Andrei Săvescu: Uniunea Europeană încearcă să pună presiune pe operatori, prin intermediul cetățenilor

INTERVIU EXCLUSIV

Vizualizari: 2247

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Andrei Săvescu este membru în Baroul București din 1994 și are o vastă experiență atât ca avocat, cât și ca arbitru la Curtea de Arbitraj Comercial de pe lângă Camera de Comerț și Industrie a României, fiind unul dintre cei mai apreciați practicieni ai dreptului. Predă cyberlaw din anul 2005, la Universitatea Româno-Americană și, din anul 2015, la  Universitatea de Vest din Timișoara. A susținut conferințe și ateliere cu privire la GDPR la care au participat sute de manageri, consilieri juridici și avocați specializați. Este președintele Societății de Științe Juridice din România (2009), coordonator JURIDICE.ro (2004), cercetător asociat în cadrul Institutului de Cercetări Juridice „Acad. Andrei Rădulescu” al Academiei Române (2010) și membru fondator al Asociației pentru Tehnologie și Internet (2004).  A acceptat cu entuziasm să realizăm acest interviu în exclusivitate pentru dpo-net.ro, fiind unul din cei mai renumiți profesioniști din România în domeniul protecției datelor. 

 

Marius Dumitrescu: Scopul GDPR nu este de a da amenzi, ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului, doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți că aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește protejarea datelor lor?

Andrei Săvescu: O reglementare europeană de care au auzit peste două treimi dintre oameni iar peste o treime știu ce este ea mi se pare foarte mult. Nu cred că există o altă reglementare atât de cunoscută. Probabil că nici măcar Legea 31/1990 nu este cunoscută în România la un asemenea nivel, prin raportare la întreaga populație. În termeni relativi, conștientizarea GDPR este foarte bună, dar în termeni absoluți într-adevăr nu. În ce privește conștientizarea la nivelul instituțiilor și mediului de afaceri, sunt convins că nivelul de conștientizare este foarte ridicat, aproape de 100%.

 Marius Dumitrescu: Care credeți că vor fi consecințele acestei lipse de conștientizare a importanței datelor în rândul persoanelor, pe termen lung?

Andrei Săvescu: Conștientizarea importanței datelor cu caracter personal este relativ scăzută la nivelul publicului larg, deoarece datele cu caracter personal au o importanță mică, pentru fiecare persoană în parte. Oamenii trebuie să fie cunoscuți, ei chiar vor să fie cunoscuți, este foarte normal să fie cunoscuți. De fapt nici nu este normal să acționăm în societate cu un fel de cagulă. Datele cu caracter personal sunt importante când sunt foarte multe, datele unui număr mare de persoane. Ele sunt importante pentru organizații. Cu alte cuvinte, există o foarte mare diferență între importanța datelor cu caracter personal ale unei anumite persoane și importanța unui volum mare de date, ale unui număr mare de persoane. Această diferență la nivelul importanței datelor cu caracter personal este cauza diferenței de conștientizare: persoanele fizice au o conștientizare mai scăzută pe bună dreptate, pentru fiecare în parte datele cu caracter personal au o importanță mică.

Marius Dumitrescu: Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

Andrei Săvescu: Conștientizarea drepturilor protejate de GDPR este mai mare decât conștientizarea GDPR. Această împrejurare a fost evidențiată și de sondajul Eurobarometru la care v-ați referit. Protejarea drepturilor persoanelor se realiza și înainte de GDPR, prin mijloace de drept civil. Într-adevăr, înainte de GDPR protejarea drepturilor se realiza atunci când persoanele erau deranjate de încălcarea drepturilor lor. GDPR a adus un element de noutate foarte spectaculos: informarea detaliată, clară și quasi-permanentă a persoanelor vizate cu privire la drepturile lor și cu privire la scopurile și modalitățile în care se realizează prelucrarea datelor lor cu caracter personal. Această încurajare a persoanelor vizate este necesară tocmai din pricina dezinteresului imanent în ce privește fiecare persoană în parte. Uniunea Europeană desfășoară și încurajează o campanie de sensibilizare cu privire la protecția datelor cu caracter personal.

Marius Dumitrescu: Care credeți că ar fi cea mai scurtă cale spre creșterea gradului de conștientizare și complianță GDPR: educarea persoanelor sau educarea operatorilor?

Andrei Săvescu: Operatorii se educă singuri. Instituțiile și companiile pot fi suspectate de multe lucruri rele, însă în realitate greșesc destul de puțin, pentru că ele reprezintă partea activă, dinamică și totodată stabilă, solidă a oricărei societăți. Conștientizarea GDPR și creșterea nivelului de complianță, ca să ne exprimăm barbar, trebuie să vină de la persoanele vizate. Cred că aceasta este calea cea mai bună. Oamenii ar trebui să citească politicile de confidențialitate și să împărtășească doar datele necesare sau pe care doresc să le împărtășească. Educarea persoanelor vizate cred că este calea cea mai bună și totodată cea mai scurtă. Pe de altă parte, cred că acesta este spiritul GDPR: protejarea persoanelor fizice, nu chinuirea operatorilor.

Marius Dumitrescu: În România, până în acest moment, nu prea s-au dat amenzi pentru nerespectarea GDPR, deși autoritatea a condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că amenzile au un rol important în aplicarea GDPR-ului? Din experiența dumneavoastră  practică, cei mai mulți operatori se conformează cu GDPR din responsabilitate sau de frica amenzilor?

Andrei Săvescu: Prin GDPR Uniunea Europeană încearcă să pună presiune pe operatori, dar prin intermediul cetățenilor, nu prin intermediul Autorităților. Datele personale conferă o anumită putere (comercială) celui care le deține. Transparența este dușmanul puterii în această privință, căci puterea nu are nevoie de transparență, dimpotrivă, preferă să fie ocultă. Autoritatea națională din România a sesizat foarte bine orientarea reglementării europene. Scopul GDPR este să fie pedepsiți cei care sar calul, nu cei care trag la căruță. Potrivit experienței mele, operatorii sunt preocupați de conformarea GDPR. În calitate de consultanți, noi, avocații, răspundem în fiecare zi întrebărilor clienților, atât managementului cât și responsabililor cu protecția datelor. Este adevărat că există o teamă de amenzi, însă nu am sentimentul că acesta este motivul determinant, ci unul mult mai subtil și mult mai frumos, determinat de faptul că GDPR încurajează, la nivelul operatorilor, o dorință esențială și foarte pozitivă pentru afaceri: dorința de a fi ordine.

Marius Dumitrescu: Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în România avem un tratament preferențial pentru instituțiile publice, amenda maximă pentru nerespectarea GDPR fiind de 200.000 lei (aproximativ 42.000 euro), cu mult inferior față de ceea ce riscă operatorii privați.

Andrei Săvescu: Da, cred că instituțiile publice ar trebui să fie un exemplu de conformare GDPR. De altfel am sesizat o preocupare constantă la nivel legislativ de a impune instituțiilor conformarea, prin trimiterea la GDPR în numeroase acte normative noi provenind de la Guvern. Fără îndoială că la nivelul instituțiilor conformarea GDPR este mai dificilă, dar asta în principal din pricina constrângerilor bugetare, nu din rea-voință. Pe de altă parte, la nivelul instituțiilor, o eventuală amendă ar putea fi catastrofală pentru persoanele vinovate, atunci când va sosi Curtea de Conturi...

Marius Dumitrescu: Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale Uniuni Europene, 86% dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați că ar trebui să se comporte un utilizator de internet, dacă ar fi vorba de riscurile pe care internetul le ascunde?

Andrei Săvescu: Chiar dacă ar cunoaște toate riscurile, cred că utilizatorii de Internet s-ar comporta cam la fel. Pericolele pot fi evitate doar prin inacțiune, ceea ce este în realitate imposibil. De Internet doar moartea ne va despărți. GDPR există tocmai pentru ca persoanele să poată să reclame încălcarea drepturilor lor, apoi intervin autoritățile.

Marius Dumitrescu: Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind accesul la internet al copiilor ar trebui să fie o sarcină a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

Andrei Săvescu: Încă nu înțelegem foarte bine impactul Internetului asupra copiilor. Internetul are un impact devastator asupra copiilor, din perspectiva noastră. Însă din perspectiva lor, a celor care vor trăi în viitor, probabil că lucrurile nu sunt deloc dramatice. Internetul este o realitate virtuală, însă este la fel de real ca orice altceva. Cred că societatea viitorul va fi diferită destul de mult de realitatea de ieri, probabil că nu va mai fi atât de socială și va fi mult mai cibernetică. În ce privește educația privind accesul la Internet al copiilor cred că sistemul de învățământ o să aibă un rol mai important decât părinții, întrucât educația făcută de profesioniști este mai bună decât educația făcută de amatori, părinții sunt educatori amatori. Pe de altă parte, este mai presus de orice îndoială că părinții sunt mai importanți decât sistemul de învățământ, pentru că iubirea este mai importantă decât educația. Tehnologiile software permit un control parental avansat, în așa fel încât părinții să-și poată proteja copiii, cu iubire și multă atenție. Însă utilizarea controlului parental este ea însăși dificilă, întrucât necesită deprinderi tehnice și un discernământ bine antrenat cu privire la pericolele Internetului. Cred însă că lucrurile vor merge din ce în ce mai bine, părinții tineri sunt mult mai pricepuți, astfel încât iubirea și priceperea lor vor putea, în măsură din ce în ce mai mare, să protejeze și să orienteze copiii.

Marius Dumitrescu: Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corectă?

Andrei Săvescu: Oamenii oricum își fac publice date cu caracter personal, iar dacă sunt și plătiți pentru asta e foarte bine. Cred că direcția este una corectă, în măsura în care oamenii sunt conștienți de faptele lor și de efectele faptelor lor. Împrejurarea că oamenii nu sunt mereu foarte conștienți nu înseamnă că ar trebui oprit orice lucru care se face cu un nivel scăzut de conștientizare, căci altminteri ar trebui să ne gândim și la restricții cu privire la mersul pe jos, care nici el nu se bucură de un nivel înalt de conștientizare.

Marius Dumitrescu: Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR și până în februarie 2019 Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi românii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

Andrei Săvescu: Orice sistem informatic este penetrabil. Câtă vreme vom utiliza protocoalele TCP, computerele vor fi penetrate. Diferența de expunere se situează la nivelul costurilor pentru realizarea penetrării. Prin urmare, penetrarea se va face atunci când este suficient de rentabilă. Cred că măsurile de securitate informatică sunt foarte importante, dar nu pentru că ar face imposibil furtul datelor cu caracter personal, ci pentru că măresc costurile care ar trebui făcute de cel care vizează aceste date. Acest mecanism cibernetic nu este însă specific atacurilor vizând datele cu caracter personal, ci este general, pentru orice informații ne-publice ale unei organizații. De aceea, unele organizații neglijează securitatea cibernetică, iar altele îi acordă o atenție specială. Importanța acordată de o organizație securității cibernetice nu este determinată de importanța datelor cu caracter personal, ci de importanța informațiilor ne-publice ale organizației. Organizațiile ar trebui să acorde o importanță specială protecției informațiilor în general, întrucât ele trebuie să protejeze informații cu mult mai importante decât cele care privesc datele cu caracter personal. Așa se și întâmplă în realitate: protecția informatică a datelor cu caracter personal este exact la nivelul la care se află protecția informatică a organizației. Din această perspectivă, GDPR are un rol social foarte pozitiv, întrucât cu ocazia demersurilor pentru protecția datelor cu caracter personal, organizațiile vor asigura și protecția generală a informațiilor pe care le gestionează.

Marius Dumitrescu: Identificarea riscurilor este unul din cei mai importanți pași spre complianța GDPR. Dar dacă noi nu reușim să identificam nici breșele, cum am putea identifica riscurile?

Andrei Săvescu: Riscurile cu privire la protecția datelor cu caracter personal au o sferă mai largă decât riscurile informatice. Cel mai frecvent breșele sunt mai mari decât riscurile, pentru că nu există interes pentru exploatarea breșelor.

Marius Dumitrescu: A trecut un an de la intrarea în vigoare a GDPR. Ce s-a schimbat în decursul acestui an?

Andrei Săvescu: Cea mai importantă schimbare este creșterea numărului de specialiști. Această schimbare este foarte pozitivă. GDPR este mult mai cunoscut, el constituie o preocupare constantă pentru operatori, ceea ce a determinat creșterea numărului de specialiști. Acest trend cred că se va menține, și este foarte bine că va fi așa. O altă schimbare este scăderea fricii. Acum un an, frica era cauza unor reacții exagerate din partea operatorilor, reacții de natură să împiedice funcționarea normală a organizației. Acum un an, operatorii aveau tendința să sufle în iaurt. În acest moment lucrurile sunt mai așezate, iar GDPR produce efectul vizat, acela de generator de ordine în activitate. Și această schimbare mi se pare foarte bună.

Marius Dumitrescu: Cum vedeți implementarea Directivei NIS în România? Care sunt cele mai mari provocări? Ce măsuri au fost luate până în prezent?

Andrei Săvescu: Securitatea rețelelor și sistemelor informatice este o provocare pentru că necesită costuri mari, pricinuite de necesitatea utilizării unor echipamente scumpe și de necesitatea implicării unor oameni foarte calificați și foarte inteligenți, deci puțini, deci scumpi. Securitatea informatică este poziționată în zone stratosferice ale intelectului uman. Cauza dificultăților nu poate fi eliminată, pentru că adevărata cauză este modul în care a fost conceput Internetul. O schimbare a mecanicii intime a Internetului ar rezolva problemele legate de securitatea sistemelor informatice, însă probabil că asta nu se va întâmpla în curând, din pricină că problemele de securitate sunt, pentru organizații relevante, fructuoase. Prin urmare, cred că preocuparea pentru securitatea sistemelor informatice trebuie să fie în continuare susținută.

Marius Dumitrescu: Cine credeți ca ar trebui să se implice mai mult în diseminarea importanței datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

Andrei Săvescu: Am observat că Autoritatea Națională are o foarte bună implicare în diseminarea informațiilor privind protecția datelor cu caracter personal, atât în nume propriu, cât și prin sprijinirea inițiativelor în acest sens ale instituțiilor, ONG-urilor și chiar ale agenților economici. Cred că ONG-urile, așa cum este cel pe care îl conduceți, Asociația Specialiștilor în Confidențialitate și Protecția Datelor, pot face lucruri frumoase, și chiar fac. Protecția datelor cu caracter personal merită toată atenția care îi este deja acordată, și chiar mai mult.

Marius Dumitrescu: Vă mulțumesc.

Andrei Săvescu: Vă mulțumesc și eu pentru atenția pe care mi-ați acordat-o adresându-mi aceste întrebări și vă doresc mult succes în activitatea dumneavoastră, pe care o apreciez în mod special!

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Daniela Simionovici: “Există soluții pentru reducerea riscului unei amenzi GDPR”

INTERVIU EXCLUSIV

Vizualizari: 1406

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Daniela Simionovici a absolvit cursurile Universității Ștefan cel Mare din Suceava, specializarea Asistență socială și un master în consiliere și administrare resurse umane la aceeași universitate. A absolvit cursul postuniversitar de “Protecția datelor cu caracter personal” organizat de Facultatea de Drept și Științe Administrative ale aceleiași universități sucevene. Este membru ASCPD și a obținut titlul de „Cel mai bun DPO din România” împreună cu Echipa Nord Est DPO România la Târgu Mureș în iunie 2019. În calitate de Senior Partner la NeoPrivacy România, oferă consultanță în domeniul implementării Regulamentului general privind protecția datelor (GDPR) și oferă și servicii de Responsabil cu protecția datelor personale în regim externalizat (DPO). Participă constant la seminare, dezbateri și conferințe dedicate protecției datelor personale și împărtășește din experiența sa scriind articole și cărți dedicate domeniului protecției datelor din perspectiva practicianului. La sfârșitul lunii Septembrie 2020 a moderat Webinarul LIVE dpo.TALKS unde alături de Mihai Ghiță, Cofondator Sypher Solutions, a analizat provocările profesionale ale DPO-ului în contextul actual.  

Daniela a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să ne trezească interesul tuturor pentru un subiect atât de important pentru orice companie care își propune să adopte și să implementeze principiile GDPR: “Amenzile GDPR”. 

Dacă ar fi să facem o radiografie succintă a amenzilor GDPR la nivel european, cum ar arăta?

D.S.: Respectarea dreptului persoanelor vizate la protecția datelor este un drept fundamental, chiar dacă nu este absolut, iar acest lucru presupune că operatorii de date personale trebuie să-și îndeplinească obligațiile care le revin conform prevederilor GDPR.

Indiferent de domeniul specific de activitate al operatorilor sau al PI, indiferent dacă sunt sau nu obligați să numească un DPO sau să întocmească evidențele prevăzute de art. 30, toți operatorii de date personale sunt obligați să respecte principiile GDPR și vom face trimitere explicită la respectarea principiului responsabilității, adică la faptul că toți operatorii și PI trebuie să facă dovada că respectă și implementează corect prevederile GDPR, lucru care, dacă se întâmplă, reduce semnificativ riscul amenzilor GDPR.

Motivele pentru care s-au aplicat cele mai multe amenzi GDPR în acest an au fost stabilirea incorectă sau insuficientă a temeiului legal de prelucrare a datelor și corelarea acestuia cu scopurile prelucrării și insuficiența măsurilor tehnice și organizatorice de securitate a datelor implementate de operatori se află în topul european, dar și în cel românesc în ce privește numărul și cuantumul amenzilor GDPR aplicate de autoritățile de supraveghere și nerespectarea principiilor GDPR de prelucrare a datelor. 

Care este mesajul, legat de aceste amenzi GDPR, pe care un operator de date ar trebui să îl rețină?

D.S.: Se vorbește foarte mult despre amenzile GDPR, despre cuantumul acestora, despre caracterul disuasiv, sau nu al acestora, dar se pierde din vedere faptul că măsurile corective sunt mult mai importante și cu consecințe mai grave decât amenda, per se, în sensul în care, spre exemplu, unui operator căruia i se stabilește măsura corectivă a suspendării chiar și temporare a prelucrării datelor personale, până la corectarea deficiențelor constatate de autoritatea de supraveghere, înseamnă că, nemaiputând să prelucreze date personale, operatorul își suspendă, de fapt, activitatea până când autoritatea ridică măsura suspendării prelucrării datelor.

Am dori să atragem atenția asupra prevederilor art. 29, alin. (2) din Procedura ANSPDCP de efectuare a investigațiilor unde se precizează: „(2) Introducerea contestației [Împotriva procesului-verbal de constatare/sancționare și/sau a deciziei de aplicare a măsurilor corective – n.a.] suspendă NUMAI plata amenzii, până la pronunțarea unei hotărâri judecătorești definitive.”

Operatorii ar trebui să fie conștienți de faptul că, și dacă remediază imediat deficiențele constatate de autoritate și pentru care s-a aplicat măsura corectivă a suspendării prelucrării datelor personale, acest lucru nu înseamnă că autoritatea de supraveghere se mișcă la fel de repede. Prin urmare, riscă să se confrunte cu o perioadă destul de lungă în care nu își pot desfășura activitatea! Ca atare, o amendă, deși nu e de neglijat, mai ales dacă suma este foarte mare, nu înseamnă decât bani, totuși, pe când suspendarea activității pe perioade oricât de scurte ar putea însemna pierderi financiare mult mai mari.

Ați moderat Webinarul dpo.Talks de la sfarsitul lunii septembrie. Care este cea mai surprinzătoare concluzie la care ați ajuns? 

D.S.: Constat ca există o preocupare reală în rândul DPO din toate entitățile legate de numirea forțată a acestora pe postul de DPO, de multe ori în situații evidente de incompatibilitate. Numirea / desemnarea forțată și de formă, pe hârtie, a unui DPO este o realitate care poate avea și chiar are consecințe negative sub aspectul amenzilor GDPR. O soluție pentru evitarea amenzilor GDPR în acest caz, dar și pentru păstrarea unui mediu de lucru armonios într-o entitate ar fi ca operatorii să convingă și să motiveze, nu să oblige un angajat să devină DPO, să-i liniștească temerile și să-l facă să accepte cu ușurința aceste noi sarcini, mai ales dacă acest salariat vede că operatorul se implică, îi alocă resurse de toate tipurile, dacă operatorul conștientizează faptul că trebuie să cheltuie suplimentar pentru instruirea DPO-ului și pentru formarea continuă a acestuia etc. Relația între DPO și operator nu trebuie să se desfășoare de pe poziții de forță, ci pe un nivel de cooperare și colaborare responsabilă. Evitarea situațiilor de incompatibilitate se poate face aplicând un filtru relativ simplu: DPO-ul nu poate desfășura alte activități care l-ar pune în situația de a se audita/monitoriza singur, iar în Ghidul privind responsabilul pentru protecția datelor (DPO), raportat la art. 37-39 din RGDP se găsesc toate îndrumările de care un operator ar avea nevoie pentru a desemna un DPO în mod corect. Numirea unui DPO incompatibil este purtătoare de sancțiuni, iar soluția evitării amenzilor GDPR în acest caz este exact opusul acestei realități, adică numirea corectă a unui DPO evitându-se situațiile de conflict de interese și de incompatibilitate.

Are DPO-ul român resursele necesare pentru a-și desfășura activitatea ?

D.S.: Foarte mulți DPO sesizează și reclamă faptul că nu au resursele necesare pentru a-și desfășura activitatea. Asigurarea resurselor pentru această activitate este obligația operatorului, iar în Regulament sunt menționate explicit și resursele care trebuie alocate, inclusiv pentru instruirea DPO-ului, nu doar cele care vin imediat în mintea unui operator, cum ar fi birotică, papetărie și cam atât. În acest sens, art. 38, alin. 2 este cât se poate de explicit: “(2) Operatorul și persoana împuternicită de operator sprijină responsabilul cu protecția datelor în îndeplinirea sarcinilor menționate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum și accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate.” DPO-ul, în funcție de mărimea organizației, ar putea avea nevoie și de o echipă pluridisciplinară, care să includă cel puțin un jurist și / sau un IT-ist, de un birou propriu, securizat corespunzător, de o colecție, dacă nu de o bibliotecă proprie de materiale bibliografice de specialitate etc. În cazul producerii unei breșe de securitate urmată de o amendă, argumente de tipul “Nu am știut!” sau “Nu avem fonduri suficiente să alocăm și pentru DPO pentru că suntem în criză economică!” sunt irelevante și, chiar dacă nu vor fi interpretate de autoritatea de supraveghere ca circumstanțe agravante, nici nu vor fi luate în considerare ca argumente pentru clemență dusă până la iertarea “păcătosului”. Dacă lipsa de resurse poate fi purtătoare de sancțiuni GDPR, soluția evitării acestora sau a reducerii riscului amenzilor GDPR este bugetarea corespunzătoare a activității DPO-ului. Operatorii ar trebui să includă în bugetul anual de cheltuieli și resursele necesare pentru implementarea GDPR, dar și pentru menținerea conformității, pentru că procesul de conformare GDPR a entității este continuu și este egal cu durata de viață a entității.

Este DPO-ul român investit cu autoritatea necesară pentru a-și putea desfășura activitatea în mod corespunzător ? 

D.S.: DPO-ul nu este învestit de operator cu autoritatea necesară pentru a-și putea desfășura activitatea în mod corespunzător și, mai rău, este chiar ignorat de conducere. Această autoritate absolut necesară DPO-ului nu înseamnă că acesta devine un fel de șef peste ceilalți colegi, pe care-i poate sancționa, ci că este ascultat atunci când trasează sarcini și responsabilități pe linie de GDPR și că beneficiază, pe de o parte, de sprijinul conducerii, pe de altă parte, obține cooperarea și colaborarea responsabilă și implicată a tuturor salariaților care prelucrează date personale. NU DPO-ul este cel care stabilește sancțiunile într-o entitate, ci conducerea acesteia, iar DPO-ul NU face parte din conducere! DPO-ul nu trebuie văzut ca un mic despot în entitate, ci ca pe un garant pentru persoanele vizate că prelucrarea datelor personale se face respectând principiile GDPR, iar operatorul trebuie să-l vadă ca pe o resursă reală pe care, dacă o folosește corespunzător, chiar îndepărtează de entitatea sa riscul contactului cu autoritatea de supraveghere și, implicit, reduce riscul amenzilor. Dacă autoritatea DPO-ului se limitează la transformarea acestuia într-un producător și arhivar de hârtii, de proceduri, politici și chestionare de audit, ușa spre amenzile GDPR este larg deschisă, iar operatorii n-ar trebui să fie nici surprinși, nici nemulțumiți că sunt sancționați. Prin urmare, soluția pentru reducerea riscului amenzilor GDPR în această situație presupune ca DPO-ul să primească autoritate din partea operatorului, iar acesta din urmă să se asigure că toți ceilalți salariați o respectă. Învestirea cu autoritate a DPO-ului nu se limitează la o simplă decizie internă și la semnarea unui proces verbal de luare la cunoștință din partea salariaților, ea trebuie să producă efecte reale.

În ce privește implicarea la timp a DPO-ului în activitățile de protecție a datelor personale vom atrage atenția operatorilor asupra faptului că lipsa încrederii în salariatul desemnat ca DPO nu este o justificare per se, ba, mai mult, în cazul producerii unei breșe de securitate poate fi un indicator clar al unor disfuncționalități grave și a unei stări de dezorganizare la nivelul entității și care nu pot fi estompate de existența unei documentații de conformitate GDPR, oricât de bine și de frumos ar fi întocmită. Cu alte cuvinte, operatorul nu are nicio scuză în fața autorității de supraveghere pentru că a numit un DPO în care nu are încredere și, pe aceasta bază, operatorul nu-și respectă obligația prevăzută de art. 38, alin. 1 din Regulament: “(1) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.”

Mai mult decât această implicare, operatorul trebuie să asigure independența DPO-ului, în sensul art. 38, alin. 3 din Regulament: “(3) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.” Independența DPO-ului este o altă piedică majoră în entitățile în care acesta este numit de formă și se poate trezi că fiecare șef ierarhic superior pe linia activităților de bază îi spune DPO-ului ce și cum să facă și pe linie de GDPR.

Toate aceste trei situații în care probabilitatea primirii unei amenzi este foarte mare, pot fi evitate, sau măcar redus riscul unei amenzi GDPR prin implicarea operatorului. De acesta depinde, aproape în exclusivitate, ca aceste sancțiuni să nu apară.

Există o preocupare reală legată de răspunderea DPO-ului? În ce măsură DPO-ul poate fi tras la răspundere și poate suporta consecințe negative în cazul implementării necorespunzătoare a GDPR-ului în entitate, mai ales în cazul amenzilor?

D.S.: Se cuvine să punctăm întâi faptul că această temere provine din traducerea nepotrivită a termenului DPO în limba română. În limba engleză, ca, de astfel și în celelalte limbi în care a fost tradus Regulamentul 679/2016, înseamnă Ofițer cu Protecția Datelor - Data Protection Officer și nu RESPONSABIL cu protecția datelor cu caracter personal, inducând, astfel, ideea că persoana care ocupă aceasta funcție este responsabilă de implementarea GDPR. Implementarea GDPR este obligația și implicit responsabilitatea operatorului (a angajatorului) și nu a salariatului numit pe postul de DPO.

În al doilea rând, DPO-ul răspunde legal dacă a produs prejudicii operatorului încălcând alte prevederi legale. Spre exemplu, DPO-ul nu poate fi concediat pentru îndeplinirea funcțiilor și sarcinilor sale specifice, adică nu poate fi concediat pentru că insistă pe lângă operator să-i asigure resurse, sau dă un aviz nefavorabil pentru o anumită activitate de prelucrare de date pe care o consideră riscantă dacă nu se iau măsuri de remediere a deficiențelor, dacă, însă, fură din bunurile angajatorului, provoacă distrugeri, îi perturbă activitatea, consuma alcool în timpul programului, se implică / se lasă implicat în altercații / agresiuni / violențe etc., este pasibil de sancțiuni disciplinare, administrative, penale etc.

Externalizarea serviciului de implementare GDPR este o soluție viabilă și care sunt limitele de responsabilitate ale prestatorilor de servicii în cazul amenzilor GDPR?

D.S.: La această întrebare răspunsul este categoric DA, externalizarea serviciului de protecție a datelor este o soluție foarte bună în multe contexte, dar, operatorii trebuie să ia în calcul câteva aspecte foarte importante:

Operatorii răspund oricum și sunt pasibili de amendă dacă externalizează serviciul către prestatorul nepotrivit, care nu demonstrează că are competențe și experiență adecvată în domeniu și care nu demonstrează că poate securiza datele personale încredințate spre prelucrare în mod corespunzător. Dacă operatorul externalizează serviciul de implementare GDPR către o firmă specializată în vânzarea de legume, dar care pretinde că are codul CAEN potrivit pentru a putea oferi și consultanță GDPR, amenda este ca și scrisă pentru operator. Verificarea sistemului de expertiză și de reputație al prestatorului este obligația operatorului. 

Operatorii răspund oricum și sunt pasibili de amendă dacă nu-și exercită la timp și corect instrumentul controlului asupra prestatorului pentru a se asigura, continuu, că acesta respectă condițiile contractuale în ce privește confidențialitatea și securitatea datelor personale încredințate spre prelucrare. Prestatorul de servicii externalizate ar putea fi sancționat doar dacă operatorul ar putea demonstra fără urmă de dubiu că vina este exclusiv a prestatorului. În teorie, operatorul și prestatorul ar putea răspunde solidar în fața autorității de supraveghere, în practică, însă, se va considera că partea cea mai mare de vină o deține operatorul, deoarece nu și-a exercitat în mod corespunzător instrumentul controlului pe care doar el îl deține. Poate, nu întâmplător, în limba engleză operatorul este numit controller. Ne putem afla, iarăși, în fața unei traduceri neinspirate în limba română a acestui termen, deoarece creează confuzii și poate induce ideea că operatorul prelucrează personal date cu caracter personal, deși este posibil ca cel mai înalt nivel al conducerii să nu se afle în această situație. Cel mai înalt nivel al conducerii entității, însă, are obligația de a folosi acest instrument al controlului pe care doar el îl deține, și asupra angajaților, și asupra împuterniciților săi.

În ce privește externalizarea serviciului de DPO, deși tentant și foarte comod pentru operator, în aparență, în realitate poate avea efecte pervese. Un DPO conectat la entitate va ști mereu, cu o precizie foarte mare, ce se întâmplă în organizație, unde se află documentele, în grija cui se află și cum le securizează, va putea monitoriza în timp real respectarea măsurilor de securitate implementate de entitate etc. și, cel mai important aspect, în cazul investigațiilor efectuate de autoritatea de supraveghere la sediul operatorului, va fi mult mai expeditiv, mai sigur pe sine și mai organizat în îndeplinirea solicitărilor echipei de investigații decât un DPO extern. Modul în care se poate organiza un DPO intern față de un DPO extern poate face diferența între o amendă și un avertisment însoțite, sau nu, de măsuri corective, sau s-ar putea traduce cel puțin în reducerea valorii amenzii. Această diferență nu este dată de incompetența unui DPO extern, ci de organizarea operatorului. Un DPO extern are cu atât mai mult nevoie de cooperarea operatorului, cu cât nu poate fi prezent în entitate așa cum este un DPO intern. Ori, dacă operatorul este dispus să ofere acest sprijin, cea mai bună combinație în opinia noastră și care ar reduce considerabil riscul amenzilor GDPR ar fi DPO intern și consultant extern pentru audituri, monitorizare, DPO coaching și / sau instruire salariați.

Dacă ar fi să sintetizăm într-o singură frază răspunsul la întrebarea “Cum reducem riscul amenzilor GDPR?” care ar fi acesta?

D.S.: “Riscul amenzilor GDPR scade foarte mult prin responsabilizare, cooperare și implicare, adică, în primul rând prin elemente ce țin de natura umană și abia apoi de partea tehnică, adică de instrumente de lucru, aplicații, programe etc.”

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Mihai Ghita: „Digitalizarea este cea care asigura continuitatea afacerii”

INTERVIU EXCLUSIV

Vizualizari: 2391

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Portalul dpo-NET.ro - Data Protection Officers Network reia organizarea evenimentelor dpo.TALKS și organizează împreună cu Sypher Solutions și NeoPrivacy România, în data de 30 Septembrie 2020, în intervalul orar 10.00-11.30, o dezbatere online pe tema "Cum reducem riscul amenzilor GDPR ?", aducând în prim plan problema respectării  principiilor și prevederilor Regulamentului UE 679/2016. 

Vom analiza împreună cu Mihai Ghita, Cofondator Sypher Solutions și Daniela Simionovici, Senior Partner NeoPrivacy Romania, măsurile luate de autorități europene de protecția datelor cu caracter personal  în aceasta perioada. Vom pune accent pe provocarile profesionale cu care se confruntă DPO-ul  în aceasta perioada, si pe importanta implementării unor soluții pentru reducerea riscurilor amenzilor GDPR. 

Mihai Ghita are peste 20 de ani de experiență în industria de asigurări și în dezvoltarea de software de vânzări online pentru brokeri și companii de asigurări și este specializat în optimizarea experienței utilizatorilor de aplicații web, managementul și arhitectura produselor software și lucrează în permanență pentru a îmbunătăți funcționalitatea și platformei Sypher Solutions. Mihai a acceptat să ofere acest interviu în exclusivitate pentru Portalul dpo-NET.ro - Data Protection Officers Network.

 

Pandemia COVID-19 a schimbat semnificativ activitatea tuturor profesionistilor si acum s-au remarcat cei care s-au putut adapta mai usor. Cum a fost afectat, in opinia dumneavoastra, domeniul protectiei datelor cu caracter personal?

MG: Pandemia din acest an a actionat ca un accelerator pentru deciziile de adoptare de noi tehnologii pentru ca, in doar cateva luni, a devenit clar ca digitalizarea nu mai este optionala, ci absolut necesara pentru supravietuirea companiilor.

Asta a facut ca proiecte care, in mod uzual ar fi luat chiar si ani de zile pentru analiza si planificare, sa se lanseze in regim de urgenta, fiind practic imposibil sa se ia in considerare toate efectele “secundare”.

Prioritatea a fost, cum este si normal, restabilirea rapida a functionarii companiei, iar in acest context cu siguranta s-au facut compromisuri privind protectia datelor. Compromisuri ce vor trebui insa rezolvate pe masura ce situatia se indreapta treptat spre normalitate.

Digitalizarea "pe repede-inainte" a fost de multe ori solutia pentru continuarea activitatii si astfel astazi vorbim mai mult decat oricand de telemunca sau teleeducatie. Cum se poate desfasura activitatea unui DPO in conditii de telemunca?

MG: Principalele provocari ale unui DPO sunt sa monitorizeze gradul de conformare a companiei cu cerintele GDPR si sa se asigure ca fiecare angajat isi cunoaste si isi indeplineste responsabilitatile privind protectia datelor si comunica cu echipa de conformitate atunci cand este nevoie.

“Telemunca” se impaca bine cu digitalizarea si nu ar trebui sa aiba un impact major pentru DPO daca exista deja o platforma software pentru controlul si supravegherea conformitatii, care poate fi folosita de toti angajatii cu responsabilitati in domeniu.

MG: La polul opus este situatia in care procesul de asigurare a conformitatii este preponderent manual sau alocat disproportionat de mult in sarcina echipei de conformitate.

Nici in acest caz problema principala nu este insa telemunca, ci mai degraba ineficienta implicita a abordarii.

Care sunt riscurile digitalizarii de pe o zi pe alta? Cum credeti ca ar fi trebuit sa fie adoptata aceasta tehnica pentru a asigura continuitatea afacerilor?

MG: Acum un an digitalizarea era o modalitate de a optimiza costurile si procesele. Astazi insa, pentru multe companii, digitalizarea este cea care asigura continuitatea afacerii.

Digitalizarea presupune gasirea de furnizori si solutii tehnice, dezvoltari, implementari, conectari, modificari de procese si proceduri.

Fiecare dintre acestea introduce riscuri noi, care trebuie identificate, evaluate si adresate, iar urgentarea procesului face posibila aparitia de brese procedurale si de securitate.

Urgenta nu inseamna insa renuntarea la precautii si analiza. Chiar si cu timp si resurse limitate se poate actiona asupra reducerii riscului prin identificarea proceselor a caror digitalizare are impact maxim pentru functionarea companiei si alocarea cu prioritate a resurselor de analiza si control al riscului catre acestea.

Capacitatea de a inova va schimba, cu siguranta, topurile economice internationale. Cum a inovat compania Sypher pentru a se adapta "noului model de bussines”?

MG: Sypher a aparut pentru ca digitalizarea procesului de gestionare a conformitatii este singura modalitate realista prin care companiile pot sa respecte cerintele GDPR.

Am pornit insa din primul moment de la principiul ca platforma Sypher trebuie sa fie nu doar un instrument de raportare si control pentru management, ci si sa usureze munca tuturor celor care au responsabilitati legate de GDPR.

Acest principiu ne-a ajutat sa ramanem mereu centrati pe identificarea si rezolvarea problemelor practice ale echipelor de conformitate si sa dezvoltam facilitati care nu se regasesc in alte platforme: harta vizuala dinamica a activitatilor, instrumentele de validare a registrului si a proiectului si, nu in ultimul rand, Asistentul virtual GDPR pentru echipele de conformitate.

Participati in data de 30 Septembrie 2020 ca si key-speaker in cadrului webinarului dpo.TALKS avand ca tema "Cum sa reducem riscul amenzilor GDPR?". Exista o reteta pe care urmeaza sa o prezentati?

MG: Oamenii sunt diferiti. De aceea nu exista o reteta universala de slabit sau pentru o viata sanatoasa. Exista insa principii care te pot ajuta sa ajungi la greutatea dorita sau sa iti mentii sanatatea.

Companiile sunt si ele diferite si cu cerinte diferite cand vine vorba de conformitate.

De aceea nu voi prezenta retete, ci voi discuta despre modul practic in care principiile GDPR te pot ajuta sa documentezi si sa demonstrezi conformitatea cu cerintele privind protectia datelor.

WEBINARUL ESTE TRANSMIS LIVE PE PLATFORMA https://conferinte-live.ro/ si pe pagina de Facebook Dpo-NET.ro - Data Protection Officers Network - https://www.facebook.com/dponet.ro

Evenimentul este inregistrat si este disponibil in spatiul public pentru a asigura accesul la informatii cator mai multe persoane si dupa acest eveniment.

AGENDA - dpo.TALKS - “Cum reducem riscul amenzilor GDPR ?” - 30.09.2020 - 10.00-11.30

  • Invitat: Mihai Ghita, Cofondator Sypher Solutions
  • Moderator: Daniela Simionovici, Senior Partner NeoPrivacy Romania

09.45 - 10.00 - Inregistrarea participantilor in platforma online

10.00 - 10.30 - Provocarile profesionale ale DPO-ului in contextul actual / Sinteza amenzilor GDPR aplicate la nivel european in 2020

10.30 - 11.00 - Studiu de caz: Asistentul Virtual GDPR Sypher ca solutie pentru reducerea riscurilor amenzilor GDPR si digitalizarea activitatii DPO-ului

11.00 - 11.30 - Sesiune de intrebari si raspunsuri

Inscrierea se face exclusiv prin completarea urmatorului formular.

Campurile marcate cu * sunt obligatorii






Va rugam confirmati primirea urmatoarelor informatii:

Va rugam consultati Politica de confidentialitate privind prelucrarea datelor cu caracter personal pe site-ul DPO-net.ro . Suplimentar vom trimite impreuna cu emailul de confirmare a inscrierii la webinar si o Nota de informare privind prelucrarea datelor.

Am fost informat privind prelucrarea datelor cu caracter personal conform GDPR




INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Care a fost cea mai mare provocare a companiilor in procesul de obtinere si mentinere a conformitatii GDPR?

Specialistii in protectia datelor au fost cei care au lucrat alaturi de organizatii in procesul de obtinere si mentinere a conformitatii GDPR. Am vrut sa stim care a […]

Care a fost cea mai mare provocare, în ultimii doi ani, pentru specialistii in protectia datelor personale?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

Ce am învățat în primii 2 ani de GDPR în România?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

Marius Dumitrescu: “Este trist ca a fost nevoie de acest coronavirus pentru a înțelege mai bine GDPR-ul”

Astăzi, 25 mai 2020, se împlinesc doi ani de la aplicarea Regulamentului general privind protecția datelor personale (GDPR), moment prielnic pentru noi toți de a realiza o scurtă […]

Ovidiu Ionescu: Conformarea GDPR, deși nu este aducătoare de profit, este o carte de vizită foarte prețioasă

Ovidiu Ionescu a absolvit Facultatea de Administrație Publică, din cadrul SNSPA, în anul 2013 și Facultatea de Drept, Universitatea Titu Maiorescu, în anul 2017. A urmat 7 ani […]

Daniela Cireașă: „Realizarea cartografierii nu este sarcina exclusivă a DPO-ului”

Daniela Cireasa a absolvit Facultatea de Drept, Universitatea Nicolae Titulescu, este consilier juridic din anul 2001. In 2018 a absolvit cursurile postuniversitare de protectia datelor „Protectia juridica a […]

Alexandru Luca: În acest context, digitalizarea nu este o noutate, este mai mult o oportunitate

Alexandru Luca, în prezent Mobile Division Manager – Cybersecurity BU in cadrul comapaniei certSIGN, are o experiență de peste 15 ani în domeniul IT&C, asumându-și roluri cheie în […]

Alexandru Gheorghe: Nu am găsit în România experți care să realizeze o „autopsie” a unui telefon mobil

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Inperspective. El a format și condus […]

Ovidiu Seceleanu: „Containerizarea, inovația SAMSUNG pentru utilizarea GDPR a terminalelor mobile”

Preocupați de impactul tehnologiei în activitatea operatorilor de date cu caracter personal, specialisti si responsabili cu protectia datelor din întreaga țară sunt invitati sa participe la cea de-a […]

Alexandra Jivan: „În cazul unui litigiu, salariații s-ar putea prevala de lipsa de informare, susținând că nu cunosc procedurile”

Alexandra Jivan (CIPP/E) are o experiență profesională de peste 11 ani, oferind consultanță și reprezentare juridică, atât startup-urilor, precum și companiilor multinaționale. În 2018, a fost inițiatorul proiectului […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

Cursul postuniversitar UMFST Târgu Mureș de protecția datelor a ajuns la debutul celei de-a treia ediție

Cursul postuniversitar „Formare si pregatire a Responsabilului cu Protecția Datelor”, organizat de Centrul de cercetare pentru protecția datelor, constituit in cadrul Universității de Medicina, Farmacie, Științe și Tehnologie […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

Stefan Gabriel Iancu: România este in top 3 din Europa la numarul de amenzi GDPR aplicate

Stefan Gabriel Iancu are o experiență de peste 21 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei iPrivacy. El si-a dezvoltat expertiza […]

„Operatorii ar trebui sancționați pentru desemnarea persoanelor nepotrivite în functia de DPO?”

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Iperspective. El a format și condus […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Cătălina Lungu: „De Black Friday, vânătorii de chilipiruri se pot transforma în victime”

Cătălina Lungu este Responsabil cu protecția datelor (DPO) si Consultant GDPR la Proactiv Cons SRL , fiind licențiată în managementul firmei și absolventă a cursurilor postuniversitare în protecția […]

Brittany Kaiser: Intervenția străinilor în alegerile din România încă este o amenințare (VIDEO)

În calitate de fost Director de dezvoltare a afacerilor la Cambridge Analytica, Brittany Kaiser este un celebru denuntator, demascând modul în care au fost influențați și manipulați oamenii, […]

Gradul de conformare GDPR, în domeniul sanitar românesc, nu a depășit 15%

Regulamentul General privind Protecția Datelor (GDPR-General Data Protection Regulation) a apărut pentru a oferi un grad de control într-o lume dominată de tehnologie, iar conformarea la acest Regulament […]

Adriana Ceaușescu: „Trebuie să învățăm că implementarea GDPR este un efort de echipă”

Adriana Ceaușescu este Ofiter Securitatea Informatiei si Protectia Datelor pentru companii din domeniul Asigurarilor si Sanatatii și a urmat cursurile IAPP, participând totodată la intocmirea codului de conduita […]