Alexandra Jivan (CIPP/E) are o experiență profesională de peste 11 ani, oferind consultanță și reprezentare juridică, atât startup-urilor, precum și companiilor multinaționale. În 2018, a fost inițiatorul proiectului GDPRO, cea mai mare platformă online românească care oferă seturi de documente adaptate pentru mai mult de 35 de domenii de practică diferite, concepute pentru IMM-uri și ONG-uri (www.protectia‐datelor‐imm.ro). Din 2020, este unul dintre membrii fondatori ai proiectului Timișoara Legal Hackers.

Este și unul din lectorii Workshop-ulului dpo.Tools organizat de Portalul dpo-NET.ro - Data Protection Officers Network, în data de 30 Aprilie 2020, în parteneriat cu Wolters Kluwer România, NeoPrivacy România, SAMSUNG, certSign, Inperspective, Reimens si IJV& Partners Law Firm și care abordează o tema de mare interes, "Mobilitatea, o provocare pentru aplicarea GDPR”, analizând intr-un mod pragmatic avantajele si riscurile privind securitatea informatiilor si a datelor personale in contextul utilizarii din ce in ce mai mult a tehnologiei mobile pentru a comunica. Alexandra Jivan a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să ne trezească interesul tuturor pentru un subiect atât de important pentru orice compananie care își propune să adopte și să implementeze principiile GDPR: implicarea, motivarea și responsabilizarea angajaților. 

În cadrul workshop-ului dpo.Tools organizat în data de 30 Aprilie 2020 în parteneriat cu SAMSUNG ROMÂNIA, având titlul “MOBILITATEA, O PROVOCARE PENTRU APLICAREA GDPR”, ne vei vorbi despre reglementarea responsabilităților angajaților cu privire la utilizarea tehnologiei mobile pe dispozitive personale și pe cele ale angajatorilor. Ce te-a atras la această temă?

Atunci când am primit invitația de a fi speaker la acest eveniment, am acceptat cu mare bucurie, unul dintre motivele care au stat la baza deciziei mele fiind chiar tema generală a workshop-ului: mobilitatea în contextul GDPR. În ziua de astăzi nu mai putem vorbi despre un business fără dispozitivrlr de comunicare mobile. Mai mult, punerea la dispoziția angajatului a unui telefon sau laptop de serviciu nu mai reprezintă de mult un bonus care să facă diferența între angajatori. S-a trecut chiar la pasul următor, acela în care utilizarea device-urilor personale în interes de serviciu (BYOD - Bring Your Own Device) e tot mai des întâlnită.

Normalitatea este deci utilizarea tehnologiei mobile, cu toate consecințele firești ale acestui fapt, fie ele bune sau mai puțin bune.

La ce consecințe te referi?

Fără a dezvolta toate situațiile de fapt cu care m-am confruntat de-a lungul activității, despre care voi vorbi însă pe larg la workshop, este important să conștientizăm că folosirea tehnologiei mobile (a telefonului mobil spre exemplu) de către un angajat poate fi de un real folos societății deoarece va facilita modul în care își desfășoară acel salariat activitatea, însă va genera totodată și un risc din perspectiva securității datelor. Fotografierea unui baze de date cuprinzând datele de contact ale clienților societății sau alte angajaților acesteia, folosirea acelor date în alt scop decât cel asumat de societate, permiterea accesării bazei de date a societății de pe un laptop privat virusat ce afectează ulterior întregul sistem al angajatorului, sunt exemple simple de consecințe grave cu care orice societate se poate confrunta.

Dacă vom analiza rapoartele ANSPDCP (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal) din ultima vreme, vom putea constata că există societăți care au fost deja obligate la plata de amenzi pentru neluarea de măsuri tehnice și organizatorice adecvate în vederea evitării unor situații de tipul celor amintite anterior.

Ce înseamnă “măsuri tehnice și organizatorice adecvate”?

GDPR oferă câteva exemple de măsurile tehnice şi organizatorice considerate a fi adecvate, precum şi anumite linii directoare pe care entităţile implicate în prelucrarea datelor cu caracter personal le pot urma atunci când implementează măsurile interne. Regulamentul nu prevede însă o definiţie concretă sau o listă clară a măsurilor adecvate, întrucât un astfel de demers ar fi unul extrem de laborios, dacă nu chiar imposibil, raportat la multitudinea particularităţilor fiecăreia dintre situaţii. În consecinţă, efortul determinării măsurilor potrivite pentru fiecare caz trebuie asumat de entităţilor care prelucrează datele cu caracter personal, respectiv de societăți.

Raportat la tema workshop-ului firește că este important să amintesc dintre măsurile orgaznizatorice ce ar trebui avute în vedere, cel puțin următoarele: obligația de confidențialitate a angajaților (ce trebuie clar reglementată printr-un act adițional la contractul de muncă și asumată în deplină cunoștință de cauză de către aceștia); training-ul adecvat în urma căruia salariații să înțeleagă importanța securității datelor prelucrate și a rolului lor în acest context; implementarea de politici interne cum e cea de HR, în care să se reglementeze modul în care se folosesc echipamentele mobile, condițiile ce trebuie îndeplinite pentru a se putea folosi un echipament personal în interes de serviciu, sancțiunile ce pot fi aplicate în cazul nerespectării acestei politici ș.a.m.d.

Există deci metode prin care angajatorii se pot asigura că nu vor exista incidente de securitate a datelor ca urmare a folosirii technologiei mobile de către salariați?

Cu siguranță că există, însă acestea nu se pot rezuma strict la documentația despre care vă vorbeam. În opinia mea, o implementare corectă și completă de GDPR se face doar prin colaborarea departamentului juridic cu cel tehnic. Așadar, vom avea spre exemplu politici interne care să reglementeze modul în care se vor utiliza laptop-urile private în interes de serviciu (folosirea parolelor, existența unui antivirus valabil, aplicare de sancțiuni etc.) însă va trebui să ne putem baza și pe niște sisteme IT/aplicații care să se asigure că în practică aceste demersuri sunt și duse la îndeplinire. Fiind avocat de consultanță în domeniul de business, convingerea mea este aceea că prevenția e mai bună decât încercarea reparării situației. Țelul principal al oricărei societăți ar trebui să fie acela de a împiedica producerea unui data breach, nu de a avea împotriva cui să se întoarcă pentru recuperarea daunelor suferite...deși firește că și această plasă de siguranță trebuie construită.

În contextul unei breșe de securitate, operatorul este responsabil conform Regulamentului UE 2016/679. Ce modalități există pentru ca operatorul să atragă răspunderea pentru greșeala unui angajat, în situația în care există proceduri și instrucțiuni de lucru? Se schimbă situația dacă operatorul nu a prelucrat corespunzător aceste proceduri si instructiuni către proprii angajați?

Atunci când un angajat nu își respectă obligațiile asumate în contextul relațiilor de muncă, sancțiunile sunt cele prevăzute de Codul Muncii și pot varia de la avertisment, la reducerea salariului pe o anumită perioadă de timp și până la concediere. Dacă societatea a suferit un prejudiciu, firește că există posibilitatea solicitării de despăgubiri de la persoana culpabilă, respectiv de la angajatul care a generat acel incident de securitate. Pentru a putea susține însă faptul că neîndeplinirea obligațiilor de către un anumit angajat a dus la respectivul incident și este deci răspunzător de acesta, este în primul rând necesar ca acelui angajat să îi fie clare obligațiile avute și consecințele nerespectării lor.

Vorbim astfel despre utilitatea existenței unor prevederi în cuprinsul regulamentului intern care să includă anumite fapte în categoria abaterilor disciplinare sau a abaterilor disciplinare grave și care să prevadă sancțiunile aferente acelor fapte, dar și despre importanța ridicată a procedurilor interne cu rol în reglementarea modului de desfășurare a activităților angajatului. Dacă aceste proceduri există, trebuie discutate cu reprezentanții salariaților/sindicatele (acolo unde acestea s-au constituit) și ulterior implementate. Prin “implementare” mă refer la aducerea lor la cunoștința angajaților, explicarea lor, efectuarea de traininguri interne, audituri periodice și orice alte demersuri care sprijină intenția angajatorului de evitare a breșelor de securitate ca urmare a activității salariaților.

În situația în care astfel de proceduri nu au fost stabilite la nivelul societății, sau au fost stabilite dar nu și aduse la cunoștința angajaților, scopul final al angajatorului de asigurare a securității datelor poate fi cu greu atins. Mai mult, salariații se pot prevala de acest lucru în cazul unui litigiu referitor la răspunderea lor, susținând că nu știau de respectivele proceduri. Înspre cine va înclina balanța rămâne de văzut în funcție de fiecare situație concretă, însă cu certitudine o atitudine diligentă din partea angajatorului prin crearea și implementarea efectivă și corectă a unor proceduri interne, nu poate decât să vină în sprijinul acestuia.

Vă invităm marți, 12 Aprilie 2022, de la ora 17, să participați ONLINE la lansarea cărții "SECURITATEA REȚELELOR ȘI A SISTEMELOR INFORMATICE. IMPLEMENTAREA DIRECTIVEI NIS ÎN ROMÂNIA" a autorilor Marius Dumitrescu și Daniela Simionovici.

Acest proiect editorial apărut în colecția Științe Juridice la Editura Universitară, unic pe piața din România, se adresează operatorilor de servicii esenţiale, furnizorilor de servicii digitale şi responsabililor cu implementarea NIS la nivelul entităţilor vizate de prevederile Directivei NIS (energie, transport, sectorul bancar, domeniul medical, infrastructuri ale pieței financiare, infrastructură digitală, furnizarea și distribuirea de apă potabilă, piețe online, motoare de căutare online și servicii de cloud computing).

Scopul acestei cărți este de a-i ajuta pe cei vizaţi nu doar să implementeze prevederile Directivei, ci să înţeleagă importanţa acesteia şi, mai ales, faptul că serviciile esenţiale pe care le furnizează au nevoie de o protecţie deosebită nu pentru faptul că nerespectarea Directivei ar atrage după sine amenzi, ci pentru faptul că orice perturbare în furnizarea serviciilor esenţiale se poate traduce în disfuncţionalităţi grave la nivel comunitar şi chiar societal.

Participanții la evenimentul de lansare vor primi un discount de 10% pentru achiziția cărții. Preț întreg: 150lei / Preț special de lansare: 135lei  Transportul prin curier se calculează suplimentar.

Puteți plasa chiar acum o precomandă și veți primi cartea imediat după lansare. 

RĂSFOIEȘTE CUPRINSUL CĂRȚII | DESPRE AUTORI | CUVÂNT ÎNAINTE | INTRODUCERE

Titlu: Securitatea reţelelor şi a sistemelor informatice. Implementarea directivei NIS în România

• ISBN: 978-606-28-1430-4
• Format: Tipărit  
• Pagini: 452
• Autori: Marius DUMITRESCU, Daniela SIMIONOVICI
• Publicat de: Editura Universitară, Colecţia Ştiinte juridice
• Data aparitiei: 2022

TRANSMISIUNE LIVE - LANSARE

Lansarea acestui proiect editorial se va face online, marți 12 aprilie 2022 începând cu ora 17:00, printr-o transmisiune LIVE pe Facebook, Linkedin, Youtube, Conferinte.ro si dpo-net.ro  la care vor lua parte mai mulți invitați speciali.

DESPRE ACEST PROIECT EDITORIAL

Preocupați de impactul tehnologiei în activitatea operatorilor de date cu caracter personal, peste 130 de specialisti in domeniul protectiei si securitatii datelor, din întreaga țară, au participat la prima ediție online dpo.TOOLS care a avut loc în 30 Aprilie 2020. Tema principală, "Mobilitatea, o provocare pentru aplicarea GDPR" a readus în prim plan problema securitatății datelor stocate si in tranzit, analizând riscurile si solutiile pentru utilizarea dispozitivelor aflate in proprietatea angajatilor si care sunt utilizate in interes de serviciu. Evenimentul a fost organizat de Portalul dpo-NET.ro - Data Protection Officers Network in parteneriat cu SAMSUNG, certSign,  Wolters Kluwer România, NeoPrivacy România, Inperspective, Reimens si IJV& Partners Law Firm. 

Vă reamintim că cea de-a cincea editie dpo.Tools (Webinar) va avea loc în data de 12.05.2020 si are ca tema "Provocarile procesului de CARTOGRAFIERE" si isi propune sa analizeze intr-un mod pragmatic etapele procesului, dificultatile intalnite precum si solutiile care pot ajuta DPO-ul sa indeplineasca si sa gestioneze cu succes aceasta sarcina. PARTICIPAREA ESTE GRATUITA. 

Mai multe detalii privind agenda și formularul de înscriere le puteți pe pagina evenimentului: https://dpo-net.ro/participa-la-webinarul-dpo-tools-12-mai-2020-provocarile-procesului-de-cartografiere

Evenimentul online a durat mai bine de 3 ore, timp în care toți participanții au analizat împreună cu lectorii invitati riscurile digitalizării dar mai ales soluțiile deja existente pentru a asigura protecția și utilizarea în siguranță a datelor pe terminalele mobile, ajungând la următoarele concluzii:

• "GDPR-ul, în sine, ca și cadru legal, nu poate în mod direct să ofere garanții privind asigurarea vieții private și acest acest lucru va fi posibil doar prin ridicarea gradului de conștientizare al importanței acestor date cu caracter personal. Evident, a fost nevoie și încă este nevoie de o campanie intensivă de educare a utilizatorilor, lucru care necesită timp și care va fi făcut cel mai probabil prin intermediul operatorilor de date cu caracter personal, care au obligația asigurării transparenței și obligația informării angajaților și clienților persoanelor fizice. Este nevoie de educație a personalului mai mult decât investiții mari în soluții tehnice de securitate. Procesul de digitalizare atrage după el și metode tehnice avansate de securitate, care cresc garantarea vieții private, dar trebuie să ținem cont în primul rând de ritmul lent de digitalizare și faptul că România ocupă în prezent ultimul loc în topul European al țărilor digitalizate.", a declarat în deschidere Marius Dumitrescu, Data Management and Compliance Solutions Specialist, NeoPrivacy Romania
• Gazda evenimentului, Ovidiu Seceleanu Head of B2B IM Division, SAMSUNG, a prezentat o soluție încă necunoscută specialiștilor în domeniul protecției datelor: "Solutia Samsung Knox Platform for Enterprise creeaza o zona personală și o zona de business. Prin tehnologia de containerizare separăm pe telefonul angajatului zona personală de zona de birou, iar în zona de birou noi hotărâm care este  politica de securitate, lăsând ca în zona personală să facă ceea ce dorește. În felul acesta securizam datele companiei și oferim libertate angajatului să folosească același telefon în ambele scopuri, fără să interferam în problemele lui personale. Dacă vorbim de digitalizare, cel mai important element pe care trebuie să-l avem în vedere este schimbarea. Propunem sa nu mai dăm vina pe utilizatori ca nu respecta procedurile si masurile de securitate, ci sa folosim aplicații de management si securitate. Cu portofoliul nostru de produse Samsung Knox putem face de la distanta atat toate setarile cat si managementul aplicațiilor pe dispozitivele mobile”.
• "Suntem de acord că în momente de criză, inovația și adaptarea sunt pârghii importante care trebuie să fie acționate pentru a supraviețui socului unei noi ordini economice și sociale. Dar, suntem totodată de acord, că astfel de mișcări nu pot fi realizate în orice condiții. Schimbările trebuie să fie realizate etapizat și organizat, cu respectarea unui plan, a unor reguli, iar crizele aduc un val de riscuri sporite și chiar unele riscuri specifice, care nu pot fi tratate cu indiferență.  Mobile Forensics reprezintă cumulul de metode și proceduri de expertizare criminalistică a unui dispozitiv mobil în vederea obținerii probelor digitale relevante pentru aflarea adevărului în cadrul desfășurării unor proceduri judiciare. Având în vedere complexitatea noilor dispozitive mobile (smartphone) acestea sunt deseori parte din mijloacele de comitere al unor fapte penale, iar cunoștințele criminalistice de expertizare tehnică a unui astfel de dispozitiv ne-au atras atenția în mod deosebit", a declarat  Alex Gheorghe, Data Protection & Privacy Consultant Inperspective.
• Continuând cu provocările contractului de Telemuncă, deși legea care reglementează regimul de lucru în condiții de „telemuncă” (și pe care o considerăm o lege bună) este în vigoare din luna martie a anului 2018 permițând angajatorilor flexibilitatea și extinderea colaborărilor profesionale în relație cu personalul propriu, (i) reticența angajatorilor români de a colabora cu angajații sau colaboratorii în condiții remote, în mare parte din cauza lipsei de încredere (fără un temei solid) a angajatorilor în performanța angajaților care prestează activitatea profesională din spații aparent necontrolate de angajator, (ii) localizarea operațiunilor companiilor exclusiv la nivelul țării dar și (iii) lipsa unor documente cadru care pot fi aplicate cu ușurință la nivel organizațional pentru reglementarea unui astfel de cadru profesional, generează o serie de provocări aplicării regimului de telemuncă în România.
• "Implicarea participantilor prin intrebarile adresate atat la momentul inscrierii cat si pe parcursul workshop-ului, a venit ca o confirmare (pe care noi o asteptam si o speram) a interesului real pe care tema aleasa l-a trezit. Nu poate decat sa ma bucure faptul ca oameni activi in domenii atat de diferite au inteles nevoia reala de a accesa informatii bine fundamentate, venite din partea unor oameni cu experienta in domeniu. Speram sa avem ocazia sa ne reintalnim in mediul online si poate chiar offline, sa dezbatem subiecte si sa gasim solutii." a declarat Alexandra Jivan Partener IJV& Partners Law Firm
• Considerăm că discuțiile care au avut loc la nivelul webinarului reprezintă o resursă importantă pentru aplicarea contractului de Telemuncă la nivel național, alături de standardul Actului adițional la Contractul Individual de Muncă realizat de INPERSPECTIVE

Piața muncii se schimba, în anul 2020 peste 50% dintre oamenii din campul muncii vor fi millennials, oameni care s-au născut cu telefoane în brațe și care se așteaptă de la angajatori și de la companiile producătoare de tehnologii să le pună la dispoziție mijloace, device-uri dar și soluții software în așa fel încât să nu fie legați de un anumit loc de munca, să își poată desfășura activitatea de oriunde și să nu fie nevoiți sa care dupa ei un laptop sau să vina la birou numai pentru a lucra pe un desktop.

SAMSUNG împreuna cu certSIGN a lansat conceptul de #GoMobile pentru ca în afara telefoanelor, a funcționalităților DEX și a softului care face managementul securității telefoanelor, utilizatorii au nevoie de aplicații specifice fiecarei industrii.  Ei au dezvoltat o solutie care presupune semnătura electronică în cloud și practic putem semna de pe terminalul mobil, fara sa avem nevoie de un PC.

• "certSIGN in parteneriat cu Samsung doreste sa sustina initiativa DPOnet prin punerea la dispozitia companiilor interesate, a unui program de evaluare a solutiei integrate ce faciliteaza implementarea cu succes a programului de lucru la distanta. Solutiile propuse, vizeaza pe de o parte conceptul de BYOD dar si respectarea cerintelor de implementare a GDPR."
• "IT Managerii dacă se gandesc sa achiziționeze sau să schimbe flota de device-uri mobile, sau dacă analizează ce tipuri de probleme au avut cand au implementat o soluție de mobilitate, se lovesc de următoarele probleme: securitate, urmată de managementul device-urilor, pe locul trei aflandu-se productivitatea. Pentru a răspunde asteptarilor clientilor, SAMSUNG a creat, pe baza acestor trei piloni, un portofoliu de soluții software, sub numele de Samsung KNOX, care a fost integrat deja în peste 50 de milioane de terminale ale clientilor din peste 80 tari” a detaliat Ovidiu Seceleanu.
• "Compania certSIGN a investit masiv in ultimii ani in pregatirea personalului la cel mai inalt nivel ca urmare a semnarii unor parteneriate strategice cu principalii jucatori la nivel modial in zona de Enterprise Mobility Management. Printre parteneriatele importante se numara includerea solutiilor Samsung Knox, solutii care se identifica cu nivele de Securitate si functionalitate ridicate pe de o parte, dar si cu o rata mare de adoptie la nivelul companiilor pe de alta parte. Parteneriatul dintre compania certSIGN si Samsung, cel mai mare producator de telefonie mobila din lume, a venit ca urmare a nivelului de calificare si experiza ridicat al specialistilor certSIGN, accestia fiind pregatiti pentru a satisface cele mai variate cerinte de business si nivele de support 1 2 si 3 asociate. certSIGN aduce valoare parteneriatului cu Samsung prin suita de aplicatii mobile dezvoltate, compatibile cu solutiile Samsung Knox, aplicatii care au ca obiectiv eficientizarea proceselor de business prin implementarea unor proiecte de digitalizare precum si mediul de lucru colaborativ", a declarat Alexandru Luca - Senior Consultant for Mobile Technologies, certSIGN .

Digitalizarea proceselor vine ca si o consecinta a stilului de viata aferent prezentului, derivata din adoptia tot mai mare a sferei de mobilitate la nivelul companiilor din Romania. Necesitatea asigurarii unui nivel de securitate precum si implementarea de contramasuri in situatii de pericol, cum ar fi pierderea unui dispozitiv mobil sau accesul neautorizat la aplicatiile de business stocate pe acesta, a devenit o conditie esentiala. Pe de alta parte vedem tot mai mult o deschidere din partea companiilor de a organiza cursuri de bune practici in zona de mobilitate, unde ne face placere sa participam de fiecare data.

• "Pe langa securitatea dispozitivelor mobile, #Gomobile promite eficientizarea fluxurilor de lucru prin digitizarea completa, adica Paperless. Chiar este posibil acest lucru? Raspunsul este categoric DA, deoarece proiectul Paperless nu a fost gandit doar pentru semnarea electronica de pe mobil, ci pentru a asigura tot ciclu de viata al unui document de la crearea acestuia pana la indexarea lui in arhiva electronica a unei companii. Proiectul Paperless are ca obiectiv alaturi de eficientizarea proceselor si reducerea costurilor operationale si integrarea cu sisteme existente la nivelul companiei  cum ar fi solutii de document management, ERP sau CRM.", a concluzionat Alexandru Luca.

Evenimentul a fost inregistrat si publicat pe Youtube, persoanele interesate putand oricand sa revada prezentarile celor trei lectori invitati, precum si sesiunea de intrebari si raspunsuri. 

Rata de adoptie a “business-ului 100% digital” la nivelul companiilor din Romania este in crestere, aspect care ne incurajeaza sa privim spre viitor, cu siguranta pentru a ajunge 100% digital necesita parcurgerea unui proces de transformare care se intampla in etape, dar multe companii au luat deja startul, iar altele intentioneaza in perioada imediat urmatoare.

Solutiile si produsele certSIGN au fost dezvoltate pentru a exploata o sfera variata de dispozitive mobile, fiind compatibile atat cu sisteme de operare Android cat si iOS. Recomandam dispozitivele SAMSUNG datorita nivelului ridicat de securitate oferit si nu in ultimul rand datorită performantei. Desigur, solutiile pot fi testate sub forma unor licente trial care vin insotite de suportul tehnic oferit de specialistii certSign si SAMSUNG.

• Testare Platforma Knox for Enterprise
• Testare Knox Configure
• Testare Knox Mobile Enrollment
• Testare Knox Manage
• Testare Knox E-FOTA Advanced