A măsura sau a nu măsura temperatura? Aceasta este întrebarea …

Editorial

Vizualizari: 15067

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Mare agitație în aceasta frumoasă dimineață de 15 mai 2020. Au fost publicate pe site-ul Ministerului Afacerilor Interne măsurile de prevenire și control a infecțiilor aplicabile pe durata stării de alertă în cadrul unei anexe la Hotararea CNSSU 24/14.05.2020. In plus, Ordinul 3577/831/2020 emis de Ministerul Muncii si Protectiei Sociale si de Ministerul Sanatatii prevede ca angajatorul are obligatia sa desemneze un responsabil pentru verificarea temperaturii tuturor persoanelor care intră în unitate/instituţie si sa asigure triajul observaţional al angajaţilor prin verificarea temperaturii acestora la începerea programului de lucru şi ori de câte ori este necesar pe parcursul programului. Conform aceluiasi document, pe durata stării de alertă, pentru prevenirea răspândirii COVID-19, toţi angajaţii din sectorul public şi privat au obligaţia sa accepte verificarea temperaturii corporale la intrarea în sediu, la începutul programului şi ori de câte ori revin în sediu.

Dacă în țări europene, precum Belgia, Olanda și Franța, măsurarea temperaturii ca indicator al unei posibile infectări cu virusul SARS-Cov-2 este interzisă, în România această practică tocmai a devenit obligație legală pentru instituțiile și autoritățile publice, precum și operatorii economici publici și privați, altfel spus pentru toți operatorii care își desfășoară activitatea în incinte închise.

Din punct de vedere al prelucrării datelor cu caracter personal, în România, prelucrarea acestor date de face în regim de legalitate, fiind o obligație legală începând de azi. Dar, chiar dacă nu mai avem stresul identificării temeiului legal, această prelucrare trebuie să țină cont și să respecte principiile și obligațiile impuse de GDPR (principiul confidentialitatii, principiul transparentei, principiul minimalizarii si obligatia protectiei datelor de catre operator prin implementarea măsurilor tehnice si organizatorice adecvate ).

Măsurarea temperaturii angajaților

Toți operatorii care desfășoară activitate în spații închise, pe perioada stării de alertă, au obligația conform art. 2 (a) să "asigurare triajul epidemiologic constând în controlul temperaturii personalului propriu și a vizitatorilor, la punctele de control-acces în incinte". Practic, deducem de aici că la intrarea în incintă personal specializat (medic, asitent medical) sau instruit (portar, responsabil numit) va măsura temperatura și va condiționa accesul în incintă. Dacă vorbim de "triajul epidemiologic" care va cuprinde și verificarea altor indicatori decât temperatura, prelucrarea acestor informații se va face obligatoriu de către un cadrul medical, respectând confidențialitatea.

Ca o măsură organizatorică adecvată, recomandăm utilizarea unui tabel nominal care să conțină numele angajatului și dacă temperatura măsurată este sub 37,3 grade, sa se facă un simplu semn de tip "bifă", fără a nota valoarea măsurată și să îi fie permis accesul. Această listă ar trebui să fie păstrată într-o mapă închisă, accesul la aceasta fiind restricționat doar unui grup restrâns de persoane, în mod justificat. La finalul turei personalului specializat sau instruit care desfășoară aceste măsurători, această listă va fi predată unui responsabil unic cu arhivarea și păstrată pentru un termen de maxim 30 de zile, fiind pusă la dispoziția autorităților care realizează anchete epidemiologice, dacă este cazul.

Ca o măsură organizatorică adecvată, recomandam utilizarea numărului de marcă în locul numelui și prenumelui, instituind astfel o metodă de prelucrarea a datelor pseudoanonimizate și reducând nivelul de risc în cazul unei breșe de securitate prin accesarea datelor de către o persoană neautorizata. 

În cazul în care, temperatura măsurată depășește valoarea de 37,3 grade, personalul specializat sau instruit va interzice accesul angajatului în incintă, va nota în dreptul numelui valoarea măsurată ( eventual se va repeta manevra de măsurare pentru a elimina pe cât posibil erorile de măsurare).

Cea mai mare provocare este modul în care se pot realiza aceste măsurători în condiții de confidențialitate, asigurând astfel și dreptul la intimitate. Fiind o obligație legală, operatorul va putea efectua triajul epidemiologic constând în controlul temperaturii personalului propriu și fără a asigura dreptul al intimitate, dacă se face dovada că acest lucru este imposibil de realizat. În cazul în care măsurarea temperaturii se face prin metode automatizate, nu prin utilizarea termometrelor contactless, se va face o informare prealabila a persoanelor vizate prin afisarea pictogramelor standard, termenul de stocare este de maxim 30 de zile, accesul la înregistrări fiind limitat la persoanele special împuternicite de operator.

Măsurarea temperaturii vizitatorilor

Conform art. 2(a) obligațiile operatorilor care desfășoară activitate în spații închise, pe perioada stării de alertă, de a"asigurara triajul epidemiologic constând în controlul temperaturii" se aplică și vizitatorilor. În cazul lor, există un registru în care portarul completează datele de identificare și persoana vizitată. Recomandăm să nu fie schimbat scopul acestui registru prin completarea temperaturii. În schimb, se va utiliza un tabel nominal distinct care să conțină numele vizitatorului și dacă temperatura măsurată este sub 37,3 grade sa va face un simplu semn de tip "bifă", fără a se nota valoarea măsurată și să îi va fi permis accesul în incintă. Și în cazul acestei liste, ar trebui să fie păstrată în mod obligatoriu într-o mapă închisă, accesul la aceasta fiind restricționat doar unui grup restrâns de persoane, în mod justificat. La finalul turei personalului specializat sau instruit care desfășoară aceste măsurători, această listă va fi predată unui responsabil unic cu arhivarea și păstrată pentru un termen de maxim 30 de zile. În cazul în care măsurarea temperaturii se face prin metode automatizate, nu prin utilizarea termometrelor contactless, termenul de stocare este de asemenea de maxim 30 de zile, accesul la înregistrări fiind limitat la persoanele special împuternicite de operator.

În cazul în care, temperatura măsurată depășește valoarea de 37,3 grade, personalul specializat sau instruit va interzice accesul vizitatorului  în incintă astfel că nu mai este necesară înregistrarea numelui sau a oricărei alte informații în registrul de vizitatori sau in tabelul nominal privind verificarea temperaturii. 

Măsurarea temperaturii clieților

În cazul acestor persoane se aplică Art. 3 conform căruia instituțiile publice și operatorii economici care desfășoară activități comerciale/de lucru cu publicul ce implică accesul persoanelor în interiorul clădirilor sunt obligate să nu permită accesul persoanelor a căror temperatură corporală, măsurată la intrarea în incintă, depășește 37,30C. Observăm că în acest caz nu se face referite la "triaj epidemiologic" astfel că măsurarea temperaturii este folosită ca un sistem de alertare și recomandăm să nu înregistrați sub nici o formă valoarea temperaturii. Aceste măsurători se vor face la intrarea în incintă, fiind condiționat accesul de o valoare mai mică decăt 37,3 grade. În cazul în care temperatura depășește această valoare, operatorul are posibilitatea de a înregistra zilnic anonimizat numarul persoanelor cărora le-a fost refuzat accesul, ca o dovadă a responsabilității față de măsurile publicate de autorități. În cazul în care măsurarea temperaturii se face prin metode automatizate, nu prin utilizarea termometrelor contactless, se va face o informare prealabila a persoanelor vizate prin afisarea pictogramelor standard, termenul de stocare este de maxim 30 de zile, accesul la înregistrări fiind limitat la persoanele special împuternicite de operator.

Totuși, ținând cont că aceste măsurători se vor face la intrarea în incintă cel mai probabil cu un termometru contactless, credem că va fi aproape imposibilă, în acest caz, asigurarea confidențialității și a dreptului la intimitate. Vom asista probabil cum clienții vor sta la rând și personalul desemnat de operator va face aceste măsurători, având în vedere obligația legală, fără a asigura confidențialitatea.

Concluzii

Operatorii nu au obligația de a anunța autoritățile privind identitatea persoanelor a căror temperatură măsurată la intrarea încintă depășește valoarea de 37,3 grade, astfel că, în cazul angajaților, considerăm suficientă arhivarea pentru un termen de maxim 30 de zile a înregistrărilor, fie că se fac pe suport de hârtie, electronic sau suprapuse peste imaginile video.

În cazul vizitatorilor și a clienților, nu există obligația identificării persoanelor cărora nu li se permite accesul în incintă în urma unei măsurători a temperaturii care depășește 37,3 grade. În cazul vizitatorilor cu valoarea măsurată sub 37,3 grade, va fi identificată persoana conform procedurii de acces vechi, ținându-se o evidență distinctă a acestor măsurători, fără a înregistra valoarea temperaturii.

În cazul clienților, aceștia nu vor fi identificați și înregistrați în lipsa unei obligații legale sau a unui interes legitim dovedit.

Operatorii vor avea o procedură scrisă actualizată privind accesul în incintă după data de 15 mai 2020, persoanele care vor realiza aceste măsurători fiind instruite în mod special privind protecția acestor informații din punct de vedere tehnic și organizatoric.

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

După trei ani, GDPR nu este încă înțeles și respectat de majoritatea operatorilor români, inclusiv de autorități!

Editorial

Vizualizari: 16423

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Ne îndreptăm spre a treia aniversare a datei de 25 mai, ca punct de plecare în aplicarea prevederilor Regulamentului European 679/2016, normă legislativă europeană care s-a impus în memoria colectivă ca fiind cea care prevede aplicarea unor amenzi neegalate de nicio altă lege, la nivel mondial, în special din cauza faptului că unul dintre reperele în stabilirea cuantumului acestora este reprezentat de un procent din cifra de afaceri la nivel mondial a operatorului sancționat.

Regulamentul UE 679/2016, cunoscut de noi toți sub numele de GDPR, a intrat în vigoare în 2016, în urmă cu cinci ani, dar se aplică doar din 25 mai 2018, după o perioadă de grație de doi ani, pe care majoritatea țărilor europene, inclusiv România, nu au folosit-o pentru a lansa campanii de educație pentru persoanele vizate și operatorii.

În România, GDPR a intrat brusc în viața noastră printr-un bombardament al consimțămintelor, lansat de operatori și împuterniciții acestora din dorința de a obține rapid conformitatea cu aceste noi reglementări legislative. Din păcate, chiar și astăzi există operatori români care folosesc, de exemplu, consimțământul ca bază legală pentru prelucrarea datelor de sănătate ale persoanelor internate într-un spital, de unde deduc faptul că Responsabilul cu protecția datelor nu și-a câștigat încă locul pe care îl merită în organizație și recomandările sale încă nu sunt luate în considerare, deoarece prelucrarea datelor în sistemul sanitar este reglementată specific și NU este necesară obținerea unui alt consimțământ pentru prelucrarea datelor personale.

În luna mai 2018 se estima că 20% dintre operatorii europeni începuseră un program pentru obținerea conformității GDPR. Acest procent a crescut valoric în mod semnificativ în ultimii trei ani, fiind estimat astăzi la peste 60%, dar, în același timp, îngrijorează, din ce în ce mai mult, calitatea conformității obținute la nivel european. Conform studiilor făcute de specialiști, în 2019 au fost deja create primele 500.000 de roluri de DPO, fără a fi modificate organigramele și fără a fi asigurate și garantate resursele necesare pentru ca un DPO să își poată îndeplini cu succes acest rol. Consider că operatorii de date cu caracter personal trebuie să nu mai caute soluții de formă, de fațadă și să înțeleagă că această mult dorită conformitate GDPR nu se realizează prin apăsarea butonului „Print” și că oricine alege această cale rămâne la fel de expus riscurilor, ca oricare alt operator care decide să ignore GDPR.

În ultimii trei ani, strategia de marketing și vânzări a multor companii de consultanță GDPR s-a bazat pe „crearea panicii”, folosind marketingul înșelător, care accentua, în primul rând, dimensiunea astronomică a amenzilor, în loc să promoveze nevoia de instruire a personalului. Plătim în continuare pentru campaniile de marketing din acești trei ani care au vândut conformitatea “de fațadă”, fără a include serviciile specializate ale unui responsabil cu protecția datelor.

Sper că într-un final vom înțelege că în tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creşterea birocraţiei şi despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm şi să îl obţinem unii de la ceilalţi, respect de care am uitat datorită, în principal, avantajelor obținute prin utilizarea tehnologiilor bazate pe tranzacționarea datelor cu caracter personal și a informațiilor confidențiale.

În afacerea mea, ca angajator, influențez direct și decid modalitățile prin care sunt procesate datele cu caracter personal. Dar, ca persoană fizică, atunci când navighez pe internet, când merg pe stradă, la un supermarket sau mă cazez la un hotel am așteptarea naturală de a cunoaște cine, de ce și ce date personale sunt prelucrate în ceea ce mă privește. Chiar și după acești trei ani, acest lucru nu se întâmplă aproape niciodată și am încetat să mai cred că ceva poate fi gratuit, dându-mi seama că în aceste situații plătesc de fapt  cu datele mele personale, care au devenit o monedă de schimb foarte valoroasă.

Din punct de vedere personal, cea mai mare provocare pentru companii în procesul de obținere și menținere a conformității GDPR rămâne lipsa unei culturi generale a responsabilității în rândul angajaților asupra confidențialității datelor. Această deficiență poate fi substanțial corectată prin programe de instruire cu privire la importanța protecției datelor, în conformitate cu practicile generale și politicile specifice activității companiei. Responsabilizarea angajaților din perspectiva protecției datelor cu caracter personal va adăuga valoare companiei. Un angajat conștient și informat este un angajat vigilent care acționează responsabil, riscurile specifice erorii umane se diminuează semnificativ, în timp ce eficiența muncii crește. Mai mult, identificarea rapidă a posibilelor breșe de securitate și respectarea procedurilor de răspuns la incidente vor reduce la minimum pierderile reputaționale și financiare ale companiei.

Persoana vizată a rămas cea mai mare provocare pentru întreg domeniul protectiei datelor din România, deoarece, din cauza lipsei educației populației în acest domeniu al protecției datelor, Autoritatea de Supraveghere și întreg corpul profesional de specialiști se confruntă cu solicitări nejustificate și insuficient documentate privind stergeri selective sau rectificari neîntemeiate a datelor personale. Cu siguranță, aceste solicitări nu sunt soluționate întotdeauna în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce privește termenul de retenție și posibilitățile de restricționare și condiționare a accesului la date.

Gardianul modului în care sunt respectate confidențialitatea și mecanismele de protecție a datelor cu caracter personal rămâne Responsabilul cu protecția datelor (DPO), această profesie „tânără”, care probabil se confruntă cu una dintre cele mai mari provocări profesionale, datorită caracterului general al Regulamentului (UE) 2016/679 și a lipsei unor repere unitare pentru interpretarea și punerea sa în aplicare.

Modul în care această nouă funcție de DPO a fost tradusă în limba română, înlocuind termenul de „ofițer” cu „responsabil” este o eroare cu efecte pe termen lung, deoarece induce greșit ideea că responsabilitatea stă pe umerii acestei persoane, făcând să fie și mai greu de conștientizat faptul că responsabilitatea conformității este în permanență a managementului operatorului și că rolul Responsabilului cu protecția datelor este de a susține și de a monitoriza acest proces și nu răspunde efectiv de implementare sau de consecințele neimplementării GDPR în entitate.

Dacă ne oprim asupra obligațiilor operatorilor publici din România de a desemna un responsabil cu protecția datelor, conform datelor furnizate de Autoritatea de Supraveghere, constatăm că doar o parte din aceste instituții publice și-au notificat decizia de numire a unui DPO, aproximativ 2000 de notificări fiind înregistrare din partea acestora, restul aparținând operatorilor din domeniul privat. Dacă luăm în considerare că în România avem aproximativ 20,000 de instituții publice, reiese un grad de conformare de doar 10% în privința respectării obligațiilor conform articolului 37 din Regulament, restul de 90% alegând asumat să nu ducă la îndeplinire această obligație legală.

În ultimul an, societatea în care trăim s-a schimbat, fiind supusă unuia dintre cele mai dificile teste de stres. Frica este cea care a forțat societatea noastră să se adapteze și să se maturizeze forțat, făcând, în primul rând, un mare salt spre digitalizare. Astăzi vorbim mai mult ca oricând despre telemuncă, telemedicină, tele-educație și, mai ales, despre știri false. Mediul de afaceri românesc a resimțit pe deplin efectele acestei pandemii. Unele companii și-au suspendat în totalitate activitățile, în timp ce altele au implementat noi procese de lucru la distanță pentru angajați, ținând cont de regulile de izolare. Prioritatea a fost restabilirea cât mai rapidă a activității companiilor și instituțiilor publice și, în acest context, au existat compromisuri privind protecția datelor, compromisuri care vor trebui rezolvate pe măsură ce situația se îndreaptă spre o nouă normalitate.

Putem spune că pandemia a acționat ca un accelerator pentru deciziile de adoptare și utilizare a noilor tehnologii, deoarece, în doar câteva luni, a devenit clar că digitalizarea nu mai este opțională, ci este absolut necesară pentru supraviețuirea companiilor și pentru continuitatea serviciile publice furnizate de autorități. Această situație a făcut ca multe proiecte să fie lansate în regim de urgență, deși, în mod normal, ar necesita ani de analiză și planificare și a fost practic imposibil să se ia în considerare toate efectele „secundare”.

În urma recomandărilor autorităților române, mai multe companii au decis să accepte, de la o zi la alta, ca angajații să lucreze de acasă. Din punct de vedere legal, am fost pregătiți, legislația română are prevederi clare în ceea ce privește telemunca / munca la domiciliu și majoritatea companiilor au semnat acum cu fiecare angajat doar o anexă la contractul de muncă, pentru a îndeplini această formalitate birocratică. Foarte puține companii au investit în securitatea echipamentelor și canalelor de comunicații, alegând adesea soluțiile cele mai rapide și mai ieftine, folosind adesea echipamentele de calcul și de comunicare personale ale angajaților.

Trebuie să ne dăm seama că toată această digitalizare în regim de urgență vine la pachet cu asumarea riscurilor de către operatori. Cu toate acestea, urgența nu înseamnă renunțarea la precauții și analize prealabile. Chiar și cu timp și resurse limitate, se pot lua măsuri pentru a reduce riscul prin identificarea proceselor a căror digitalizare are impact maxim asupra funcționării companiei și alocarea cu prioritate a resurselor de analiză și control al riscurilor.

Derapajele operatorilor de la respectarea principiilor GDPR au devenit o normalitate pe care persoanele vizate le acceptă și le trec cu vederea în speranța că nu se vor repeta. Cu toate acestea, valorile amenzilor aplicate de Autoritățile de Supraveghere europene sunt în creștere, ajungând să depășească 170 milioane de euro în 2020, dublu atât ca număr de amenzi, cât și valoric, față de anul anterior.

În ultimul an, de când a fost recunoscută oficial pandemia Covid-19, s-a vorbit mai mult despre GDPR decât în întreaga perioadă de la intrarea în vigoare a Regulamentului UE 679/2016 și este trist că a fost necesar acest virus pentru a oferi domeniului protecției datelor cu caracter personal atenția pe care o merită cu adevărat. Numărul crescut de incidente de securitate, de multe ori prin campanii de phishing, infectând mii de computere, se datorează naivității utilizatorilor care citesc acum orice e-mail legat de acest Coronavirus. Din păcate, multe afaceri au suferit și, mai mult decât efectele crizei sanitare ale acestei pandemii, sunt îngrijorat de valul de recesiune economică pe care estimez că o vom parcurge în următoarele luni și care va pune, din păcate, protecția datelor cu caracter personal într-un con de umbră.

 

Marius Dumitrescu, președinte al Asociației Române a Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD), DPO certificat PECB și Trainer, Managing Partner NeoPrivacy România

 

 

 

 

 

 

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Fiecare practician GDPR trebuie să aibă această carte

Editorial

Vizualizari: 140525

Facebooktwittergoogle_plusredditpinterestlinkedinmail

In domeniul protecției datelor în România, anul 2021 a debutat cu relansarea pe piață a carții "GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016" ( Editia 1, Editura Wolters Kluwer). Cartea este disponibilă în webshop-ul dpo-net.ro si poate fi comandată la prețul promoțional de 110 lei. 

Conf. Univ. Dr. Nicolae Ploeșteanu - Directorul Centrului pentru Protecția Datelor - Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade” din Târgu Mureș a avut amabilitatea sa semneze prefața acestei ediții:

"Apariția volumului GDPR Aplicat, ediția a I-a, elaborat de autorii Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Pantilimon și Marius-Florian Dan, reprezintă valorificarea de către aceștia, într-o editură de prestigiu precum Wolters Kluwer, a unui „succes editorial”. Prima ediție a apărut în editura Lumen și, cred eu, că datorită confirmării valorii practice a volumului, autorii au trecut de faza „timidității” începutului editorial și se adresează în prezent prin elaborarea acestei a doua ediții către dimensiunea reală a publicului interesat de domeniul protecției datelor cu caracter personal și, mai ales, către nevoile pieței de a implementa exhaustiv Regulamentul General privind Protecția Datelor, la nivelul operatorilor de date din România.

Volumul GDPR Aplicat este o idee strălucită a unui colectiv de persoane cu experiență practică și însuflețite să își pună amprenta proprie într-un domeniu în emergență, anume domeniul protecției datelor cu caracter personal. Legislația specifică pe care o abordează într-o manieră utilă și formativă este aceea care privește mai ales „GDPR”. Autorii doresc atât să se implice cât și să ofere un instrument antrenant și imediat pentru probleme practice serioase și multiplicate în activitățile curente ale operatorilor de date cu caracter personal. Toate entitățile publice și private sunt interesate să se pună de acord cu ceea ce la momentul de față este „sperietoarea” activității lor. Această intenție are sinuozități și îndoieli dar, în final, se impune practic asemănător unui standard de calitate și, în același timp, complet diferit: este diferența dintre un tablou pictat, privit ca o operă și, pe de altă parte, evoluția și inițierea unui proces juridic; oare cine are dreptate? Răspunsul este oferit cu precauție în paginile volumului acestor pionieri….În final, practica și viitorul vor fi circumstanțele în baza cărora vom argumenta liniile decisive ale acestei îndrăznețe acțiuni: protecția datelor din perspectiva unei societăți mai sigure și a unei vieți private intime fiecărei persoane fizice.

Este necesară această lucrare și îi felicit pe autori și pe cei care au contribuit pe această linie, într-un fel sau altul, la formarea acestora, iar aici mă gândesc în special la cei care au avut inițiativa de a întreprinde la Universitatea suceveană un curs postuniversitar de protecție a datelor, pe care toți autorii acestui volum l-au urmat!

Volumul este consistent: are 752 de pagini și, în esență, 14 capitole tematice, la care se adaugă anexe, bibliografie, figuri și tabele. Volumul se remarcă prin utilitate, nu prin argumentare științifică. Principala metodă de investigație utilizată în realizarea volumului este metoda experimentală.  În cele 14 capitole se tratează atât ideile de esență și directoare ale protecției datelor, precum și măsurile, acțiunile care trebuie întreprinse pentru a asigura implementarea GDPR la nivelul entităților, oferindu-se în mod constant exemple. În partea finală, referitoare la proceduri, modele și tabele ni se prezintă o varietate de exemple. Legat de structura volumul în acest context de evaluare pot fi extrem de încrezător în a afirma că este complet antamat pe necesitățile practice. Demersul autorilor va fi îmbogățit în edițiile viitoare, prin practica viitoare și abordarea unor tematici de nișă, cum este aceea a transferului internațional de date.

Pentru elaborarea volumului GDPR aplicat este cert că autorii au alocat un timp prețios și o disponibilitate aparte, poate chiar încercată și deloc ușoară. La momentul de față, astfel  cum se numește în partea secundă a sa, „Instrument de lucru pentru implementarea Regulamentului UE 679/2016” este instrumentul cel mai valoros de pe piața din România, pentru toți cei implicați în acest fenomen. Nu este un volum științific ci este exact ceea ce se numește: „Instrument de lucru…”. Dar este cel mai bun în domeniul GDPR. Îndrăznesc să afirm, pentru întreaga masă de profesioniști și interesați în domeniu, că utilizând acest volum pot să aibă siguranța conformității pentru o medie a entităților, într-un procent de aproximativ 90%. Oricum, până la apariția vreunui volum mai exhaustiv sau sintetic, acesta este, în opinia mea, sub aspect practic numărul 1 în România.

În mod interesant, lucrarea este utilă atât pentru practicieni cât și pentru directorii executivi ai companiilor. În prima parte, se oferă lecții nenumărate pentru management cum ar trebui să regândească sistemul propriu în care activează și, sigur că da, în același timp practicienii vor avea nenumărate soluții și documente la dispoziție pentru a sprijini companiile sau autoritățile în implementarea GDPR. Spre exemplu, la nivel de management este expusă povestea așteptării unui standard cumpărat și implementat imediat, cu deziluzia că așa ceva nu s-a putut întâmpla…Se caută vina la consultant și nu se poate direcționa juridic. Ce facem de aici încolo? Cât mai trebuie să stăm împiedicați de protecția datelor?

La nivel de executiv, lucrurile se complică deoarece pe lângă aceste instruiri, adevăratul specialist în protecția datelor trebuie să devină un real confident al companiei și să contribuie la rebreduirea acesteia. Va fi acceptat? Va fi înghițit? Volumul răspunde acestor întrebări într-o manieră sinceră și corectă!

Autorii au investit pasiune și interes suprapuse pe ideea importanței formării continue și a observației și cercetării cu demonstrații. Spuneam că autorii sunt într-o mare măsură pionieri: au simțit flexibilitatea și dinamica domeniului și au considerat că pot să afirme reguli, aspect care s-a confirmat în mod evident. De aici, apare una din primele trăsături ale lucrării, anume că la fiecare domeniu și secțiune se începe cu o „poveste” legată de ce se întâmplă în practică atunci când se urmărește implementarea GDPR: totul prinde contur și devine extrem de narativ și util în același timp. Spre exemplu, cuvântul introductiv debutează exact cu cea mai importantă parte a implementării GDPR, anume aceea a conștientizării și educației: „Etica reprezintă o invitație la conștientizarea consecințelor a ceea ce se face”

În al doilea rând, se face o descriere juridică a fiecărui concept principal utilizat în GDPR, inclusiv descrierea faptică alăturată. Dacă deschid la întâmplare volumul, ajung, spre exemplu la pagina 59, unde se vorbește de pseudonimizare, despre care se afirmă în mod corect că „are o componentă obligatorie și anume reversibilitatea acesteia. Reversibilitatea este tehnica inversă pseudonimizării, adică, folosind informații suplimentare, pe care doar operatorul le are, datele pot deveni, din nou, „clare”(…)” Aceasta este o obligație specifică în anumite condiții a operatorului de date.

În al treilea rând se oferă de către autori la fiecare argumentare sistematic prezentată, un exemplu, de regulă referit de ghidurile de implementare și orientare realizate de fostul Grup de lucru articolul 29, în prezent înlocuit de Comitetul european pentru protecția datelor stabilit prin GDPR. Această modalitate de expunere conferă instruire și înțelegere cititorului și practicianului, deoarece exemplele sunt extrem de relevante și fin relevate.

Nu în ultimul rând, trebuie remarcată referirea la practica instanțelor din România și a instanțelor europene în domeniul protecției datelor cu caracter personal, chestiune utilă deoarece contribuie la statuarea definitivă a unor linii de interpretare a domeniului analizat.

Consider că fiecare practician trebuie să aibă această lucrare pentru că îl va ajuta în implementarea GDPR. Lucrarea conține atât conținut cu documentare științifică cât și conținut aplicativ corect dar orientativ și specific ghidurilor.

În ceea ce mă privește, sunt încântat că autorii  Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Lungu și Marius-Florian Dan, mi-au fost pentru o scurtă perioadă „studenți”, deoarece orice dascăl este împlinit când este depășit de proprii studenți. I-am întâlnit cu ocazia unei competiții în domeniul protecției datelor, desfășurată la Târgu Mureș, și am simțit că este vorba de un grup cu potențial reformator. Au demonstrat în interesul comunității din România acest lucru. Le doresc mult succes și felicitări pentru demersurile continue pe care le întreprind în domeniul protecției datelor cu caracter personal."

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Nu e nevoie de consimțământul GDPR al parinților pentru testarea elevilor!

Dacă ar fi să folosesc un termen binecunoscut în rândul specialiștilor români în domeniul protecție și securității datelor cu caracter personal, aș spune că o noua „bazaconie” (termen […]

Importanța respectării autonomiei și independenței DPOului

În urma diferitelor discuții purtate cu colegi și colaboratori DPO au reieșit câteva dintre condițiile dificile în care își desfășoară activitatea unii dintre aceștia și, din provocările cu […]

Avem nevoie de o lege a Responsabilului cu protectia datelor cu caracter personal?

Data de 10 noiembrie 2020 a fost marcată de un eveniment controversat, care a declanșat discuții între teoreticienii și practicienii din domeniul protecției datelor cu caracter personal, atât […]

De câți DPO are nevoie România ?

Pe parcursul anului 2019, operatorii au înregistrat la Autoritatea Naţională de Supraveghere un număr de 4318 responsabili cu protecția datelor numiți de către operatorii din sectorul public și […]

TELEMUNCA și protecția datelor personale în contextul digitalizării

Reglementată de Legea 81/2018 și impusă în viața noastră mai repede decât ne-am fi așteptat de către pandemia Covid 19, telemunca este o realitate tot mai prezentă. Este […]

IMPACTUL INVALIDĂRII PRIVACY SHIELD SI POSIBILE SOLUTII PENTRU OPERATORII DE DATE PERSONALE

16 iulie 2020. O dată de referință pentru istoria protecției datelor personale. O dată de la care aproape toți operatorii de date personale din România ar trebui să-și […]

“EA ne vede, noi o vedem”

Draga cititorule, nu este vorba de vreo doamna frumoasă și elegantă! Fie vorba între noi e chiar urâtă! Are doar un ochi de zici că-i o doamnă ciclop […]

„GDPR-ul nu se aplică partidelor politice?”

Ne aflăm în plină campanie electorală pentru alegerile locale, care se va finaliza cu votul cetățenilor in 27.09.2020. Cu toții suntem chemați la vot de foarte multe partide […]

Care a fost cea mai importanta lectie pe care companiile, dar si specialistii in protectia datelor personale, au invatat-o in aceasta perioada?

Cei doi ani care au trecut de la implementarea GDPR nu au reprezentat pentru noi doar provocari, ci au introdus si oportunitati de a invata lectii valoroase. Am […]

Care a fost cea mai mare provocare a companiilor in procesul de obtinere si mentinere a conformitatii GDPR?

Specialistii in protectia datelor au fost cei care au lucrat alaturi de organizatii in procesul de obtinere si mentinere a conformitatii GDPR. Am vrut sa stim care a […]

Care a fost cea mai mare provocare, în ultimii doi ani, pentru specialistii in protectia datelor personale?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Ce am învățat în primii 2 ani de GDPR în România?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

Normele GDPR nu împiedică măsurile luate împotriva pandemiei Covid-19

În cadrul celei de-a 30-a sesiuni plenare, EDPB a adoptat o declarație privind drepturile persoanelor vizate în contextul actual epidemiologic al stării de urgență sau alertă din statele […]

Specialiștii în protecția datelor personale sar în ajutorul cadrelor didactice implicate în învățământul on-line

Un grup de patru specialiști în domeniul protecției datelor, autorii volumului GDPR Aplicat, vin în sprijinul celor interesați și implicați direct în procesul de învățământ on-line în România […]

Alexandru Luca: În acest context, digitalizarea nu este o noutate, este mai mult o oportunitate

Alexandru Luca, în prezent Mobile Division Manager – Cybersecurity BU in cadrul comapaniei certSIGN, are o experiență de peste 15 ani în domeniul IT&C, asumându-și roluri cheie în […]

La ce clauze contractuale vom fi mai atenți de acum în colo ?

Epidemiile, la fel ca războaiele, reprezintă situații care ne găsesc întotdeauna nepregătiți pentru a gestiona efectele complexe ale acestora. Consecința de lungă durată a acestora, după impactul psiho-emoțional, […]

Publicitatea declarației de căsătorie și respectarea principiilor GDPR

Scrieți pe Google „publicație starea civilă”, selectați modul „imagini” și observați rezultatul…Poate chiar vă regăsiți numele pe internet, alături de soțul/soția de atunci sau (încă) din prezent. Ne […]

GDPR se aplică și în timpul pandemiei COVID-19

GDPR se aplică chiar dacă pe timp de pandemie operatorilor de telefonie mobilă le-a fost solicitat de autorități să comunice anumite date pentru a ajuta la reducerea răspândirii […]

Pandemia Covid-19 a impus maturizarea forțată a societății românești

Nimic nu va mai fi ca înainte. Societatea în care trăim s-a schimbat deja, fiind supusă la unul din cele mai dificile teste de stres. Frica este cea […]