Ana-Maria Udriște: “ Este foarte important să alegi o persoană care să te ajute în implementarea GDPR și să te facă să înțelegi că documentația nu este suficientă”

INTERVIU EXCLUSIV

Vizualizari: 6483

Facebooktwittergoogle_plusredditpinterestlinkedinmail

“România, trei amenzi GDPR, două premiere europene”, așa am putea sintetiza contextul în care se află țara noastră, asistând în ultimele zile la o lecție GDPR în trei acte: sistemul bancar, turismul și serviciile. Nu este un lucru negativ, din contră, denotă curajul Autorității noastre de supraveghere de a merge pe căi încă nebătătorite. Dacă amenda aplicată UniCredit aduce pentru prima dată în atenția tuturor principiul GDPR de confidențialitate prin design (“privacy by design”), ce-a de-a doua amendă aplicată WTC a fost fundamentată pe principiul responsabilității operatorului de a implementa și mai ales respecta măsurile tehnice și organizatorice de protecție a confidențialității datelor cu caracter personal. Ultima amendă aplicată până în prezent a fost o surpriză pentru noi toți, mai ales pentru că a vizat o companie de consultanță juridică cunoscută și pentru lansarea primului kit de documente GDPR din România. Am realizat cu toții că oricine dintre noi poate avea o breșă de securitate, indiferent de domeniul de activitate și de nivelul de profesionalism.  
Ana-Maria Udriște, fondatorul avocatoo.ro, a acceptat invitația noastră de a acorda un interviu în exclusivitate pentru dpo-NET.ro, oferind informații importante care ne vor ajuta să ne reamintim că responsabilitatea noastră se extinde și asupra acțiunilor angajaților sau, în cazul de față, a partenerilor de afaceri. 

Ana-Maria Udriște este avocat specializat în dreptul afacerilor și pasionată de tehnologie și modul în care se poate face legătura între domeniul juridic și oamenii care nu au treabă cu el, facilitându-le accesul la informație printr-un limbaj simplu și comun. Este fondatorul site-ului avocatoo.ro, prin care și-a propus să educe și să alfabetizeze juridic societatea și astfel să  ajute persoanele să se dezvolte, cunoscând nu doar drepturile pe care le au, ci și cum și se poată proteja. A reușit să explice dreptul într-un limbaj cât mai accesibil și să ofere servicii juridice online, concentrându-ne pe rezolvări concrete ale spețelor sau dilemelor vizitatorilor, nu doar pe oferirea unor soluții. De când a intrat în scenă GDPR-ul, s-am aplecat și asupra acestui domeniu. “Cred în acest set de reguli, cred în tehnologie și o folosire corectă a ei, astfel că până în prezent, eu și echipa avocatoo.ro, am reușit să punem pe picioare o bază consistentă de articole și documente prin care încercăm să elucidăm împreună fenomenul. Pe scurt, nu vindem GDPR, ci oferim un punct de plecare și înțelegere persoanelor interesate de acest domeniu, nou încă pentru majoritatea, și în continuă schimbare.” declară pentru dpo-NET.ro Ana-Maria Udriște. 

Este o premiera europeana amendarea unei companii care ofera servicii de consultanta si implementare GDPR si vorbim in acest caz chiar de compania condusa de Dumneavoastra (avocatoo.ro). Cum a fost posibila o astfel de bresa de securitate si ce masuri ati luat imediat dupa identificarea acesteia ?

U.A: Când am făcut migrarea site-ului de pe un host pe celălalt, a fost folosit un plug-in de WooCommerce pentru a migra o bază de date inactivă, care conținea date criptate despre tranzacțiile online, care vizau persoane juridice. În una dintre versiunile de back-up a rămas o versiune parțială a acestui fișier - care nu a apărut nici măcar la testarea online pentru vulnerabilitate. Iar persoana care a știut exact să se uite, pentru că s-a mers direct pe link, a făcut și plângerea. Din momentul în care am fost informați, lucru care s-a întâmplat prin intermediul chatului online de pe site chiar de către persoana care a făcut plângerea despre această vulnerabilitate, am securizat totul în mai puțin de 10 minute, fapt confirmat chiar și de respectiva persoană în cadrul conversației.

Autoritatea a spus că la data de 1 februarie 2019 informațiile erau disponibile în mod public, când problema s-a remediat imediat. Însă, deși am solicitat informații suplimentare, inclusiv să ne fie furnizate în formă confidențială, nu am avut acces la ele.

Noi am identificat imediat documentul, am făcut analiza internă pentru a decide dacă se impune sau nu notificarea autorității și a persoanelor implicate, și având în vedere natura publică datelor, volumul acestora, data tranzacțiilor și eventualul risc, risc care era practic inexistent, am acționat în consecință.

Ulterior, am refăcut site-ul de la zero, am adăugat încă un nivel superior de securitate prin tripla parolare și utilizare a cheilor, precum și definirea unor roluri mult mai bine stabilite de acces și posibilitate de modificare.

Care au fost etapele anchetei desfasurate de Autoritatea de Supraveghere care a condus la aplicarea acestei amenzi ? Ati primit si recomandari sau masuri corective? Vi se pare justificata aplicarea acestei masuri ?

U.A.: Etapele au fost simple și la obiect. Am primit cererea de furnizare a informațiilor pe e-mail și am răspuns tot prin e-mail. Niciun fel de procedură scrisă în afară de înmânarea propriu-zisă a procesului-verbal de sancționare. Nu am primit recomandări sau măsuri corective, nici propuneri, nici măcar nu s-a făcut mențiune despre acest aspect vreodată.

Dacă este să raportăm la cifra de afaceri, amenda este în cuantum de 2.6%, ceea ce este mult mai ridicată prin raportare la celelalte două sancțiuni aplicate. La World Trade Center amenda ar fi de aproximativ 0.2%, iar la Unicredit Bank se învârte în jurul aceleiași valori, asta conform informațiilor disponibile public. Am putea spune ca pare un pic cam disproporționat, însă eu pot înțelege și abordarea autorității de a fi mai dură cu operatorii pentru a transmite un semnal de genul "GDPR funcționează la orice nivel chiar și în România".

În România, până în acest moment, s-au aplicat trei amenzi pentru nerespectarea GDPR, Autoritatea de supraveghere conducand aproape 1.000 de investigații in primul an si adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că amenzile au un rol important în aplicarea GDPR-ului? Din experienta practică, cei mai mult operatori romani incearca sa se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor? Se gandeste cineva si la riscul reputational ?

U.A.: Amenzile nu rezolvă această problemă. Fac o paralelă cu dreptul concurenței, unde Consiliul este foarte activ și duce campanii de informare la nivelul întregii țări.

Din punctul meu de vedere, și nu numai al meu, avem nevoie de o campanie de informare din partea autorității și a altor organisme din domeniul digital sau care protejează consumatorii, ca tu om simplu sau entitate comercială să știi ce drepturi ai, ce obligații, DE CE e important și ce pași să adopți. 

Nu e o idee încetățenită, dar suntem un popor căruia îi place să introducă acțiuni în instanță, așa că amenzile nu vor face decât să crească numărul litigiilor, iar la final vom rămâne doar cu ideea că ”ei, data viitoare scap”.

Hai să ne uităm la autoritățile din Marea Britanie, Irlanda, Franța, Belgia, Olanda care emit ghiduri, note cu recurență săptămânală. În Franța avem amenda aplicată Sergic unde autoritatea ”a tras” de companie să se conformeze. Abia după aproape un an, când a văzut că nu a făcut nimic din ce i s-a spus, a aplicat amenda. Ceea ce e nu cazul la noi, din păcate.

La noi operatorii, în majoritatea lor, încearcă să se conformeze pentru a bifa o acțiune pe lista numită "GDPR - de făcut". Riscul reputațional este trecut pe un plan terțiar, nici măcar secundar cum ai putea crede la prima vedere.

Până la urmă, în branșă se discută de ceva vreme deja că există indicii că datele din sănătate ”tropăie” fără vreun control și nimeni nu zice nimic și nu se supără nimeni din cauza asta.

Nouă ni s-a aplicat o amendă în cuantum de 2.6% din cifra de afaceri netă (conform informațiilor disponibile pe site-ul Ministerului de Finanțe).

Ni s-a spus de nenumărate ori în ultimele zile că trebuia să luăm avertisment, cel mult. Noi nu comentăm decizia autorității, ci o respectăm, indiferent că ni se pare mult sau puțin.

Mesajul din partea Autoritatii de Supraveghere este unul extrem de puternic, subliniind tototdata faptul ca analiza riscurilor si masurile adecvate necesita o atentie marita din partea oricarui operator. Am putea spune astfel ca identificarea riscurilor este unul din cei mai importanți pași spre a obtine un grad ridicat de conformitate GDPR. Cu toate acestea, dacă uniii dintre operatori nu reusesc sa identifice nici  macar breșele, cum putea identifica riscurile?

U.A.: Aici intervine o persoană care să aibă experiență practică și să vadă dincolo de hârtii. O chestiune constatată de-a lungul acestui an este că trebuie ca persoana care sprijină organizația în vederea implementării să aibă o viziune practică și să vadă fluxurile înainte ca organizația să se gândească la ele.

Practic să vezi cam ce fel de date sunt, de unde vin, ce se întâmplă cu ele etc. Și apoi să lucrezi cu organizația în profunzime, din aproape în aproape ajungi și la riscuri la care nu te-ai fi gândit. Și, de asemenea, cred ca e necesar să îți imaginezi un scenariu practic al unor posibile scenarii, lucru care se întâmplă frecvent în industria de comunicare, spre exemplu. Ideea este să fie cât mai detaliat și mai puțin obișnuit la început, că încet ajungi la ceva palpabil care cu siguranță se va aplica.

Pleacă Ionel cu plicurile cu facturi către destinatari. Poate că Ionel se oprește să își ia un pachet de țigări și uită ușa deschisă la mașină. Și cineva ia toate plicurile, crezând că sunt bani. Sau Ionel e supărat pentru că soția lui nu i-a răspuns la telefon și aruncă plicurile cu pliante promoționale pe un câmp, că vrea să se ducă la birtul din sat să bea o bere. Iar avem un risc și o eventuală breșă. Te-ai fi gândit din prima la asta?

Dupa cum constatăm din analiza primelor trei cazuri in care au fost sanctionati operatorii de date romani, o amenda aplicata de Autoritatea de Supraveghere poate sa apara si in urma anchetei demarate dupa depunerea de catre operator a notificarii de bresa de securitate. Credeti ca acest lucru va scadea incidenta raportarilor de brese din partea operatorilor?

U.A.:Realitatea ne spune că majoritatea operatorilor nici măcar nu știu când trebuie notificată o breșă de securitate sau ce este aceasta. Cum scriam la un moment dat, o breșă de securitate înseamnă inclusiv atunci când scriu un e-mail și la destinatar trec, din neatenție sau pentru că majoritatea programelor de e-mail completează automat, un alt destinatar decât cel vizat.

Însă da, consider că astfel va scădea considerabil numărul de raportări din partea operatorilor. Dacă de exemplu, și iar fac paralelă cu dreptul concurenței, operatorul ar fi beneficiat de circumstanță atenuantă, de clemență sau imunitate pentru că notifică o breșă, atunci am fi fost în situația în care ar fi existat un interes real din partea operatorilor de a proceda la notificare. Dacă nu ne place paralela cu dreptul concurenței, hai să vorbim despre cum se corectează lucrurile în aviație și de ce a ajuns să fie unul dintre cele mai sigure medii.

În lipsa unor asemenea beneficii, majoritatea vor sta deoparte, pe ideea că ”lasă că poate nu notifică nimeni autoritatea - de ce să mă dau singur de gol”. Și atunci iarăși este o problemă. Legiuitorul sau chiar autoritatea ar fi putut să intervină și să ofere astfel de soluții și astfel ar fi crescut gradul de cooperare, conștientizare și asumare. Însă așa cui îi convine să notifice știind că va putea fi sancționat la fel dacă nu notifică?

Să ne aplecăm și asupra scandalului Cambridge Analytica si FTC, unde Facebook și autoritatea sunt în faza de negociere a unei tranzacții, cu anumite condiții, care să închidă investigația. Bun, pe 5 miliarde de dolari, dar putea să fie mai mult. Noi nu avem asemenea beneficii. 

Aveti o activitate bogata printre care si dezvoltarea si comercializarea unuia dintre cele mai cunoscute kituri de documente pentru implementarea principiilor GDPR, alaturi de serviciile consultanta de specialitate. Ce parere aveti despre operatorii care se rezuma la simpla achizitie a kitului, fara a investi in formarea unui specialist intern sau apelarea la un specialist extern ? Cum putem lupta ca specialisti in protectia datelor impotriva acestui fenomen prin care un operator incearca formal obtinerea unor inscrisuri care sa dovedeasca conformitatea, in lipsa unor modificari de fond in modul in care isi desfasoara activitatea ?

U.A.: Noi am încercat constant, în special prin ceea ce scriem pe blog, să oferim cât mai multe exemple și metode de identificare a riscurilor și cum să ai o abordare corectă.

Întotdeauna am afirmat că persoana care știe cel mai bine să-și facă implementarea este organizația, mai ales la nivelul firmelor mici și mijlocii pentru că de obicei persoanele care se ocupă de activitatea zilnică sunt și cele care au fondat organizația. Și acestea sunt cele mai în măsură să știe, la prima mână, pe unde le vin și pleacă datele.

De asemenea, noi am mers pe o abordare de genul ”cât mai multe exemple și îndrumări” care să te ajute să identifici într-un mod optim fluxurile de date și eventual riscurile. Asta e prima sarcină a ta ca organizație, să iei un pix și, cu o serie de documente în față, să începi să creionezi ceea ce tu consideri că ți s-ar aplica și cum vezi tu lucrurile.

Ulterior, după ce din punctul tău de vedere ai cam terminat pe partea asta, ar trebui să apelezi la o persoană care să verifice documentația și să vadă dacă sunt chestii care cumva au scăpat sau cum trebuie abordate problemele pe mai departe.  Noi am oferit constant, fără vreun cost suplimentar asistență pe partea asta. Oricum, oamenii ne scriu pe rețele de socializare sau e-mail și ne cer anumite informații sau revizuiri de documente pe care le facem în limita timpului disponibil. Iar uneori scriem și articole despre situația respectivă, când ne dăm seama că ar putea fi de interes pentru mai multă lume.

Dar este foarte important și să alegi persoana care să te ajute în implementare și să te facă să înțelegi că documentația nu este suficientă, e ce am zis întotdeauna: GDPR este un mixt între juridic, tehnic și organizațional și implică atât regândirea unor procesele operaționale, cât și implementarea sau adaptarea unor soluții tehnice menite ca, în final, să crească încrederea persoanelor în organizația respectivă și să redisponibilizeze toate părțile implicate.

A trecut primul an de cand se aplica GDPR-ul si mai bine de trei ani de cand a intrat in vigoare. Care au fost provocarile cu care v-ati confruntat in calitate de specialist in protectia datelor ? Ce s-a schimbat în aceasta perioada si cum vedeti evolutia in Romania si la nivel european pe termen scurt si mediu?

U.A.: Așteptam cu nerăbdare să intre în vigoare GDPR, la nivel european. La nivel macro, noi nu conștientizăm importanța datelor noastre personale. Spre exemplu, folosim telefonul pentru localizare, pentru a ajunge la o destinație, pentru a transmite poze din vacanțe, pentru a partaja cu alții documente, informații, albume, pentru a ne face programări pe la diverse saloane pe care ulterior le salvăm cu tot cu locație în telefon în calendar, pentru a primi sau trimite bani, pentru a asculta muzică, a ne înregistra ce mâncăm, cât sport facem, când ne trezim, cu ce prieteni am fost în oraș etc.

Fără să-ți dai seama, dacă cineva are acces la un moment dat la contul tău de Google, să zicem, practic poate să-ți vadă întreaga viață.

Și nu este normal ca aceste date:

(1) să fie cerute într-un număr cât mai mare,

(2) să nu fie protejate,

(3) să nu ai idee ce se întâmplă cu ele odată colectate și stocate.

Să ne gândim doar că pe baza tuturor acestor informații, poți să faci profilul cuiva fără să te chinui prea mult. Nu mai spun de situațiile când te trezești că ai contract un credit de care habar nu aveai. O să râdeți, că poate pare imposibil, dar s-a întâmplat.

După cum spuneam, oamenii nu conștientizează importanța datelor până când nu le furnizezi exemple ca cele de mai sus. Și nici nu putem avea pretenții de la un user simplu de tehnologie. Altfel că majorității i se pare o utopie regularizarea colectării, stocării și transmiterii de date. GDPR nu e un bau-bau sau un motiv în plus să extindem birocrația. Și dacă unii doar asta înțeleg, bifarea unui to-do list ca să fie GDPR compliant, alții îl duc la absurd și își închid site-urile sau nu mai comunică date deloc - cum a fost exemplul meu personal când o clinică privată nu a vrut să-mi ofere, după o verificare prealabilă, ID-ul de pacient prin care să îmi pot verifica analizele și a trebuit să bat 40km până la centru.

Nu despre asta este vorba. În primul rând vorbim despre conștientizare, apoi de responsabilizare și asumare.

Potrivit raportului emis la nivel european de Comisia Europeană, 73% din cei avuți în vedere știu care le sunt drepturile. Dar asta e la nivel european. La nivel național tind să cred că nici măcar 15% nu știu de GDPR, ce face, cum face și ce e vreo dată cu caracter personal.

Iar amenzile nu vor rezolva această problemă pentru că ține de educare și informare. Ceea ce noi încercăm să facem pe avocatoo.ro cu pachetele de soluții GDPR. O amendă nu va face decât să zică ”ei, lasă, mai semnez niște documente și aia e, oricum amenzile sunt ceva normal la noi”.

Așadar, pe termen scurt vom vedea că vor există și mai mulți prestatori de servicii care se vor oferi să te conformezi GDPR fără să-ți bați capul.

Ce sfaturi puteti oferi specialistilor in protectia datelor, aceasta meserie nou aparută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și lipsei unor repere unitare privind interpretarea și implementarea lui ?

U.A.:Să citească foarte mult, în special de pe site-urile autorităților externe care oferă informații foarte bune și aplicate. Chiar și articole de presă, site-uri de specialitate, can-can, situații ipotetice, pentru că fiind un domeniu nou și în permanentă mișcare, trebuie să fii conectat cu ultimele știri ca să știi exact la ce să fii atent și cum să identifici eventuale probleme care pot să apară.

In incheiere, ce trebuie sa retina un operator din acest caz si ce sfat ati oferi managerilor care au asteptat pana in acest moment "sa se intample ceva", fara a intreprinde nici un demers in sensul obtinerii conformitatii GDPR ?

U.A.:Operatorii ar trebui să aibă în vedere că problema GDPR nu este "cine", ci "când". Pentru că nimeni nu scapă de o breșă de securitate și mai devreme sau mai târziu, tot suferi una, indiferent de cât de bun ești. Iar cea mai bună opțiune, în cazul în care suferi o breșă de securitate, este de a minimiza riscurile. Să conștientizăm, așadar, că este un fenomen real și că se poate întâmpla din motive la care nici nu s-a gândit cineva vreodată.

Alinierea la normele GDPR nu este o chestie de ”semnat hârtii”, ci presupune o responsabilizare a operatorului față de toți cei implicați. El trebuie să știe în primul rând ce date colectează, de unde, ce face cu ele și cui le transmite. Și să-și facă propriul audit preliminar, așa cum se pricepe mai bine, iar ulterior neapărat să apeleze la ajutorul unor persoane care, înainte de toate, înțeleg domeniul lui de activitate și cu care, împreună, să implementeze procedurile necesare din punct de vedere operațional, tehnic și juridic.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Gradul de conformare GDPR, în domeniul sanitar românesc, nu a depășit 15%

INTERVIU EXCLUSIV

Vizualizari: 2193

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Regulamentul General privind Protecția Datelor (GDPR-General Data Protection Regulation) a apărut pentru a oferi un grad de control într-o lume dominată de tehnologie, iar conformarea la acest Regulament nu înseamnă altceva decât crearea cadrului în care datele cu caracter personal și special ale pacienților să fie protejate. Atacurile cibernetice asupra spitalelor din România demonstrează vulnerabilitatea sistemului sanitar în fața avansului tehnologiei, dar și lipsa de interes și implicare a conducerii spitalelor pentru a avea un plan de conformare adecvat, pentru că incidentele de securitate trebuie văzute ca o chestiune de regulă, apar ca urmare a nerespectării unui soi de disciplină într-un anumit domeniu. În sistemul sanitar românesc gradul de conformare GDPR se află sub pragul de 15%, atrage atenția Marius Dumitrescu, președintele Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD). Într-un interviu acordat Revistei Health, președintele ASCPD a oferit mai multe detalii despre riscurile neconformării GDPR, care sunt vulnerabilitățile, dar și care ar fi măsurile necesar a fi implementate pentru protejarea datelor pacienților.

A trecut mai mult de un an de la aplicarea Regulamentului UE 679/2016 și în România vorbim deja  de breșe de securitate în sistemul sanitar. Din acest fapt se poate deduce că sistemul încă nu este pregătit întru totul pentru protejarea datelor cu caracter personal?

MD: Spitalele sunt o țintă a atacurilor ransomware în toată lumea, nu doar în România. Foarte multe astfel de incidente au fost raportate de spitale și înainte de 25 mai 2018, dar în ultimii ani am observat că specialiștii vorbesc despre o creștere exponențială a numărului de cazuri. Sunt trei întrebări la care autoritățile române și managerii spitalelor trebuie să găsească răspunsuri cât mai curând: ”de ce sunt vizate spitale din România?”, ”de ce sunt
așa de multe incidente în domeniul sanitar?” și, poate cea mai importantă întrebare, ”putem evita să devenim ținta unui atac cibernetic?”.

Ransomware-ul este un virus sau mai bine spus un software malițios care blochează accesul la fișierele stocate într-un sistem informatic, solicitând plata unei sume de bani în schimbul redobândirii accesului la acestea. De cele mai multe ori, fișierele criptate de malware nu pot fi decriptate nici după efectuarea plății către atacatori. Acest tip de malware nu urmărește o vulnerabilitate a sistemului informatic ci o eroare umană, de cele mai multe ori fiind transmis ca atașament al unui e-mail, sub forma unei facturi, a unei comenzi sau alt tip de document, păcălind astfel utilizatorii mai puțin conștienți sau vigilenți. Interesant este faptul că acest tip de malware nu ar fi putut depăși filtrele antivirușurilor existenți pe piață, ceea ce subliniază o primă problemă din spatele acestui atac în spitalele din România: spitalele atacate nu aveau sisteme antivirus actualizate, iar angajații acestora nu au fost instruiți cu privire la  identificarea unor asemenea atacuri.

La o analiza mai atentă a infrastructurii din domeniul sanitar românesc identificăm încă un număr mare de echipamente conectate care nu beneficiază de ultimele patchuri de securitate sau chiar folosesc sisteme de securitate care nici măcar nu mai sunt actualizate de producători. De exemplu Windows XP, care nu mai beneficiază de suport și actualizare din partea Microsoft este folosit în continuare pe scară largă în sistemul sanitar românesc, făcând posibilă funcționarea aparatelor de radiografii dentare, RMN-uri sau CT-uri. Prin infectarea unuia dintre aceste computere cu sistem de operare învechit se poate infecta apoi foarte simplu întreaga rețea.
Evident, ne întrebăm de ce nu sunt așa de ușor de înlocuit aceste sisteme de operare învechite și răspunsul ar trebui sa îl căutăm fie la producătorii de echipamente medicale care ar trebui să actualizeze gratuit softurile de interfață cu echipamentul astfel încât să funcționeze în aceiași parametrii și pe sistemele de operare mai noi, fie la managementul unităților medicale care au amânat investițiile în sisteme noi de operare din lipsă de fonduri sau pur și simplu pentru că echipamentele funcționează normal, chiar dacă sunt vulnerabile în fața atacurilor cibernetice.

Ce tip de malware a infectat sistemele din spitalele românești?

MD: În urma unei investigații derulate de specialiști în securitate cibernetică din cadrul CERT-RO, Cyberint și Bitdefender, s-a constatat că formele de malware responsabile de atacurile cibernetice recente asupra unor spitale din România au fost Maoloa și Phobos. Acești doi malware nu sunt o noutate absolută, Maoloa fiind prima dată descoperit în februarie 2019, iar Phobos era cunoscut încă din decembrie 2018.

ASCPD a tras un semnal de alarmă încă de la începutul anului 2019, în urma sondajului „GDPR in HEALTH România” realizat în decembrie 2018.  Astfel, ASCPD a semnalat atunci faptul că 37,44% dintre instituțiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate și cu toate acestea 73,85% din total nu au implementat un plan de reacție la incidentele de securitate. 70,26% încă foloseau adrese de email @yahoo.com sau @gmail.com în interes profesional în interiorul rețelei, expunând astfel organizația unor riscuri care pot fi evitate. Mai mult, 11,28% nu aveau implementate sisteme tehnice de protecție antivirus, cel mai des invocând lipsa fondurilor. Fiecare organizație, nu doar cele din domeniul sanitar, trebuie să implementeze un plan de răspuns la incidente de securitate prin care să identifice și să descrie rolurile și responsabilitățile echipei de răspuns în cazul unei breșe de securitate și apoi să realizeze simulări practice pentru a testa modul de reacție a angajaților în cazul unui atac cibernetic.

Securizarea datelor pacienților este importantă într-un sistem de sănătate. De ce în spitalele publice din România nu s-au luat obligatoriu măsuri pentru a proteja aceste date?

MD: Accesarea datelor pacienților este crucială pentru îndeplinirea actului medical. Astfel, în urma atacului cibernetic din iunie 2019, sute de pacienți români nu au putut beneficia de serviciile medicale în spitalele afectate, fiind invitați să revină ulterior sau încurajați să apeleze la serviciile altui spital. Recunoașterea valorii acestor date de către ministrul Sănătății este un cuțit cu două tăișuri.

Deși semnalul era orientat spre mobilizarea instituțiilor medicale în vederea prevenirii altor atacuri, atunci când afirmi că “10.000 de euro sunt nimic față de datele stocate acolo”, recunoscând că în trecut s-a optat pentru plata recompenselor solicitate de atacatori pentru decriptarea datelor, acest mesaj poate fi perceput de atacatori drept o încurajare de a continua atacurile și de a solicita recompense mult mai mari.

Recuperarea datelor, fie că este realizată de specialiști în IT sau prin achitarea recompensei solicitate de atacatori, este mult mai costisitoare decât adoptarea măsurilor de securitate necesare prevenirii unor asemenea atacuri. În totală contradicție cu mesajul ministrului Sănătății, instituțiile și companiile cu competențe în domeniul securității cibernetice, printre care CERT-RO, Cyberint și Bitdefender, sfătuiesc utilizatorii infectați “să nu plătească atacatorilor taxele de decriptare solicitate”.

Plata recompensei nu reprezintă o garanție că infractorii își vor onora promisiunea și le vor reda accesul la date și, în plus, ar putea fi țintite din nou de aceeași grupare, întrucât au deja un istoric de buni platnici. Echipa CERT-RO îndeamnă fiecare operator să raporteze astfel de incidente de securitate la numărul de telefon 1911 sau pe mail (alerts@cert.ro), cu includerea a două fișiere infectate (criptate) pentru analiză. Se recomandă să fie atașate acele fișiere într-o arhivă, protejate cu o parolă, care să fie specificată în textul mesajului.

După atacul cibernetic asupra spitalelor Ministerul Sănătății a emis o adresă prin care a informat unitățile spitalicești ce măsuri trebuie luate pentru a preveni atacurile cibernetice, recomandări emise inițial de CERT-RO. ASCPD a atras atenția că pe lângă cele recomandate de CERTRO ar mai fi nevoie de o serie de măsuri, necesar a fi implementate. Despre ce este vorba?

MD: Apreciem ca foarte importante aceste recomandări, însă atragem atenția că  prevenirea atacurilor cibernetice nu ar trebui să se limiteze la această listă, motiv pentru care am mai sublinia câteva măsuri importante: auditarea sistemelor IT în vederea identificării vulnerabilităților; implementarea unor politici clare privind prelucrarea datelor personale; criptarea datelor stocate pe dispozitivele mobile (laptop, tabletă, memorii USB) pentru
a împiedica accesarea datelor în caz de pierdere sau furt; criptarea datelor personale transmise prin e-mail; interzicerea accesării datelor de pe CD, DVD, stick-uri USB sau altele asemenea, dacă provin din surse nesigure; echipamentele de lucru care stochează date personale vor fi parolate, vor fi blocate atunci când nu vor fi utilizate (ctrl+alt+del → lock this computer); asigurarea unui sistem de management al accesului, astfel încât fiecare utilizator să se logheze la echipamentul de lucru cu user și parolă proprii.

Una dintre cele mai importante aspecte pe care nu am regăsit-o în adresa Ministerului este necesitatea instruirii personalului. Un personal instruit va fi mult mai vigilent, va identifica eventuale pericole și va cunoaște procedurile pe care trebuie sa le urmeze pentru a identifica, semnala sau limita efectele unui atac cibernetic.

Conștientizarea pericolelor în domeniul securității este o parte esențială a formării angajaților și este cel mai eficient mod de a menține companiile în siguranță, de la intruși și hackeri. Procesul de digitalizare atrage după el și metode tehnice avansate de securitate, care cresc gradul de protecție al vieții private, dar trebuie să conștientizăm în primul rând că cea mai mare vulnerabilitate în cadrul unei organizații este chiar resursa umană. Este nevoie de educație a personalului mai mult decât de investiții mari în soluții tehnice de securitate.

Dincolo de educația personalului cât este de important ca operatorul de date, în cazul spitalelor, managerii, să renunțe doar la a căuta soluții formale și să aleagă complianța la GDPR personalizând implementarea acestui Regulament pe unitatea pe care o conduce?

MD: În tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creşterea birocraţiei şi despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm şi să îl obţinem unii de la ceilalţi, respect de care am uitat datorită banilor obţinuţi prin tranzacţionarea datelor personale şi a informaţiilor confidenţiale, efect direct al evoluţiei exponenţiale a tehnologiei.

Noi, ca operatori de date, trebuie să renunţăm la a mai căuta soluţii formale. Complianţa GDPR nu se obţine apăsând butonul „Print“, orice operator care alege această cale rămâne la fel de expus riscurilor. Spitalele din România sunt atacate pentru că sunt vulnerabile și este profitabil având în vedere valoarea informațiilor și caracterul sensibil și mai ales precedentele create prin plata rascumpărării accesului la date. Putem evita aceste incidente dacă în
primul rând renunțăm la mentalitatea că “mie nu mi se poate întâmpla” și investim în instruirea resurselor umane, implementând planuri și proceduri de lucru în caz de atac cibernetic și alocând fonduri pentru a impune măsuri adecvate de protecție tehnică și organizatorică.

După data de 25 mai 2018, au fost aplicate amenzi pentru neconformare în spitalele din Europa?

MD: Spitalul Haga din Olanda a fost amendat în acest an pentru neasigurarea unui grad adecvat de securitate a datelor pacienților săi., cu suma de 460.000 euro. Spitalul Barreiro din Portugalia a primit o amendă de 400.000 euro pentru incapacitatea de a asigura confidențialitatea și integritatea datelor din sistemul lor. În urma investigației s-a constatat că angajații spitalului au avut acces la datele pacientului prin profiluri false.

Participați frecvent la conferințe GDPR organizate la nivel European. Din informațiile prezentate care este gradul de implementare al GDPR în alte țări din Europa și cum stă România la acest capitol?

MD: Procentul de operatori care au adoptat și implementat principiile GDPR este greu de calculat cu exactitate, dar având în vedere că numai în domeniul public avem peste 42.000 de autorități, toate cu obligația de a fi implementat deja măsuri tehnice și organizatorice, și cunoscând sistemul sanitar din ultimii 18 ani, estimez că gradul de implementare nu a depășit procentul de 15%. Putem, în schimb, să analizăm poziția țării noastre din punct de vedere al notificării breșelor de securitate și a investigațiilor derulate de autoritățile de supraveghere europene. România este extrem de departe de media europeană în ceea ce privește plângerile privind prelucrările ilegale de date personale. De exemplu, în perioada cuprinsă între 25 mai 2018 și până în februarie 2019 la nivelul UE au fost raportate nu mai puțin de 59.000 de breșe de securitate. Campioni la acest capitol au fost olandezii, cu 15.400 breșe notificate, în timp ce România număra la acea vreme doar 270. Analizâd această situație am găsit două răspunsuri posibile: ori noi, românii, suntem un popor norocos și atacurile cibernetice ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea.

Mai mult, din Raportul European Data Protection Board, care cuprinde datele înregistrate de autoritățile de supraveghere în primele 9 luni de la aplicarea GDPR-ului, aflăm că autoritățile europene de supraveghere au deschis în total 94.622 de investigații, din care aproape 65.000 au survenit în urma notificărilor privind încălcarea datelor (a breșelor de securitate). În România s-au efectuat 460 de investigații din oficiu (69 din sesizări și 391 în urma
încălcărilor notificate autorității) și 456 de investigații dispuse în urma plângerilor persoanelor vizate, care erau aproximativ 5000.

Unul dintre motivele pentru care avem acești indicatori este bugetul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal care este cu aproape 50% mai mic decât necesarul estimat de EDPB și în al doilea rând schema de personal a autorității care este mult subdimensionată, necesitând o suplimentare de 142%. Conform datelor oferite de reprezentantul autorității, chiar dacă în orgnigramă sunt prevăzute 85 de posturi, structura organizatorică actuală numără 34 de angajați, cu tot cu șoferi și personal TESA. Apreciez că a fost o muncă titanică să efectuezi acest număr de investigații cu un așa număr redus de persoane angajate în cadrul Autorității.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Adriana Ceaușescu: „Trebuie să învățăm că implementarea GDPR este un efort de echipă”

INTERVIU EXCLUSIV

Vizualizari: 1431

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Adriana Ceaușescu este Ofiter Securitatea Informatiei si Protectia Datelor pentru companii din domeniul Asigurarilor si Sanatatii și a urmat cursurile IAPP, participând totodată la intocmirea codului de conduita în domeniul asigurarilor, alaturi de cei mai experimentati profesionisti in protectia datelor din asigurari. În domeniul Securitatii Informatiilor este Auditor ISO 27001. Adriana Ceaușescu a făcut parte din echipa care a câștigat titlul de "GDPR Summer Challenge Champion" 2019 în cadrul competiției lansate și organizate de portalul dpo-NET.ro

Poveste-ne un pic despre tine ca persoană, ca experiență, despre proiectele sau realizarile din domeniul protecției datelor. 

AC: Numele meu este Adriana Ceaușescu, lucrez ca Data Protection Officer pentru o clinică, pentru un magazin online foarte cunoscut, o societate de asigurări și am mai multe proiecte de IMM și învățământ. Experiența mea din aceste domenii cumva m-a ajutat să pot să fac fata cerintelor situațiilor din concurs.

Când ai descoperit domeniul protecției datelor și cum?

AC: Lucrând în partea de marketing online și web development, practic m-am ocupat de tot ce ține de dezvoltare și de a avea o prezenta online corespunzătoare, am avut contact la un moment dat cu o companie care a fost sancționată pentru că nu folosea un modul de cookie, asta întâmplându-se înainte de 25 mai 2018, ziua din care GDPR-ul este aplicabil. Am stat și am analizat domeniul, m-am informat, am implementat acel modul, am început să citesc și să înțeleg legislația națională și europeană și de atunci practic pot să spun că am început să pun cărămidă cu cărămidă la specializarea mea în acest domeniu.

Ai avut tendința la început sa obții certificări naționale sau internaționale, ai participat la cursuri ?

AC: Sunt de părere că pentru a începe să lucrezi într-un domeniu atât de nou cum este protecția datelor trebuie să ai niște cursuri, o îndrumare. Într-adevăr am citit foarte multe documente, am studiat legislația, ghiduri, jurisprudența din domeniul protecției datelor, dar am ales să urmez cursurile IAPP, International Association of Privacy Professionals, respectiv certificările CIPP/E si  CIPM. La finalizarea acestor cursuri am dat și un examen care nu era cum am visat eu, din aspecte teoretice. Toata lumea știe cum se desfășoară cursurile din România, se predau la curs aspecte teoretice și când ajungi să implementezi, cand te lovesti de practică, ai o problemă. La fel au fost și cu examenele, pe care le-am picat și m-am hotărât să obțin această certificare după ce consider ca am acumulat destul de multă experiență încât să nu mai am emoții.

A fost demotivant momentul în care ai picat acel examen?

AC: Nu, pentru mine a fost un moment în care mi-am dat seama că degeaba știi teorie dacă nu cunoști practica și cred că tocmai asta ne separa pe noi, Responsabilii în protecția datelor de un avocat. Un DPO lucrează zi de zi, se lovește de situații, de moduri în care trebuie să implementeze cerințele Regulamentului, în timp ce un teoretician va ști mereu ce trebuie făcut doar la nivel de teorie.

Știu ca ești și membru al Asociației Specialiștilor în Confidențialitate și Protecția Datelor. Cum ai făcut acest pas? De ce ai luat decizia sa te înscrii în o asociație?

AC: Sunt membră pentru că îmi doream sa aparțin unei comunități de specialiști care pot să mă ajute atunci când am situații la care nu sunt sigură ce trebuie să fac și vreau să vă spun că avem grupuri pe rețele de socializare unde ne ajutam. Am o problemă și obțin imediat mai multe sfaturi de la colegi. De asemenea vreau să vă spun că în proiectele derulate de Asociație nu am avut mare implicare dar eu mă mândresc, promovez asociația ori de câte ori pot, la diferitele emisiuni radio sau TV la care am participat și în cadrul întâlnirilor cu alți DPO la care am participat, tot timpul dau exemplul Asociației „Veniți,  înscrieți-vă aici că veți obține sfaturi, informații și recomandări de la specialiști din domeniu, specialiști poate cu mult mai multă experiență decât aveți voi sau din industrii pe care voi nu le cunoști, specialiști cărora poți să le ceri sfaturi și care îți vor oferi soluții. 

A trecut mai mult de 1 an de zile de când se aplică acest Regulament European. Care crezi că a fost cea mai mare provocare în aceasta perioada ?

AC: În primul rând instruirea și conștientizarea angajatorilor la nivelul implementării cerințelor GDPR într-o companie. Am apoi am avut situații în care conștientizarea managementului cu privire la faptul că trebuie să aibă în vedere și să respecte cerințele Regulamentului lăsa de dorit. Nu poți aborda protecția datelor spunând „ asta vreau, asta nu vreau, respectarea GDPR-ului nu poate fi negociată. Apoi cred că modul de lucru în anumite compani mari, care au structuri greoaie, departamente care nu comunica, care practic sunt stat în stat. În altă ordine de idei în România observ că alegerea unui DPO este tratată superficial de manageri. Să luam o instituție publica ca exemplu, pentru ca aici am întâlnit cele mai multe situații de genul acesta, îi este mult mai ușor să numească un DPO formal, adică secretara, pe care o trimit la un curs și se așteaptă ca acea secretară să facă față tuturor situațiilor complicate. Luăm exemplul școlilor, în general secretara este DPO. Secretara nu știe ce să facă și nu mai afișează anumite informații pe care trebuia sa le afișeze la avizier, deși poți să ai soluții. Un DPO ar trebui sa vină cu soluții ca să poți să afișezi. Nu există conștientizare la nivel de top management, conștientizarea angajaților lipsește deseori și de foarte multe ori este dificil sa impui o cultura organizationala în ceea ce privește protecția datelor. Oamenii nu vor să mai facă și altceva pentru ca este un efort. Respectarea Regulamentului este un efort din partea angajatului în plus față de ce are de făcut și sunt cumva reticenți. Sper ca în următorul an sa găsim măsuri prin care să putem sa ameliorăm aceste discrepanțe.

Asta era următoarea întrebare, ce vezi util a se intampla în următorul an?

AC: Cred ca după un an, fiecare companie ar trebui să tragă linie și să vadă cum stă. Pur și simplu să-și facă un audit intern, o verificare. „Hai sa vedem cum stăm noi din punct de vedere al respectării Regulamentului. Suntem conformi,  unde avem probleme?”. Mă aștept ca aceasta analiză să fie făcută până la sfârșitul lui decembrie 2019, astfel incat la începutul lui 2020, începaâd din ianuarie, să repare acele probleme legate de implementare, pentru că sunt sigură ca nu exista companii 100% conforme din punct de vedere al GDPR-ului. La asta mă aștept. Să instruiască mai mult și să conștientizeze mai mult angajații, să facă simulări din punct de vedere al incidentelor de securitate și să le explice de ce este important să raporteze. Foarte mulți dintre angajați, nu știu dacă cum să recunoască și să raporteze un incident de securitate. Nu identifica faptul că, de exemplu, pierderea unui document, pe strada, fie ca este vorba de document fizic sau nu, este breșă și trebuie să o raporteze superiorilor. Nu le taie nimeni capul dar incidentul trebuie raportat, trebuie analizat, ca să împiedici riscul de a fi amendat și riscurile de a încălca drepturile unei persoane vizate.

Cum ai descoperit acest concurs care s-a desfășurat în august, organizat de dpo-net?

AC: Pai, în primul rând că sunt foarte activă și citesc toate informațiile care îmi vin prin social media și online. Sinceră să fiu chiar îmi doream de mult un asemenea exercițiu, să pot să testez și eu cum aș face într-o anumită situație, cum as reacționa în altă situație. Așa am descoperit, prin intermediul internetului. Concursul în sine dar și organizarea lui pot să  spun că merită toate laudele. Ideea a fost fantastică și vă mai spun ceva, am avut o situație în concurs cu privire la acordarea unor informații către poliție. Ei bine, vreau să vă spun că aceeași situație s-a întâmplat în practica, pentru mine la câteva zile distanță. Am avut o asemenea solicitare adresată unei companii unde activez ca Data Protection Officer și cumva m-a bufnit râsul pentru că deja știam ce să fac, cum sa fac, totul a decurs fără nici o problemă. M-am bucurat, zic ”uite, am o practică, am o experienta, știu cum să aplic, nota 10”.

Cum a fost experinta concursului? A fost dificil? Cat timp ti-a luat? Cum a fost să-ți cunoști echipa?

AC: Cu ocazia participarii la concurs m-am hotarat sa îmi iau concediu, mai mult decat ar fi trebuit. Era și perioada vacanței prelungite, când toată lumea stătea la mare sau se plimba, iar eu mă trezeam de dimineață și vroiam să văd ce provocări am primit ca să pot să reacționez, să pregătesc împreuna cu echipa documentele pe care trebuia sa le avem pentru a lua măsurile ce se impuneau. N-a fost ușor, deci n-a fost ușor deloc, dar uite că împreună cu colegii mei am reușit să facem cât mai bine cu putință față unor situații legate de GDPR. 

Care a fost cea mai mare lecție pe care ai primit-o în relația cu colegii tai?

AC: În primul rând, să lucrez în echipă. Eforturile din punct de vedere al GDPR-ului sunt eforturi de echipa, un DPO trebuie sa învețe să lucreze împreună cu juridicul, împreună cu IT-ul, împreună cu managerul de resurse umane, cu top managementul, trebuie să știe să-și formeze o echipa și atunci pentru mine a însemnat foarte mult. În unele situații nu eram de acord cu colegii mei dar văzându-le elanul am zis ok, e de preferat să fim o echipa și fiecare ne împarțeam task-urile, am lucrat foarte bine cu ei. Culmea, nu știam cine sunt, de unde sunt și am aflat ulterior concursului  că unul dintre coechipieri merge la aceeași sală de fitness cu mine și mai mult decât atât locuiește în orașul în care locuiesc eu.

Trebuie să menționâm că  echipele au fost alese aleatoriu și nu se cunoșteau înainte și nici jurații nu au jurizat în cunostinta componenței echipelor.  Ce înseamnă pentru tine titlul de GDPR Summer Challenge Champion?

AC: Vă spun sincer că nu m-am așteptat. Am făcut greșeli în timpul concursului, mi-am și dat seama apoi, deci au fost și din partea noastră niște scăpări. E normal, nu suntem perfecți, suntem perfectibili. Pentru mine, concursul aceasta înseamnă multă experiență acumulată, înseamnă a învăța cum să lucrezi cu o echipă, a învăța să delegi task-uri și mai mult decât atât, am învățat că este importantă practica. Este importantă experiența pe care o câștigi, mai mult decât teoria. Degeaba mergi la un curs dacă nu practici ceea ce înveți la curs. Teoria trebuie aplicată iar aplicabilitatea ei este mai dificilă.

Mai ții legătura cu colegii tai de echipa?

AC: Da, clar! Vă spuneam că unul dintre colegii de echipa este coleg cu mine la sală, ne-am și întâlnit la sală și am hotărât să ieșim, împreună cu alți specialiști din domeniu, să discutăm despre proiecte, despre situația GDPR din țară și din domeniile în care activăm. Cu celelalte colege avem un grup pe Facebook, ne mai trimitem situații mai cerem păreri „uite am situația asta, ce trebuie să fac?” și fiecare vine cu recomandări. Da, ținem legătura, de asemenea și pe platforma pe care concursul s-a desfășurat sunt discuții, avem informații, mai vin și studii de caz. Ținem legătura și m-ar bucura să rămână comunitatea stransa și în jurul  platformei online construite.

Concluzionând, ce sfat ai avea pentru o persoana vizată și ce sfat ai avea pentru un reprezentant al unui operator, unul din top management?

AC: În primul rand, persoanele vizate ar trebui să înțeleaga ca datele lor cu caracter personal înseamnă bani, sunt o valută, au o valoare toate datele și atunci, de fiecare dată când li se solicită aceste date cu caracter personal, să se întrebe de ce. „De ce aveți nevoie de copie după cartea mea de identitate?”. Este acea teorie a celor 5 „De ce” ca să ajungi la adevăratul scop.

O teorie pe care copii mici o știu foarte bine.. 

Da, și pe care noi adulții o uităm. Deci, în primul rând să fie conștienți că datele lor reprezinta o valoare și să își cunoască drepturile. Au drepturi prin GDPR  și știu că foarte mulți români sunt supărați pe bănci, poate nu ar trebui sa spun, dar când te duci ți se face o copie după cartea de identitate care, în unele situații înseamnă prelucrare abuzivă. Dacă schimbă mai puțin de 3000 de euro nu se încadrează la a fi frauda. Nu ne vom putea opune, dar ar trebui să întrebăm de ce.

Pentru operatori, să înteleagă că nu este la latitudinea lor, ca vor sau nu vor. Respectarea cerințelor Regulamentului este o obligativitate, ai obligația aceasta și nu poți să o faci formal. Niște hârtii nu-ți rezolva partea de respectare a datelor cu caracter personal ci trebuie să se implice și dacă nu exista implicarea top managementului atunci proiectul acesta nu va avea succes de la început. Top managementul trebuie conștientizat. Trebuie să înțeleagă importanța respectării drepturilor persoanelor vizate și protejarea datelor cu caracter personal. 

Ce sfaturi ai pentru specialiști și viitorii specialiști în protecția datelor ?

AC: Niciodată să nu te oprești din învățat, niciodată să nu te oprești din citit, din documentat, niciodată să nu te oprești din a înțelege industriile în care activezi, sa le înțelegi specificul, să le înțelegi legislația și să te întâlnești cu specialiștii din domeniul respectiv. Adică dacă lucrezi în domeniul medical, discută cu medicii, vezi care sunt problemele pe care le au ei, explică-le și tu. Eu chiar fac pentru medicii cu care colaborăm pastile video de 5 minute, odată pe săptămână am o pastila video care se pune în sala de mese. 5 minute le ia, cât mănâncă se pot uita. Adică pe deoparte să conștientizeze iar pe de alta parte să nu înceteze niciodată să se documenteze, să învețe tot timpul pentru că este un domeniu în care dacă nu ții pasul nu poți să faci față. Lucrurile se schimbă foarte, foarte rapid.

Mai  este un mesaj la care eu țin foarte mult, ținând cont că a început școala, m-aș bucura ca toți copii, cadre didactice, părinți, să înțeleagă că și minorii au drepturi, să înțeleagă că pozele pe care noi le punem pe Facebook cu copii noștri ar trebui limitate. Ar trebui sa nu mai partajăm atât  de multe informații despre ei. Au drepturi și trebuie sa le respectăm datele lor cu caracter personal. 

Aștept următoarea ediție, GDPR Winter Challenge din ianuarie 2020, să vedem cat de solicitantă va fi!

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Timis Horea: Frica de amenzi GDPR a oprit inovația în multe domenii

De profesie medic, Timis Horea este expert in Management Sanitar si fost director de proiecte europene pe componenta socio-medicala, la Primaria Alba Iulia, director de spital, director al […]

Radu Crahmaliuc: „Spitalele de stat din România nu sunt pregătite să ne proceseze datele”

Radu Crahmaliuc este fondatorul Cloud☁mania, una dintre cele mai populare platforme independente de cunoștințe și servicii din Europa de Est Centrală care s-a dezvoltat pe următorul principiu: „cele […]

Adrian Munteanu: În România găsim „un număr imens de „consultanți GDPR„ care au apărut de nicăieri”

Cu o experiență de peste 13 ani în proiecte de audit (internet banking, securitate IT, proiecte IT, proiecte finanțate prin fonduri UE), consultanță (continuitatea afacerii, analiză de impact, […]

Filip Truță: „Noua soluție Bitdefender 2020 protejează intimitatea utilizatorilor”

Filip Truță, security analyst la Bitdefender, a acordat un interviu in exclusivitate  pentru dpo-NET .ro despre GDPR și despre tehnologiile noi din soluția de securitate Bitdefender 2020 care […]

Gordon Wade: “ANSPDCP este pregătită să treacă de la o abordare tolerantă la una activă”

Gordon Wade este avocat specializat în confidentíalitatea și protecția datelor la PwC Legal Middle East, cu sediul în Dubai, și a acceptat cu entuziasm să ofere un interviu […]

Nicolae Ploeșteanu: „ONG-urile sunt cele care trebuie să se implice cel mai mult în România”

Nicolae Ploeșteanu a absolvit studiile juridice în anul 1995, la București și este Doctor în drept din anul 2005, făcând numeroase specializări în țară și în străinătate, în […]

Daniel Suciu: A fost nevoie de două amenzi pentru a readuce GDPR-ul în vizorul operatorilor

În cei peste 30 de ani de activitate profesională, Daniel Suciu s-a implicat activ în aproape toate ariile de interes pentru Protecția datelor. A avut curiozitatea și oportunitatea […]

Andrei Săvescu: Uniunea Europeană încearcă să pună presiune pe operatori, prin intermediul cetățenilor

Andrei Săvescu este membru în Baroul București din 1994 și are o vastă experiență atât ca avocat, cât și ca arbitru la Curtea de Arbitraj Comercial de pe […]

Analizăm prima amendă GDPR din România împreună cu Cristiana Deca

Anunțul primei amenzi GDPR în România a răsunat pe toate canalele de știri, stârnind interesul multora, motiv pentru care am rugat-o pe Cristiana Deca, unul dintre primii specialiști […]

Sergiu Bozianu: În Republica Moldova putem aplica amenzi contravenționale persoanelor cu funcție de răspundere

Sergiu Bozianu este în primul rând un profesionist în domeniul protecției datelor din Republica Moldova, ultima funcție publică fiind cea de director adjunct în Direcția Generală Supraveghere și […]