Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

INTERVIU EXCLUSIV

Vizualizari: 63932

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai ales la cat de multe am invatat. Inca nu ma grabesc sa trag concluziile, daca a meritat efortul, daca am reusit sa schimb putin mentalitatea oamenilor in ceea ce priveste perceptia asupra importantei datelor cu caracter personal si prefer sa ma gandesc la momentele mele preferate, profesional vorbind, care au avut loc in acest an.

Primul lucru care mi-a venit in minte a fost o intrebare pe care am primit-o de multe ori in acest an: " De ce faci toate astea?". Ei bine, recunosc ca nu am avut niciodata un raspuns pregatit si am improvizat de fiecare data, chiar daca nu am oferit un raspuns convingator. Astazi in schimb stiu raspunsul: "Pentru ca pot! Pentru ca vreau!". A fost nevoie de o secunda de curaj de fiecare data cand am lansat orice proiect riscant sau cand am iesit din zona de confort cu care eram obisnuit si am facut un pas in fata si am vorbit oamenilor la conferinte sau prin intermediul comunicatelor de presa. Nu am fost in nici un moment singur, am avut sustinerea unei echipe care stie cat de importanta este incurajarea si ajutorul exact atunci cand ai nevoie. Cred ca aceasta temere de a fi singur in fata unei provocari profesionale atat de mari a fost si motivul pentru care majoritatea colegilor mei au ales sa se inscrie in Asociatia Specialistilor in Confidentialitate si Protectia Datelor din Romania, gasind aici in primul rand un grup de oameni care au aceeasi temere si care au nevoie de indrumare si acces la resurse si informatii unitare.

Este greu sa selectez doar zece momente care au avut loc in acest an si care mi-au adus o satisfactie profesionala. Au fost mult mai multe decat atatea, si simplul fapt ca nu au ajuns in topul preferintelor nu inseamna ca sunt mai putin importante.

 

Locul 10 - Membrii ASCPD au reprezentat România la CPDP 2019 Bruxelles

O delegație formată din 20 de membri ai Asociatiei Specialistilor in Confidentialitate si Protectia Datelor au participat la cea de-a 12-a ediție a Computers Privacy & Data Protection Conference ce s-a desfășurat în Bruxelles în perioada 29.01-01.02.2019. Această conferință adună în fiecare an academicieni, avocați, practicieni, factori de decizie politică, din industrie și societatea civilă din întreaga lume, oferindu-le o arenă pentru a face schimb de idei și pentru a discuta ultimele probleme și tendințe emergente. Această formulă multidisciplinară unică a ajutat CPDP-ul să devină una dintre cele mai importante conferințe de protecție a datelor și confidențialitate din Europa și din întreaga lume.

Prin participarea ASCPD cu un numar așa de mare de membri am reușit să transmitem un mesaj clar că România depune eforturi reale în demersul de a implementa principiile Regulamentului (UE) 2016/679 și chiar dacă numele țării noastre a fost amintit de mai multe ori, în contexte nefavorabile, ne angajăm ca pe viitor să schimbăm acest lucru. Participarea la acest eveniment a fost o ocazie deosebită să interacționăm personal cu reprezentanții Comisiei Europene,  European Data Protection Board (EDPB), Information Commissioner’s Office (ICO), Commission nationale de l’informatique et des libertés (CNIL) sau de la companii internaționale precum Google și Facebook. 

Locul 9 - Realizarea studiului ce a avut drept scop evaluarea gradului de conştientizare, în rândul persoanelor fizice (vizate), a importanţei datelor cu caracter personal

Acest studiu s-a desfășurat în perioada 6-28 Februarie 2019. În urma analizei concluziilor acestui studiu, ASCPD a decis inițierea unei campanii naționale de conștientizare a datelor cu caracter personal, prin obținerea statutului și promovarea unui mesaj de interes public către toată populația. Mai mult, ASCPD a realizat, împreună cu Prof.Daniel J. Solove de la Facultatea de Drept a Universității George Washington, o sinteză în limba română a întregului Regulament (UE) 2016/679, într-o singură pagină A4.

In urma analizei rezultatelor am concluzionat ca romanii au un grad redus de conștientizare asupra tuturor tipurilor de date cu caracter personal, dar cu toate acestea au un puternic simț de proprietate, 97.3% afirmând că doresc să fie informați dacă aceste date sunt furate sau pierdute și 87.4% confirmând importanța acestor date pentru ei. 9% declară că este dificil să își protejeze propriile date cu caracter personal în condițiile în care 24.7% nu au auzit încă de Autoritatea din România responsabilă cu protejarea drepturilor privind protecția datelor cu caracter personal (ANSPDCP)

Personal cred ca persoana fizică în sine a devenit o provocare pentru întreg sistemul de protecție a datelor din România, deoarece prin lipsa de educare, întreg corpul profesional se confruntă cu solicitări nejustificate și insuficient documentate privind ștergeri selective sau rectificări neîntemeiate a informațiilor înregistrate în documente. Cu siguranță aceste solicitări nu vor fi soluționate în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce privește termenul de retenție și posibilitățile de acces restricționat și condiționat. Gardianul modului în care se respectă confidențialitatea și mecanismele de protecție a datelor cu caracter personal rămâne Responsabilul privind protecția datelor, o meserie nou aparută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și lipsei unor repere unitare privind interpretarea și implementarea lui.

Locul 8 - Campania "Stirile false - adevarate bombe invizibile"

În contextul Zilei Internaționale a Păcălelilor, anunțul Asociației Specialiștilor în Confindențialitate și Protecția Datelor (ASCPD) prin care se anunța lansarea pe data de 1 Aprilie 2019 a unei soluții “miracol” privind implementarea GDPR, fără a fi necesară implicarea unui specialist, a fost o utopie și  nu a fost altceva decât o știre falsă (fakenews), în încercarea de a trage un semnal de alarmă asupra acestui fenomen prezent pe piața din România. Sute de persoane și-au oferit datele personale în mod gratuit, fiind în căutarea unei soluții doar formale și mai ales ieftine la implementarea principiilor GDPR în propria firmă. Am facut apel la toți operatorii să consulte pe site-ul asociației ghidul ASCPD privind implementarea GDPR, apreciind totodată că soluțiile formale, fără implicarea unui specialist, nu îi vor ajuta în procesul de obținere a conformității.

Asemenea bisturiului în mâinile unui chirurg priceput, un kit GDPR poate fi un instrument de un real ajutor pentru un specialist în protecția datelor. Dar ce ne facem când bisturiul ajunge pe mâna unei persoane fără experienta în domeniul medical? Te-ai mai lăsa operat de aceasta persoană? Poate comparația este exagerată, GDPR-ul nu te omoară, însa datele tale ajunse din neglijenta în mâini răuvoitoare, îți pot produce probleme foarte mari: furtul banilor din cont sau de pe card,  furtul de identitate, credite făcute în numele tău etc. Acestea sunt doar câteva din cele mai frecvente riscuri.

 

Locul 7 - Organizarea conferintelor nationale in domeniul protectiei datelor si managementului sanitar 

Anul 2019 a insemnat pentru mine si organizarea celei de-a doua editii a Conferintei Nationale privin Protectia Datelor in Domeniul Sanitar (CNPDDS2019) si cea de-a sasea editie a Conferintei Nationale de Farmacoeconomie si Management Sanitar (CNFMS 2019), realizand ca domeniul protectiei datelor cu caracter personal incepe sa devina un subiect de interes. Am sustinut mai multe prezentari si ma bucur ca am gasit o comunitate de persoane interesate de acest domeniu, care imi impartasesc opiniile.

În tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creşterea birocraţiei şi despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm şi să îl obţinem unii de la ceilalţi, respect de care am uitat datorită banilor obţinuţi prin tranzacţionarea datelor personale şi a informaţiilor confidenţiale, efect direct al evoluţiei exponenţiale a tehnologiei.

Noi, ca operatori de date, trebuie să renunţăm la a mai căuta soluţii formale. Complianţa GDPR nu se obţine apăsând butonul „Print“, orice operator care alege această cale rămâne la fel de expus riscurilor. Spitalele din România sunt atacate pentru că sunt vulnerabile și este profitabil având în vedere valoarea informațiilor și caracterul sensibil și mai ales precedentele create prin plata rascumpărării accesului la date. Putem evita aceste incidente dacă în primul rând renunțăm la mentalitatea că “mie nu mi se poate întâmpla” și investim în instruirea resurselor umane, implementând planuri și proceduri de lucru în caz de atac cibernetic și alocând fonduri pentru a impune măsuri adecvate de protecție tehnică și organizatorică.

 

Locul 6 - Schimbul de experienta realizat in Republica Moldova

In perioada 22-24 mai 2019, în cadrul parteneriatului de colaborare încheiat la 28 ianuarie 2019, cu ocazia Zilei Europene pentru Protecția Datelor, Asociația pentru Protecția Vieții Private a primit la Chișinău, în vizită de lucru și schimb de experiență profesională, pe reprezentanții Asociației Specialiștilor în Confidențialitate și Protecția Datelor din România.

Având în vedere interesul sporit față de acțiunile realizate de către instituțiile publice din Republica Moldova, în domeniul protecției datelor cu caracter personal și a asigurării nivelului adecvat de securitate de către entitățile vizate, au avut loc mai mult intalniri cu conducerea și reprezentanții Centrului Național pentru Protecția Datelor cu Caracter Personal, Inspectoratului General al Poliției, Curții de Conturi, Casei Naționale de Asigurări în Medicină, și Ministerului Sănătății, Muncii și Protecției Sociale.

În cadrul întâlnirilor cu aceste autorități, următoarele aspecte au fost analizate:

  • Provocările implementării GDPR în Republica Moldova și în România în primul an de aplicare;
  • Proiecte de informare, instruire sau îndrumare a persoanelor vizate și a operatorilor;
  • Colaborarea dintre instituțiile publice și sectorul privat, inclusiv cu organizațiile non-guvernamentale;
  • Perspectivele implementării legii naționale din Republica Moldova în domeniul protecției datelor cu caracter personal în activitatea cotidiană, proiecte de informare, instruiri sau îndrumări privind bunele practici elaborate (contextul legislativ, jurisprudență națională);
  • Pregătirea implementării noului proiect de lege care vine să transpună Regulamentul General privind Protecția Datelor (GDPR) în Republica Moldova;
  • Numirea, rolul și atribuțiile DPO (Responsabil cu protecția datelor personale) în cadrul instituțiilor publice din România și Republica Moldova;
  • Informații concrete despre procedura de lucru în relația cu persoanele vizate și operatorii de date cu caracter personal.

Am fost impresionați să constatăm că întreaga societate, nu numai instituțiile cu care am avut întâlniri de lucru, pun un accent deosebit pe protecția datelor cu caracter personal și a vieții private. Autoritățile Publice precum Centrul Național pentru Protecția Datelor cu Caracter Personal, Inspectoratul General al Poliției, Curtea de Conturi, Casa Națională de Asigurări în Medicină și Ministerului Sănătății, Muncii și Protecției Sociale au făcut o prioritate din implementarea legislației europene în acest domeniu, dar nu dintr-o obligație, ci ca un semn de respect pentru fiecare cetățean. Sunt convins că această vizită de lucru este doar prima etapă și dezvoltarea acestui parteneriat de colaborare va aduce beneficii pe termen lung, atât pentru România, cât și pentru Republica Moldova.

 

 

Locul 5 - participarea la Websummit si la discursului lui Edward Snowden

Sunt si acum emoționat cand imi aduc aminte de  interesul a mii de participanți la WebSummit 2019 fata de un subiect despre care nici nu vorbeam acum un an: confidențialitatea și protecția datelor. Punctul culminant al primei zile de la WebSuumit a fost cu certitudine dialogul purtat intre jurnalistul de investigație, câștigător al premiului Pulitzer, James Ball si Edward Snowden, cel mai celebru denuntator din lume. Daca nu stiati,  Snowden este omul care a riscat totul pentru a expune sistemul Guvernului American de supraveghere în masă. Acest lucru l-a transformat in principala tinta a Guvernului American in ultimii ani, ajungand astfel sa se refugieze in Rusia, care i-a acordat azil si de unde continua sa inspire milioane de oameni. Neputand fi prezent la acest eveniment, din motive lesne de inteles, acesta a fost prezent prin intermediul a doua ecrane imense montate pe scena principala. Asa cum era de asteptat, principalele teme de discutie au vizat incalcarile vieti private de catre gigantii IT sau de catre guverne, astfel ca Regulamentul General de Protectie a Datelor (GDPR) s-a bucurat de o atentie deosebita. Iata cateva dintre cele mai interesante replici:

Cum arată o versiune mai bună a internetului si ce presupune acesta? Noi vorbim din interiorul UE în care se aplică GDPR ...

Aceasta este o legislație bună, în ceea ce privește efortul pe care încearcă să-l depună. Este GDPR-ul o soluția corectă? Cred că NU și cred că greșeala pe care o face se gaseste de fapt chiar în numele acestuia: Regulamentul General privind Protecția Datelor. (...) Problema nu este protecția datelor. Problema este colectarea datelor. Reglementarea protecției datelor presupune că, în primul rând, colectarea de date a fost adecvată si că nu reprezintă o amenințare sau un pericol. Aș spune că dacă am învățat ceva din 2013, este că până la urmă totul sa afla.

Una din noutatile introduse de GDPR sunt aceste amenzi mari, care pot ajunge la 4% cifra de afaceri. Există  giganți tehnologici pe care ți-ar plăcea să-i vezi confruntandu-se cu astfel de sanctiuni?

Sunt de parere că este un prim efort bun. Este inca la un nivel incipient, dar s-a reusit ridicarea acestei stachete și acest lucru este extrem de important. Aceasta nu este totusi o soluție optima. Chiar dacă GDPR-ul propune amenzi de 4% din  veniturile globale pentru gigantii IT, astăzi acele amenzi nu există. Și până când nu vedem că aceste amenzi sunt aplicate gigantilor IT, în fiecare an, până când își reformează comportamentul și încep să respecte nu doar litera, ci si spiritul legii, lururile nu se vor schimba. Și mai cred că ne oferă un fals sentiment de asigurare, deoarece acesti giganti IT care reprezinta in prezent cel mai mare pericol, sunt si companiile cu cei mai mulți avocați si care sunt capabili să submineze cel mai eficient sensul acestei legi.

(...) Legea nu este singurul lucru care te poate proteja. Tehnologia nu este singurul lucru care te poate proteja. Suntem singurul lucru care ne poate proteja și singurul mod de a proteja pe oricine este să îi protejăm pe toți!

Locul 4 - organizarea GDPR Summer Challenge

Ne apropiem de podium si deja imi este greu sa aleg proiectele in ordinea preferintelor. GDPR Summer Challenge a fost o competitie care s-a adresat  tuturor persoanelor interesate de aprofundarea și testarea cunoștințelor în domeniul protecției datelor, printr-un exercițiu practic care a durat 5 zile. In perioada 12-16 August 2019, fiecare echipa a trebuit sa gestioneze peste 20 de situații și provocări în domeniul protectiei datelor, scopul fiind ca participanții să dobândească cât mai multă experiență practică din interacțiunea cu alți specialiști.

Juriul, format de 12 specialisti in domeniul protectiei datelor, a avut sarcina dificila de a selecta echipa care va primi titlul de "GDPR Summer Challenge 2019 Champion". Mi-au ramas aprope de suflet mesajele pe care membrii juriului le-au transmis la finalul competitiei:

"A fost fascinant sa vad cate perspective pot exista asupra unei singure probleme. Desi in Romania piata de privacy este inca la inceput, constat cu mandrie ca inceputul este unul bun. Consultatii participanti la concurs sunt pregatiti pentru a face face cerintelor pietei, cu toate astea nu trebuie sa uitam ca este nevoie sa ne pregatim continuu pentru a putea face fata provocarilor si schimbarilor cu impact asupra vietii private. Astept cu interes si editia de anul viitor." declara Cristiana Deca - IAPP Romanian KnowledgeNet Chair, Data Protection Specialist și Legal Advisor Decalex. 

"Vreau sa va felicit pentru organizarea acestui concurs si pentru dezvoltarea site-ului dpo-NET.ro! Ati reusit sa scoateti din zona tabu Regulamentul General privind Protectia Datelor si sa cresteti consitentizarea acestui domeniu. Prin acest concurs demonstrati faptul ca exista un mare interes in zona protectiei datelor si am fost placut surprins de implicarea unui numar mare de specialisti in rezolvarea provocarilor zilnice. Felicitari concurentilor si mult succes in continuare!" este mesajul transmis participantilor de Alin Olteanu - Avocat partener al Casei de avocatura “Olteanu și Asociații” București

"Mă bucur nespus să constat că există un nivel bun de pregătire al tuturor echipelor și se observă extrem de bine că cel mai probabil cu toții sunt practicieni, căci altfel nu ar fi reușit să se descurce atât de bine într-un mediu „destul de ostil” pentru o săptămână de consultanță. Am apreciat în special acele abordări care nu s-au rezumat la analize, ci au propus și elaborat seturi de măsuri. Cred că astfel de consultanți pot face față provocărilor de variate feluri care apar în viața de zi cu zi pe linia prelucrării datelor cu caracter personal. Competiția a fost probabil unul dintre cele mai bune instrumente de formare și exersare a abilităților unui consultant sau ale unui responsabil cu protecția datelor." , a declarat Conf. Univ. Dr. Nicolae Ploeșteanu - Directorul Centrului pentru Protecția Datelor - Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade” din Târgu Mureș.

"Am observat o imbinare a limbajului juridic si tehnic la nivelul rapoartelor, este exact ce necesita rolul de DPO. Recomand cu caldura pastrarea unui nivel de detaliere ridicat, dar in acelasi timp sublinierea elementelor importante ce stau la baza deciziilor sau masurilor recomandate. In acest fel, rapoartele devin usor de citit de catre managementul superior sau de catre orice persoana din afara sferei de interes.“, sustine Roland Costea - Expert tehnic și trainer cu experiență demonstrată în domeniul Cibersecurity/ Protecția, Securitatea și Confidențialitatea Datelor, lucrează în prezent pentru compania Microsoft în calitate de Șef de securitate, conformitate și Arhitect de confidențialitate pentru Europa Centrală și de Est.

"Am fost onorat de participarea la acest eveniment cu elemente de extraneitate, unde participanții, atât pe filiera ofițerilor de protecție a datelor, cât și a Autorității de supraveghere au conjugat eforturile pentru a urmări un singur obiectiv firesc – asigurarea dreptului la viața privată în legătură cu prelucrarea datelor cu caracter personal ca un drept inerent ființei umane. Așadar, am fost plăcut surprins de nivelul de pregătire al participanților, care în anumite spețe dădeau dovadă de o examinare minuțioasă și practică a problemei, înaintând anumite recomandări și acțiuni care se dovedeau a fi relevante și absolut necesare. Consider că acest eveniment a contribuit esențial la îmbunătățirea percepției asupra domeniului protecției datelor cu caracter personal.", declara Sergiu Bozianu - Președinte al Asociației pentru Protecția Vieții Private, Fost Director Adjunct -  Direcția Generală de Supraveghere și Conformitate la Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova

Locul 3 - Cursul de la Spitalul “Prof. Dr. Eduard Apetrei” Buhuși

Totul s-a intamplat in 17 Decembrie 2019, adica acum cateva zile, cand la invitatia domnului Constantin Poiană , managerul spitalului, am sustinut un curs introductiv de constientizare pentru angajatii spitalului. Cunosc echipa manageriala si o apreciez foarte mult. Principiul de baza dupa care se ghideaza aceasta institutie este diferit si as putea spune neobisnuit: omenia.

Ne adresam obligatoriu cu "Domnul Poiană", nu cu "Domnul Manager", si suntem corectati de fiecare data cand nu raspectam aceasta regula. Oamenii se sustin unii pe altii si isi doresc sa faca performanta intr-un mediu placut, intelegand importanta relatiilor interumane. Dar nu acesta este motivul pentru care acest curs ocupa un loc pe podium.

Cursul planificat sa inceapa la ora 9, a inceput culmea la ora 9 fix intr-o sala foarte mare si totusi neincapatoare pentru cadrele medicale care isi doreau sa obtina mai multe informatii despre confidentialitatea actului medical si provocarile protectiei datelor cu caracter personal. Am aflat ca au venit persoane si din alte spitale si eram rugat sa nu ma supar. Cum as putea sa ma supar cand vad atata dorinta de invatare ? Cursul a durat aproximativ patru ore si motivul pentru care a ajuns atat de usor in top 3 este ca am intrebat sala la un moment dat daca nu ar fi indicat sa luam o pauza si am primit un raspuns categoric si unanim: NU.

Sala a fost neincapatoare de la inceput pana la sfarsit, si nu pot decat sa multumesc managementului pentru modul in care a reusit sa atraga interesul pentru acest domeniu, pe care cei mai multi il igora. Toti participantii au inteles ca acest Regulament apara interesele si drepturile noastre, a fiecarei persoane fizice, si daca alegem sa il ignoram nu facem decat sa ne facem rau singuri si sa ne sabotam.

Locul 2 - Interviul cu Brittany Kaiser

În calitate de fost Director de dezvoltare a afacerilor la Cambridge Analytica, Brittany Kaiser este un celebru denuntator, demascând modul în care au fost influențați și manipulați oamenii, transformand datele în adevarate arme în acest război psihologic. Participand la #WebSummit 2019, a acceptat să imi ofere un interviu în exclusivitate despre interventiile straine in campaniile electorale din ROMANIA si importanta DPO-ului si recomandari pentru fiecare dintre noi.

În acest weekend avem alegeri prezidențiale în România. Referitor la informațiile care au vizat țara noastră, prezentate în documentarul Netflix, ne puteți oferi mai multe detalii? Ca o glumă, știți cine a câștigat deja aceste alegeri?

Nu am informații despre consultanții politici internaționali care lucrează acum în România, dar cu siguranță Cambridge Analytica a lucrat în România. Nu-mi amintesc pentru ce partid, însă Cambridge Analytica nu a fost singura companie. Cambridge Analytica avea și o companie similară care reprezenta cealaltă parte. Deci, este foarte important ca oamenii să fie conștienți că influența străină în alegeri este o realitate, companiile de consultanță politică sunt reale și nu au dispărut doar pentru că Cambridge Analytica nu mai există.

Așadar, este important ca oamenii să-și amintească că, în timpul alegerilor, ar putea fi ținta unor dezinformari. Ar putea fi influențați prin mesaje care să îi determine să nu ia parte la procesul electoral. Încercați să nu share-uiți astfel de mesaje mai departe pe rețelele de socializare. Întotdeauna ieșiți la vot, nu deveniți indiferenți față de ce se întâmplă pe scena politică și rămâneți implicați, indiferent de ce vă sugereaza o reclamă pe Facebook.

Există o soluție pentru combaterea știrilor false și a dezinformării?

Există soluții, dar abia acum încep să create. Cred că are de-a face foarte mult cu tehnologia blockchain, este foarte importantă identificarea și urmărirea faptelor și verificarea provenienței știrilor, dacă respectă ghidurile etice sau dacă jurnaliștii de investigație sunt persoane reale.
Trebuie să putem verifica articolele fără o documentare serioasă și din surse îndoielnice, pe care orice persoană le poate publica.

Care este cel mai bun sfat pentru mine ca catățean și consumator?

Sfatul meu este ca toată lumea să aibă grijă la modul în care sunt protejate datele personale. Trebuie să citiți termenii și condițiile, înainte de a descărca o aplicație și să realizați că în acel moment datele voastre sunt deja colectate. Dacă decideți că nu sunteți de acord cu termenii, atunci trebuie să vă dați seama că nu puteți utiliza aplicația respectivă, alegând confidențialitatea în dentrimentul confortului. Și dacă începeți să faceți acest lucru zilnic, atunci treptat veți fi capabili să recunoaști o prelucrare corecta și transparentă, și veți putea decide dacă vă împărtășiți datele sau să vă păstrați confidențialitatea, realizând că totul are un cost.

Dacă ne referim la Responsabilii cu protecția datelor, aveți o recomandare pentru aceste persoane care au devenit protectorii confiențialității ?

Fiecare Responsabil cu protectia datelor trebuie să impună organizației pentru care lucrează utilzarea datelor clienților, într-un mod cât se poate de transparent. Spuneți-i clientului ce date colectați despre el, nu utilizați politici de confidențialiatete confuze, spuneți clientului ce date doriți de la el, cereți-i să își actualizeze propriile date. "Acestea sunt datele tale pe care noi le deținem. Datele acestea mai sunt actuale? Încă vă plac aceste lucruri? Aveți aceeași culoare preferată? Aveți aceleași prefeințe pentru micul dejun?". Dacă veți răsplăti clienții oferindu-le un stimulent pozitiv, probabil că veți obține un set date relevante, în timp real, pe care le puteți utiliza eficient. Astfel, oamenii vor avea ocazia să inteleagă de ce aveti nevoie de datele lor și să își dea acordul pentru prelucrarea acestora.

Când un DPO lucrează pentru o organizație, acesta luptă pentru protejarea intereselor companiei sau pentru interesele persoanelor?

Responsabilii cu protectia datelor acționează în interesul persoanelor și se asigură că organizațiile respectă regulile etice pentru a-și proteja clienții.

Locul 1 - Lansarea Portalului Dpo-NET.ro - Data Protection Officers Network

Acest proiect s-a nascut in mintea mea pe 28 ianuarie 2019 de "Ziua Europeana a Protectiei Datelor" cand am decis ca trebuie sa fac ceva pentru nevoie mea de informare a oricarui viitor specialist in acest domeniu. Totul s-a petrecut foarte repede, intr-o noapte de vineri reusind sa strang la un loc toate articolele scrise de mine anterior si sa configurez o noua platforma. Sambata dimineata a avut loc lansarea, nici eu nu stiam la ce sa ma astept de la un astfel de proiect. Treptat a crescut numarul de vizitatori si timpul petrecut pe site, ajungand azi peste 12000 de persoane sa se documenteze pornind de la informatiile de pe site.

Ieri am aniversat articolul cu numarul 400 lansat pe platforma dpo-NET.ro si am realizat ca astazi dpo-net.ro nu este numai un site cu stiri. Am lansat treptat mai multe caracteristici ale portalului, am inceput cu forumul de discutii, apoi a urmat calendarul de evenimente, webshop-ul prin intermediul caruia promovam carti de specialitate. La scurt timp a aparut si modulul de resurse utile unde specialistii pot gasi deciziile autoritatilor, ghidurile si legile nationale si europene in domeniul protectiei datelor precum si registrul amenzilor GDPR care concentreaza toate informatiile privind sanctiunile acordate in Europa pentru nerespectarea Regulamentului 2016/679. Cursurile online au aparut intr-un mod firesc, platforma avand pana in prezent peste 500 de absolventi.

Pentru comunitatea specialistilor in protectia si securitatea datelor cu caracter personal este nevoie si de interactiune umane, nu doar cea online, motiv pentru care in noiembrie 2019 a fost debutul proiectului "dpo.Tools" prin care ne  propunem sa aducem in atentia persoanelor care si-au asumat cu curaj functia de Responsabil protectia datelor sau care ofera consultana in acest domeniu, instrumente care pot creste nivelul de performanta si mai ales informatii specifice care vor dezvolta profesionalismul serviciilor acestora. La prima editie am vorbit despre securitatea datelor stocate si in tranzit, riscuri si solutii pentru utilizarea dispozitivelor aflate in proprietatea angajatilor si care sunt utilizate in interes de serviciu si apoi la cea de-a doua editie am dezbatut conceptul de "operatori independeti" lansat in Romania ca o metoda de fuga de responsabilitate.

Urmeza noi evenimente dpo.Tools, lansari de noi module si functionalitati, participari la evenimente nationale si internationale si multe articole pentru aceasta comunitate de specialisti de care depindem noi cu totii, pentru ca drepturile noastre privind viata privata si protectia datelor sa fie respectate.

A fost un an greu, prin de evenimente si provocari profesionale, am pus pasiune in fiecare proiect si astazi realizez ca a meritat efortul, am inceput sa schimb putin mentalitatea oamenilor din jurul meu in ceea ce priveste perceptia asupra importantei datelor cu caracter personal si nu ma voi opri aici. 

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

O nouă apariție editorială: „SECURITATEA REȚELELOR ȘI A SISTEMELOR INFORMATICE. IMPLEMENTAREA DIRECTIVEI NIS ÎN ROMÂNIA”

INTERVIU EXCLUSIV

Vizualizari: 269498

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Vă invităm marți, 12 Aprilie 2022, de la ora 17, să participați ONLINE la lansarea cărții "SECURITATEA REȚELELOR ȘI A SISTEMELOR INFORMATICE. IMPLEMENTAREA DIRECTIVEI NIS ÎN ROMÂNIA" a autorilor Marius Dumitrescu și Daniela Simionovici.

Acest proiect editorial apărut în colecția Științe Juridice la Editura Universitară, unic pe piața din România, se adresează operatorilor de servicii esenţiale, furnizorilor de servicii digitale şi responsabililor cu implementarea NIS la nivelul entităţilor vizate de prevederile Directivei NIS (energie, transport, sectorul bancar, domeniul medical, infrastructuri ale pieței financiare, infrastructură digitală, furnizarea și distribuirea de apă potabilă, piețe online, motoare de căutare online și servicii de cloud computing).

Scopul acestei cărți este de a-i ajuta pe cei vizaţi nu doar să implementeze prevederile Directivei, ci să înţeleagă importanţa acesteia şi, mai ales, faptul că serviciile esenţiale pe care le furnizează au nevoie de o protecţie deosebită nu pentru faptul că nerespectarea Directivei ar atrage după sine amenzi, ci pentru faptul că orice perturbare în furnizarea serviciilor esenţiale se poate traduce în disfuncţionalităţi grave la nivel comunitar şi chiar societal.

Participanții la evenimentul de lansare vor primi un discount de 10% pentru achiziția cărții. Preț întreg: 150lei / Preț special de lansare: 135lei  Transportul prin curier se calculează suplimentar.

Puteți plasa chiar acum o precomandă și veți primi cartea imediat după lansare. 

RĂSFOIEȘTE CUPRINSUL CĂRȚII | DESPRE AUTORI | CUVÂNT ÎNAINTE | INTRODUCERE

Titlu: Securitatea reţelelor şi a sistemelor informatice. Implementarea directivei NIS în România

  • ISBN: 978-606-28-1430-4
  • FormatTipărit  
  • Pagini: 452
  • Autori: Marius DUMITRESCU, Daniela SIMIONOVICI
  • Publicat de: Editura Universitară, Colecţia Ştiinte juridice
  • Data aparitiei: 2022

TRANSMISIUNE LIVE - LANSARE

Lansarea acestui proiect editorial se va face online, marți 12 aprilie 2022 începând cu ora 17:00, printr-o transmisiune LIVE pe Facebook, Linkedin, Youtube, Conferinte.ro si dpo-net.ro  la care vor lua parte mai mulți invitați speciali.

 

DESPRE ACEST PROIECT EDITORIAL

DAN CÎMPEAN - Director General al Directoratului Naţional de Securitate Cibernetică - DNSC"La mai mult de patru ani de la intrarea în vigoare a Directivei UE nr. 2016/1148 (Directiva NIS) şi la peste trei ani de la transpunerea acesteia prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, România a făcut progrese tangibile în procesul de implementare.

Însă, succesul implementării nu depinde doar de noile reglementări legislative ci şi de abilitatea efectivă a operatorilor de servicii esenţiale, a furnizorilor de servicii digitale şi a responsabililor cu implementarea NIS la nivelul entităţilor vizate de a înţelege, interpreta şi a aplica prevederile legale, normele tehnice şi metodologice aferente. Mai mult, este important ca specialiştii să poată aprecia corect şi implicaţiile aplicării acestor prevederi, prin prisma altor acte normative relevante.

Pentru aceasta, este nevoie de o analiză aprofundată, de obţinerea unor noi competenţe şi cunoştinţe specifice privind modalitatea de implementare a Directivei NIS în România şi de o schimbare culturală profundă din partea fiecăruia. Practic, este nevoie să studiem din nou, să avem acces la studii de caz detaliate şi la cunoştinţele aprofundate ale unor experţi recunoscuţi în domeniu.

Scrisă sub forma unui ghid detaliat şi pragmatic, acest superb material de implementare a Directivei NIS elaborează pe cuprinsul a sute de pagini foarte bine scrise experienţa concretă în domeniu a celor doi autori.

Într-o formă clară şi foarte bine prezentată, lucrarea pune la dispoziţie o varietate de explicaţii, îndrumări, recomandări, dar şi materiale de suport fiind una din publicaţiile extrem de necesare azi tuturor celor implicaţi în implementarea Directivei NIS.

Sunt surprins în mod plăcut de nivelul tehnic, pragmatismul ideilor şi recomandărilor exprimate în materialul publicat. Materialul ne explică în detaliu şi cu exemple practice elemente cheie ale responsabilităţilor ce revin operatorilor de servicii esenţiale şi furnizorilor de servicii digitale, dar şi detalii privind etapele implementării Legii nr. 362/2018 de către aceştia sau măsurile tehnice şi organizatorice de securitate ce trebuie aplicate. Efectiv, fiecare capitol ne oferă posibilitatea de a aplica şi implementa în practică prevederile directivei.

Mai mult, lucrarea acoperă şi o serie de elemente privind Directiva NIS 2.0, cu obiectivul de a anticipa şi pregăti cititorul pentru noile obligaţii ce derivă din evoluţia naturală a directivei.

Consider că ”Securitatea reţelelor şi a sistemelor informatice - Implementarea Directivei NIS în România” este unul din instrumentele esenţiale pentru specialiştii în domeniu, pe care îl recomand cu căldură a fi utilizat începând chiar de azi."

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Ce a însemnat anul 2020 pentru Responsabilul cu protecția datelor personale din România?

INTERVIU EXCLUSIV

Vizualizari: 26436

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Daniela Cireasa a absolvit Facultatea de Drept, Universitatea Nicolae Titulescu, este consilier juridic din anul 2001 și Senior Partner în cadrul NeoPrivacy Romania. In 2018 a absolvit cursurile postuniversitare de protectia datelor „Protectia juridica a datelor personale” si a obtinut în iunie 2019 titlul de „Cel mai bun DPO din Romania” împreuna cu Echipa Nord Est DPO Romania la Targu Mures. Ofera consultanță în domeniul implementării Regulamentului General privind Protecția Datelor (GDPR) și este Responsabil cu protectia datelor (DPO). Cei 17 ani de activitate practica din care 4 ani in functie de conducere, au ajutat la cunoasterea mediului privat de afaceri si respectiv a activitatii departamentelor din cadrul unei societati de productie si comert, precum si schimburi intracomunitare. Este Vicepreședinte al ASCPD - Asociatia Specialistilor in Confidentililitate si Protectia Datelor și coautor al volumului "GDPR Aplicat", publicat la începutul acestui an. 

Daniela Cireasa a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să realizeze o radiografie fidelă a tuturor provocărilor profesionale, și nu numai, din acest an, pentru Responsabilul cu Protecția Datelor din România. 

Prin acest interviu i-am adresat doar două întrebări: cum a arătat agenda DPO-ului Daniela Cireașă și care au fost cele mai mari provocări cu care s-a confruntat în anul 2020?

D.C.: Deși a început în condiții de normalitate, anul 2020 avea să fie unul dintre cei mai plini de provocări ani, atât pentru DPO, cât și, în general, pentru întreaga omenire.

Dacă în 2019 ne-am concentrat pe problematici precum incompatibilitățile, poziția DPO-ului în cadrul organizației și metodele de a-și câștiga și consolida rolul stabilit de Regulament, cine este cu adevărat responsabil pentru implementarea GDPR și cine întocmește celebrul “dosar GDPR”, ce înseamnă cu adevărat măsuri tehnice și organizatorice "suficiente", anul 2020 se anunța destul de liniștit, fără mari provocări pentru DPO, concentrarea sa îndreptându-se către formarea profesională continuă în domeniu. Așa a debutat și anul meu, cu participarea în luna ianuarie la CPDP 2020 la Bruxelles (https://www.cpdpconferences.org/news/cpdp2020-full-program-available ).

Perspectiva mea profesională, din care scriu aceste rânduri, este una diversă, ca DPO extern, consultant în protecția datelor personale, co-autor al cărții “GDPR Aplicat”, dar și vicepreședinte al Asociației Specialiștilor în Confidențialitate și Protecția Datelor (https://ascpd.ro/). Fiecare dintre aceste roluri a presupus în 2020 foarte multă muncă de voluntariat și orientare către aducere de plus valoare prin articole, ghiduri, proceduri, webinare gratuite și conferințe online prin intermediul cărora am încercat să dau o mână de ajutor operatorilor si profesioniștilor în domeniu, dar, mai ales responsabililor cu protecția datelor personale, care au fost copleșiți în aceasta perioadă de noianul de schimbări și situații cu care nu s-au mai confruntat vreodată. În ianuarie 2020 am lansat, împreună cu Daniela Simionovici, Cătălina Lungu și Marius Florian Dan, volumul “GDPR Aplicat. Instrument de lucru pentru implementarea Regulamentului 679/2016”, carte care se adresează responsabililor cu protecția datelor personale dar și operatorilor sau persoanelor împuternicite.

Cea mai mare provocare, pentru noi toți, a venit în luna martie, o dată cu starea de urgență, când mulți dintre noi, DPO externi, am fost puși în situația de a suspenda contractele de servicii.

Odată cu starea de urgență a apărut provocarea educației online, procedurile privind școala online făcându-se anevoios, în totală nesiguranță din punct de vedere cibernetic. Am publicat împreună cu ceilalți co-autori ai “GDPR Aplicat” un set de recomandări pentru școala online (https://dpo-net.ro/specialistii-in-protectia-datelor-personale-sar-in-ajutorul-cadrelor-didactice-implicate-in-invatamantul-on-line/?cat=106), punând accentul pe securitatea prelucrărilor de date online, în mod special ținându-se seama că majoritatea persoanelor vizate erau minori. Demersul nostru a fost ulterior susținut și de către ASCPD prin “Scrisoarea deschisă adresată ministerului educației și cercetării privind limitarea accesului la educație al elevilor din Romania” atunci când s-a solicitat consimțământul părinților și declarații pe propria răspundere ale elevilor, atât la evaluarea națională cât și la bacalaureat (https://ascpd.ro/2020/06/17/ascpd-transmite-o-scrisoare-deschisa-adresata-ministerului-educatiei-si-cercetarii-privind-limitarea-accesului-la-educatie-al-elevilor-din-romania/), dar și prin reacția la cuvântul “bazaconie” folosit de fostul prim ministru atunci când a răspuns afirmației că profesorii invocă GDPR-ulca să evite lecțiile online. În reacția menționată am prezentat 10 situații în care procesul de teleeducație din România încalcă Regulamentul UE 2016/679, generând riscuri considerabile la adresa drepturilor și libertăților fundamentale ale tuturor actorilor implicați în învățământul online. Apreciez, din experiența proprie cu școala online, că lucrurile s-au mai îmbunătățit odată cu începerea anului școlar în septembrie, dar nu radical și încă se mai produc incidente. Amintesc cu acest prilej că a fost publicată o metodologie privind învățământul online, însă aceasta transferă întreaga responsabilitate a securizării cursurilor către unitățile de învățământ și profesori, iar mai nou, prin celebra declarație solicitată părinților și copiilor privind înregistrarea orelor online, răspunderea se transferă parțial și către părinți. La nivelul unităților de învățământ este o adevărată provocare pentru responsabilul cu protecția datelor deoarece nu se pun la dispoziție resurse materiale suficiente pentru măsurile pe care acesta le-ar recomanda. Aș adăuga aici și faptul că mulți dintre DPO de școală sunt profesori, neavând pregătirea necesară și nici suportul pentru îndeplinirea acestui rol.

În aprilie, datorită intensificării activității ONG-urilor de strângere de fonduri pentru acordarea de ajutor pe timpul pandemiei celor care aveau nevoie, am elaborat, împreună cu colegii din ASCPD, un Ghid destinat ONG-urilor (https://ascpd.ro/2020/04/27/ascpd-a-publicat-un-ghid-destinat-ong-urilor-implicate-in-campanii-de-strangere-de-fonduri-in-perioada-pandemiei-covid-19/). Scopul Ghidului a fost și este acela de a oferi celor implicați în activitatea de strângere de fonduri, un instrument cu ajutorul căruia să se asigure că respectă dreptul fundamental al persoanelor vizate la protecția datelor cu caracter personal, cu precizarea că respectarea prevederilor Regulamentului 679/2016 nu se suspendă în nicio situație, nici pe timp de pandemie, contrar celor auzite de multe ori anul acesta.

Începând cu luna mai a demarat organizarea de webinare și conferințe online, primele la care am participat fiind “Provocările procesului de cartografiere” (https://dpo-net.ro/participa-la-webinarul-dpo-tools-12-mai-2020-provocarile-procesului-de-cartografiere/?cat=67), prezentarea mea fiind axată pe cartografierea datelor personale în domeniul resurselor umane, iar următorul eveniment a avut un subiect îndelung comentat anul acesta: “Termoscanarea și implicațiile asupra relațiilor de muncă” (https://dpo-net.ro/dpo-talks-21052020-webinar-termoscanarea-implicatiile-asupra-relatiilor-de-munca/?cat=67).  Tot în cursul lunii mai 2020 am elaborat și publicat gratuit o procedură privind termoscanarea (https://dpo-net.ro/document-gratuit-procedura-controlul-temperaturii-angajatilor/?cat=58), în contextul în care apărea legislație nouă aproape zilnic, cea mai mare provocare pentru operatori dar și pentru DPO fiind aceea că termoscanarea nu trebuie să se facă cu prelucrare de date personale, lucru aproape imposibil în practică, deoarece majoritatea locurilor în care se face/făcea termoscanarea sunt amplasate la intrarea în unitate, deci supravegheate video și, dacă erau depistați angajați cu temperatura peste 37,3 grade, aceștia erau direcționați către medicul de familie, înregistrându-se în evidențele angajatorului motivul absenței acestora. De asemenea, DSP-urile județene, cu ocazia verificării îndeplinirii acestei obligații, solicitau dovada măsurării temperaturii, dovadă care implica, de cele mai multe ori, prelucrarea de date personale. Așadar, rolul DPO-ului în cazul termoscanării a fost unul deosebit de dificil, cadrul legal în permanentă modificare, presiunea persoanelor vizate (să ne amintim de CIP-puri, sârmele din măști, 5G și alte fakenews din perioada aceea), managementul superior care încerca să-și protejeze business-ul, toate acestea făcând misiunea DPO-ului foarte grea. Am recomandat la momentul respectiv formarea unei comisii din care să facă parte atât managementul cât și responsabilul cu sănătatea și securitatea în muncă, medicul de medicina muncii, juristul și DPO-ul, comisie care să gestioneze situația în cele mai bune condiții posibil.

În luna iunie, pe fondul solicitării consimțământului în procesul de educație dar și în procesul termoscanarii, am scris, împreună cu Marius Dumitrescu, articolul “De unde provine falsa supremație a consimțământului ca temei legal”, manifestându-ne îngrijorarea că, după 2 ani de la punerea în aplicare a GDPR, încă se mai discută întâi de consimțământ și abia apoi se verifică existența unui alt posibil temei de prelucrare a datelor personale. Concluzia a fost că această confuzie provine din vechea ierarhie din Legea 677/2001, lege în care consimțământul era considerat principalul temei al prelucrării, operatorii scăpând din vedere că situația s-a schimbat o dată cu apariția Regulamentului și a ghidului privind consimțământul.

Luna iulie a adus două noi evenimente online în cadrul cărora am prezentat prelucrarea datelor personale în cazul sănătății și securității în muncă (https://www.youtube.com/watch?v=6FpbUTqkmkE), dar și a medicinei muncii (https://www.youtube.com/watch?v=6XdDWfsenjM&t=16727s), prezentări care s-au concretizat într-un articol apărut în numărul trei al Revistei pentru protecția și securitatea datelor cu caracter personal. De ce SSM și MM? Deoarece am întâlnit cazuri în care încă nu se înțelege calitatea de persoana împuternicită sau operator asociat a responsabilului extern cu SSM și a medicului de medicina muncii, încă nu se înțelege că volumul de date prelucrat de către aceștia este unul impresionant, iar incidentele de securitate sunt destul de frecvente. De asemenea, am ales acești doi actori deoarece sunt deosebit de importanți în perioada pandemiei pentru activitatea oricărui operator de date personale. Una dintre ultimele provocări în calitate de DPO a fost aceea a unui operator care a declarat că responsabilul extern de SSM este operator independent și că nu au niciun fel de relație conform GDPR.

Tot luna iulie a adus, de data aceasta pentru toți operatorii de date, una dintre cele mai mari provocări din istoria protecției datelor personale: invalidarea Privacy Shield cu Statele Unite.

16 iulie 2020. O dată de la care aproape toți operatorii de date personale din România ar fi trebuit să-și reconsidere soluțiile de tip website, găzduire e-mail, servicii de newsletter, cloud, conturi pe rețele de socializare, cookie-ului de analiză, remarketing, aplicații, găzduire de baze de date și altele. Invalidarea Scutului de confidențialitate a avut ecou în rândul specialiștilor în protecția datelor din întreaga lume, însă, cei afectați direct, respectiv operatorii de date personale și persoanele vizate, nu par a  fi la curent cu această decizie sau, în orice caz, nupar a conștientiza efectele ei.

Operatorii ar putea spune că ei nu fac niciun transfer de astfel de date către SUA, uitând să analizeze furnizorii de servicii de tip newsletter, spre exemplu, sau categoriile de cookie instalate pe website-ul companiei. Transferurile de acest tip sunt frecvente și mulți dintre operatori le-au făcut și încă le fac inconștient. Menționez aici lipsa acordurilor încheiate cu persoanele împuternicite chiar și anterior Deciziei de invalidare a scutului de confidențialitate sau utilizarea încă frecventă a adreselor de e-mail de tip yahoo sau gmail în scop profesional. Revenind la problematica ridicată de către Decizie, apreciez că efectele acesteia nu sunt cunoscute încă nici de către marea masă a operatorilor și nici de către persoanele vizate. Mai multe detalii despre această decizie puteți citi în articolul “Impactul invalidării Privacy Shield și posibile soluții pentru operatorii de date personale” (https://dpo-net.ro/impactul-invalidarii-privacy-shield-si-posibile-solutii-pentru-operatorii-de-date-personale/?cat=36).

Deși am recomandat operatorilor din Romania să apeleze la specialiști în domeniul protecției datelor personale, nici pentru aceștia misiunea de a convinge operatorii să renunțe la soluții din SUA în favoarea altora din UE, nu a fost deloc ușoară. Anul acesta am avut ocazia să moderez evenimentul “Schrems II- Avem soluții?” (https://dpo-net.ro/webinar-dpo-talks-schrems-ii-avem-solutii-02-11-2020/) în cadrul căruia am identificat soluții românești atât pentru newsletter, platforme online, plata online, cloud, găzduire și multe altele, așadar am încercat să facem misiunea DPO-ului mai ușoară, oferindu-i instrumente alternative celor din Statele Unite.

În luna septembrie am prezentat, în cadrul Conferinței “Protecția datelor personale. Impactul noilor tehnologii și dreptul” desfășurată în cadrul «International Summer School 2020» ediția a XIII-a , desfășurată la Târgu Mureș, lucrarea privind invalidarea Privacy Shield, lucrare ce a devenit ulterior subiectul unui articol publicat.

Luna octombrie a adus două declarații nefericite pentru protecția datelor personale și, pe cale de consecință, pentru poziția DPO-ului în organizații, dar și în mentalul celor din jur: termenul de “bazaconie” folosit de către fostul premier (https://ascpd.ro/2020/10/03/ascpd-isi-manifesta-ingrijorarea-fata-de-utilizarea-termenului-bazaconie-in-declaratiile-publice-ale-premierului/), și cel de “eșafodaj complicat”, folosit de către un europarlamentar român la adresa Regulamentului privind protecția datelor personale. Astfel de declarații nu fac deloc mai ușoară munca DPO-ului, ba dimpotrivă.

Lunile octombrie și noiembrie s-au concentrat, în ceea ce mă privește, pe telemuncă, provocările aduse de aceasta și recomandările pentru operatori, angajați și DPO, concretizând aceasta activitate atât prin participarea la evenimente online cu acest subiect (https://neoprivacy.ro/webinar-digitalizarea-beneficii-provocari-legate-de-telemunca-30-10-2020/), cât și prin scrierea de articole (https://dpo-net.ro/telemunca-si-protectia-datelor-personale-in-contextul-digitalizarii/?cat=106) și publicarea, împreună cu colegii din Neoprivacy, a unei Proceduri gratuite privind munca în afara sediului angajatorului (https://neoprivacy.ro/procedura-privind-munca-in-afara-sediului-angajatorului-gratuit/).

Reglementată de Legea 81/2018 și impusă în viața noastră mai repede decât ne-am fi așteptat de către pandemia Covid 19, telemunca, dar și munca la domiciliu au devenit o realitate tot mai prezentă. Este evident că viitorul se îndreaptă către digitalizare și activități preponderent online în toate domeniile vieții noastre, inclusiv în ceea ce privește munca de la distanță, în alte locații decât sediul angajatorului dar, o dată cu ea, apar noi provocări, atât pentru angajați, cât și pentru angajatori și, evident, pentru DPO.

Conform articolului 4 alin. 3 din Legea 81/2018, angajatorii pot verifica activitatea angajaților care lucrează prin telemuncă în condițiile și în modalitatea concretă stabilite prin Regulamentul intern, contractul individual sau colectiv de muncă, după caz. Așadar, condițiile și modalitățile efective de monitorizare trebuie stabilite în mod transparent anterior începerii activității de telemuncă.

Recomand ca înainte de a pune în aplicare orice formă de monitorizare a angajaților, angajatorul să efectueze o analiză a gradului de imixtiune în viața privată a angajatului, a riscurilor pentru drepturile și libertățile acestuia șisă-și adapteze politicile și procedurile la legislația internă și la cea a Uniunii Europene, la recomandările privind prelucrarea datelor personale la locul de muncă, la jurisprudența Curții de Justiție a Uniunii Europene în materie dar și la  amenzile aplicate până acum pentru monitorizarea excesivă a angajaților.

Este de menționat și în acest caz rolul Responsabilului cu protecția datelor personale în întocmirea dar și monitorizarea respectării acestei proceduri. Apreciez că riscul apariției unui incident de securitate este cu mult mai ridicat decât în condițiile muncii normale, de la birou, așa că se impun măsuri tehnice și organizatorice mai stricte. Această temă este tratată pe larg într-un articol din numărul patru al Revistei române pentru protecția și securitatea datelor cu caracter personal, scris împreună cu Daniela Simionovici.

În luna noiembrie ne-a pregătit o surpriză și o provocare și mai mare pentru noi, Responsabilii cu protecția datelor personale: proiectul de lege privind profesia de DPO (https://www.juridice.ro/wp-content/uploads/2020/12/20b653FG.pdf). Un proiect de lege complet eronat, căruia i s-au adus critici atât de către ASCPD (https://ascpd.ro/2020/11/12/ascpd-contesta-continutul-si-modul-de-legiferare-ales-pentru-organizarea-profesiei-de-responsabil-cu-protectia-datelor-in-romania/), de către avocați (https://www.juridice.ro/706312/nici-gdpr-nu-e-pentru-oricine-opinie-fata-de-un-proiect-de-lege-si-fata-de-punctul-de-vedere-al-unbr.html ),  dar și de către mediul de business, profesori universitari, și, în general, de majoritatea celor specializați în domeniul protecției datelor. Proiectul de lege amintit nu numai că încalcă legislația internă, dar și Regulamentul UE 679/2016, afectând dramatic rolul Responsabilului cu protecția datelor personale așa cum a fost el stabilit de către GDPR. De asemenea, prin proiectul de lege se stabilesc atribuții noi pentru Autoritatea de supraveghere, care nu a fost consultată anterior depunerii lui.

Deși speram că luna decembrie va fi, în sfârșit, una liniștită,  se pare că este doar liniștea dinaintea unei noi furtuni, deoarece zilele trecute a fost depus un nou proiect de lege care impactează activitatea Responsabililor cu protecția datelor personale, de data aceasta din domeniul educației: supravegherea audio-video în sălile de clasă (http://www.cdep.ro/proiecte/2020/600/70/8/pl888.pdf). Proiectul este la fel de plin de încălcări ale legislației în vigoare (internă, dar și europeană), neținând cont nici de jurisprudența în materie.

Apreciez că persoanele vizate încep să-și cunoască drepturile, anul acesta am avut mai multe solicitări de ajutor ca niciodată pentru formularea de cereri pe dreptul de acces, numai în ultima lună având 3 (toate pentru primirea de mesaje prin poștă sau sms în cursul campaniei electorale).

Anul acesta a adus cu sine numeroase sancțiuni ale încălcării Regulamentului aplicate atât în Europa cât și în România. Am tratat pe larg aceste sancțiuni împreună cu Marius Dumitrescu și Daniela Simionovici în numerele 2,3 și 4 ale Revistei române pentru protecția și securitatea datelor cu caracter personal. Ceea ce este de subliniat e paleta largă a încălcărilor sancționate de către Autoritatea de supraveghere din România, printre care amintesc lipsa implementării de măsuri tehnice și organizatorice, lipsa de cooperare, lipsa notificării incidentelor de securitate, lipsa de răspuns la cererile persoanelor vizate, lipsa de ducere la îndeplinire a măsurilor corective dar și încălcarea principiilor din GDPR. Este de menționat una dintre cele mai mari amenzi aplicate vreodată de către autoritatea română, cea dată Băncii Transilvania, publicată în cursul lunii decembrie 2020 și care scoate în evidență importanța covârșitoare a instruirii angajaților, dincolo de măsurile tehnice de securitate implementate (https://www.dataprotection.ro/?page=Comunicat_17_12_2020&lang=ro ). Până la urmă, așa cum s-a dovedit în nenumărate rânduri, angajații sunt cea mai mare vulnerabilitate și cred că anul 2021 ar trebui să fie despre conștientizare și instruiri repetate ale personalului.

Apreciez în mod deosebit faptul că Autoritatea de supraveghere a întocmit și publicat Ghidul cu recomandări pentru asociațiile de proprietari (https://www.dataprotection.ro/?page=Prelucrarea_datelor_personale_de_catre_asociatiile_de_proprietari&lang=ro ), acestea fiind printre cei mai sancționați operatori.

Anul 2020 a fost o provocare pentru întreg mediul economic, mulți operatori restrângându-și activitatea și renunțând, printre primele lucruri, la “moftul” numit GDPR, acest fapt afectând activitatea multor DPO externi.

În concluzie, cuvintele cheie pentru activitatea DPO-ului în anul 2020 sunt: provocare continuă, voluntariat, digitalizare, rol cheie în organizație, conștientizarea importanței datelor personale de către operatori și persoanele vizate.

De la anul 2021 cred că Responsabilii cu protecția datelor își doresc recomandările Comitetului European pentru Protecția Datelor Personale în urma invalidării Privacy Shield, ghidul pentru operatorii asociați și persoanele împuternicite dar, în primul rând, întoarcerea la normalitate, deși ea nu va mai fi niciodată la fel, ci vom fi confruntați cu o normalitate redefinită și marcată de cu totul alte repere decât cele cu care am fost obișnuiți.

Din punctul de vedere al activității Asociației Specialiștilor în Confidențialitate și Protecția Datelor, anul 2021 se anunță unul plin, debutând în luna ianuarie cu organizarea Conferinței Naționale de Confidențialitate și protecția datelor PRIVACY ROMANIA 2021 (https://privacyromania.ro/).

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Daniela Simionovici: “Există soluții pentru reducerea riscului unei amenzi GDPR”

Daniela Simionovici a absolvit cursurile Universității Ștefan cel Mare din Suceava, specializarea Asistență socială și un master în consiliere și administrare resurse umane la aceeași universitate. A absolvit […]

Mihai Ghita: „Digitalizarea este cea care asigura continuitatea afacerii”

Portalul dpo-NET.ro – Data Protection Officers Network reia organizarea evenimentelor dpo.TALKS și organizează împreună cu Sypher Solutions și NeoPrivacy România, în data de 30 Septembrie 2020, în intervalul […]

Care a fost cea mai mare provocare a companiilor in procesul de obtinere si mentinere a conformitatii GDPR?

Specialistii in protectia datelor au fost cei care au lucrat alaturi de organizatii in procesul de obtinere si mentinere a conformitatii GDPR. Am vrut sa stim care a […]

Care a fost cea mai mare provocare, în ultimii doi ani, pentru specialistii in protectia datelor personale?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

Ce am învățat în primii 2 ani de GDPR în România?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

Marius Dumitrescu: “Este trist ca a fost nevoie de acest coronavirus pentru a înțelege mai bine GDPR-ul”

Astăzi, 25 mai 2020, se împlinesc doi ani de la aplicarea Regulamentului general privind protecția datelor personale (GDPR), moment prielnic pentru noi toți de a realiza o scurtă […]

Ovidiu Ionescu: Conformarea GDPR, deși nu este aducătoare de profit, este o carte de vizită foarte prețioasă

Ovidiu Ionescu a absolvit Facultatea de Administrație Publică, din cadrul SNSPA, în anul 2013 și Facultatea de Drept, Universitatea Titu Maiorescu, în anul 2017. A urmat 7 ani […]

Daniela Cireașă: „Realizarea cartografierii nu este sarcina exclusivă a DPO-ului”

Daniela Cireasa a absolvit Facultatea de Drept, Universitatea Nicolae Titulescu, este consilier juridic din anul 2001. In 2018 a absolvit cursurile postuniversitare de protectia datelor „Protectia juridica a […]

Alexandru Luca: În acest context, digitalizarea nu este o noutate, este mai mult o oportunitate

Alexandru Luca, în prezent Mobile Division Manager – Cybersecurity BU in cadrul comapaniei certSIGN, are o experiență de peste 15 ani în domeniul IT&C, asumându-și roluri cheie în […]

Alexandru Gheorghe: Nu am găsit în România experți care să realizeze o „autopsie” a unui telefon mobil

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Inperspective. El a format și condus […]

Ovidiu Seceleanu: „Containerizarea, inovația SAMSUNG pentru utilizarea GDPR a terminalelor mobile”

Preocupați de impactul tehnologiei în activitatea operatorilor de date cu caracter personal, specialisti si responsabili cu protectia datelor din întreaga țară sunt invitati sa participe la cea de-a […]

Alexandra Jivan: „În cazul unui litigiu, salariații s-ar putea prevala de lipsa de informare, susținând că nu cunosc procedurile”

Alexandra Jivan (CIPP/E) are o experiență profesională de peste 11 ani, oferind consultanță și reprezentare juridică, atât startup-urilor, precum și companiilor multinaționale. În 2018, a fost inițiatorul proiectului […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

Cursul postuniversitar UMFST Târgu Mureș de protecția datelor a ajuns la debutul celei de-a treia ediție

Cursul postuniversitar „Formare si pregatire a Responsabilului cu Protecția Datelor”, organizat de Centrul de cercetare pentru protecția datelor, constituit in cadrul Universității de Medicina, Farmacie, Științe și Tehnologie […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

Stefan Gabriel Iancu: România este in top 3 din Europa la numarul de amenzi GDPR aplicate

Stefan Gabriel Iancu are o experiență de peste 21 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei iPrivacy. El si-a dezvoltat expertiza […]

„Operatorii ar trebui sancționați pentru desemnarea persoanelor nepotrivite în functia de DPO?”

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Iperspective. El a format și condus […]

Cătălina Lungu: „De Black Friday, vânătorii de chilipiruri se pot transforma în victime”

Cătălina Lungu este Responsabil cu protecția datelor (DPO) si Consultant GDPR la Proactiv Cons SRL , fiind licențiată în managementul firmei și absolventă a cursurilor postuniversitare în protecția […]

Brittany Kaiser: Intervenția străinilor în alegerile din România încă este o amenințare (VIDEO)

În calitate de fost Director de dezvoltare a afacerilor la Cambridge Analytica, Brittany Kaiser este un celebru denuntator, demascând modul în care au fost influențați și manipulați oamenii, […]

Gradul de conformare GDPR, în domeniul sanitar românesc, nu a depășit 15%

Regulamentul General privind Protecția Datelor (GDPR-General Data Protection Regulation) a apărut pentru a oferi un grad de control într-o lume dominată de tehnologie, iar conformarea la acest Regulament […]

gazduire wordpress gazduire magazin online gazduire web wordpress gazduire domeniu gazduire site gazduire web web hosting gazduire web romania hosting romania domenii web inregistrare domenii server vps servere vps gazduire vps reseller gazduire web