Andrei Săvescu: Uniunea Europeană încearcă să pună presiune pe operatori, prin intermediul cetățenilor

INTERVIU EXCLUSIV

Vizualizari: 1406

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Andrei Săvescu este membru în Baroul București din 1994 și are o vastă experiență atât ca avocat, cât și ca arbitru la Curtea de Arbitraj Comercial de pe lângă Camera de Comerț și Industrie a României, fiind unul dintre cei mai apreciați practicieni ai dreptului. Predă cyberlaw din anul 2005, la Universitatea Româno-Americană și, din anul 2015, la  Universitatea de Vest din Timișoara. A susținut conferințe și ateliere cu privire la GDPR la care au participat sute de manageri, consilieri juridici și avocați specializați. Este președintele Societății de Științe Juridice din România (2009), coordonator JURIDICE.ro (2004), cercetător asociat în cadrul Institutului de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române (2010) și membru fondator al Asociației pentru Tehnologie și Internet (2004).  A acceptat cu entuziasm să realizăm acest interviu în exclusivitate pentru dpo-net.ro, fiind unul din cei mai renumiți profesioniști din România în domeniul protecției datelor. 

 

Marius Dumitrescu: Scopul GDPR nu este de a da amenzi, ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului, doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți că aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește protejarea datelor lor?

Andrei Săvescu: O reglementare europeană de care au auzit peste două treimi dintre oameni iar peste o treime știu ce este ea mi se pare foarte mult. Nu cred că există o altă reglementare atât de cunoscută. Probabil că nici măcar Legea 31/1990 nu este cunoscută în România la un asemenea nivel, prin raportare la întreaga populație. În termeni relativi, conștientizarea GDPR este foarte bună, dar în termeni absoluți într-adevăr nu. În ce privește conștientizarea la nivelul instituțiilor și mediului de afaceri, sunt convins că nivelul de conștientizare este foarte ridicat, aproape de 100%.

 Marius Dumitrescu: Care credeți că vor fi consecințele acestei lipse de conștientizare a importanței datelor în rândul persoanelor, pe termen lung?

Andrei Săvescu: Conștientizarea importanței datelor cu caracter personal este relativ scăzută la nivelul publicului larg, deoarece datele cu caracter personal au o importanță mică, pentru fiecare persoană în parte. Oamenii trebuie să fie cunoscuți, ei chiar vor să fie cunoscuți, este foarte normal să fie cunoscuți. De fapt nici nu este normal să acționăm în societate cu un fel de cagulă. Datele cu caracter personal sunt importante când sunt foarte multe, datele unui număr mare de persoane. Ele sunt importante pentru organizații. Cu alte cuvinte, există o foarte mare diferență între importanța datelor cu caracter personal ale unei anumite persoane și importanța unui volum mare de date, ale unui număr mare de persoane. Această diferență la nivelul importanței datelor cu caracter personal este cauza diferenței de conștientizare: persoanele fizice au o conștientizare mai scăzută pe bună dreptate, pentru fiecare în parte datele cu caracter personal au o importanță mică.

Marius Dumitrescu: Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

Andrei Săvescu: Conștientizarea drepturilor protejate de GDPR este mai mare decât conștientizarea GDPR. Această împrejurare a fost evidențiată și de sondajul Eurobarometru la care v-ați referit. Protejarea drepturilor persoanelor se realiza și înainte de GDPR, prin mijloace de drept civil. Într-adevăr, înainte de GDPR protejarea drepturilor se realiza atunci când persoanele erau deranjate de încălcarea drepturilor lor. GDPR a adus un element de noutate foarte spectaculos: informarea detaliată, clară și quasi-permanentă a persoanelor vizate cu privire la drepturile lor și cu privire la scopurile și modalitățile în care se realizează prelucrarea datelor lor cu caracter personal. Această încurajare a persoanelor vizate este necesară tocmai din pricina dezinteresului imanent în ce privește fiecare persoană în parte. Uniunea Europeană desfășoară și încurajează o campanie de sensibilizare cu privire la protecția datelor cu caracter personal.

Marius Dumitrescu: Care credeți că ar fi cea mai scurtă cale spre creșterea gradului de conștientizare și complianță GDPR: educarea persoanelor sau educarea operatorilor?

Andrei Săvescu: Operatorii se educă singuri. Instituțiile și companiile pot fi suspectate de multe lucruri rele, însă în realitate greșesc destul de puțin, pentru că ele reprezintă partea activă, dinamică și totodată stabilă, solidă a oricărei societăți. Conștientizarea GDPR și creșterea nivelului de complianță, ca să ne exprimăm barbar, trebuie să vină de la persoanele vizate. Cred că aceasta este calea cea mai bună. Oamenii ar trebui să citească politicile de confidențialitate și să împărtășească doar datele necesare sau pe care doresc să le împărtășească. Educarea persoanelor vizate cred că este calea cea mai bună și totodată cea mai scurtă. Pe de altă parte, cred că acesta este spiritul GDPR: protejarea persoanelor fizice, nu chinuirea operatorilor.

Marius Dumitrescu: În România, până în acest moment, nu prea s-au dat amenzi pentru nerespectarea GDPR, deși autoritatea a condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că amenzile au un rol important în aplicarea GDPR-ului? Din experiența dumneavoastră  practică, cei mai mulți operatori se conformează cu GDPR din responsabilitate sau de frica amenzilor?

Andrei Săvescu: Prin GDPR Uniunea Europeană încearcă să pună presiune pe operatori, dar prin intermediul cetățenilor, nu prin intermediul Autorităților. Datele personale conferă o anumită putere (comercială) celui care le deține. Transparența este dușmanul puterii în această privință, căci puterea nu are nevoie de transparență, dimpotrivă, preferă să fie ocultă. Autoritatea națională din România a sesizat foarte bine orientarea reglementării europene. Scopul GDPR este să fie pedepsiți cei care sar calul, nu cei care trag la căruță. Potrivit experienței mele, operatorii sunt preocupați de conformarea GDPR. În calitate de consultanți, noi, avocații, răspundem în fiecare zi întrebărilor clienților, atât managementului cât și responsabililor cu protecția datelor. Este adevărat că există o teamă de amenzi, însă nu am sentimentul că acesta este motivul determinant, ci unul mult mai subtil și mult mai frumos, determinat de faptul că GDPR încurajează, la nivelul operatorilor, o dorință esențială și foarte pozitivă pentru afaceri: dorința de a fi ordine.

Marius Dumitrescu: Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în România avem un tratament preferențial pentru instituțiile publice, amenda maximă pentru nerespectarea GDPR fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce riscă operatorii privați.

Andrei Săvescu: Da, cred că instituțiile publice ar trebui să fie un exemplu de conformare GDPR. De altfel am sesizat o preocupare constantă la nivel legislativ de a impune instituțiilor conformarea, prin trimiterea la GDPR în numeroase acte normative noi provenind de la Guvern. Fără îndoială că la nivelul instituțiilor conformarea GDPR este mai dificilă, dar asta în principal din pricina constrângerilor bugetare, nu din rea-voință. Pe de altă parte, la nivelul instituțiilor, o eventuală amendă ar putea fi catastrofală pentru persoanele vinovate, atunci când va sosi Curtea de Conturi...

Marius Dumitrescu: Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale Uniuni Europene, 86% dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați că ar trebui să se comporte un utilizator de internet, dacă ar fi vorba de riscurile pe care internetul le ascunde?

Andrei Săvescu: Chiar dacă ar cunoaște toate riscurile, cred că utilizatorii de Internet s-ar comporta cam la fel. Pericolele pot fi evitate doar prin inacțiune, ceea ce este în realitate imposibil. De Internet doar moartea ne va despărți. GDPR există tocmai pentru ca persoanele să poată să reclame încălcarea drepturilor lor, apoi intervin autoritățile.

Marius Dumitrescu: Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind accesul la internet al copiilor ar trebui să fie o sarcină a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

Andrei Săvescu: Încă nu înțelegem foarte bine impactul Internetului asupra copiilor. Internetul are un impact devastator asupra copiilor, din perspectiva noastră. Însă din perspectiva lor, a celor care vor trăi în viitor, probabil că lucrurile nu sunt deloc dramatice. Internetul este o realitate virtuală, însă este la fel de real ca orice altceva. Cred că societatea viitorul va fi diferită destul de mult de realitatea de ieri, probabil că nu va mai fi atât de socială și va fi mult mai cibernetică. În ce privește educația privind accesul la Internet al copiilor cred că sistemul de învățământ o să aibă un rol mai important decât părinții, întrucât educația făcută de profesioniști este mai bună decât educația făcută de amatori, părinții sunt educatori amatori. Pe de altă parte, este mai presus de orice îndoială că părinții sunt mai importanți decât sistemul de învățământ, pentru că iubirea este mai importantă decât educația. Tehnologiile software permit un control parental avansat, în așa fel încât părinții să-și poată proteja copiii, cu iubire și multă atenție. Însă utilizarea controlului parental este ea însăși dificilă, întrucât necesită deprinderi tehnice și un discernământ bine antrenat cu privire la pericolele Internetului. Cred însă că lucrurile vor merge din ce în ce mai bine, părinții tineri sunt mult mai pricepuți, astfel încât iubirea și priceperea lor vor putea, în măsură din ce în ce mai mare, să protejeze și să orienteze copiii.

Marius Dumitrescu: Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corectă?

Andrei Săvescu: Oamenii oricum își fac publice date cu caracter personal, iar dacă sunt și plătiți pentru asta e foarte bine. Cred că direcția este una corectă, în măsura în care oamenii sunt conștienți de faptele lor și de efectele faptelor lor. Împrejurarea că oamenii nu sunt mereu foarte conștienți nu înseamnă că ar trebui oprit orice lucru care se face cu un nivel scăzut de conștientizare, căci altminteri ar trebui să ne gândim și la restricții cu privire la mersul pe jos, care nici el nu se bucură de un nivel înalt de conștientizare.

Marius Dumitrescu: Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR și până în februarie 2019 Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi românii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

Andrei Săvescu: Orice sistem informatic este penetrabil. Câtă vreme vom utiliza protocoalele TCP, computerele vor fi penetrate. Diferența de expunere se situează la nivelul costurilor pentru realizarea penetrării. Prin urmare, penetrarea se va face atunci când este suficient de rentabilă. Cred că măsurile de securitate informatică sunt foarte importante, dar nu pentru că ar face imposibil furtul datelor cu caracter personal, ci pentru că măresc costurile care ar trebui făcute de cel care vizează aceste date. Acest mecanism cibernetic nu este însă specific atacurilor vizând datele cu caracter personal, ci este general, pentru orice informații ne-publice ale unei organizații. De aceea, unele organizații neglijează securitatea cibernetică, iar altele îi acordă o atenție specială. Importanța acordată de o organizație securității cibernetice nu este determinată de importanța datelor cu caracter personal, ci de importanța informațiilor ne-publice ale organizației. Organizațiile ar trebui să acorde o importanță specială protecției informațiilor în general, întrucât ele trebuie să protejeze informații cu mult mai importante decât cele care privesc datele cu caracter personal. Așa se și întâmplă în realitate: protecția informatică a datelor cu caracter personal este exact la nivelul la care se află protecția informatică a organizației. Din această perspectivă, GDPR are un rol social foarte pozitiv, întrucât cu ocazia demersurilor pentru protecția datelor cu caracter personal, organizațiile vor asigura și protecția generală a informațiilor pe care le gestionează.

Marius Dumitrescu: Identificarea riscurilor este unul din cei mai importanți pași spre complianța GDPR. Dar dacă noi nu reușim să identificam nici breșele, cum am putea identifica riscurile?

Andrei Săvescu: Riscurile cu privire la protecția datelor cu caracter personal au o sferă mai largă decât riscurile informatice. Cel mai frecvent breșele sunt mai mari decât riscurile, pentru că nu există interes pentru exploatarea breșelor.

Marius Dumitrescu: A trecut un an de la intrarea în vigoare a GDPR. Ce s-a schimbat în decursul acestui an?

Andrei Săvescu: Cea mai importantă schimbare este creșterea numărului de specialiști. Această schimbare este foarte pozitivă. GDPR este mult mai cunoscut, el constituie o preocupare constantă pentru operatori, ceea ce a determinat creșterea numărului de specialiști. Acest trend cred că se va menține, și este foarte bine că va fi așa. O altă schimbare este scăderea fricii. Acum un an, frica era cauza unor reacții exagerate din partea operatorilor, reacții de natură să împiedice funcționarea normală a organizației. Acum un an, operatorii aveau tendința să sufle în iaurt. În acest moment lucrurile sunt mai așezate, iar GDPR produce efectul vizat, acela de generator de ordine în activitate. Și această schimbare mi se pare foarte bună.

Marius Dumitrescu: Cum vedeți implementarea Directivei NIS în România? Care sunt cele mai mari provocări? Ce măsuri au fost luate până în prezent?

Andrei Săvescu: Securitatea rețelelor și sistemelor informatice este o provocare pentru că necesită costuri mari, pricinuite de necesitatea utilizării unor echipamente scumpe și de necesitatea implicării unor oameni foarte calificați și foarte inteligenți, deci puțini, deci scumpi. Securitatea informatică este poziționată în zone stratosferice ale intelectului uman. Cauza dificultăților nu poate fi eliminată, pentru că adevărata cauză este modul în care a fost conceput Internetul. O schimbare a mecanicii intime a Internetului ar rezolva problemele legate de securitatea sistemelor informatice, însă probabil că asta nu se va întâmpla în curând, din pricină că problemele de securitate sunt, pentru organizații relevante, fructuoase. Prin urmare, cred că preocuparea pentru securitatea sistemelor informatice trebuie să fie în continuare susținută.

Marius Dumitrescu: Cine credeți ca ar trebui să se implice mai mult în diseminarea importanței datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

Andrei Săvescu: Am observat că Autoritatea Națională are o foarte bună implicare în diseminarea informațiilor privind protecția datelor cu caracter personal, atât în nume propriu, cât și prin sprijinirea inițiativelor în acest sens ale instituțiilor, ONG-urilor și chiar ale agenților economici. Cred că ONG-urile, așa cum este cel pe care îl conduceți, Asociația Specialiștilor în Confidențialitate și Protecția Datelor, pot face lucruri frumoase, și chiar fac. Protecția datelor cu caracter personal merită toată atenția care îi este deja acordată, și chiar mai mult.

Marius Dumitrescu: Vă mulțumesc.

Andrei Săvescu: Vă mulțumesc și eu pentru atenția pe care mi-ați acordat-o adresându-mi aceste întrebări și vă doresc mult succes în activitatea dumneavoastră, pe care o apreciez în mod special!

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679

European premiere, the first fine applied to a GDPR Consulting Company

INTERVIU EXCLUSIV

Vizualizari: 2102

Facebooktwittergoogle_plusredditpinterestlinkedinmail

"Romania, three GDPR fines, two European premieres", is the way we could synthesize the context in which our country finds itself, as we have seen in the past few days a GDPR lesson in three parts: the banking system, tourism and services. This is not a negative thing, on the contrary, it shows the courage of the Romanian Data Protection Authority to take paths that are still uncharted. If the fine applied to UniCredit Bank brings out attention, for the first time, on the principle of privacy by design, the second fine applied to the WTC was based on the principle of the operator's responsibility to implement and, above all, comply with the technical and organizational protection measures of the privacy of personal data. The last fine applied so far in Romania has been a surprise to all of us, especially because it targeted a legal consulting company, well-known for launching the first GDPR document kit in Romania. We have all realized that any of us can have a security breach, regardless of the field of activity or the level of professionalism.

Ana-Maria Udrişte, the founder of avocatoo.ro (the company fined by the Romanian DPA), accepted our invitation to give an interview exclusively for Dpo-NET.ro - Data Protection Officers Network, providing important information that will help us to remind ourselves that our responsibility extends to the actions of our employees or to the actions of our business partners.

Ana-Maria Udrişte is a lawyer specialized in business law and passionate about technology, and how to link the legal field and people who have no business with it, making it easier for them to access information through a simple and common language. She is the founder of the avocatoo.ro site, which aims to educate and literate society and thus help people develop, not only knowing their rights, but also how can they protect themselves. She has managed to explain the right in a language that is as accessible as possible and to offer online legal services by focusing on concrete solutions to visitors' specimens or dilemmas, not just on providing solutions. Since the GDPR has entered the scene, she has also explored this area. "I believe in this set of rules, I believe in technology and correct use of it, so that so far, I and the avocatoo.ro team have managed to put together a consistent set of articles and documents that attempt to elucidate the phenomenon. In short, we do not sell GDPR, but offer a starting point and understanding for people interested in this field, new for most, and constantly changing, "says Ana-Maria Udrişte for dpo-NET.ro.

It is a European premiere to fine a company that offers GDPR consultancy and implementation services and we are talking about your own company (avocatoo.ro) in this case. How was such a security breach possible and what steps did you take immediately after identifying it?

UA: When we migrated the site from one host to another, a WooCommerce plug-in was used to migrate an inactive database containing encrypted data about online transactions that targeted legal entities. In one of the back-up versions remained a partial version of this file - which did not even appear in online vulnerability testing. And the person who knew exactly where to look, because he went straight to the link, did the complaint. From the moment I was informed, which happened through the on-line chat on the site, by the person who made the complaint about this vulnerability, I secured everything in less than 10 minutes, fact confirmed even by that person in the conversation.

The Authority said that on February 1, 2019 the information was publicly available, and the issue was resolved immediately. However, although we requested additional information, including being provided in confidential form, we did not have access to them.

We immediately identified the document, made the internal analysis to decide whether or not to impose the notification of the authority and the persons involved, and given the public nature of the data, its volume, the transaction date and the possible risk, the risk that was practically non-existent, consequently.

Later on, we have redone the site from scratch, added a higher level of security through triple password and key usage, and the definition of much better-defined roles of access and changeability.

What were the steps of the investigation conducted by the Authority, that led to this fine? Did you also receive recommendations or corrective measures? Does it seem justified to apply these measures?

AU: Steps were simple and to the point. I received the request to provide the information via e-mail and I also responded by e-mail. No written procedure apart from the handing over the sanctioning report. I have not received any recommendations or corrective measures, nor have proposals, not even one mentioning of this issue ever.

If we look at the turnover of the company, the fine is 2.6%, which is much higher compared to the other two sanctions applied. At World Trade Center the fine would be about 0.2%, and at Unicredit Bank it hovers around the same value, according to publicly available information. We might say it seems a bit disproportionate, but I can also understand the authority's approach by being tougher with operators, to send out the message that "GDPR works at any level even in Romania."

In Romania, up until now, three fines have been applied for non-compliance with the GDPR, the Supervisory Authority conducting nearly 1,000 investigations in the first year and adopting a prevention-oriented attitude and order corrective measures. Do you think that fines have an important role in applying the GDPR? From practical experience, most Romanian operators are trying to comply with GDPR from responsibility or because the fear of fines? Is anyone thinking about the reputational risk?

UA: The fines do not solve this problem. Look at the competition rights, where the Council is very active and conducts information campaigns across the country.

From my point of view, and not only me, we need an information campaign from the authority and other digital or consumer organizations that protect consumers, so that a simple person or a commercial entity, can know what rights they have, what obligations, WHY is important and what steps to adopt.

It's not an established idea, but we are a nation that likes to take legal action, so the fines will only increase the number of disputes, and at the end we will only stick to the idea that " I will get away with it next time ."

Let's look at the Authority in the UK, Ireland, France, Belgium, The Netherlands, who issue guides, weekly recurring notes. In France, we have the fine applied to Sergic where the authority "begged" the company to comply. After almost one year, when the Authority saw that the company had done nothing of what they were told, applied the fine. Which is not the case with us, unfortunately.

New operators, in most cases, try to comply to tick an action on the list called "GDPR - to do". Reputational risk is passed on a third plan, not even secondary, as you might think at first glance.

After all, the industry has already been discussing for some time that there are indications that health data "stumbles" without control and no one says anything and no one is upset about it.

We received a fine of 2.6% of our net turnover (according to the information available on the website of the Ministry of Finance).

We have been told many times in the last few days that we should have gotten a warning, at most. We do not comment on the authority's decision, we respect it, no matter if it seems a big anunt or not.

The message from the Surpervisory Authority is extremely strong, stressing out that risk analysis and appropriate measures require increased attention from any operator. So we could say that identifying risks is one of the most important steps in achieving a high degree of GDPR compliance. However, if some of the operators fail to identify the breaches, how could they identify the risks?

UA: Here comes a person who has practical experience and can see beyond the papers. One issue that has been noted this year is that the person who supports the organization for implementation has to have a practical vision and see the business flow before the organization even thinks about it.

Practically you see what kind of data they are, where they come from, what happens to them, etc. And then working with the organization in detail, you can identify risks you might not have thought of. And I also think you need to imagine a practical scenario of possible scenarios, which often happens in the communications industry, for example .The idea is to be as detailed and unusual at first as you slowly get to something tangible that will surely apply.

Let's say Ionel delivers invoices in envelopes to the recipients. Perhaps Ionel stops to buy a pack of cigarettes and forgets to lock the car door. And somebody takes all the envelopes, thinking it's money. Or Ionel is angry because his wife did not answer his phone and throws the envelopes with promotional leaflets on a field, because he wants to go to the bar to drink a beer. And we have a risk and a possible breach. Would you have thought about it in the first place?

As we can see from the analysis of the first three cases in which the Romanian data operators were sanctioned, a fine imposed by the Supervisory Authority may also arise following the investigation initiated after the operator has filed the security breach notification. Do you think this will lower the incidence of security breach reports from operators?

UA: The reality tells us that most operators do not even know when a security breach should be notified or what it is. As I wrote at one point, a security breach can happen when writing an e-mail and because most e-mail programs automatically fill in a recipient, you might choose the wrong one.

But yes, I think this will considerably decrease the number of operators reporting. If, for example, and once again I draw a parallel to competition rights, the operator would benefit from a mitigating circumstance, clemency or immunity when notifying a breach, then we would find ourselves in a situation where there was a real interest from operators for doing so. If we do not like the parallel with competition rights, let's talk about how they fix things in aviation and why it has become one of the safest environments.

In the absence of such benefits, the majority will stand aside, on the idea that "it is possible that no one notifies the authority - why should I give myself away?" And then again it is a problem. The legislator or even the authority could have intervened and offered such solutions and thus increased the degree of cooperation, awareness and assumption. But who does notify knowing that they can be punished if doing so?

Let's also talk about the Cambridge Analytica and FTC scandal, where Facebook and the authority are in the negotiation phase of a deal, under certain conditions, to close the investigation. Okay, 5 billion dollars, but there could be more. We do not have such benefits.

You have a rich legal activity including the development of one of the most popular document kits for implementing GDPR principles, along with specialized consulting services. What do you think of operators who simply sum up the kit without investing in an in-house specialist or contacting an external specialist? How can we fight, as data protection specialists, against this phenomenon by which an operator attempts to formally obtain documents that prove compliance, in the absence of substantial changes in the way they operate?

AU: We have been constantly trying, especially through what we write on the blog, to provide as many examples and methods as possible, for identifying risks and how to get the right approach.

We have always said that the person who best knows how to implement it is the organization, especially at the level of small and medium-sized businesses, because the people who are daily in the business are usually those who founded the organization. And they are best able to know, at first hand, where the data comes from and where it goes.

We also went on a "as many examples and guidance as possible" approach to help you better identify data streams and possible risks. This is your first task as an organization, take a pen, and, with a series of documents, start to crunch what you think would apply to you and how you see things.

Later, after you consider finished this part, you should turn to a person who checks the documentation and finds out if there are things that somehow have been overlooked or how to handle the issues further. We have consistently offered, at no extra cost, assistance on this side. However, people write to us on social networks or email and ask us for certain information or revisions of documents, and we do it if we have the time. And sometimes we also write articles about situations we realize that could be of interest to several people.

But it is very important to choose the right person to help you in the implementation and to make you understand that the documentation is not enough, that is what I have always said: GDPR is a mix between legal, technical and organizational and involves both the rethinking of operational processes, as well as the implementation or adaptation of technical solutions that ultimately increase the trust of individuals in the organization and redistribute to all parties involved.

It's been one year since the GDPR is being applied and more than three years since it's been legislated. What were the challenges you faced as a data protection specialist? What has changed in this period and how do you see the evolution in Romania and at European level in the short and medium term?

AU: We look forward to the entry into force of GDPR at European level. At the macro level, we do not realize the importance of our personal data. For example, we use the phone to locate, reach a destination, transmit holiday pictures, share with others documents, information, albums, make appointments to various salons that we later save in our phones to calendar, to receive or send money, to listen to music, record what we eat, what time do we wake up, what friends we went out with.

Without realizing, if someone has access to your Google account at some point, let's say, basically it can see your whole life.

And it is not normal for these data:

(1) to be requested more detailed than necessary,

(2) not be protected,

(3) have no idea what happens to them once they are collected and stored.

Let's just consider that based on this information, you can make someone's profile without struggeling too much. Not to talk about the situations when you find out that you have a loan that you did not know about. You'll laugh, it may seem impossible, but it has happened before.

As I said, people are not aware of the importance of data until you provide them with examples as the ones above. Nor can we expect too much from a simple user of technology. To most people it might seem to be an utopia regulating the collection, storage and transmission of data. GDPR is not a boogie man or an extra reason to expand bureaucracy. And if some think of it as ticking a to-do list to be GDPR compliant, others are going to extremes and shut down their sites or no longer communicate data - as was my personal example when a private clinic did not want to give me, after a preliminary check, my patient ID to check my analyzes and I had to go 40km to get to the center.

It's not about that. First, we talk about awareness, then responsibility and assumption.

According to the report issued at European level by the European Commission, 73% of those concerned know their rights. But this is at the European level. At national level I tend to think that not even 15% know about GDPR, how and what it does, and what is personal data.

And fines will not solve this problem because it is about education and information. It's what we are trying to do on avocatoo.ro with GDPR solution packages. A fine will only make them say "well, I'll sign some documents, and that's it, anyway, the fines are a normal thing."

So, in short term, we will see that there will be several service providers who will offer you compliance with GDPR without you having to do much.

What tips can you offer to data protection specialists, this newly emerging profession, which probably faces the greatest professional challenges due to the general character of Regulation (EU) 2016/679 and the lack of unitary benchmarks on its interpretation and implementation?

UA: Read a lot, especially from the websites of foreign authorities that offer very good and applied information. Even press articles, specialist sites, can-can, hypothetical situations, this being a new and permanent domain, you need to be connected with the latest news so you know exactly what to be careful about and how to identify any problems that may arise.

In conclusion, what does an operator have to do in this case and what advice do you give to managers who have waited until now "something to happen" without undertaking any steps to get GDPR compliance?

UA: Operators should keep in mind that GDPR problem is not "who," but "when." Because no one escapes a security breach and sooner or later, you can have one, no matter how good you are. And the best option, if you have a security breach, is to minimize the risks. Let us be aware, therefore, that it is a real phenomenon and that it can happen for reasons that no one ever thought.

GDPR alignment is not a "signed paper", but involves operator accountability to all involved. He must first know what data he collects, where, what he does with them and who he sends them to. And to make his own preliminary audit, as best he can, and then turn to the help of people who, above all, understand his field of activity and with whom they can implement the necessary procedures from the operational, technical and legal point of view.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679

Ana-Maria Udriște: “ Este foarte important să alegi o persoană care să te ajute în implementarea GDPR și să te facă să înțelegi că documentația nu este suficientă”

INTERVIU EXCLUSIV

Vizualizari: 5072

Facebooktwittergoogle_plusredditpinterestlinkedinmail

“România, trei amenzi GDPR, două premiere europene”, așa am putea sintetiza contextul în care se află țara noastră, asistând în ultimele zile la o lecție GDPR în trei acte: sistemul bancar, turismul și serviciile. Nu este un lucru negativ, din contră, denotă curajul Autorității noastre de supraveghere de a merge pe căi încă nebătătorite. Dacă amenda aplicată UniCredit aduce pentru prima dată în atenția tuturor principiul GDPR de confidențialitate prin design (“privacy by design”), ce-a de-a doua amendă aplicată WTC a fost fundamentată pe principiul responsabilității operatorului de a implementa și mai ales respecta măsurile tehnice și organizatorice de protecție a confidențialității datelor cu caracter personal. Ultima amendă aplicată până în prezent a fost o surpriză pentru noi toți, mai ales pentru că a vizat o companie de consultanță juridică cunoscută și pentru lansarea primului kit de documente GDPR din România. Am realizat cu toții că oricine dintre noi poate avea o breșă de securitate, indiferent de domeniul de activitate și de nivelul de profesionalism.  
Ana-Maria Udriște, fondatorul avocatoo.ro, a acceptat invitația noastră de a acorda un interviu în exclusivitate pentru dpo-NET.ro, oferind informații importante care ne vor ajuta să ne reamintim că responsabilitatea noastră se extinde și asupra acțiunilor angajaților sau, în cazul de față, a partenerilor de afaceri. 

Ana-Maria Udriște este avocat specializat în dreptul afacerilor și pasionată de tehnologie și modul în care se poate face legătura între domeniul juridic și oamenii care nu au treabă cu el, facilitându-le accesul la informație printr-un limbaj simplu și comun. Este fondatorul site-ului avocatoo.ro, prin care și-a propus să educe și să alfabetizeze juridic societatea și astfel să  ajute persoanele să se dezvolte, cunoscând nu doar drepturile pe care le au, ci și cum și se poată proteja. A reușit să explice dreptul într-un limbaj cât mai accesibil și să ofere servicii juridice online, concentrându-ne pe rezolvări concrete ale spețelor sau dilemelor vizitatorilor, nu doar pe oferirea unor soluții. De când a intrat în scenă GDPR-ul, s-am aplecat și asupra acestui domeniu. “Cred în acest set de reguli, cred în tehnologie și o folosire corectă a ei, astfel că până în prezent, eu și echipa avocatoo.ro, am reușit să punem pe picioare o bază consistentă de articole și documente prin care încercăm să elucidăm împreună fenomenul. Pe scurt, nu vindem GDPR, ci oferim un punct de plecare și înțelegere persoanelor interesate de acest domeniu, nou încă pentru majoritatea, și în continuă schimbare.” declară pentru dpo-NET.ro Ana-Maria Udriște. 

Este o premiera europeana amendarea unei companii care ofera servicii de consultanta si implementare GDPR si vorbim in acest caz chiar de compania condusa de Dumneavoastra (avocatoo.ro). Cum a fost posibila o astfel de bresa de securitate si ce masuri ati luat imediat dupa identificarea acesteia ?

U.A: Când am făcut migrarea site-ului de pe un host pe celălalt, a fost folosit un plug-in de WooCommerce pentru a migra o bază de date inactivă, care conținea date criptate despre tranzacțiile online, care vizau persoane juridice. În una dintre versiunile de back-up a rămas o versiune parțială a acestui fișier - care nu a apărut nici măcar la testarea online pentru vulnerabilitate. Iar persoana care a știut exact să se uite, pentru că s-a mers direct pe link, a făcut și plângerea. Din momentul în care am fost informați, lucru care s-a întâmplat prin intermediul chatului online de pe site chiar de către persoana care a făcut plângerea despre această vulnerabilitate, am securizat totul în mai puțin de 10 minute, fapt confirmat chiar și de respectiva persoană în cadrul conversației.

Autoritatea a spus că la data de 1 februarie 2019 informațiile erau disponibile în mod public, când problema s-a remediat imediat. Însă, deși am solicitat informații suplimentare, inclusiv să ne fie furnizate în formă confidențială, nu am avut acces la ele.

Noi am identificat imediat documentul, am făcut analiza internă pentru a decide dacă se impune sau nu notificarea autorității și a persoanelor implicate, și având în vedere natura publică datelor, volumul acestora, data tranzacțiilor și eventualul risc, risc care era practic inexistent, am acționat în consecință.

Ulterior, am refăcut site-ul de la zero, am adăugat încă un nivel superior de securitate prin tripla parolare și utilizare a cheilor, precum și definirea unor roluri mult mai bine stabilite de acces și posibilitate de modificare.

Care au fost etapele anchetei desfasurate de Autoritatea de Supraveghere care a condus la aplicarea acestei amenzi ? Ati primit si recomandari sau masuri corective? Vi se pare justificata aplicarea acestei masuri ?

U.A.: Etapele au fost simple și la obiect. Am primit cererea de furnizare a informațiilor pe e-mail și am răspuns tot prin e-mail. Niciun fel de procedură scrisă în afară de înmânarea propriu-zisă a procesului-verbal de sancționare. Nu am primit recomandări sau măsuri corective, nici propuneri, nici măcar nu s-a făcut mențiune despre acest aspect vreodată.

Dacă este să raportăm la cifra de afaceri, amenda este în cuantum de 2.6%, ceea ce este mult mai ridicată prin raportare la celelalte două sancțiuni aplicate. La World Trade Center amenda ar fi de aproximativ 0.2%, iar la Unicredit Bank se învârte în jurul aceleiași valori, asta conform informațiilor disponibile public. Am putea spune ca pare un pic cam disproporționat, însă eu pot înțelege și abordarea autorității de a fi mai dură cu operatorii pentru a transmite un semnal de genul "GDPR funcționează la orice nivel chiar și în România".

În România, până în acest moment, s-au aplicat trei amenzi pentru nerespectarea GDPR, Autoritatea de supraveghere conducand aproape 1.000 de investigații in primul an si adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că amenzile au un rol important în aplicarea GDPR-ului? Din experienta practică, cei mai mult operatori romani incearca sa se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor? Se gandeste cineva si la riscul reputational ?

U.A.: Amenzile nu rezolvă această problemă. Fac o paralelă cu dreptul concurenței, unde Consiliul este foarte activ și duce campanii de informare la nivelul întregii țări.

Din punctul meu de vedere, și nu numai al meu, avem nevoie de o campanie de informare din partea autorității și a altor organisme din domeniul digital sau care protejează consumatorii, ca tu om simplu sau entitate comercială să știi ce drepturi ai, ce obligații, DE CE e important și ce pași să adopți. 

Nu e o idee încetățenită, dar suntem un popor căruia îi place să introducă acțiuni în instanță, așa că amenzile nu vor face decât să crească numărul litigiilor, iar la final vom rămâne doar cu ideea că ”ei, data viitoare scap”.

Hai să ne uităm la autoritățile din Marea Britanie, Irlanda, Franța, Belgia, Olanda care emit ghiduri, note cu recurență săptămânală. În Franța avem amenda aplicată Sergic unde autoritatea ”a tras” de companie să se conformeze. Abia după aproape un an, când a văzut că nu a făcut nimic din ce i s-a spus, a aplicat amenda. Ceea ce e nu cazul la noi, din păcate.

La noi operatorii, în majoritatea lor, încearcă să se conformeze pentru a bifa o acțiune pe lista numită "GDPR - de făcut". Riscul reputațional este trecut pe un plan terțiar, nici măcar secundar cum ai putea crede la prima vedere.

Până la urmă, în branșă se discută de ceva vreme deja că există indicii că datele din sănătate ”tropăie” fără vreun control și nimeni nu zice nimic și nu se supără nimeni din cauza asta.

Nouă ni s-a aplicat o amendă în cuantum de 2.6% din cifra de afaceri netă (conform informațiilor disponibile pe site-ul Ministerului de Finanțe).

Ni s-a spus de nenumărate ori în ultimele zile că trebuia să luăm avertisment, cel mult. Noi nu comentăm decizia autorității, ci o respectăm, indiferent că ni se pare mult sau puțin.

Mesajul din partea Autoritatii de Supraveghere este unul extrem de puternic, subliniind tototdata faptul ca analiza riscurilor si masurile adecvate necesita o atentie marita din partea oricarui operator. Am putea spune astfel ca identificarea riscurilor este unul din cei mai importanți pași spre a obtine un grad ridicat de conformitate GDPR. Cu toate acestea, dacă uniii dintre operatori nu reusesc sa identifice nici  macar breșele, cum putea identifica riscurile?

U.A.: Aici intervine o persoană care să aibă experiență practică și să vadă dincolo de hârtii. O chestiune constatată de-a lungul acestui an este că trebuie ca persoana care sprijină organizația în vederea implementării să aibă o viziune practică și să vadă fluxurile înainte ca organizația să se gândească la ele.

Practic să vezi cam ce fel de date sunt, de unde vin, ce se întâmplă cu ele etc. Și apoi să lucrezi cu organizația în profunzime, din aproape în aproape ajungi și la riscuri la care nu te-ai fi gândit. Și, de asemenea, cred ca e necesar să îți imaginezi un scenariu practic al unor posibile scenarii, lucru care se întâmplă frecvent în industria de comunicare, spre exemplu. Ideea este să fie cât mai detaliat și mai puțin obișnuit la început, că încet ajungi la ceva palpabil care cu siguranță se va aplica.

Pleacă Ionel cu plicurile cu facturi către destinatari. Poate că Ionel se oprește să își ia un pachet de țigări și uită ușa deschisă la mașină. Și cineva ia toate plicurile, crezând că sunt bani. Sau Ionel e supărat pentru că soția lui nu i-a răspuns la telefon și aruncă plicurile cu pliante promoționale pe un câmp, că vrea să se ducă la birtul din sat să bea o bere. Iar avem un risc și o eventuală breșă. Te-ai fi gândit din prima la asta?

Dupa cum constatăm din analiza primelor trei cazuri in care au fost sanctionati operatorii de date romani, o amenda aplicata de Autoritatea de Supraveghere poate sa apara si in urma anchetei demarate dupa depunerea de catre operator a notificarii de bresa de securitate. Credeti ca acest lucru va scadea incidenta raportarilor de brese din partea operatorilor?

U.A.:Realitatea ne spune că majoritatea operatorilor nici măcar nu știu când trebuie notificată o breșă de securitate sau ce este aceasta. Cum scriam la un moment dat, o breșă de securitate înseamnă inclusiv atunci când scriu un e-mail și la destinatar trec, din neatenție sau pentru că majoritatea programelor de e-mail completează automat, un alt destinatar decât cel vizat.

Însă da, consider că astfel va scădea considerabil numărul de raportări din partea operatorilor. Dacă de exemplu, și iar fac paralelă cu dreptul concurenței, operatorul ar fi beneficiat de circumstanță atenuantă, de clemență sau imunitate pentru că notifică o breșă, atunci am fi fost în situația în care ar fi existat un interes real din partea operatorilor de a proceda la notificare. Dacă nu ne place paralela cu dreptul concurenței, hai să vorbim despre cum se corectează lucrurile în aviație și de ce a ajuns să fie unul dintre cele mai sigure medii.

În lipsa unor asemenea beneficii, majoritatea vor sta deoparte, pe ideea că ”lasă că poate nu notifică nimeni autoritatea - de ce să mă dau singur de gol”. Și atunci iarăși este o problemă. Legiuitorul sau chiar autoritatea ar fi putut să intervină și să ofere astfel de soluții și astfel ar fi crescut gradul de cooperare, conștientizare și asumare. Însă așa cui îi convine să notifice știind că va putea fi sancționat la fel dacă nu notifică?

Să ne aplecăm și asupra scandalului Cambridge Analytica si FTC, unde Facebook și autoritatea sunt în faza de negociere a unei tranzacții, cu anumite condiții, care să închidă investigația. Bun, pe 5 miliarde de dolari, dar putea să fie mai mult. Noi nu avem asemenea beneficii. 

Aveti o activitate bogata printre care si dezvoltarea si comercializarea unuia dintre cele mai cunoscute kituri de documente pentru implementarea principiilor GDPR, alaturi de serviciile consultanta de specialitate. Ce parere aveti despre operatorii care se rezuma la simpla achizitie a kitului, fara a investi in formarea unui specialist intern sau apelarea la un specialist extern ? Cum putem lupta ca specialisti in protectia datelor impotriva acestui fenomen prin care un operator incearca formal obtinerea unor inscrisuri care sa dovedeasca conformitatea, in lipsa unor modificari de fond in modul in care isi desfasoara activitatea ?

U.A.: Noi am încercat constant, în special prin ceea ce scriem pe blog, să oferim cât mai multe exemple și metode de identificare a riscurilor și cum să ai o abordare corectă.

Întotdeauna am afirmat că persoana care știe cel mai bine să-și facă implementarea este organizația, mai ales la nivelul firmelor mici și mijlocii pentru că de obicei persoanele care se ocupă de activitatea zilnică sunt și cele care au fondat organizația. Și acestea sunt cele mai în măsură să știe, la prima mână, pe unde le vin și pleacă datele.

De asemenea, noi am mers pe o abordare de genul ”cât mai multe exemple și îndrumări” care să te ajute să identifici într-un mod optim fluxurile de date și eventual riscurile. Asta e prima sarcină a ta ca organizație, să iei un pix și, cu o serie de documente în față, să începi să creionezi ceea ce tu consideri că ți s-ar aplica și cum vezi tu lucrurile.

Ulterior, după ce din punctul tău de vedere ai cam terminat pe partea asta, ar trebui să apelezi la o persoană care să verifice documentația și să vadă dacă sunt chestii care cumva au scăpat sau cum trebuie abordate problemele pe mai departe.  Noi am oferit constant, fără vreun cost suplimentar asistență pe partea asta. Oricum, oamenii ne scriu pe rețele de socializare sau e-mail și ne cer anumite informații sau revizuiri de documente pe care le facem în limita timpului disponibil. Iar uneori scriem și articole despre situația respectivă, când ne dăm seama că ar putea fi de interes pentru mai multă lume.

Dar este foarte important și să alegi persoana care să te ajute în implementare și să te facă să înțelegi că documentația nu este suficientă, e ce am zis întotdeauna: GDPR este un mixt între juridic, tehnic și organizațional și implică atât regândirea unor procesele operaționale, cât și implementarea sau adaptarea unor soluții tehnice menite ca, în final, să crească încrederea persoanelor în organizația respectivă și să redisponibilizeze toate părțile implicate.

A trecut primul an de cand se aplica GDPR-ul si mai bine de trei ani de cand a intrat in vigoare. Care au fost provocarile cu care v-ati confruntat in calitate de specialist in protectia datelor ? Ce s-a schimbat în aceasta perioada si cum vedeti evolutia in Romania si la nivel european pe termen scurt si mediu?

U.A.: Așteptam cu nerăbdare să intre în vigoare GDPR, la nivel european. La nivel macro, noi nu conștientizăm importanța datelor noastre personale. Spre exemplu, folosim telefonul pentru localizare, pentru a ajunge la o destinație, pentru a transmite poze din vacanțe, pentru a partaja cu alții documente, informații, albume, pentru a ne face programări pe la diverse saloane pe care ulterior le salvăm cu tot cu locație în telefon în calendar, pentru a primi sau trimite bani, pentru a asculta muzică, a ne înregistra ce mâncăm, cât sport facem, când ne trezim, cu ce prieteni am fost în oraș etc.

Fără să-ți dai seama, dacă cineva are acces la un moment dat la contul tău de Google, să zicem, practic poate să-ți vadă întreaga viață.

Și nu este normal ca aceste date:

(1) să fie cerute într-un număr cât mai mare,

(2) să nu fie protejate,

(3) să nu ai idee ce se întâmplă cu ele odată colectate și stocate.

Să ne gândim doar că pe baza tuturor acestor informații, poți să faci profilul cuiva fără să te chinui prea mult. Nu mai spun de situațiile când te trezești că ai contract un credit de care habar nu aveai. O să râdeți, că poate pare imposibil, dar s-a întâmplat.

După cum spuneam, oamenii nu conștientizează importanța datelor până când nu le furnizezi exemple ca cele de mai sus. Și nici nu putem avea pretenții de la un user simplu de tehnologie. Altfel că majorității i se pare o utopie regularizarea colectării, stocării și transmiterii de date. GDPR nu e un bau-bau sau un motiv în plus să extindem birocrația. Și dacă unii doar asta înțeleg, bifarea unui to-do list ca să fie GDPR compliant, alții îl duc la absurd și își închid site-urile sau nu mai comunică date deloc - cum a fost exemplul meu personal când o clinică privată nu a vrut să-mi ofere, după o verificare prealabilă, ID-ul de pacient prin care să îmi pot verifica analizele și a trebuit să bat 40km până la centru.

Nu despre asta este vorba. În primul rând vorbim despre conștientizare, apoi de responsabilizare și asumare.

Potrivit raportului emis la nivel european de Comisia Europeană, 73% din cei avuți în vedere știu care le sunt drepturile. Dar asta e la nivel european. La nivel național tind să cred că nici măcar 15% nu știu de GDPR, ce face, cum face și ce e vreo dată cu caracter personal.

Iar amenzile nu vor rezolva această problemă pentru că ține de educare și informare. Ceea ce noi încercăm să facem pe avocatoo.ro cu pachetele de soluții GDPR. O amendă nu va face decât să zică ”ei, lasă, mai semnez niște documente și aia e, oricum amenzile sunt ceva normal la noi”.

Așadar, pe termen scurt vom vedea că vor există și mai mulți prestatori de servicii care se vor oferi să te conformezi GDPR fără să-ți bați capul.

Ce sfaturi puteti oferi specialistilor in protectia datelor, aceasta meserie nou aparută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și lipsei unor repere unitare privind interpretarea și implementarea lui ?

U.A.:Să citească foarte mult, în special de pe site-urile autorităților externe care oferă informații foarte bune și aplicate. Chiar și articole de presă, site-uri de specialitate, can-can, situații ipotetice, pentru că fiind un domeniu nou și în permanentă mișcare, trebuie să fii conectat cu ultimele știri ca să știi exact la ce să fii atent și cum să identifici eventuale probleme care pot să apară.

In incheiere, ce trebuie sa retina un operator din acest caz si ce sfat ati oferi managerilor care au asteptat pana in acest moment "sa se intample ceva", fara a intreprinde nici un demers in sensul obtinerii conformitatii GDPR ?

U.A.:Operatorii ar trebui să aibă în vedere că problema GDPR nu este "cine", ci "când". Pentru că nimeni nu scapă de o breșă de securitate și mai devreme sau mai târziu, tot suferi una, indiferent de cât de bun ești. Iar cea mai bună opțiune, în cazul în care suferi o breșă de securitate, este de a minimiza riscurile. Să conștientizăm, așadar, că este un fenomen real și că se poate întâmpla din motive la care nici nu s-a gândit cineva vreodată.

Alinierea la normele GDPR nu este o chestie de ”semnat hârtii”, ci presupune o responsabilizare a operatorului față de toți cei implicați. El trebuie să știe în primul rând ce date colectează, de unde, ce face cu ele și cui le transmite. Și să-și facă propriul audit preliminar, așa cum se pricepe mai bine, iar ulterior neapărat să apeleze la ajutorul unor persoane care, înainte de toate, înțeleg domeniul lui de activitate și cu care, împreună, să implementeze procedurile necesare din punct de vedere operațional, tehnic și juridic.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679

Gordon Wade: „The Romanian DPA is ready to move from leniency to active enforcement”​

Gordon Wade is a Data Privacy and Protection lawyer with PwC Legal Middle East, based in Dubai and enthusiastically accepted to offer an exclusive interview for Dpo-NET – […]

Daniel Suciu: A fost nevoie de două amenzi pentru a readuce GDPR-ul în vizorul operatorilor

În cei peste 30 de ani de activitate profesională, Daniel Suciu s-a implicat activ în aproape toate ariile de interes pentru Protecția datelor. A avut curiozitatea și oportunitatea […]

Analizăm prima amendă GDPR din România împreună cu Cristiana Deca

Anunțul primei amenzi GDPR în România a răsunat pe toate canalele de știri, stârnind interesul multora, motiv pentru care am rugat-o pe Cristiana Deca, unul dintre primii specialiști […]

Sergiu Bozianu: În Republica Moldova putem aplica amenzi contravenționale persoanelor cu funcție de răspundere

Sergiu Bozianu este în primul rând un profesionist în domeniul protecției datelor din Republica Moldova, ultima funcție publică fiind cea de director adjunct în Direcția Generală Supraveghere și […]