonale acordul pentru politica de confidențialitate. Mai multe exemplificări legate de aceste erori de utilizare vor fi prezentat în capitolul de prezentare a rezultatelor Analizei de Conformitate. 

ASPECTE METODOLOGICE

Analiza de conformitate GDPR a politicilor publice de pe paginile de Internet, a constat în studierea unui număr sufiecient de mare de site-uri, încât să fi îndeplinite condițiile optime de analiză statistică, pe un eșantion cât mai reprezentativ.

Studiul de conformitate s-a bazat pe două tipuri de analiză:

  • O analiză generală preponderent calitativă pe un număr de 450 de site-uri, care a urmărit modul în care pe site-urile care au constituit obiectul cercetării se regăsesc politicile publice ale organiației (deținătorului, : politica de prelucrare a datelor personale (sau Privacy Policy, Politică confidențialitate, etc), pagină dedicată Termenilor și Condițiilor actualizată la GDPR, o pagină dedicată Politicii de Cookies, prezența notificărilor de confidențialitate asociate oricărei formă de colectare a datelor personale ale vizitatorului web, prezența formularelor de adresare a solicitărilor de acces la datele personale, precum și prezența informațiilor de contact ale DPO.
  • O analiză de detaliu, cantitativ- calitativă a prezenței și calității conținutului politicilor publice , cu considerarea informațiilor minime obligatorii care trebuie să apară în aceste declarații de conformitate.

ANALIZĂ CALITATIVĂ – Eșantionul de cercetare este format din cca 450 de site-uri, alese pe diferite criterii precum:

– ACUITATE – este nevoie de un număr suficient de mare de site-uri pentru asigurarea unor prelucrări statistice de bună calitate;

– REPREZENTATIVITATE – site-urile aparțin unor companii publice și private din diferite zone de activitate, astfel încât rezultatele să poată fi considerate acoperitoare pentru toate verticalele;

– LEADERSHIP – pentru fiecare dintre domeniile de activitate avute în vedere au fost selectate companiile care s-au remarcat prin rezultatele obținute. Cele 100 de companii din Top Profitabilitate analizate în Studiul de detaliu sunt incluse și în această analiză contitativă;

– RESPONSABILITATE – s-au urmărit site-uri din toate domeniile care pot implica un nivel crescut de responsabilitate prin numirea unui DPO sau obligativitatea efectuării unei analize de impact – conform listei de activități prezentă în Decizia 174 octombrie 2018, Art. 1, Alin a – g.

Analiza calitativă s-a bazat pe evaluarea conținutului publicat pe site-urile din eșantionul studiat, pe baza unor criterii de analiză, cărora li s-a atribuit ponderi diferite, în funcție de importanța aspectului urmărit.

O descriere a criteriilor utilizate la această analiză se poate citi în Broșura Analiza Conformitate Politici Publice Website – 8 pag. disponibilă în format electronic.

ANALIZĂ DE DETALIU  – Eșantionul de cercetare este format din cca 150 de site-uri, alese pe criteriul apartenenței la Topul primelor 100 de companii din România după Profitabilitate pe anul 2017, realizat și publicat de revista Capital, pe baza rezultatelor declarate la Registrul Comerțului (Capital, EXCLUSIV TOP 100 cele mai profitabile companii din România, Iulie 2018). Încă 50 de site-uri au fost selectate pe criterii de rezultate în business, în funcție de rezultatele prezentatele la Registrul Comerțului.  

Scopul, ușor de ghicit, al Analizei GDPR Ready este acela de a vedea în ce măsură companiile de top din România au găsit resursele necesare pentru asigurarea alinierii a noul Regulament 679/ 2016, iar paginile de web care  conțin politicile publice ale organizației reprezintă cea mai elocventă carte de vizită pentru stadiul de conformitate în care se găsește o companie de top.

Analiza de detaliu s-a bazat pe evaluarea conținutului publicat pe site-urile din eșantionul studiat, pe baza unor criterii de analiză, cărora li s-au atribuit ponderi diferite, în funcție de importanța aspectului urmărit. O parte dintre aceste criterii, referitoare la prezența pe site a diferitelor politici și la forma de prezentare, conținut, accesibilitate și formatul barei de cookies sunt aceleași ca cele folosite în analiza calitativă. Diferențele apar la analiza specifică pentru fiecare dintre politici (Confidențialitate, Termeni & Condiții, Cookies), unde în benchmarckul utilizat s-au avut în vedere toate criteriile obligatorii prin care persoanele vizate sunt înștiințate de modul în care sunt procesate datele lor personale, așa cum se arată clar în Art.13 și 14 din GDPR.

O descriere a criteriilor utilizate la această analiză se poate citi în Broșura Analiza Conformitate Politici Publice Website – 8 pag. disponibilă în format electronic.

REZULTATE

Iată o redare succintă a rezultatelor obținute în urma celor două tipuri de analiză

ANALIZA CALITATIVĂ

Unul dintre obiectivele vizate de aveastă analiză care a studiat 450 de site-uri a fost evaluarea generală a prezenței politicilor publice pe website. Cele șase tipuri de politici studiate au fost analizate din perspectiva prezenței pe site-urile web, criteriile de apreciere fiind prezența, absența și prezența parțială sau incompletă – de exemplu, notificările specifice unei politici sunt descrise în alte pagini decât cele dedicate. Ce este de subliniat aici?

  • Doar 63% dintre site-uri au o Politică de Confidențialitate
  • 31% nu au o astfel de politică, deci nu se aliniază principiului de transparență privitor la protecția datelor personale
  • Doar 40% dintre siteuri au o pagină de Termeni & Condiții, deși aceasta ar trebui să se regăsească pe orice site public și nu are legătură directă cu GDPR.
  • Doar 60% dintre siteurile studite au o politică de cookies afișată, dintre care 14% incompletă
  • 79% dintre site-uri nu au o notă de confidențialitate deși colectează date personale depe site
  • Doar 8% dintre site-uri oferă posibilitatea descărcării unor formulare pentru solicitările de acces la datele personale.
  • Doar 55% dintre site-uri oferă o adresă de corespondență pentru probleme GDPR, fie că au un DPO dedicat sau nu.    
Figura 1: PREZENȚA POLITICII PE WEBSITE

Analiza pe verticale industriale ne oferă o imagine de ansamblu asupra domeniilor de activitate în care există preocupări legate de actualizarea politicilor publice de pe website. Pentru histograma analizei pe v erticale s-au ales principalele industrii de care aparțin cele 450 de site-uri studiate și o medie a procentajului de conformitate pentru toate site-urile care țin de industria respectivă.

Câteva comentarii ale rezultatelor:

  • Nivelul mediu de conformitate cel mai ridicat poate fi regăsit în industriile de utilități, telco, retail – hypermarket, farmaceutice și cosmetice și industria auto.
  • La polul opus, și asta e destul de trist, se regăsesc domenii care prin natura activității lor sunt obligate să aibă un DPO: administrația publică (primării), educație (școli, colegii, universități), sănătate (spitale, clinici) și guvernare (ministere și organizații tutelate)
  • medie de conformitate surprinzător de mică 36% a reieșit pentru companiile din industria IT, care au avut o populație destul de mare (121 site-uri).
Figura 2: TOP VERTICALE VALORI MEDII PE INDUSTRIE

ANALIZA DE DETALIU

O apreciere generală pentru cele 150 de site-ui studiate în detaliu se referă la prezența politicilor cumulată cu criterii de vizibilitate, accesibilitate și conținut al politicilor. Nivelul de conformitate este apreciat procentual și clasificat ca nivele de conformitate Slab (sub 25%), Mediu (25% – 75%) și Bun (peste 75%)

In timp ce 4% dintre organizațiile analizate nu au un website funcțional , 13% nu au deloc politici, 14% au conformitate slabă, 53% medie și doar 17% au un nivel satisfăcător de conformitate. 

Figura 3: APRECIERE GENERALĂ

Un alt obiectiv al analizei de detaliu a fost evaluarea pe politici a criteriilor de conformitate prezentate la capitolul de metodologie:

Din perspectiva Confidențialității, doar 21% dintre cele 150 site-uri au un nivel mulțumitor de conformitate, în timp ce 51% au un nivel mediu, 13% insufic ient, iar 15% nu au de loc o Politică de Confidențialitate.

Privitor la paginile dedicate Termenilor și Condițiilor, doar 14% au un nivel de conformitate mulțumitor, 42% unul mediu, 25% o conformitate slabă, iar 19% nu au de loc Termeni și Condiții.

La analiza Politicilor de Cookies, reiese că doar 3% dintre site-uri au un nivel de conformitate acceptabil, 33% unul mediu, 44% unul nemulțumitor, iar 23% dintre site-uri nu au cookies.

Figura 4: STADIU CONFORMITATE POLITICI

În fine, cele 114 site-uri care au cookies, au fost analizate din perspectiva conformității cu regulile GDPR de obținere a consimțământului, modul de afișare și conținutul barelor de cookies, prezența sau nu a unor casete de acceptare predefinite, precum și prezența unei casete de REJECT alături de cea de ACCEPT. Rezultatele sunt sintetizate în Figura 5.

Figura 5: BARA COOKIES

GREȘELI  FRECVENTE

Printre cele mai frecvente greșeli întâlnite pe parcursul acestei Analize de conformitate se numără:

  • Omitere descriere drepturi, obligatorie în orice informare a persoanelor vizate
  • Neactualizare conținut Politică Confidențialitate  – Sunt multe site-uri unde politica respectivă face trimitere la Legea 677/ 2001 sau pe Site este afișat mesajul: ”Compania noastră este Operator de date personale înregistrat în Registrul național cu Nr…….”
  • Lipsă/ Neactualizare Termeni & Condiții
  • Lipsă barei de Cookies deși pe site este prezentă o Politică de cookies
  • Obligativitatea Acceptării utilizării de cookies ca o condiționare a continuării pe site
  • Prezența unui meniu granular de acceptare a diferitelor categorii de cookies cu casete Prebifate
  • Lipsa posibilității de  Opt-aut la acceptarea utilizării de cookies: 92% dintre site-urile care au o politică de cookies.
  • Bara de cookies este plasată în așa fel încât maschează prezența celorlalte politici, de regulă la partea inferioară a site-ului.

CONCLUZII

Lipsa preocupărilor legate de publicarea sau actualizarea Politicilor Publice de pe Website poate fi o constatare îngrijorătoare și o radiografie transparentă a modului în care organizațiile din România sunt dispuse să învestească în alinierea la GDPR.

Prezența acestor politici pe site reprezintă o carte de vizită, o declarație publică a preocupărilor companiei pentru conformitate și asumarea responsabilității.

Politicile publice de pe website nu reprezintă decât partea care se vede din ceea ce poate fi numit un proiect de asigurare a conformității GDPR. Este greu de crezut că o organizație care nu e preocupată de imaginea sa publică se poate apropia de un nivel de conformitate acceptabil în privința proceselor, procedurilor și politicilor applicate pe plan intern.

DESPRE ANALIZA DE CONFORMITATE A POLITICILOR PUBLICE DE PE WEBSITE

Un proiect de cercetare conceput și realizat de GDPR READY. Toate drepturile rezervate.

Cei interesați pot solicita Broșura Analiza Conformitate Politici Pubice Website – 8 pag. disponibilă în format electronic.

Cei interesați de servicii de Audit Politici Website sunt rugați să completeze formularul de Contact: Pachetul de servicii include:

  • Audit politici existente
  • Recomandări conținut & formă Politici
  • Analiza în raport cu alte site-uri din același domeniu de business
  • Analiza concurențială pe verticale industriale
  • Integrarea Politicilor Publice în Cultura GDPR a organizației
  • eBook Analiza Conformitate Politici Pubice Website – 20 pag.

 

SOLICITARE BROȘURĂ ANALIZA CONFORMITATE SI/ SAU SERVICII AUDIT POLITICI PUBLICE WEBSITE

Cei interesați de Broșura Analiza Conformitate Politici Publice Website sunt rugați să completeze rubrica dedicată din formularul de mai jos. Veți primi Broșura prin e-mail

Cei interesați de oferta de Servicii de Audit Conformitate Politici Website sunt rugați să completeze rubrica dedicată din formularul de mai jos. Veți fi contactați prin e-mail

Nota Confidentialitate: Completand acest formular va dati acordul pentru a fi contactati in scopurile menționate. Datele Dvs. personale incluse in acest formular vor fi prelucrate doar in scopul comunicării pentru care au fost solicitate. Citiți Politica de Confidentialitate.

Advertisements

CE S-A FĂCUT BINE ȘI CE AR MAI FI DE FĂCUT DUPĂ UN AN DE GDPR

La 1 an de la  intrarea în vigoare a GDPR, agenția Concord Communication și GDPR Ready Initiative vă invită la un eveniment dezbatere ”GDPR Talks: Cât de pregătiți suntem la un an de la intrarea în vigoare a  noului regulament?”. Evenimentul va avea loc pe data de 21 mai 2019 la hotelul Pullman din București.

Ne apropiem vertiginos de aniversarea unui an de când discutăm despre GDPR ca despre o realitate concretă, pentru mulți un coșmar, pentru alții o oportunitate… Din câte am putut constata până acum, principalul obstacol în adoptarea proceselor GDPR nu se datorează lipsei tehnologiilor și abilităților oamenilor în domeniul securității informatice. Principalul factor de frânare este lipsa angajamentului managerial de a efectua schimbări. Atitudinea este dictată de rezistența conducerii față de schimbare. Și această atitudine nu este asociată doar cu „efectul tsunami” al GDPR. Este reacția de rezistență la orice tehnologie perturbatoare.

Mai 2018 a fost punctul de plecare pentru noile reguli care se aplica pentru protecția datelor personale. Toate organizațiile – companii, instituțiile de stat, asociații si fundații – care prelucrează date personale au adoptat noi proceduri, au investit in echipamente de securitate, in cursuri, au angajat DPO, toate pentru a fi conforme cu GDPR .

Ce am învățat din practică în această perioadă? Ce nu s-a făcut prea bine? Ce ar mai fi de făcut? Și în special, care sunt noile provocări cu care ne confruntăm? Cum se poate verifica conformitatea?  Sunt doar câteva dintre cele mai importante întrebări la care împreună cu invitații la eveniment vom încerca să găsim cele mai bune răspunsuri.

Panelurile de discuții pe care le-am gândit pentru acest eveniment vor avea ca invitați în calitate de speaker reprezentanți ai autorităților publice, asociațiilor patronale, avocați, consultanți, furnizori de soluții de securitate cibernetica sau alte servicii în domeniul tehnologiei digitale.

Împreună cu acești experții și cu participanții vor încerca să dezbatem problemele de care ne-am lovit în eforturile legate de adoptarea cerințelor de conformitate GDPR. Participanții la eveniment vor putea adresa întrebări pe tot parcursul conferinței, dar le pot transmite organizatorilor și în avans, în momentul înscrierii.

Înregistrați-vă la conferință și veți avea ocazia de a comunica direct si de a construi relații de afaceri cu oamenii care lucrează in acest domeniu. Veți putea discuta aspecte practice si mai ales, ce ar mai fi de făcut pentru conformitatea  cu legislația în domeniu, dar și cu cele mai bune practice de implementare. Veți putea aborda subiecte mai puțin discutate, pe care cursurile și alte conferințe poate nu le-au abordat.

Pe site-ul oficial al evenimentului de la adresa:  https://concordcom.ro/gdpr2019/ veți putea găsi o Agendă actualizată și deja vă puteți înregistra.

Aveți un interes special pentru GDPR? Vreți să știți ce s-a făcut bine anul ăsta și ce nu? Aveți întrebări la care nu a știut nimeni să vă răspundă? Veniți la eveniment și veți putea discuta cu cei care știu…

Nu uitați să vă marcați data în calendar și să vă înregistrați!

AICI GĂSIȚI FORULARUL DE ÎNREGISTRARE

Despre Concord Communication

Specializata in organizarea de evenimente B2B – o importanta componenta in cadrul relațiilor publice, Concord Communication a organizat pentru prima data in România evenimente private pe tema GDPR.  Pe parcursul anului 2017,  a organizat trei astfel de evenimente in cadrul cărora a dezbătut noile prevederi ale Regulamentului General de Protecție a Datelor Personale.

Gasiti in linkul de mai jos  fotografii si alte detalii despre evenimentele anterioare pe tema GDPR (derulati in jos pentru a vedea cele trei evenimente organizate de noi)

https://concordcom.ro/evenimente-trecute/protectia-datelor-personale/

Despre GDPR Ready

GDPR Ready!  este o platformă deschisă de know-how pentru toți cei preocupați de asigurarea conformității cu Regulamentul UE 679/ 2016. Pentru operatorii de date personale alinierea la cerințele GDPR presupune un proces complex, ce începe cu maparea datelor, înțelegerea fluxurilor de informații și scanarea proceselor de business. Prin GDPR Ready! aveți acces la resursele esențiale pentru înțelegerea implicațiilor noului Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică in cele mai bune condiții.

 

 

 

Casă nouă pentru GDPR Ready!

Iată un proiect pe care trebuia să îl fac mai de mult, dar pentru care – evident că nu prea a fost timp. Acum, că lucrurile s-au mai liniștit, și toată lumea pare că a rezolvat deja problemele privitoare la datele personale, am găsit răgazul să fac un site dedicat pentru ceea ce mi-a ocupat ultimii doi ani: inițiativa și serviciile GDPR Ready.

Lansarea și evoluția inițiativei GDPR Ready

În mai 2017, la un an după aprobarea Regulamentului 679 de Parlamentul European, când toată lumea începuse să vorbească despre GDPR, dar foarte puțini știau ce ar trebui făcut pentru asigurarea conformității, am lansat o inițiativă privată denumită GDPR Ready! Menirea principală a acestei inițiative era să acopere un mare gol de informație de care toate organizațiile aveau nevoie și despre care existau foarte puține lucruri practice, concrete.

Ce am realizat într-un an și jumătate de inițiativă publică și benevolă ?

Articole GDPR Explicitat– o serie de 15 articole online ce explică principalele problematici GDPR pe înțelesul tuturor. Toate pot fi regăsite și pe nou site. Iată aici lista completă  a acestora cu linkurile originale:

Pagină dedicată GDPR Q&A  – ”Cele mai frecvente întrebări și răspunsuri despre GDPR”

Catalog GDPR Ready – primul catalog din România dedicat ofertelor de soluții și servicii pentru alinierea la GDPR, Editat in Octombrie 2017 în parteneriat cu trustul de presă Agora Media. Disponibil in format print si eBook.

Catalog GDPR Practic– o continuare firească a primului Catalog GDPR, dedicat aspectelor practice asociate cu proceduri, procese și soluții pentru protecția datelor personale. Publicat în martie 2018.

Catalog GDPR Provocări  – o abordare a cerințelor specifice GDPR pentru fiecare departament implicat în prelucrarea de date personale și principalele verticalele industriale. Publicat în iunie 2018.

Parteneriate, moderare și participare evenimente

Inițiator și moderator Grup de discuții GDPR Ready pe LinkedIn – Grup exclusiv pentru specialiștii români, deschis pentru toți cei interesați de conformitatea GDPR: întrebări, dezbateri, interpretări, recomandări, proceduri, standarde, soluții, evenimente, cercetări de piață, studii de caz, best practices. Până acum suntem peste 160 de membri.

Ce veți găsi pe noul site GDPR Ready

Urmând modelul de evoluție cloud☁mania, noul site își va păstra statutul de platformă de cunoaștere dedicată informațiilor din domeniul protecției datelor personale. Componenta publică benevolă a inițiativei GDPR Ready va continua să fie dezvoltată pe pagina ”GDPR 4 ALL”, atât  sub forma unei noi serii de articole reunite sub genericul Analiză GDPR, cât și prin contribuții ale unor invitați sau alte proiecte publice aflate în diferite stadii de evoluție.

Acumulările intense din ultima perioadă și experiența dobândită în proiectele din ultimul an se regăsesc în oferta de servicii GDPR de la pagina ”GDPR Services”, cu o abordare verticalizată pentru activitățile de analize de piață, business development, consiliere, consultanță și instruire.

Cunoașterea permanentă a nevoilor și cerințelor pieței este o constantă în Misiunea GDPR Ready. Plecând de la nevoia de informare și de consiliere a companiilor mici și mijlocii, am adaptat un pachet de activități și proceduri dedicate clasei de business IMM care conține Oferte de servicii și promoții sezoniere. Nu ratați ”Oferta specială a lunii Noiembrie” mapată pe cerința internă de permanentă instruire a angajaților dintr-o organizație.

Firește că site-ul se află încă într-o ”versiune Beta”, dar îmbunătățirile și modificările pot fi făcute și pe parcurs, ca exemplu de continuă transformare digitală. Important este că avem o nouă casă virtuală pentru GDPR Ready și xă ne așteaptă o serie de noi proiecte publice și private în pipeline.

Back to the Cloud…

Desigur că pentru încă o perioadă voi continua să public articole despre GDPR pe ambele site-uri, din rațiuni de continuitate și transfer de trafic. Dar a venit timpul ca portalul cloud☁mania să se întoarcă la subiectele care l-au consacrat: cloud computing și tehnologiile disruptive ale erei digitale: big data, IoT, Industry 4.0, fog computing, smart city, digital transformation, blockchain, inteligența artificială, realitatea augmentată și altele, despre care nici nu se vorbește încă…

Pentru cei care nu știau, cloud☁mania este inițiator și pionier în câteva proiecte editoriale, precum seria de Cataloage CloudComputing, realizată împreună cu prietenii de la Agora Media. Un pionierat care a deschis multe drumuri nebătătorite încă în România.

Început ca un hobby în februarie 2013 cloud☁mania a fost primul site independent dedicat 100% tehnologiilor de frontieră, devenind cu timpul o adevărată platformă tehnologică de cunoaștere implicată în dezvoltarea unei industrii și conglomerarea unei comunități de specialiști. Aici au fost publicate articole despre noutățile din domeniu cu mult înainte ca ele să se întâmple pe piața locală și regională, au fost făcute recenzii de soluții și platforme și s-au luat interviuri în exclusivitate cu personalități din domeniu.

Am publicat primul Catalog Cloud Compuing în ianuarie 2014, atunci când în România de-abia începuseră să se afirme primele platforme și aplicații bazate pe Cloud, deși multe erau încă doar la nivel declarativ, fără nici-o implementare în industrie. Răsfoiți prima ediție a Catalogului Cloud Computing și veți vedea care era starea Cloudului în acel moment și mai ales, câte s-au întâmplat de atunci.

În iunie 2014 a urmat ediția a doua a Catalogului Cloud Computing dedicată platformelor IaaS, deschisă cu un mesaj editorial în care spuneam: „Destul cu vorbele, cu teoria și cu tendințele. Haideți să mai și construim…“, deoarece… ”Cloudul s-a dovedit o realitate, nu mai e o utopie, o gaură neagră pentru date sau o marotă pentru sceptici. Cloudul este în viețile noastre, în casele noastre, pe birourile noastre, în mașinile noastre, în parcurile noastre și, mai ales, în buzunarele noastre…”

Lumea devenea tot mai mobilă și a fost firesc să facem o radiografie a influenței mobilității în Cloud, materializată prin cel de-al treilea Catalog Cloud Computing, publicat în martie 2015. Tema majoră de dezbatere era dualismul tehnologic Mobilitate – Cloud, ca motor al accesului ”3O” la date și aplicații (Oricând-Oriunde-Orice dispozitiv).

Când toată lumea a început să vorbească despre IoT a fost firesc să ne ocupăm și de această nouă tendință, Catalogul Cloud Computing ediția a 4-a, reprezentând primul proiect editorial dedicat tehnologiilor și aplicaților Internet of Things, publicat în decembrie 2015.

În august 2016 ne-am ocupat de digital industry, ca efect al uriașelor transformări înduse de cea de-a 4-a revoluție industrială. În ediția a 5-a a Catalogului Cloud Computing scriam despre Industry 4.0, despre 3rd Platform, despre proiectul unei Europe Digitale bazată pe accesul universal la informație, despre Internet IoT,  despre Industry Cloud și Cloud 2.0, despre dialogul dintre mașini, despre roboții industriali și automatizare, despre realitatea augmentată ca abecedar în deprinderea noilor aptitudini digitale și, în fine, despre pericolele care ne pândesc atunci când totul este conectat.

Primăvara anului 2017 marca începutul perioadei de maturizare a industriei de Cloud în România, o perioadă de adolescență tehnologică în care cuvântul de ordine era Hybryd Coud. Aceasta a și fost tema celei de-a șasea ediții a Catalogului Cloud Computing, editat în aprilie 2017, unde pentru prima oară erau abordate în mod sistematic modelele hibride, cu avantajele lor și provocările legate de implementare.

Edițiile 7-9 publicate în octombrie 2017,  martie 2018 și iunie 2018 s-au depărtat puțin de esența tehnologică a Catalogului Cloud Computing, fiind dedicate GDPR – temă deosebit de fierbinte pentru toată lumea, cu implicații majore pentru furnizorii de soluții de infrastructură și servicii Cloud. Aceasta a fost și rațiunea pentru care cele 3 Cataloage GDPR s-au suprapus cu formatul devenit extrem de popular al Catalogului Cloud.

În fine, revenind ”în contemporaneitate”, acum toată lumea vorbește despre Cloud, iar transformarea digitală a ajuns subiect de prelegeri în școli. Este timpul să ne întoarcem la proiectele noastre, iar cloudmania să își urmeze menirea de deschizător de drumuri și platformă de cunoaștere în tehnologie.

 

A APĂRUT CATALOGUL GDPR PRACTIC: PREMIERĂ PENTRU ROMÂNIA

Articol publicat pe siteul cloud☁mania în data de  06 Martie 2018: Autor: Radu Crahmaliuc

Trustul de presă AGORA Group și platforma de knowledge cloudmania anunță publicarea Catalogului GDPR PRACTIC  – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Practic este al doilea Catalog GDPR după cel apărut în Octombrie 2017 și se înscrie în seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 8-a ediție.  

 

Regulamentul EU 2016 – 679 reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem operatori și procesatori de date și toți ne vom supune acelorași reguli.

Cu șase luni înainte de intrarea în vigoare a GDPR piața românească era destul de conștientă de importanța momentului. Peste 64% dintre operatorii de date nu făcuseră un plan de implementare,  72% nu organizaseră instructaje GDPR interne, iar 89% nu începuseră reevaluarea contractelor cu furnizorii și clienții.

Pornind de la această realitate și văzând succesul cu care a fost primit primul Catalog GDPR Ready în octombrie 2017, am decis să continăm susținerea operatorilor de date din România, făcând ceva mai mult decât o simplă sensibilizare și conștientizare. În acest spirit, a doua ediție a Catalogului GDPR este dedicată proceselor și soluțiilor de protecție a datelor personale, cu focalizare pe aspectele practice ale implementării procesului de conformitate GDPR.

Ca și ediția precedentă, Catalogul GDPR Practic e format din două părți:

  • GHIDUL DE IMPLEMENTARE GDPR – bazat pe o serie de recomandări de abordare practică a unui proiect de implementare GDPR;
  • Un CATALOG DE OFERTE pentru soluții compatibile GDPR, servicii de consultanță, audit și certificare disponibile la ora actuală pe piața din România.

 

Catalogul poate fi citit online la adresa: https://issuu.com/agoramedia/docs/catalog_cloud_2018_ed_8_gdpr

 

”Ghidul de implementare GDPR” conține 50 de întrebări și răspunsuri ce abordează probleme concrete ale unui proiect de implementare GDPR precum și o serie de valoroase recomandări pentru operatorii și procesatorii locali oferite de specialiști GDPR cu o bogată experiență în protecția și confidențialitatea datelor personale. Printre subiectele de larg interes care sunt discutate în acest Ghid amintim:

  • Ce este un proiect GDPR?
  • Care sunt fazele unui proces de implementare?
  • Cum alegem un DPO?
  • Cum facem maparea datelor?
  • Care sunt rolurile operatorilor și procesatorilor?
  • Avem nevoie de o analiza de impact?
  • Cît de importanță este Analiza de risc?
  • Cum gestionăm managementul incidentelor?
  • Cine, când și cui raportează?
  • Cum se face transferul internațional de date?

Ghidul este însoțit de recomandările unor specialiști din diferite domenii, precum servicii juridice – Andreea Lisievici și Dana Cristina Matache, soluții și management IT – Fernanda Velter și Yugo Neumorni sau servicii de consultanță: Tudor Galoș. Desigur că un astfel de ghid nu poate aborda în extenso toate procedurile și nici nu ne propunem să oferim rețete. Ghidul prezintă esența proceselor absolut necesare într-un proiect de implementare, care indiferent de ordinea abordării trebuie făcute. Și trebuie făcute bine. Căci atingerea conformității GDPR nu este un examen pentru a dovedi faptul că suntem în stare să asigurăm protecția datelor personale.  Nu este o barieră de depășit.  Este o țintă către un nivel superior de organizare și funcționare. GDPR este un certificat de încredere pe viață. Pe tot ciclul de viață al unui proces de business.

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ASBIS, Brinel, Deloitte, ESET, Essensys Software, IBM, Ingram Micro, Kingston Technology, Privacy One, Q-EAST Software, Romsym Data, Tryamm, Veritas și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPR din Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Ready pe LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

 

Inițiativa GDPR Ready!  își propune să asigure un transfer deschis de know-how către toți cei interesați de asigurarea conformității cu Regulamentul Uniunii Europene 679/ 2016, care va intra în vigoare pe 25 mai 2018. Pentru operatorii și procesatorii de date personale obținerea conformității GDPR la nivel organizațional presupune un proces extrem de complex ce începe cu înțelegerea datelor senzitive și a locației lor, accesului la date și procesele de business în care se utilizează. Prin GDPR Ready! aveți acces la toate resursele necesare pentru înțelegerea implicațiilor noilor prevederi ale acestui Regulament, evaluarea acțiunilor care se impun la nivel de organizație și punerea lor în practică sub cele mai bune auspicii.

A APĂRUT PRIMUL CATALOG GDPR DIN ROMÂNIA

Articol publicat pe siteul cloud☁mania în data de  21 Octombrie 2017. Autor: Radu Crahmaliuc

Trustul de presă AGORA Group și platforma de knowledge cloud☁mania anunță publicarea Catalogului GDPR Ready – primul proiect editorial din România dedicat prezentării ofertelor de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Catalogul GDPR Ready face parte din seria de ghiduri ”Catalog Cloud Computing Romania”, ajunsă la a 7-a ediție și este o componentă esențială a inițiativei ”GDPR Ready!”

Faceți click pe coperta pentru a citi Catalogul GDPR online!

Din mai 2016 când Parlamentul European a aprobat Regulamentul EU 2016 – 679, GDPR a devenit cuvântul de ordine în toate mediile de business, tehnologice și sociale. Noul Regulament reprezintă cea mai importantă modificare a legislației privind protecția datelor personale în UE și la nivel global. 2018 va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci și pentru organizațiile guvernamentale și operatorii de date din orice industrie. Căci, până la urmă, toți suntem procesatori de date și toți ne vom supune acelorași reguli.

Deși este prin excelență tehnologică, industria IT este unul dintre domeniile în care realizarea conformității cu noul Regulament poate ridica cele mai mari probleme. Marea majoritate a companiilor sunt conștiente de importanța strategică a alinierii la prevederile GDPR, dar foarte puține sunt cu adevărat pregătite de acțiune. Ce au de făcut furnizorii de Cloud pentru a oferi servicii conforme cu GDPR? Dar operatorii de centre de date? Dar companiile de eCommerce și procesatorii de plăți online? Dar firmele de distribuție, canalele de reselleri și retailerii IT? Dar casele de software și ofertanții de servicii de call-center, consultanță, instruire și mentenanță? Există desigur multe lucruri comune pentru toate aceste domenii IT, dar și o multitudine de aspecte particulare.

Pe asta ne-am bazat când ne-am decis ca cea de-a 7 ediție a Catalogului Cloud Computing România să fie dedicată GDPR. Plecând de la vidul de cunoaștere și de coordonare din industria IT, am simțit nevoia editării unui Catalog GDPR Ready care să deservească și să ofere recomandări generale pentru operatorii de date din orice industrie. Catalogul GDPR Ready, este structurat în două părți:

  • Ghidul de orientare rapidă
  • Catalogul recomandărilor de soluții și servicii pentru asigurarea conformității GDPR.

”Ghidul de orientare rapidă” conține 60 de întrebări și răspunsuri structurate astfel încât să asigure o imagine de ansamblu asupra principalelor modificări prezentate de regulament, precum și a zonelor critice pe care trebuie să le cunoaștem în momentul pregătirii conformității, dar vine și cu o serie de recomandări oferite de experți internaționali, asociații guvernamentale și profesionale, precum și firme de analiză și cercetare.  Principalele Capitole acoperite de seria de întrebări despre conformitate se referă la:

  • Importanța GDPR
  • Scurt istoric al protecției datelor personale
  • Principiile GDPR
  • Drepturile persoanelor vizate
  • Protecția datelor personale
  • Evaluarea impactului
  • Transferul internațional de date
  • Asigurarea conformității
  • Notificarea breșelor de securitate și penalitățile aplicate

Ghidul este însoțit de recomandările unor experți care s-au referit la principalele direcții de acțiune pentru furnizorii de Cloud: Bart von Buitenen – managing partner White Wire, Ian Moyse – sales director Natterbox și Board member Cloud Industry Forum, Lucia Ștefan – manager consultant Archiva Ltd (UK) și Attle Skjekkeland – vicepreședinte AIIM Europe, precum și recomandările Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), CERT.RO, ANSII + câțiva dintre membrii săi și IDC Romania.

A doua secțiune este Catalogul recomandările concrete legate de asigurarea conformității GDPR oferite de vendori, integratori și distribuitori de soluții și servicii de securitatea informației, pachete de servicii asigurate de case de avocatură, companii de consultanță și firme specializate în instruire și certificări. Le mulțumim partenerilor de la ALEF Distribution, Archiva Ltd., ASBIS, AxelSoft, Commvault, Info World, IXIA, Omega Trust, Provision, Relational, Romsym Data, RQM Certification, Star Storage, Tryamm și Zitec  pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate pe site-ul cloud☁mania
  • Ghidul de orientare rapidă din Catalogul GDPR
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire
  • Recomandări și consiliere companii de IT

GDPR zice că organizațiile trebuie să fie conforme chiar începând cu data 25 mai 2018. Dacă vă gândiți că până atunci mai este suficient tip pentru a demara activitățile de implementare a măsurilor necesare pentru asigurarea conformității GDPR, trebuie să țineți cont de faptul că durata medie a unui proces poate fi de PATRU – CINCI luni, în funcție de mărimea organizației și a tipului de date personale procesat. E TIMPUL SĂ TRECEM LA ACȚIUNE CHIAR ACUM! Au mai rămas 215 zile!

GDPR Explicitat (14): Coduri de Conduită și Mecanisme de Certificare

Articol publicat pe siteul cloud☁mania în data de  18 Decembrie  2017. Autor: Radu Crahmaliuc

GDPR recomandă utilizarea Codurilor de Conduită și a Mecanismelor de certificare pentru a demonstra că vă conformați. Trebuie luate în considerare nevoile specifice ale microîntreprinderilor, întreprinderilor mici și mijlocii.

Înscrierea pentru adoptarea unui Cod de Conduită sau la o schemă de certificare nu este obligatorie. Dar, dacă sunteți dispuși să adoptați un Cod de Conduită aprobat sau o schemă de certificare care să acopere activitatea dvs. de prelucrare, vă recomandăm să luați în considerare acest demers ca o modalitate de a demonstra conformitatea.

Respectarea Codurilor de Conduită și a schemelor de certificare aduce mai multe beneficii în plus pentru a demonstra că vă conformați. Prin adoptarea unui cod de conduită și a unui mecanism de certificare puteți să obțineți următoarele beneficii:

  • îmbunătățirea transparenței și responsabilității – care poate spori încrederea ca organizație ce îndeplinește cerințele legii și în care procesarea și păstrarea datelor personale este de încredere;
  • asigurarea de circumstanțe în situația în care ar putea exista incidente urmate de măsuri de executare;
  • îmbunătățirea standardelor de organizație prin stabilirea celor mai bune practici;
  • un criteriu de calitate și încredere în procesul de contractare a terților sau a procesatorilor.

Care sunt Codurile de Conduită recomandate?

Conform Articolului 40: ”Coduri de conduită”, Alineatul 2,”Asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot pregăti coduri de conduită sau le pot modifica sau extinde pe cele existente”, în ceea ce priveşte:

  • prelucrarea în mod echitabil şi transparent;
  • interesele legitime urmărite de operatori în contexte specifice;
  • colectarea datelor cu caracter personal;
  • pseudonimizarea datelor cu caracter personal;
  • informarea publicului şi a persoanelor vizate;
  • exercitarea drepturilor persoanelor vizate;
  • informarea şi protejarea copiilor şi modalitatea în care trebuie obţinut consimţământul titularilor răspunderii părinteşti asupra copiilor;
  • măsurile şi procedurile menţionate la articolele 24 şi 25 şi măsurile de asigurare a securităţii prelucrării, menţionate la articolul 32;
  • notificarea autorităţilor de supraveghere cu privire la încălcările securităţii datelor cu caracter personal şi informarea persoanelor vizate cu privire la aceste încălcări;
  • transferul de date cu caracter personal către ţări terţe sau organizaţii internaţionale;
  • proceduri extrajudiciare şi alte proceduri de soluţionare a litigiilor.

Cine proiectează și monitorizează un Cod de Conduită?

Guvernele și autoritățile de reglementare pot încuraja elaborarea de Coduri de Conduită. Acestea pot fi create de asociații profesionale sau de organisme reprezentative. Codurile ar trebui elaborate prin consultare cu părțile interesate relevante, inclusiv cu persoanele vizate (GDPR – Considerentul 99).

Codurile trebuie aprobate de autoritatea de supraveghere competentă și în cazul în care prelucrarea este transfrontalieră, de Comitetul european pentru protecția datelor (EDPB). Codurile existente pot fi modificate sau extinse pentru a se conforma cerințelor din GDPR.

Potrivit Articolului 41: ”Monitorizarea codurilor de conduită aprobate”, Alineatul 1, monitorizarea respectării unui cod de conduită poate fi realizată de un organism care dispune de un nivel adecvat de expertiză în legătură cu obiectul codului şi care este acreditat în acest scop de autoritatea de supraveghere competentă.

Un astfel de organism poate fi acreditat pentru monitorizarea respectării unui Cod de Conduită dacă:

  • Demonstrează autorităţii de supraveghere competente independenţa şi expertiza sa în legătură cu obiectul Codului;
  • Are proceduri care îi permit să evalueze eligibilitatea operatorilor şi a procesatorilor în vederea aplicării Codului, să monitorizeze respectarea de către aceştia a dispoziţiilor Codului şi să revizuiască periodic funcţionarea acestuia;
  • Vine cu proceduri pentru tratarea plângerilor privind încălcări ale Codului sau privind modul în care Codul a fost sau este pus în aplicare, precum şi pentru asigurarea transparenţei acestor proceduri pentru persoanele vizate şi pentru public;
  • Demonstrează autorităţii de supraveghere că sarcinile şi atribuţiile sale nu creează conflicte de interese.

Care sunt implicațiile practice ale adoptării unui Cod de Conduită?

Dacă vă înscrieți în regulile statuate printr-un Cod de Conduită, veți fi supus unei monitorizări obligatorii de către un organism acreditat de autoritatea de supraveghere. Dacă încălcați cerințele codului de practică, puteți fi suspendat sau exclus și autoritatea de supraveghere va fi informată. De asemenea, riscați să fiți supus unei amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală. Pe de altă parte, aderarea la un Cod de Conduită poate servi drept factor atenuant atunci când o autoritate de supraveghere are în vedere o acțiune de executare printr-o amendă administrativă.

De reținut faptul că la Codurile de Conduită specifice unei anumite industrii verticale pot adera organizații care nu se află pe teritoriul UE în scopul de a oferi garanţii adecvate în cadrul transferurilor de date cu caracter personal către ţări terţe sau organizaţii internaţionale în condiţiile menţionate la Articolul 46. Aceşti operatori sau procesatori îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicării garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

Ce sunt mecanismele de certificare?

Statele membre, autoritățile naționale de supraveghere, forul de supraveghere european sau Comisia Europeană trebuie să încurajeze instituirea unor mecanisme de certificare pentru a spori transparența și conformitatea cu regulamentul. Certificarea va fi emisă de autoritățile de supraveghere sau de organismele de certificare acreditate.

Potrivit Articolului 42: ”Certificare”, Alineatul 2, Mecanismele de certificare din domeniul protecţiei datelor, sigiliile sau mărcile sunt instituite nu numai pentru a fi respectate de operatorii și procesatorii care fac obiectul GDPR, ci şi pentru a demonstra existenţa unor garanţii adecvate oferite de operatorii sau procesatorii care nu fac obiectul prezentului regulament, în cadrul transferurilor de date cu caracter personal către ţări terţe sau organizaţii internaţionale. Aceştia  îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicării garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

Care este scopul unui mecanism de certificare?

Un mecanism de certificare este o modalitate prin care demonstrați că respectați, și în special că ați pus în aplicare măsuri tehnice și organizatorice. De asemenea, poate fi instituit un mecanism de certificare care să demonstreze existența unor garanții legate de caracterul adecvat al transferurilor de date. Acestea sunt destinate să permită persoanelor fizice să evalueze rapid nivelul de protecție a datelor pentru un anumit produs sau serviciu.

Iată câteva dintre implicațiile practice ale aplicării unor mecanisme de certificare:

  • Certificarea nu vă reduce responsabilitățile legate de protecția datelor;
  • Certificarea este voluntară şi disponibilă prin intermediul unui proces transparent;
  • Trebuie să furnizați organismului de certificare toate informațiile necesare și accesul la activitățile dvs. de procesare, pentru a putea efectua procedura de certificare;
  • Orice certificare va fi valabilă pentru maximum trei ani;
  • În cazul în care nu mai sunt îndeplinite cerinţele, certificarea vă poate fi retrasă de organismele de certificare sau de autoritatea de supraveghere competentă;

Care sunt organismele care ne pot atesta o Certificare?

Conform Articolului 43: Organisme de certificare,  organismele de certificare care dispun de un nivel adecvat de competenţă în domeniul protecţiei datelor pot informa o autoritatea de supraveghere pentru a-i permite să îşi exercite competenţele de emitere și reînoire a unei Certificări, în temeiul Articolului 58.2.h. Statele membre trebuie să se asigură că aceste organisme de certificare sunt acreditate de către una sau amândouă dintre următoarele entităţi:

  • autoritatea de supraveghere care este competentă în temeiul Articolului 55 sau 56;
  • organismul naţional de acreditare desemnat în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European în conformitate cu standardul ENISO/ IEC 17065/2012 şi cu cerinţele suplimentare stabilite de autoritatea de supraveghere competentă.

Un organism de certificare poate fi acreditat numai dacă:

  • a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, independenţa şi expertiza sa în legătură cu obiectul certificării;
  • s-a angajat să respecte criteriile menţionate la Articolul 42;
  • a instituit proceduri pentru emiterea, revizuirea periodică şi retragerea certificării, a sigiliilor
  • şi mărcilor din domeniul protecţiei datelor;
  • a instituit proceduri şi structuri pentru tratarea plângerilor privind încălcări ale certificării
  • sau privind modul în care certificarea a fost sau este pusă în aplicare de un operator sau un procesator, precum şi pentru asigurarea transparenţei acestor proceduri şi structuri pentru persoanele vizate şi pentru public;
  • a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, că sarcinile
  • şi atribuţiile sale nu creează conflicte de interese.

GDPR Explicitat (13): Notificarea breșelor de securitate

Articol publicat pe siteul cloud☁mania în data de  13 Decembrie  2017. Autor: Radu Crahmaliuc

Continuăm seria de articole dedicate analizei orizontale a prevederilor GDPR cu o problematică esențială pentru GDPR. Am constatat sau am fost anunțați că în sistemul nostru în care deținem date cu caracter personal a apărut o breșă de securitate. Ce avem de făcut mai întâi și mai întâi? Pe cine trebuie să anunțăm, când și cum? Ce măsuri trebuie să luam pentru limitarea eventualelor daune?

Sunt câteva întrebări foarte importante pentru luarea primelor măsuri. Haideți să vedem despre ce e vorba.

 Cum notificăm apariția unei breșe de securitate?

Creșterea numărului mare de atacuri cibernetice se reflectă în obligațiile sporite privind securitatea datelor în regulament și în obligațiile paralele, precum cele conținute de Directiva privind securitatea rețelelor informatice și a datelor (Networks and Information Security – NIS).

Conform Articolului 33 din GDPR va fi obligatoriu ca o organizație cu rol de operator să raporteze autorității sale de supraveghere orice breșă de securitate a datelor personale în termen de 72 de ore de la conștientizarea acesteia. Dacă această cerință nu este îndeplinită, raportul final trebuie însoțit de o explicație a întârzierii. Notificarea trebuie să includă informații specifice, inclusiv o descriere a măsurilor luate pentru a soluționa breșa și pentru a atenua posibilele efecte secundare.

În cazul în care breșa poate avea ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice, indivizii înșiși trebuie să fie contactați „fără întârzieri nejustificate”. Acest contact nu va fi necesar dacă există măsuri de protecție adecvate – în esență, criptare – pentru a elimina pericolul pentru persoanele vizate.

În Articolul 33 – Notificarea unei încălcări a datelor cu caracter personal către autoritatea de supraveghere, se specifică foarte clar că:

  • Raportarea în situația apariției unor breșe de securitate este obligatorie pentru orice operator de date personale;
  • Operatorii trebuie să raporteze către autorităților de supraveghere competente orice încălcare a condițiilor de siguranță fără întârzieri nejustificate;
  • Dacă este posibil, nu mai târziu de 72 de ore de la prima conștientizare;
  • Dacă raportarea nu este făcută în termen de 72 de ore, trebuie furnizată o justificare a întârzierii;
  • Nu este necesară notificarea cazurilor în care încălcarea este «puțin probabil să ducă la un risc pentru drepturile și libertățile» persoanelor vizate;
  • Dacă breșa de securitate este constatată de către un procesator de date, acesta trebuie să notifice operatorul cu care colaborează fără întârzieri nejustificate.

Ce informații trebuie să conțină notificarea unei breșe de securitate?

Elementele esențiale care trebuie să se regăsească într-o notificare se referă la:

  • natura încălcării datelor cu caracter personal;
  • categoriile și numărul aproximativ al persoanelor implicate;
  • categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
  • numele și datele de contact ale responsabilului cu protecția datelor (în cazul în care organizația dvs. dispune de unul) sau orice alt punct de contact de unde pot fi obținute mai multe informații;
  • descriere a consecințelor probabile ale încălcării datelor cu caracter personal;
  • descriere a măsurilor luate sau propuse a fi luate pentru a face față încălcării datelor cu caracter personal dacă este cazul, o descriere a măsurilor luate pentru a atenua eventualele efecte adverse.

Ce trebuie să pregătim pentru raportarea breșelor?

Nimeni nu își dorește asta, dar o bună pregătire pentru situațiile de urgență implică și stabilirea clară a responsabilităților și procedurilor de urmat. Cum vă puteți pregăti mai bine pentru raportarea încălcărilor de securitate?

  • În primul rând ar trebui să vă asigurați că personalul dvs. înțelege ce reprezintă o încălcare a datelor și că aceasta este mai mult decât o pierdere de date cu caracter personal;
  • Apoi, ar trebui să vă asigurați că aveți o procedură de raportare internă a breșelor. Acest lucru va facilita luarea deciziilor cu privire la necesitatea notificării autorității de supraveghere sau a persoanelor vizate;
  • Nu în ultimul rând, având în vedere perioadele scurte de timp pentru raportarea unei breșe, este important să existe proceduri robuste de detectare a incidentului, investigații și proceduri de raportare internă.

Când nu suntem obligați să notificăm persoanele vizate?

În Articolul 34: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal, Alineatul 3 regulamentul stipulează că informarea persoanei vizate nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:

  • operatorul a implementat măsuri de protecţie tehnice şi organizatorice adecvate, iar acestea au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
  • operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile şi libertățile persoanelor vizate nu mai este susceptibil să se materializeze;
  • informarea ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

Ghidul recomandărilor legate de anunțarea breșelor de Securitate

De pe site-ul oficial al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate fi descărcat Ghidul privind notificarea încălcărilor de securitate”, un instrument deosebit de util în implementarea condițiilor impuse de GDPR elaborate de Grupul de Lucru Articolul 29.

Tot de pe site-ul Autorității Naționale pot fi accesate și consultate formularele utilizate deja în notificarea breșelor de securitate conform legislației actuale.

Dacă nu este soluţionată la timp şi într-un mod adecvat, o încălcare a securităţii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză.