Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Resurse utile

Vizualizari: 57660

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai ales la cat de multe am invatat. Inca nu ma grabesc sa trag concluziile, daca a meritat efortul, daca am reusit sa schimb putin mentalitatea oamenilor in ceea ce priveste perceptia asupra importantei datelor cu caracter personal si prefer sa ma gandesc la momentele mele preferate, profesional vorbind, care au avut loc in acest an.

Primul lucru care mi-a venit in minte a fost o intrebare pe care am primit-o de multe ori in acest an: " De ce faci toate astea?". Ei bine, recunosc ca nu am avut niciodata un raspuns pregatit si am improvizat de fiecare data, chiar daca nu am oferit un raspuns convingator. Astazi in schimb stiu raspunsul: "Pentru ca pot! Pentru ca vreau!". A fost nevoie de o secunda de curaj de fiecare data cand am lansat orice proiect riscant sau cand am iesit din zona de confort cu care eram obisnuit si am facut un pas in fata si am vorbit oamenilor la conferinte sau prin intermediul comunicatelor de presa. Nu am fost in nici un moment singur, am avut sustinerea unei echipe care stie cat de importanta este incurajarea si ajutorul exact atunci cand ai nevoie. Cred ca aceasta temere de a fi singur in fata unei provocari profesionale atat de mari a fost si motivul pentru care majoritatea colegilor mei au ales sa se inscrie in Asociatia Specialistilor in Confidentialitate si Protectia Datelor din Romania, gasind aici in primul rand un grup de oameni care au aceeasi temere si care au nevoie de indrumare si acces la resurse si informatii unitare.

Este greu sa selectez doar zece momente care au avut loc in acest an si care mi-au adus o satisfactie profesionala. Au fost mult mai multe decat atatea, si simplul fapt ca nu au ajuns in topul preferintelor nu inseamna ca sunt mai putin importante.

 

Locul 10 - Membrii ASCPD au reprezentat România la CPDP 2019 Bruxelles

O delegație formată din 20 de membri ai Asociatiei Specialistilor in Confidentialitate si Protectia Datelor au participat la cea de-a 12-a ediție a Computers Privacy & Data Protection Conference ce s-a desfășurat în Bruxelles în perioada 29.01-01.02.2019. Această conferință adună în fiecare an academicieni, avocați, practicieni, factori de decizie politică, din industrie și societatea civilă din întreaga lume, oferindu-le o arenă pentru a face schimb de idei și pentru a discuta ultimele probleme și tendințe emergente. Această formulă multidisciplinară unică a ajutat CPDP-ul să devină una dintre cele mai importante conferințe de protecție a datelor și confidențialitate din Europa și din întreaga lume.

Prin participarea ASCPD cu un numar așa de mare de membri am reușit să transmitem un mesaj clar că România depune eforturi reale în demersul de a implementa principiile Regulamentului (UE) 2016/679 și chiar dacă numele țării noastre a fost amintit de mai multe ori, în contexte nefavorabile, ne angajăm ca pe viitor să schimbăm acest lucru. Participarea la acest eveniment a fost o ocazie deosebită să interacționăm personal cu reprezentanții Comisiei Europene,  European Data Protection Board (EDPB), Information Commissioner’s Office (ICO), Commission nationale de l’informatique et des libertés (CNIL) sau de la companii internaționale precum Google și Facebook. 

Locul 9 - Realizarea studiului ce a avut drept scop evaluarea gradului de conştientizare, în rândul persoanelor fizice (vizate), a importanţei datelor cu caracter personal

Acest studiu s-a desfășurat în perioada 6-28 Februarie 2019. În urma analizei concluziilor acestui studiu, ASCPD a decis inițierea unei campanii naționale de conștientizare a datelor cu caracter personal, prin obținerea statutului și promovarea unui mesaj de interes public către toată populația. Mai mult, ASCPD a realizat, împreună cu Prof.Daniel J. Solove de la Facultatea de Drept a Universității George Washington, o sinteză în limba română a întregului Regulament (UE) 2016/679, într-o singură pagină A4.

In urma analizei rezultatelor am concluzionat ca romanii au un grad redus de conștientizare asupra tuturor tipurilor de date cu caracter personal, dar cu toate acestea au un puternic simț de proprietate, 97.3% afirmând că doresc să fie informați dacă aceste date sunt furate sau pierdute și 87.4% confirmând importanța acestor date pentru ei. 9% declară că este dificil să își protejeze propriile date cu caracter personal în condițiile în care 24.7% nu au auzit încă de Autoritatea din România responsabilă cu protejarea drepturilor privind protecția datelor cu caracter personal (ANSPDCP)

Personal cred ca persoana fizică în sine a devenit o provocare pentru întreg sistemul de protecție a datelor din România, deoarece prin lipsa de educare, întreg corpul profesional se confruntă cu solicitări nejustificate și insuficient documentate privind ștergeri selective sau rectificări neîntemeiate a informațiilor înregistrate în documente. Cu siguranță aceste solicitări nu vor fi soluționate în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce privește termenul de retenție și posibilitățile de acces restricționat și condiționat. Gardianul modului în care se respectă confidențialitatea și mecanismele de protecție a datelor cu caracter personal rămâne Responsabilul privind protecția datelor, o meserie nou aparută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și lipsei unor repere unitare privind interpretarea și implementarea lui.

Locul 8 - Campania "Stirile false - adevarate bombe invizibile"

În contextul Zilei Internaționale a Păcălelilor, anunțul Asociației Specialiștilor în Confindențialitate și Protecția Datelor (ASCPD) prin care se anunța lansarea pe data de 1 Aprilie 2019 a unei soluții “miracol” privind implementarea GDPR, fără a fi necesară implicarea unui specialist, a fost o utopie și  nu a fost altceva decât o știre falsă (fakenews), în încercarea de a trage un semnal de alarmă asupra acestui fenomen prezent pe piața din România. Sute de persoane și-au oferit datele personale în mod gratuit, fiind în căutarea unei soluții doar formale și mai ales ieftine la implementarea principiilor GDPR în propria firmă. Am facut apel la toți operatorii să consulte pe site-ul asociației ghidul ASCPD privind implementarea GDPR, apreciind totodată că soluțiile formale, fără implicarea unui specialist, nu îi vor ajuta în procesul de obținere a conformității.

Asemenea bisturiului în mâinile unui chirurg priceput, un kit GDPR poate fi un instrument de un real ajutor pentru un specialist în protecția datelor. Dar ce ne facem când bisturiul ajunge pe mâna unei persoane fără experienta în domeniul medical? Te-ai mai lăsa operat de aceasta persoană? Poate comparația este exagerată, GDPR-ul nu te omoară, însa datele tale ajunse din neglijenta în mâini răuvoitoare, îți pot produce probleme foarte mari: furtul banilor din cont sau de pe card,  furtul de identitate, credite făcute în numele tău etc. Acestea sunt doar câteva din cele mai frecvente riscuri.

 

Locul 7 - Organizarea conferintelor nationale in domeniul protectiei datelor si managementului sanitar 

Anul 2019 a insemnat pentru mine si organizarea celei de-a doua editii a Conferintei Nationale privin Protectia Datelor in Domeniul Sanitar (CNPDDS2019) si cea de-a sasea editie a Conferintei Nationale de Farmacoeconomie si Management Sanitar (CNFMS 2019), realizand ca domeniul protectiei datelor cu caracter personal incepe sa devina un subiect de interes. Am sustinut mai multe prezentari si ma bucur ca am gasit o comunitate de persoane interesate de acest domeniu, care imi impartasesc opiniile.

În tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creşterea birocraţiei şi despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm şi să îl obţinem unii de la ceilalţi, respect de care am uitat datorită banilor obţinuţi prin tranzacţionarea datelor personale şi a informaţiilor confidenţiale, efect direct al evoluţiei exponenţiale a tehnologiei.

Noi, ca operatori de date, trebuie să renunţăm la a mai căuta soluţii formale. Complianţa GDPR nu se obţine apăsând butonul „Print“, orice operator care alege această cale rămâne la fel de expus riscurilor. Spitalele din România sunt atacate pentru că sunt vulnerabile și este profitabil având în vedere valoarea informațiilor și caracterul sensibil și mai ales precedentele create prin plata rascumpărării accesului la date. Putem evita aceste incidente dacă în primul rând renunțăm la mentalitatea că “mie nu mi se poate întâmpla” și investim în instruirea resurselor umane, implementând planuri și proceduri de lucru în caz de atac cibernetic și alocând fonduri pentru a impune măsuri adecvate de protecție tehnică și organizatorică.

 

Locul 6 - Schimbul de experienta realizat in Republica Moldova

In perioada 22-24 mai 2019, în cadrul parteneriatului de colaborare încheiat la 28 ianuarie 2019, cu ocazia Zilei Europene pentru Protecția Datelor, Asociația pentru Protecția Vieții Private a primit la Chișinău, în vizită de lucru și schimb de experiență profesională, pe reprezentanții Asociației Specialiștilor în Confidențialitate și Protecția Datelor din România.

Având în vedere interesul sporit față de acțiunile realizate de către instituțiile publice din Republica Moldova, în domeniul protecției datelor cu caracter personal și a asigurării nivelului adecvat de securitate de către entitățile vizate, au avut loc mai mult intalniri cu conducerea și reprezentanții Centrului Național pentru Protecția Datelor cu Caracter Personal, Inspectoratului General al Poliției, Curții de Conturi, Casei Naționale de Asigurări în Medicină, și Ministerului Sănătății, Muncii și Protecției Sociale.

În cadrul întâlnirilor cu aceste autorități, următoarele aspecte au fost analizate:

  • Provocările implementării GDPR în Republica Moldova și în România în primul an de aplicare;
  • Proiecte de informare, instruire sau îndrumare a persoanelor vizate și a operatorilor;
  • Colaborarea dintre instituțiile publice și sectorul privat, inclusiv cu organizațiile non-guvernamentale;
  • Perspectivele implementării legii naționale din Republica Moldova în domeniul protecției datelor cu caracter personal în activitatea cotidiană, proiecte de informare, instruiri sau îndrumări privind bunele practici elaborate (contextul legislativ, jurisprudență națională);
  • Pregătirea implementării noului proiect de lege care vine să transpună Regulamentul General privind Protecția Datelor (GDPR) în Republica Moldova;
  • Numirea, rolul și atribuțiile DPO (Responsabil cu protecția datelor personale) în cadrul instituțiilor publice din România și Republica Moldova;
  • Informații concrete despre procedura de lucru în relația cu persoanele vizate și operatorii de date cu caracter personal.

Am fost impresionați să constatăm că întreaga societate, nu numai instituțiile cu care am avut întâlniri de lucru, pun un accent deosebit pe protecția datelor cu caracter personal și a vieții private. Autoritățile Publice precum Centrul Național pentru Protecția Datelor cu Caracter Personal, Inspectoratul General al Poliției, Curtea de Conturi, Casa Națională de Asigurări în Medicină și Ministerului Sănătății, Muncii și Protecției Sociale au făcut o prioritate din implementarea legislației europene în acest domeniu, dar nu dintr-o obligație, ci ca un semn de respect pentru fiecare cetățean. Sunt convins că această vizită de lucru este doar prima etapă și dezvoltarea acestui parteneriat de colaborare va aduce beneficii pe termen lung, atât pentru România, cât și pentru Republica Moldova.

 

 

Locul 5 - participarea la Websummit si la discursului lui Edward Snowden

Sunt si acum emoționat cand imi aduc aminte de  interesul a mii de participanți la WebSummit 2019 fata de un subiect despre care nici nu vorbeam acum un an: confidențialitatea și protecția datelor. Punctul culminant al primei zile de la WebSuumit a fost cu certitudine dialogul purtat intre jurnalistul de investigație, câștigător al premiului Pulitzer, James Ball si Edward Snowden, cel mai celebru denuntator din lume. Daca nu stiati,  Snowden este omul care a riscat totul pentru a expune sistemul Guvernului American de supraveghere în masă. Acest lucru l-a transformat in principala tinta a Guvernului American in ultimii ani, ajungand astfel sa se refugieze in Rusia, care i-a acordat azil si de unde continua sa inspire milioane de oameni. Neputand fi prezent la acest eveniment, din motive lesne de inteles, acesta a fost prezent prin intermediul a doua ecrane imense montate pe scena principala. Asa cum era de asteptat, principalele teme de discutie au vizat incalcarile vieti private de catre gigantii IT sau de catre guverne, astfel ca Regulamentul General de Protectie a Datelor (GDPR) s-a bucurat de o atentie deosebita. Iata cateva dintre cele mai interesante replici:

Cum arată o versiune mai bună a internetului si ce presupune acesta? Noi vorbim din interiorul UE în care se aplică GDPR ...

Aceasta este o legislație bună, în ceea ce privește efortul pe care încearcă să-l depună. Este GDPR-ul o soluția corectă? Cred că NU și cred că greșeala pe care o face se gaseste de fapt chiar în numele acestuia: Regulamentul General privind Protecția Datelor. (...) Problema nu este protecția datelor. Problema este colectarea datelor. Reglementarea protecției datelor presupune că, în primul rând, colectarea de date a fost adecvată si că nu reprezintă o amenințare sau un pericol. Aș spune că dacă am învățat ceva din 2013, este că până la urmă totul sa afla.

Una din noutatile introduse de GDPR sunt aceste amenzi mari, care pot ajunge la 4% cifra de afaceri. Există  giganți tehnologici pe care ți-ar plăcea să-i vezi confruntandu-se cu astfel de sanctiuni?

Sunt de parere că este un prim efort bun. Este inca la un nivel incipient, dar s-a reusit ridicarea acestei stachete și acest lucru este extrem de important. Aceasta nu este totusi o soluție optima. Chiar dacă GDPR-ul propune amenzi de 4% din  veniturile globale pentru gigantii IT, astăzi acele amenzi nu există. Și până când nu vedem că aceste amenzi sunt aplicate gigantilor IT, în fiecare an, până când își reformează comportamentul și încep să respecte nu doar litera, ci si spiritul legii, lururile nu se vor schimba. Și mai cred că ne oferă un fals sentiment de asigurare, deoarece acesti giganti IT care reprezinta in prezent cel mai mare pericol, sunt si companiile cu cei mai mulți avocați si care sunt capabili să submineze cel mai eficient sensul acestei legi.

(...) Legea nu este singurul lucru care te poate proteja. Tehnologia nu este singurul lucru care te poate proteja. Suntem singurul lucru care ne poate proteja și singurul mod de a proteja pe oricine este să îi protejăm pe toți!

Locul 4 - organizarea GDPR Summer Challenge

Ne apropiem de podium si deja imi este greu sa aleg proiectele in ordinea preferintelor. GDPR Summer Challenge a fost o competitie care s-a adresat  tuturor persoanelor interesate de aprofundarea și testarea cunoștințelor în domeniul protecției datelor, printr-un exercițiu practic care a durat 5 zile. In perioada 12-16 August 2019, fiecare echipa a trebuit sa gestioneze peste 20 de situații și provocări în domeniul protectiei datelor, scopul fiind ca participanții să dobândească cât mai multă experiență practică din interacțiunea cu alți specialiști.

Juriul, format de 12 specialisti in domeniul protectiei datelor, a avut sarcina dificila de a selecta echipa care va primi titlul de "GDPR Summer Challenge 2019 Champion". Mi-au ramas aprope de suflet mesajele pe care membrii juriului le-au transmis la finalul competitiei:

"A fost fascinant sa vad cate perspective pot exista asupra unei singure probleme. Desi in Romania piata de privacy este inca la inceput, constat cu mandrie ca inceputul este unul bun. Consultatii participanti la concurs sunt pregatiti pentru a face face cerintelor pietei, cu toate astea nu trebuie sa uitam ca este nevoie sa ne pregatim continuu pentru a putea face fata provocarilor si schimbarilor cu impact asupra vietii private. Astept cu interes si editia de anul viitor." declara Cristiana Deca - IAPP Romanian KnowledgeNet Chair, Data Protection Specialist și Legal Advisor Decalex. 

"Vreau sa va felicit pentru organizarea acestui concurs si pentru dezvoltarea site-ului dpo-NET.ro! Ati reusit sa scoateti din zona tabu Regulamentul General privind Protectia Datelor si sa cresteti consitentizarea acestui domeniu. Prin acest concurs demonstrati faptul ca exista un mare interes in zona protectiei datelor si am fost placut surprins de implicarea unui numar mare de specialisti in rezolvarea provocarilor zilnice. Felicitari concurentilor si mult succes in continuare!" este mesajul transmis participantilor de Alin Olteanu - Avocat partener al Casei de avocatura “Olteanu și Asociații” București

"Mă bucur nespus să constat că există un nivel bun de pregătire al tuturor echipelor și se observă extrem de bine că cel mai probabil cu toții sunt practicieni, căci altfel nu ar fi reușit să se descurce atât de bine într-un mediu „destul de ostil” pentru o săptămână de consultanță. Am apreciat în special acele abordări care nu s-au rezumat la analize, ci au propus și elaborat seturi de măsuri. Cred că astfel de consultanți pot face față provocărilor de variate feluri care apar în viața de zi cu zi pe linia prelucrării datelor cu caracter personal. Competiția a fost probabil unul dintre cele mai bune instrumente de formare și exersare a abilităților unui consultant sau ale unui responsabil cu protecția datelor." , a declarat Conf. Univ. Dr. Nicolae Ploeșteanu - Directorul Centrului pentru Protecția Datelor - Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade” din Târgu Mureș.

"Am observat o imbinare a limbajului juridic si tehnic la nivelul rapoartelor, este exact ce necesita rolul de DPO. Recomand cu caldura pastrarea unui nivel de detaliere ridicat, dar in acelasi timp sublinierea elementelor importante ce stau la baza deciziilor sau masurilor recomandate. In acest fel, rapoartele devin usor de citit de catre managementul superior sau de catre orice persoana din afara sferei de interes.“, sustine Roland Costea - Expert tehnic și trainer cu experiență demonstrată în domeniul Cibersecurity/ Protecția, Securitatea și Confidențialitatea Datelor, lucrează în prezent pentru compania Microsoft în calitate de Șef de securitate, conformitate și Arhitect de confidențialitate pentru Europa Centrală și de Est.

"Am fost onorat de participarea la acest eveniment cu elemente de extraneitate, unde participanții, atât pe filiera ofițerilor de protecție a datelor, cât și a Autorității de supraveghere au conjugat eforturile pentru a urmări un singur obiectiv firesc – asigurarea dreptului la viața privată în legătură cu prelucrarea datelor cu caracter personal ca un drept inerent ființei umane. Așadar, am fost plăcut surprins de nivelul de pregătire al participanților, care în anumite spețe dădeau dovadă de o examinare minuțioasă și practică a problemei, înaintând anumite recomandări și acțiuni care se dovedeau a fi relevante și absolut necesare. Consider că acest eveniment a contribuit esențial la îmbunătățirea percepției asupra domeniului protecției datelor cu caracter personal.", declara Sergiu Bozianu - Președinte al Asociației pentru Protecția Vieții Private, Fost Director Adjunct -  Direcția Generală de Supraveghere și Conformitate la Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova

Locul 3 - Cursul de la Spitalul “Prof. Dr. Eduard Apetrei” Buhuși

Totul s-a intamplat in 17 Decembrie 2019, adica acum cateva zile, cand la invitatia domnului Constantin Poiană , managerul spitalului, am sustinut un curs introductiv de constientizare pentru angajatii spitalului. Cunosc echipa manageriala si o apreciez foarte mult. Principiul de baza dupa care se ghideaza aceasta institutie este diferit si as putea spune neobisnuit: omenia.

Ne adresam obligatoriu cu "Domnul Poiană", nu cu "Domnul Manager", si suntem corectati de fiecare data cand nu raspectam aceasta regula. Oamenii se sustin unii pe altii si isi doresc sa faca performanta intr-un mediu placut, intelegand importanta relatiilor interumane. Dar nu acesta este motivul pentru care acest curs ocupa un loc pe podium.

Cursul planificat sa inceapa la ora 9, a inceput culmea la ora 9 fix intr-o sala foarte mare si totusi neincapatoare pentru cadrele medicale care isi doreau sa obtina mai multe informatii despre confidentialitatea actului medical si provocarile protectiei datelor cu caracter personal. Am aflat ca au venit persoane si din alte spitale si eram rugat sa nu ma supar. Cum as putea sa ma supar cand vad atata dorinta de invatare ? Cursul a durat aproximativ patru ore si motivul pentru care a ajuns atat de usor in top 3 este ca am intrebat sala la un moment dat daca nu ar fi indicat sa luam o pauza si am primit un raspuns categoric si unanim: NU.

Sala a fost neincapatoare de la inceput pana la sfarsit, si nu pot decat sa multumesc managementului pentru modul in care a reusit sa atraga interesul pentru acest domeniu, pe care cei mai multi il igora. Toti participantii au inteles ca acest Regulament apara interesele si drepturile noastre, a fiecarei persoane fizice, si daca alegem sa il ignoram nu facem decat sa ne facem rau singuri si sa ne sabotam.

Locul 2 - Interviul cu Brittany Kaiser

În calitate de fost Director de dezvoltare a afacerilor la Cambridge Analytica, Brittany Kaiser este un celebru denuntator, demascând modul în care au fost influențați și manipulați oamenii, transformand datele în adevarate arme în acest război psihologic. Participand la #WebSummit 2019, a acceptat să imi ofere un interviu în exclusivitate despre interventiile straine in campaniile electorale din ROMANIA si importanta DPO-ului si recomandari pentru fiecare dintre noi.

În acest weekend avem alegeri prezidențiale în România. Referitor la informațiile care au vizat țara noastră, prezentate în documentarul Netflix, ne puteți oferi mai multe detalii? Ca o glumă, știți cine a câștigat deja aceste alegeri?

Nu am informații despre consultanții politici internaționali care lucrează acum în România, dar cu siguranță Cambridge Analytica a lucrat în România. Nu-mi amintesc pentru ce partid, însă Cambridge Analytica nu a fost singura companie. Cambridge Analytica avea și o companie similară care reprezenta cealaltă parte. Deci, este foarte important ca oamenii să fie conștienți că influența străină în alegeri este o realitate, companiile de consultanță politică sunt reale și nu au dispărut doar pentru că Cambridge Analytica nu mai există.

Așadar, este important ca oamenii să-și amintească că, în timpul alegerilor, ar putea fi ținta unor dezinformari. Ar putea fi influențați prin mesaje care să îi determine să nu ia parte la procesul electoral. Încercați să nu share-uiți astfel de mesaje mai departe pe rețelele de socializare. Întotdeauna ieșiți la vot, nu deveniți indiferenți față de ce se întâmplă pe scena politică și rămâneți implicați, indiferent de ce vă sugereaza o reclamă pe Facebook.

Există o soluție pentru combaterea știrilor false și a dezinformării?

Există soluții, dar abia acum încep să create. Cred că are de-a face foarte mult cu tehnologia blockchain, este foarte importantă identificarea și urmărirea faptelor și verificarea provenienței știrilor, dacă respectă ghidurile etice sau dacă jurnaliștii de investigație sunt persoane reale.
Trebuie să putem verifica articolele fără o documentare serioasă și din surse îndoielnice, pe care orice persoană le poate publica.

Care este cel mai bun sfat pentru mine ca catățean și consumator?

Sfatul meu este ca toată lumea să aibă grijă la modul în care sunt protejate datele personale. Trebuie să citiți termenii și condițiile, înainte de a descărca o aplicație și să realizați că în acel moment datele voastre sunt deja colectate. Dacă decideți că nu sunteți de acord cu termenii, atunci trebuie să vă dați seama că nu puteți utiliza aplicația respectivă, alegând confidențialitatea în dentrimentul confortului. Și dacă începeți să faceți acest lucru zilnic, atunci treptat veți fi capabili să recunoaști o prelucrare corecta și transparentă, și veți putea decide dacă vă împărtășiți datele sau să vă păstrați confidențialitatea, realizând că totul are un cost.

Dacă ne referim la Responsabilii cu protecția datelor, aveți o recomandare pentru aceste persoane care au devenit protectorii confiențialității ?

Fiecare Responsabil cu protectia datelor trebuie să impună organizației pentru care lucrează utilzarea datelor clienților, într-un mod cât se poate de transparent. Spuneți-i clientului ce date colectați despre el, nu utilizați politici de confidențialiatete confuze, spuneți clientului ce date doriți de la el, cereți-i să își actualizeze propriile date. "Acestea sunt datele tale pe care noi le deținem. Datele acestea mai sunt actuale? Încă vă plac aceste lucruri? Aveți aceeași culoare preferată? Aveți aceleași prefeințe pentru micul dejun?". Dacă veți răsplăti clienții oferindu-le un stimulent pozitiv, probabil că veți obține un set date relevante, în timp real, pe care le puteți utiliza eficient. Astfel, oamenii vor avea ocazia să inteleagă de ce aveti nevoie de datele lor și să își dea acordul pentru prelucrarea acestora.

Când un DPO lucrează pentru o organizație, acesta luptă pentru protejarea intereselor companiei sau pentru interesele persoanelor?

Responsabilii cu protectia datelor acționează în interesul persoanelor și se asigură că organizațiile respectă regulile etice pentru a-și proteja clienții.

Locul 1 - Lansarea Portalului Dpo-NET.ro - Data Protection Officers Network

Acest proiect s-a nascut in mintea mea pe 28 ianuarie 2019 de "Ziua Europeana a Protectiei Datelor" cand am decis ca trebuie sa fac ceva pentru nevoie mea de informare a oricarui viitor specialist in acest domeniu. Totul s-a petrecut foarte repede, intr-o noapte de vineri reusind sa strang la un loc toate articolele scrise de mine anterior si sa configurez o noua platforma. Sambata dimineata a avut loc lansarea, nici eu nu stiam la ce sa ma astept de la un astfel de proiect. Treptat a crescut numarul de vizitatori si timpul petrecut pe site, ajungand azi peste 12000 de persoane sa se documenteze pornind de la informatiile de pe site.

Ieri am aniversat articolul cu numarul 400 lansat pe platforma dpo-NET.ro si am realizat ca astazi dpo-net.ro nu este numai un site cu stiri. Am lansat treptat mai multe caracteristici ale portalului, am inceput cu forumul de discutii, apoi a urmat calendarul de evenimente, webshop-ul prin intermediul caruia promovam carti de specialitate. La scurt timp a aparut si modulul de resurse utile unde specialistii pot gasi deciziile autoritatilor, ghidurile si legile nationale si europene in domeniul protectiei datelor precum si registrul amenzilor GDPR care concentreaza toate informatiile privind sanctiunile acordate in Europa pentru nerespectarea Regulamentului 2016/679. Cursurile online au aparut intr-un mod firesc, platforma avand pana in prezent peste 500 de absolventi.

Pentru comunitatea specialistilor in protectia si securitatea datelor cu caracter personal este nevoie si de interactiune umane, nu doar cea online, motiv pentru care in noiembrie 2019 a fost debutul proiectului "dpo.Tools" prin care ne  propunem sa aducem in atentia persoanelor care si-au asumat cu curaj functia de Responsabil protectia datelor sau care ofera consultana in acest domeniu, instrumente care pot creste nivelul de performanta si mai ales informatii specifice care vor dezvolta profesionalismul serviciilor acestora. La prima editie am vorbit despre securitatea datelor stocate si in tranzit, riscuri si solutii pentru utilizarea dispozitivelor aflate in proprietatea angajatilor si care sunt utilizate in interes de serviciu si apoi la cea de-a doua editie am dezbatut conceptul de "operatori independeti" lansat in Romania ca o metoda de fuga de responsabilitate.

Urmeza noi evenimente dpo.Tools, lansari de noi module si functionalitati, participari la evenimente nationale si internationale si multe articole pentru aceasta comunitate de specialisti de care depindem noi cu totii, pentru ca drepturile noastre privind viata privata si protectia datelor sa fie respectate.

A fost un an greu, prin de evenimente si provocari profesionale, am pus pasiune in fiecare proiect si astazi realizez ca a meritat efortul, am inceput sa schimb putin mentalitatea oamenilor din jurul meu in ceea ce priveste perceptia asupra importantei datelor cu caracter personal si nu ma voi opri aici. 

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Acum puteti comanda Revista Romana pentru Protectia si Securitatea Datelor cu Caracter Personal 1/2021 si 2/2021

Resurse utile

Vizualizari: 3261

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Doua noi publicatii a fost introduse recent in webshop-ul dpo-NET.ro.  Este vorba de numărul 1/2021 si numarul 2/2021 al Revistei Romane pentru Protectia si Securitatea Datelor cu Caracter Personal, aparute la Editura Universul Juridic. Valoarea acestor reviste este data de aceasta asociere intre mediul academic si mediul privat, acest proiect editorial reusind sa ofere o imagine fidela a eforturilor operatorilor romani pentru a obtine confirmitatea GDPR.

Cuprinzand impreuna peste 300 de pagini, cele doua numere ale Revistei GDPR au aparut sub coordomnarea Conf. univ. dr. Ciprian Paun, in calitate de Director si de Av. Dr. Raul Felix Hodos in calitate de Redactor Sef.  Temele abordate in acest numar sunt extrem de variate, articolele fiind scrise atat de catre specialisti din mediul academic , cat si de specialisti practicieni. Revista este structurata pe mai multe capitole: studii si cercetari, praxis, opinii, sectorial, studii de caz si monitorul protectiei datelor.

Digitalizarea vieții cotidiene a condus la trecerea în on-line a unei importante părți a existenței noastre, inclusiv, sau mai ales, a datelor noastre personale. Atât timp cât ele aparțineau doar lumii fizice, prelucrarea lor se făcea greu și insular. Automatizarea prelucrării datelor a fost primul pas spre AI, iar drumul încă nu s-au terminat. Revista noastră vine prin studiile publicate nu doar în întâmpinarea problemelor ridicate de GDPR și de celelalte acte normative asociate, ci se dorește a fi un spațiu de analiză a întregii paradigme a protecției și securității datelor personale din tripla perspectivă a managementului acestora, a legalității prelucrării lor și a garanțiilor de securitate prin mijloacelor tehnico-informatice. Împreună cu colegii mei Ciprian Păun, director, și cu Doru Dorobanțu, secretar general de redacție, cu sprijinul colectivului de redacție și a comitetului științific, am creionat un proiect pe care editura Universul Juridic l-a îmbrățișat și lansat sub numele Revista Română pentru Protecția și Securitatea Datelor cu Caracter Personal (RRPSDCP)", declara Av. Dr. Raul Felix Hodos, Redactor Sef.

Dintre autorii care au publicat articole in aceste numare ale revistei reamintim pe:

  • NR. 1/2021 - Alina Bârgaoanu - Cursa globală pentru inteligenţa artificială. Este reglementarea un răspuns?
  • NR. 1/2021 - Silviu-Dorin Şchiopu - O confirmare jurisprudenţială privind nelegalitatea unui act administrativ cu caracter normativ care impune obligaţia înregistrării unor date cu caracter personal: registrul de evidenţă a rezervărilor clienţilor
  • NR. 1/2021 - Nicolae Ploeşteanu, Raul Felix Hodoş - Repere privind un ghid al practicienilor în insolvenţă pentru protecţia datelor cu caracter personal
  • NR. 1/2021 - Patricia Stemate - Dreptul de a fi uitat – articolul 17 GDPR
  • NR. 1/2021 - Maria Dumitru-Nica - Răspunderea civilă a practicianului în insolvenţă pentru încălcarea Regulamentului (UE) 2016/679 privind protecţia datelor cu caracter personal
  • NR. 1/2021 - Georgiana Trifan, Mihaela Bălău - Blockchain şi GDPR – între convergent şi divergent
  • NR. 1/2021 - Diana Flavia Barbur - Caracteristicile prelucrării datelor cu caracter personal ale copiilor în temeiul Regulamentului (UE) 2016/679
  • NR. 1/2021 - Georgiana Trifan, Mihaela Bălău - Prelucrarea de date în domeniul farmaceutic – între necesar şi excesiv
  • NR. 1/2021 - Ioniţa Cochinţu - Compatibilitatea constituţională a normelor legale ce instituie obligaţia publicării listelor debitorilor care înregistrează creanţe fiscale restante cu cele privind obligaţiile generale referitoare la prelucrarea datelor cu caracter personal
  • NR. 1/2021 - Alexandru Georgescu - Prelucrarea datelor privind starea de sănătate în pandemia de Covid 19 – un test de aplicabilitate al Regulamentului general privind protecţia datelor
  • NR. 1/2021 - Noi provocări în domeniul protecţiei datelor – Interviu cu doamna Ancuţa Geanina Opre, Preşedinte al Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal
  • NR. 1/2021 - Marius Dumitrescu, Daniela Cireaşă, Daniela Simionovici - Sinteza amenzilor GDPR aplicate la nivel european, în perioada 01.12.2020-30.04.2021

  • NR. 2/2021 - Raul Felix Hodoş - Bună. Ce faci?” „Mulţumesc, bine!”
  • NR. 2/2021 - Gabriel Niţă - Impactul inteligenţei artificiale în prelucrarea datelor cu caracter personal
  • NR. 2/2021 - Mihaela Bălău - Operatorul de date, operatorii asociaţi şi persoana împuternicită – în lumina orientărilor recente ale EDPB
  • NR. 2/2021 - Silviu-Dorin Şchiopu - Despre legalitatea prelucrării prin consultare în cursul stării de alertă a unor date cu caracter personal de către unităţile de alimentaţie publică: certificatul digital al UE privind COVID
  • NR. 2/2021 - Marius Dumitrescu - Implementarea directivei NIS şi a Regulamentului European pentru Protecţia Datelor în domeniul sănătăţii în România
  • NR. 2/2021 - Vasile Adrian Cămărăşan - Operator vs. Persoană împuternicită: roluri în prelucrarea datelor cu caracter personal
  • NR. 2/2021 - Ionuţ Savu - Legalitatea prelucrărilor datelor cu caracter personal: atribuţie legală şi interes public, între teorie şi realitate
  • NR. 2/2021 - Daniela-Irina Cireaşă - Impactul Regulamentului European nr. 679/2016 asupra activităţii operatorilor de date personale din România la 3 ani şi jumătate de la punerea în aplicare
  • NR. 2/2021 - Nicolae Ploeşteanu, Darius Fărcaş - Aplicarea Regulamentului General privind Protecţia Datelor activităţilor de prelucrare a datelor în domeniul securităţii şi siguranţei naţionale
  • NR. 2/2021 - Ioniţa Cochinţu - Protecţia datelor în contextul prelucrării datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date. Legislaţie adoptată ca urmare a ducerii la îndeplinire a obligaţiilor constituţionale ce decurg din apartenenţa României la Uniunea europeană şi jurisprudenţa Curţii Constituţionale în materie
  • NR. 2/2021 - Interviu cu domnul prof. univ. dr. Silviu PIŢURU, prorector al Universităţii de Medicină şi Farmacie „Carol Davila” (UMFCD)
  • NR. 2/2021 - Doru Dorobanţu, Mihaela Mihai - Prezentarea amenzilor aplicate de ANSPDCP în perioada 01 mai – 25 noiembrie 2021

In editorial intitulat "Lumea digitale si nevoia de protectie a datelor", Conf. univ. dr. CIPRIAN PAUN afirma: "Profesioniștii din domeniu vor fi nevoiți sa investeasca in soluții de securitate pentru criptarea datelor, asigurarea confidențialitații, detectarea posibilelor amenințari și gestionarea raspunsurilor catre persoanele vizate (clienți). Dosarele in format fizic sau inregistrarile audio-video trebuie sa raspunda unor obiective sau finalitați specifice, explicite și legitime. Datele colectate in sistemul juridic (date despre parți, acte de stare civile, contracte de societate etc.) cu privire la clienți trebuie sa fie pastrate pentru o durata care nu depașește timpul necesar utilizarii, daca nu exista o prevedere legala in vigoare care sa impuna o anumita durata de pastrare. Exista o cerere foarte mare pe piața și sunt mulți ofertanți in aceasta zona de interes. Adaptarea la normele GDPR nu trebuie privita ca avand implicații negative asupra planului financiar al entitaților. Profesioniștii pot folosi aceasta ocazie pentru a proiecta și implementa o strategie eficienta de gestionare a datelor și pentru a se indrepta catre o gestionare bazata pe transparența și pentru a obține un echilibru eficient intre rezultatele juridice și obiectivele de business. Aceste masuri reprezinta pentru consumatorii de servicii/bunuri, adica persoanele identificate/identificabile, o masura suplimentara de protecție, iar pentru sistemul juridic contureaza o modalitate de a identifica riscurile prelucrarii neconforme a datelor."

COMANDĂ ACUM ÎNTREAGA COLECȚIE 2021

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

CUM POT INFLUENȚA STANDARDELE ISO/IEC 27001:2013 ȘI ISO/IEC 27701:2019 PROCESUL DE OBȚINERE A CONFORMITĂȚII GDPR

Resurse utile

Vizualizari: 6369

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Regulamentul General privind Protecția Datelor (GDPR), la care vom face referire ca Regulamentul sau GDPR - acronimul consacrat în limba engleză, nu și-a propus niciodată să devină un standard similar ISO/IEC în domeniul protectiei datelor cu caracter personal, el trebuie văzut mai degrabă ca un reper, având în vedere complexitatea domeniului de aplicare, dacă ne gândim că el se aplică tuturor operatorilor din mediul public sau privat care au cel puțin un angajat sau care prelucrează datele personale ale cetățenilor europeni, indiferent unde este localizat operatorul la nivel internațional. 

Tocmai complexitatea domeniilor de activitate și a modului de organizare a operatorilor a făcut necesară introducerea unor principii în locul unor criterii limitative, măsurabile cantitativ și calitativ. Dacă s-ar fi introdus o listă de control limitativă, probabil operatorii s-ar fi rezumat doar la aceasta și ar fi fost o mare greșeală, având în vedere că nu există o rețetă universală pentru a diminua sau elimina riscurile dintr-o organizație. 

Regulamentul UE 679/2016 încurajează, totuși, utilizarea acestor sisteme de certificare ca instrumente utilizate pentru a demonstra nivelul de responsabilitate a operatorului prin implementarea procedurilor specifice, de exemplu în domeniul managementului calității sau a securității informatice

Totuși, nu considerăm că este suficientă implementarea unui astfel de standard pentru a demonstra complianța cu prevederile și principiile GDPR, acesta fiind, probabil, și motivul pentru care în tot textul Regulamentului nu găsim nici o referință directă la unul sau mai multe dintre aceste standarde internaționale.

Singurele mențiuni le găsim în articolul 42 față de “certificarea în domeniul protectiei datelor” prin care este încurajată” instituirea de mecanisme de certificare în domeniul protecţiei datelor, precum şi de sigilii şi mărci în acest domeniu, care să permită demonstrarea faptului că operaţiunile de prelucrare efectuate de operatori şi de persoanele împuternicite de operatori respectă prezentul regulament.” 

CARE SUNT PAȘII ÎN OBȚINEREA CERTIFICATELOR ISO/IEC RELEVANTE DIN PUNCT DE VEDERE GDPR ?

Nu există o rețetă unitară, dar opinia noastră este că orice organizație, înainte de a implementa standarde specifice în domeniul securității informatice sau a continuității afacerii, trebuie să pună bazele prin implementarea unui sistem de management al calității, acesta fiind descris în ISO/IEC 9001:2015

Chiar dacă acest standard stabilește cadrul în ce privește asigurarea garanției unor produse sau servicii care își propun un înalt grad de calitate, care se aplică inclusiv clientului, exista o serie de concepte comune cu cele GDPR. Dintre acestea reamintim procedurile specifice produselor sau serviciilor neconforme și a modalităților de rezolvare a reclamațiilor. Acest sistem de management al calității, fiind lansat anterior Regulamentului 679/2016, nu prevede adaptarea procedurilor în privința introducerii unor condiții specifice privind utilizarea datelor cu caracter personal, în schimb, face referire la respectarea condițiilor legale și, la momentul respectiv, era în vigoare Directiva 95/46 care era transpusa în legislația națională prin Legea 677/2001.

Totuși, după data de 25 mai 2018, procedurile de rezolvare a reclamațiilor și procedurile de comunicare cu clienții s-au putut actualiza în sensul că se puteau introduce condiții specifice privind transferul și prelucrarea datelor personale ale clienților și definirea unor modalități distincte ca aceștia să își exercite drepturile prevăzute în GDPR, distinct de modalitățile de a reclama calitatea unui serviciu sau produs. 

După ce a fost construită baza, în sensul implementării standardului de management al calității, operatorii au posibilitatea de a trece la nivelul următor prin implementarea standardului privind securitatea informatică, mai ales că digitalizarea și utilizarea tehnologiei a cunoscut o dezvoltarea exponențială în ultimii 20 de ani. 

ISO/IEC 27001:2013 este un standard internațional cunoscut pe scară largă pentru furnizarea de cerințe privind sistemul de management al securității informațiilor denumit și ISMS. Un ISMS este o abordare sistematică pentru protejarea informațiilor confidențiale ale companiei, nu doar datele cu caracter personal și permite organizațiilor să își gestioneze riscurile de securitate a informațiilor. 

Standardul adoptă o abordare bazată pe proces pentru “stabilirea, implementarea, operarea, monitorizarea, întreținerea și îmbunătățirea unui sistem de management al securității informațiilor” (ISMS), deci se aplică indiferent de orice schimbări geopolitice care ar putea avea loc. La fel ca toate standardele ISO, este recunoscut la nivel global de către toți clienții și întreprinderile (și nu este controlat în niciun fel de UE), deci se va aplica oricărui operator care are relații client-vânzător sau de tip furnizor.

În anul 2019 a fost introdusă o extensie la ISO 27001 care oferă îndrumări pentru stabilirea, implementarea, menținerea și îmbunătățirea continuă a unui sistem de gestionare a informațiilor de confidențialitate. ISO/ IEC 27701:2019 oferă cadrul sistemului de management pentru a proteja informațiile de identificare personală și, astfel, standardul ISO 27701 ajută companiile să respecte GDPR, precum și alte cerințe legale și de reglementare.

Folosind instrumente precum aceste standarde (măsuri organizatorice) și tehnologia potrivită (măsuri tehnice), o companie poate stoca toate informațiile de conformitate într-un singur sistem, care oferă informații adecvate asupra riscului și oportunităților și poate monitoriza impactul potențial al modificărilor legislative și poate lua măsuri proactive pentru a atenua riscurile de conformitate. Acest lucru necesită o evaluare metodică adecvată a riscurilor pentru a identifica riscurile legate de conformitate și a implementa un tratament adecvat al acestora.

Implementarea standardelor ISO/IEC va permite operatorilor să îndeplinească cerințele GDPR privind „măsurile tehnice și organizaționale adecvate”, în sensul art. 32 din Regulament, precum și să le ajute să respecte multe alte reglementări privind protecția datelor.

Cele trei standarde (ISO 9001, ISO 27001 si ISO 27701), împreună, oferă un cadru pentru cele mai bune practici de gestionare a securității informațiilor care ajută operatorii să:

  • Gestioneze eficient riscurile pentru securitatea informațiilor
  • Gestioneze riscurile de confidențialitate 
  • Protejeze informațiile despre clienți și angajați
  • Respecte reglementările privind protecția datelor, cum ar fi GDPR și a  altor cerințe legale și de reglementare
  • Protejeze imaginea companiei.

CONȚINUTUL ȘI STRUCTURA STANDARDULUI ISO / IEC 27701

ISO / IEC 27701 este o extensie a standardelor ISO/IEC 27001 și ISO/IEC 27002 și trebuie aplicată împreună cu acestea. Standardul începe cu o parte introductivă în care sunt identificate obiectivele, domeniul de aplicare, alte standarde de referință și terminologia.

Cerințele care trebuie îndeplinite și puse în aplicare de către o organizație pentru a respecta ISO/IEC 27701 sunt:

  • Clauza 5 - descrie cerințele PIMS și preia în detaliu toate clauzele deja definite în ISO / IEC 27001 (înțelegerea contextului, conducerea, sprijinul, evaluarea riscurilor etc.) și le completează cu considerații pentru aspectele specifice ale datelor cu caracter personal;
  • Clauza 6 - preia liniile directoare de control cuprinse în ISO / IEC 27002 și le completează în ceea ce privește zona de confidențialitate și protecția datelor; este, prin urmare, un ghid detaliat pentru măsurile de atenuare a riscului de confidențialitate.
  • Clauzele 7 și 8 - sunt condiții suplimentare pentru operatorii de date și respectiv pentru persoanele împuternicite de operatori; se iau în considerare aspecte specifice, inclusiv colectarea consimțământului, evaluarea impactului asupra protecției datelor  și principiile “privacy by design” / “privacy by default”

Noul standard este clar aliniat la Regulamentul General privind Protecția Datelor (GDPR). Oferă organizațiilor un standard recunoscut, care va oferi în viitor certificarea în același mod ca și ISO 27001: 2013. 

Înainte de lansarea standardului, ISO 27001:2013 a fost privit ca un cadru bun pentru a ajuta la respectarea prevederilor Directivei 46/95, dacă este implementat în mod corespunzător. Trebuie să ținem cont și de faptul că articolul 42 din GDPR permite stabilirea unor mecanisme de certificare a protecției datelor pentru a ajuta organizațiile să demonstreze conformitatea - și există multe motive pentru care ISO 27701: 2019 ar putea furniza acest lucru, având în vedere faptul că este un standard recunoscut la nivel internațional, extinde un standard de securitate a informațiilor deja utilizat pe scară largă și că organizațiile pot fi certificate conform standardului de către auditori recunoscuți.

Acest nou standard ISO/ IEC 27701 oferă îndrumări specifice pentru:

  • Actualizarea politicilor pentru a include angajamentul de a respecta reglementările relevante privind datele cu caracter personal și acordurile contractuale cu clienții și terții
  • Desemnarea un punct de contact pentru întrebări cu privire la datele cu caracter personal
  • Asigurarea unei persoane sau a unei echipe responsabile pentru implementarea și menținerea unui program continuu de monitorizare și a asigurării respectării reglementărilor
  • Asigurarea că toți angajații relevanți sunt instruiți să fie conștienți de principiile datelor cu caracter personal și cum să raporteze incidentele
  • Implementarea de măsuri în ceea ce privește utilizarea suporturilor mobile de stocare a datelor și  reutilizarea echipamentelor
  • Introducerea unei politici de backup și recuperare referitoare în mod specific la datele cu caracter personal
  • Înregistrarea și monitorizarea accesului la datele personale și introducerea de măsuri pentru a se asigura că datele personale nu sunt stocate în mod accidental în jurnale
  • Introducerea de politici de dezvoltare a sistemului

Măsurile de atenuare a riscurilor de confidențialitate care provin din gestionarea datelor cu caracter personal (așa-numitele „controale”) reprezintă o extensie și o specializare a controalelor prevăzute de ISO/ IEC 27001. Acestea sunt cuprinse în anexele A și B și aceste controale sunt obligatorii, cu excepția cazului în care organizațiile au documentat excepția în „Declarația de aplicabilitate”. 

  • Anexa A : identifică controalele care trebuie implementate de un operator de date;
  • Anexa B : identifică controalele care trebuie implementate de un împuternicit;
  • Anexa C : este o mapare a clauzelor ISO / IEC 27701 cu privire la ISO / IEC 29100 Tehnologia informației - Tehnici de confidențialitate - Cadrul de confidențialitate ;
  • Anexa D : este o mapare a clauzelor ISO / IEC 27701 față de  GDPR;
  • Anexa E : conține maparea la ISO / IEC 27018 Tehnologia informației - Tehnici de securitate - Cod de practică pentru protecția informațiilor de identificare personală și la ISO / IEC 29151 Tehnologia informației - Tehnici de securitate - Cod de practică pentru protecția informațiilor identificabile personal ;
  • Anexa F : descrie alte modalități de aplicare a ISO / IEC 27001 și ISO / IEC 27002 

COMPATIBILITATEA DINTRE STANDARDELE ISO/IEC ȘI GDPR

La o analiza atentă observăm că foarte multe din controalele prevăzute de standardele ISO/IEC  27001:2013 sau 27701:2019 se regăsesc, într-o proporție foarte mare, în cele 99 de articole ale Regulamentului. Cu toate acestea, sunt mai multe concepte cheie, precum Responsabilul cu protectia datelor cu caracter personal, consimțământul și condițiile de obținere a acestuia, minimizarea datelor, stocarea limitată, prelucrarea transparentă sau drepturile persoanelor vizate privind accesul, ștergerea, opoziția, rectificarea sau portabilitatea care nu se regăsesc în standardul ISO/IEC 27001:2013. 

Cu toate acestea, standardele ISO/IEC 27001:2013 și 27701:2019 sunt o bază de pornire extrem de importantă pentru a demonstra obligația operatorului de a întreprinde măsuri tehnice și organizatorice adecvate și considerăm că o organizație care a obținut o astfel de certificarea îndeplinește cel puțin jumătate din cerințele Regulamentului. 

În august 2019, Organizația Internațională pentru Standardizare (ISO) și Comisia Electrotehnică Internațională (IEC) au elaborat un nou standard de referință și anume ISO/IEC 27701: 2019 pentru gestionarea informațiilor de confidențialitate. Noul standard este destinat să răspundă nevoii urgente a companiilor de a-și îndeplini obligațiile de reglementare a confidențialității și nevoia unui cadru de reglementare din ce în ce mai clar și partajat.

Considerăm că, prin apariția standardului ISO/IEC 27701:2019 s-a realizat chiar o punte între prevederile Regulamentului General privind Protecția Datelor (GDPR) și securitatea informatică.  Acesta reprezintă un pas important în definirea  schemelor de certificare pentru prelucrarea datelor cu caracter personal. Oferă instrumente operaționale cu privire la aspecte tehnice și organizaționale importante, care sunt lăsate din ce în ce mai mult la libera interpretare a fiecărei organizații prin legislația națională și europeană.

După intrarea în vigoare a Regulamentului General privind Protecția Datelor (GDPR), constatăm că s-a produs un adevărat “salt legislativ” privind protecția vieții private, mai ales datorită introducerii exprese a principiului cheie al responsabilității - art. 5, alin. (2) din GDPR.

Urmând acest principiu, GDPR impune operatorului de date să adopte politici și să pună în aplicare măsuri adecvate pentru a asigura și a arăta dovezi că prelucrarea datelor cu caracter personal este conformă cu regulamentul în sine.

Prin urmare, Regulamentului General privind Protecția Datelor (GDPR) nu oferă instrucțiuni pragmatice, dar solicită organizației să adopte o abordare proactivă și dinamică care nu se limitează la simpla conformitate cu reglementările, ci necesită implementarea ciclică a următoarelor etape:

  1. implementează măsuri care fac ca orice prelucrare să fie efectuată în conformitate cu prevederile regulamentului;
  2. să adopte măsuri legale, tehnice și organizatorice care să garanteze o astfel de conformitate;
  3. alegerea măsurilor se bazează pe analize de risc preventive;
  4. să demonstreze conformitatea astfel garantată tuturor părților interesate implicate (de exemplu, autoritățile competente pentru protecția datelor, organele de inspecție sau judiciare, persoanele vizate etc.).

Datorită acestei libertăți acordate de Regulament organizațiilor, la nivel internațional, ISO și IEC au proiectat standardul ISO/IEC 27701 ca un instrument practic pentru gestionarea informațiilor personale și o modalitate utilă de a demonstra conformitatea cu reglementările actuale privind confidențialitatea.

Standardul ISO/IEC 27001:2013 permite implementarea unui ISMS (Information Security Management System) pentru a asigura securitatea activelor informaționale ale companiei, prin satisfacerea cerințelor și controalelor specifice. Standardul ISO/IEC 27002 oferă îndrumări suplimentare pentru implementarea acestor controale. 

Cu toate acestea, aceste două standarde nu iau strict în considerare aspectele legate de confidențialitate. ISO/IEC 27701 a fost dezvoltat pentru a implementa unui sistem de management al securității informației specializat privind confidențialitatea, definit de standard ca PIMS - Privacy Information Management System. Respectarea standardului are un efect direct în sensul “producției de probe”, astfel că, implementarea acestui standard ajută în mod concret instituția să respecte principiul responsabilității prevăzut de GDPR.

CARE SUNT ELEMENTELE COMUNE DINTRE STANDARDELE ISO ȘI GDPR?

Prima caracteristică comună este că, atât Regulamentul 679/2016, cât și standardele ISO amintite introduc obligații pentru operatori privind adoptarea unor măsuri tehnice și organizatorice pentru a garanta confidentialitatea datelor, stocarea și utilizarea adecvată

Dacă ne gândim că GDPR introduce, prin articolul 32, obligația ca “operatorul și împuternicitul să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului”, atunci standardul ISO 27001 definește mijloacele necesare pentru a asigura această protecție. Conform GDPR, datele cu caracter personale sunt informații critice pe care toți operatorii trebuie să le protejeze, ele fiind doar o parte din categoria datelor și informațiilor pe care orice operator le protejează, fiind motivat în primul rând de nevoia de conservare a business-ului. 

Există și cerințe GDPR care nu sunt acoperite implicit de aceste standarde, dar, dacă prin implementarea măsurilor de securitate informatică sunt incluse / acoperite / protejate și datele cu caracter personal, atunci aceste certificări obținute pot fi catalogate ca măsuri tehnice și organizatorice adecvate

Revizuirea riscurilor, în mod continuu, reprezintă și principiul fundamental al unui sistem de management al securității informațiilor care își propune să gestioneze riscurile pentru toate activele, inclusiv datele cu caracter personal. În multe dintre cazuri este posibilă realizarea unei mapări dintre articolele GDPR și controalele ISO/IEC 27001 și 27701, având, în esență, un conținut asemănător. 

Am identificat câteva elemente comune între prevederile GDPR și controalele ISO/IEC pe care le prezentăm mai jos:

    1. Conformitatea, datorită controlului A.18.1.1 (Identificarea legislației aplicabile și a cerințelor contractuale) - este obligatorie existența unei liste a cerințelor legislative de reglementare și contractuale relevante. Având în vedere că fiecare operator trebuie să respecte normele și principiile  GDPR, Regulamentul General privind Protecția Datelor trebuie să facă parte din această listă. 
    2. Securitatea informațiilor și a datelor cu caracter personal nu se referă numai la măsuri de ordin tehnic, ambele referințe promovează o cultură de conștientizare a riscurilor și a incidentelor de securitate în cadrul organizațiilor. 
    3. Privacy by design este un concept întâlnit în ambele referințe. Controlul A.14 (Achiziționarea, dezvoltarea și întreținerea sistemelor) asigură faptul că “securitatea informațiilor este o parte integrantă a sistemelor informatice pe parcursul întregului ciclu de viață”.
    4. Pseudonimizarea și criptarea – Criptarea datelor este recomandată de acest standard ISO ca fiind una dintre măsurile tehnice care pot fi implementate pentru a reduce riscurile. 
    5. Evaluarea riscurilor – standardul ISO introduce ca obligație pentru organizații să realizeze o evaluare aprofundată a riscurilor prin identificarea amenințărilor și a vulnerabilităților care pot afecta activitățile. Organizațiile trebuie să ia măsuri pentru a asigura confidențialitatea, disponibilitatea și integritatea acestora. Și GDPR introduce obligația privind realizarea unei evaluări a riscurilor care pot afecta datele cu caracter personal. În conformitate cu controlul A.8.2.1 (Clasificarea informațiilor): “Informațiile trebuie clasificate în funcție de cerințele legale, valoare, critică și sensibilitate față de dezvăluirea sau modificarea neautorizată.”
  • Distincția între operatori și împuterniciți din GDPR este importantă atunci când vine vorba de ISO 27701, deoarece aceștia sunt supuși unor cerințe diferite. Operatorii sunt responsabili pentru crearea notificărilor de confidențialitate, implementarea mecanismelor pentru a se asigura că persoanele vizate își pot exercita drepturile și adoptarea de măsuri pentru a se asigura că prelucrarea datelor respectă principiul GDPR privind  confidențialitatea prin proiectare și implicit, în timp ce împuterniciții sunt responsabili pentru respectarea instrucțiunilor stabilite de operator, reducând, astfel, riscul ca datele să fie prelucrate excesiv sau fără o bază legală, furnizarea oricăror informații necesare pentru a ajuta operatorul să completeze o cerere de acces a persoanei vizate și informarea persoanelor vizate în prealabil dacă datele cu caracter personal sunt transferate între jurisdicții. Controlul A.15.1 (Securitatea informațiilor în relațiile cu furnizorii) necesită “protecția activelor organizației accesibile de către furnizori”.
  1. Măsuri tehnice și organizatorice adecvate pentru risc – ISO 27001 obligă organizațiile să implementeze măsuri adecvate prin controalele organizaționale și tehnice pentru a sprijini respectarea acestor cerințe. De exemplu, controlul A.10.1 specifică cerințele de criptare pentru organizare, care pot asigura confidențialitatea informațiilor personale, indiferent dacă acestea sunt folosite în rețea, în tranzit sau pe dispozitive mobile. Mai mult, controlul A.9 acoperă subiectul controlului accesului, care garantează că numai persoanele cu un drept legitim pot accesa informațiile în funcție de nivelul lor de privilegii. Controlul 18.2.3 recomandă companiilor să efectueze teste de vulnerabilitate și teste de penetrare astfel încât sistemele testate să nu fie compromise. În schimb, GDPR oferă doar sugestii specifice pentru ce tipuri de acțiuni de securitate ar putea fi considerate “adecvate pentru risc “, inclusiv pseudonimizarea și criptarea datelor cu caracter personal, abilitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența sistemelor și posibilitatea de a restabili disponibilitatea și accesul la datele personale în timp util, în cazul unei situații fizice sau incident tehnic. Regulamentul prevede  și un proces de testare, evaluare periodică pentru eficacitatea măsurilor tehnice și organizatorice de asigurare a securității procesării.
  2. Clasificarea informațiilor asigură manipularea corectă și monitorizarea informațiilor sensibile în interiorul și în afara unei afaceri. ISO 27001 nu descrie nivelurile de clasificare și oferă această  libertatea operatorilor de a stabili propriile reguli,  în funcție de complexitatea fluxurilor de date din organizație. 
  3. Gestionarea incidentelor și notificare privind încălcarea securității – Operatorii sunt obligați să notifice autoritățile de supraveghere în termen de 72 de ore de la descoperirea unei încălcări a datelor cu caracter personal. Implementarea controlului 27001 A.16.1 (Managementul incidentelor și îmbunătățirilor în materie de securitate a informațiilor) va asigura “o abordare consecventă și eficientă a gestionării incidentelor de securitate a informațiilor, inclusiv a comunicării privind evenimentele de securitate”. Potrivit GDPR, persoanele vizate trebuie să fie notificate numai dacă pierderea de date prezintă un ”risc ridicat pentru drepturile și libertatea acestora”. Managementul incidentelor trebuie să facă parte din politicile de securitate ale oricărei organizații, alături de procedurile de backup, continuitate în business, recuperarea în caz de dezastru, gestionarea riscurilor și gestionarea configurației.
  4. Gestionarea activelor – Controlul A2.8 (Asset Management) presupune includerea datelor cu caracter personal ca active de securitate și permite operatorilor să înțeleagă caracteristicile  acestor  date (localizare și termen de stocare, originea, nivelul de acces). Aceste cerințe se regasesc integral și în GDPR. 

ESTE ISO 27701:2019 ESTE O CERTIFICARE GDPR IN SENSUL ARTICOLULUI 42?

În ciuda faptul că cele două standarde fac parte din aceeași familie, acestea acoperă diferite subiecte.  Primul se adresează controalelor de confidențialitate ale organizațiilor, în timp ce ISO 27001 abordează securitatea informațiilor. Putem spune că ISO 27001 se referă la modul în care o organizație păstrează datele corecte, disponibile și accesibile numai angajaților autorizați și că ISO 27701 se referă la modul în care o organizație colectează date cu caracter personal și împiedică utilizarea sau divulgarea neautorizată a acestora. 

De exemplu, dacă o organizație colectează cantități excesive de informații despre o persoană, aceasta reprezintă o încălcare a principiului minimizării. Același lucru este valabil și în cazul în care un angajat neautorizat sau un criminal cibernetic deține datele.

Atunci când construiesc un cadru de securitate a informațiilor, organizațiile trebuie să facă câțiva pași suplimentari pentru a se asigura că problemele legate de confidențialitate sunt luate în considerare. Abordarea ISO 27701 recunoaște acest lucru prin extinderea clauzelor ISO 27001 și controalelor care se referă în mod specific la confidențialitatea datelor, precum și prin furnizarea a două seturi suplimentare de controale specifice operatorilor de date și persoanelor împuternicite de aceștia. De asemenea, se bazează pe principiul securității informațiilor, direcționând către principiile de confidențialitate mai extinse din ISO 29100, standardul internațional care oferă un cadru de confidențialitate pentru datele cu caracter personal deținute în sistemele IT. Acestea acoperă o gamă mai largă de probleme de confidențialitate, inclusiv cele discutate în reglementările privind protecția datelor la nivel internațional. ISO 27701 răspunde la această întrebare, explicând cum să se asigure operatorii că confidențialitatea datelor este abordată în mod adecvat.

ISO 27701 oferă măsuri de control care servesc drept instrumente pentru a menține organizația sub control în ceea ce privește GDPR. Cu toate acestea, certificarea presupune un alt tip de schemă de acreditare și certificare decât cea utilizată pentru ISO 27001 sau ISO 27701. Legislația impune acreditarea ISO 17065 conform căreia produsele, serviciile sau procesele sunt certificate, nu afacerea.

Regulamentul GDPR (articolul 5, paragraful 2) prevede că operatorul trebuie să poată „demonstra conformitatea” cu legea. Există trei moduri diferite de a demonstra acest lucru:

  1. La cererea autorității, puneți la dispoziție totul ca dovadă a conformității organizației 
  2. Prin intermediul unui cod de conduită aprobat.
  3. Prin certificare GDPR. În momentul redactării acestui articol, în România nu există coduri de conduită sau certificări GDPR aprobate oficial. Certificarea GDPR este, cu siguranță, posibilă și acest lucru este menționat și în regulament (articolele 42 și 43). Cu toate acestea, pentru a putea certifica un operator în conformitate cu legislația GDPR, există o serie de obligații pe care un organism de certificare trebuie să le îndeplinească. Organizația trebuie să respecte o acreditare ISO 17065 cu care procesele, produsele și serviciile pot fi certificate. Trebuie să existe un sistem specific de certificare care să poată urmări întregul proces de prelucrare a datelor cu caracter personal și care poate fi evaluat de un auditor.

Implementarea ISO 27701 și ISO 27001 permite operatorilor să îndeplinească cerințele de confidențialitate și securitate a informațiilor din GDPR și alte regimuri de protecție a datelor și să demonstreze că și-au luat aranjamentul implementării unor „măsuri tehnice și organizaționale adecvate” pentru a proteja datele personale pe care le prelucrează și să respecte drepturile persoanelor vizate, în conformitate cu principiul responsabilității din GDPR - articolul 5 alineatul (2).

ISO / IEC 27701: 2019 este un standard important pentru a vă îmbunătăți afacerea și pentru a demonstra responsabilitatea față de legislația în materie de confidențialitate în vigoare și, de asemenea, oferă un sistem de management clar și util tuturor părților interesate implicate în prelucrarea și protecția datelor cu caracter personal. Deși are „protecția datelor” în numele său, GDPR este la fel de preocupat de confidențialitatea datelor ca și standardele internaționale ISO/IEC. Cu toate acestea, acesta nu include îndrumări cu privire la modul de îndeplinire a cerințelor sale, pentru a se preveni ca GDPR să devină depășit pe măsură ce cele mai bune practici evoluează și noile tehnologii devin disponibile. 

La 2 aprilie 2020, Autoritatea Franceză pentru Protecția Datelor („CNIL”) a publicat un comunicat de presă subliniind importanța standardului ISO / IEC 27701 pentru protecția datelor cu caracter personal. 

CNIL afirmă că standardul ISO / IEC 27701 este un standard cu adevărat global. A fost elaborat la nivel internațional, cu contribuții ale experților de pe toate continentele și participarea multor autorități de protecție a datelor. Regulamentul General privind Protecția Datelor (GDPR) și alte legi importante privind protecția datelor (cum ar fi cele adoptate în Australia, Brazilia, California și Canada) au fost luate în considerare la elaborarea standardului. 

Standardul ISO / IEC 27701 acordă o atenție specială GDPR, așa cum este demonstrat de anexa D la standardul respectiv, care mapează fiecare clauză a standardului în raport cu articolul GDPR corespunzător. Totuși, CNIL subliniază că standardul ISO / IEC 27701 nu este specific GDPR și, prin urmare, nu constituie un instrument de certificare în sensul articolului 42 din GDPR. În schimb, implementarea standardul ISO / IEC 27701 reprezintă cel mai înalt nivel al calității unui sistem de management în domeniul protecției vieții private. În viziunea CNIL, standardul permite organizațiilor care îl adoptă să crească nivelul de calitate al programului lor de conformitate cu protecția datelor și să demonstreze o abordare proactivă a protecției datelor cu caracter personal

Concluzionăm că implementarea controalelor din standardele ISO/IEC asigură premisele  pentru eliminarea situațiilor în care sunt aplicate sancțiuni sub forma de avertisment, amendă sau măsuri în baza art. 32 din Regulament. 

DESPRE AUTOR

Marius Dumitrescu este licențiat în științe politice, având un master în domeniul marketingului și o experiență de peste 16 ani în implementarea și gestionarea soluțiilor software medical și farmaceutic. Este președintele Asociației Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) și a absolvit în iulie 2018 studiile postuniversitare de lungă durată privind protecția datelor în cadrul Facultății de Științe Economice, Juridice și Administrative – Centrul pentru Protecția Datelor (CPD) din Tîrgu-Mureș. Este directorul editorial a două publicații, una destinată profesioniștilor în protecția și securitatea datelor cu caracter personal și una adresată comunității medicale și farmaceutice din România. Este formator și lector, susținând mai multe sesiuni educaționale pe teme precum securitatea datelor, Regulamentul General privind Protectia Datelor și managementul organizațional. Este implicat activ în organizarea unor evenimente cu tradiție în domeniul sanitar românesc, în special în sfera medicală, a farmacoeconomiei și a managemetului sanitar. Este inregistrat ca PECB Certified DPO din ianuarie 2021 si Trainer PECB.

 

Tabel 1 - Corespondența dintre articolele GDPR și clauzele ISO/IEC 27701

Articole din Regulamentul General privind Protecția Datelor (GDPR) Clauze ISO/IEC 27701:2019
  • Art. 24 “Responsabilitatea operatorului”, alin. (3);
  • Art. 25 “Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit”, alin. (3);
  • Art. 28 “Persoana împuternicită de operator”, alin. (5), (6) și (10);
  • Art. 32 “Securitatea prelucrării”, alin. (3);
  • Art. 40 “Coduri de conduită”, alin. (1), alin. (2), lit. a) - k), alin. (3) - (11);
  • Art. 41 “Monitorizarea codurilor de conduită aprobate”, alin. (1), alin. (2), lit. a) - d), alin (3) - (6);
  • Art. 42 “Certificare”, alin. (1) - (8).
5.2.1 Înțelegerea organizației și a contextului acesteia
  • Art. 31 “Cooperarea cu autoritatea de supraveghere;
  • Art. 35 “Evaluarea impactului asupra protecției datelor”, alin. (9);
  • Art. 36 “Consultarea prealabilă”, alin. (1) - (2), alin. (3), lit. a) - f ), alin. (5).
5.2.2 Înțelegerea nevoilor și așteptărilor părților interesate
  • Art. 32 “Securitatea prelucrării”, alin. (2).
5.2.3 Determinarea sferei de aplicare a sistemului de management al securității informațiilor
  • Art. 32 “Securitatea prelucrării”, alin. (2).
5.2.4 Sistem de management al securității informațiilor
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. b), alin. (2).
5.4.1.2 Evaluarea riscului de securitate a informațiilor
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. b), alin. (2).
5.4.1.3 Tratarea riscului de securitate a informațiilor
  • Art. 24 “Responsabilitatea operatorului”, alin. (2).
6.2.1.1 Politici de securitate a informațiilor
  • Art. 27 “Reprezentanții operatorilor sau ai persoanelor împuternicite de operatori care nu își au sediul în Uniune”, alin. (1), alin. (2), lit. a) - b), alin. (3) - (5);
  • Art. 37 “Desemnarea responsabilului cu protecția datelor”, alin. (1), lit. a) - c), alin. (2) - (7);
  • Art. 38 “Funcția responsabilului cu protecția datelor”, alin. (1) - (6);
  • Art. 39 “Sarcinile responsabilului cu protecția datelor”, alin. (1), lit. a) - e), alin. (2).
6.3.1.1 Roluri și responsabilități de securitate a informațiilor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f)
6.3.2.1 Politica dispozitivelor mobile
  • Art. 39 “Sarcinile responsabilului cu protecția datelor”, alin. (1), lit. b).
6.4.2.2 Conștientizarea, educarea și instruirea în domeniul securității informațiilor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 32 “Securitatea prelucrării”, alin. (2).
6.5.2.1 Clasificarea informațiilor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.5.2.2 Etichetarea informațiilor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. a).
6.5.3.1 Gestionarea suporturilor amovibile
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.5.3.2 Eliminarea materialelor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. a).
6.5.3.3 Transfer fizic de date
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.6.2.1 Înregistrarea și ștergerea utilizatorului
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.6.2.2 Provizionarea accesului utilizatorului
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.6.4.2 Proceduri de conectare sigure
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. a).
6.7.1.1 Politica privind utilizarea controalelor criptografice
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.8.2.7 Eliminarea sau refolosirea în siguranță a echipamentelor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.8.2.9 Politica de birou curat și ecran  protejat 
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. c).
6.9.3.1 Backup de informații
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.9.4.1 Înregistrarea evenimentelor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.9.4.2 Protecția informațiilor din jurnal
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.10.2.1 Politici și proceduri privind transferul de informații
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. b);
  • Art. 38 “Funcția responsabilului cu protecția datelor”, alin. (5).
6.10.2.4 Acorduri de confidențialitate sau nedivulgare
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. a).
6.11.1.2 Securizarea serviciilor de aplicații în rețelele publice
  • Art. 25 “Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit”, alin. (1).
6.11.2.1 Politica de dezvoltare sigură
  • Art. 25 “Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit”, alin. (1).
6.11.2.5 Principii sigure de inginerie a sistemelor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
6.11.3.1 Protecția datelor de testare
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 28 “Persoana împuternicită de operator”, alin. (1), alin. (3), lit. a) - h);
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (2), lit. d);
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. b).
6.12.1.2 Abordarea securității în cadrul acordurilor cu furnizorii
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 33 “Notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu caracter personal”, alin. (1), alin. (3), lit. a) - d), alin. (4) - (5);
  • Art. 34 “Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal”, alin. (1) - (2), alin. (3), lit. a) - c), alin. (4)
6.13.1.1 Responsabilități și proceduri
  • Art. 33 “Notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu caracter personal”, alin. (1) - (2), alin. (3), lit. a) - d), alin. (4) - (5);
  • Art. 34 “Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal”, alin. (1) - (2).
 

6.13.1.5 Răspuns la incidente de securitate a informațiilor

  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f);
  • Art. 28 “Persoana împuternicită de operator”, alin. (1), alin. (3), lit. a) - h);
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (2), lit. d);
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. b).
6.15.1.1 Identificarea legislației aplicabile și a cerințelor contractuale
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (2);
  • Art. 24 “Responsabilitatea operatorului”, alin. (2).
6.15.1.3 Protecția înregistrărilor
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. d), alin. (2).
6.15.2.1 Revizuirea independentă a securității informațiilor
  • Art. 32 “Securitatea prelucrării”, alin.(1), lit. d), alin. (2).
6.15.2.3 Revizuirea conformității tehnice
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. b);
  • Art. 32 “Securitatea prelucrării”, alin. (4).
7.2.1 Identificarea și documentarea scopului
  • Art. 10 “Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni;
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. a);
  • Art. 6 “Legalitatea prelucrării”, alin. (1), lit. a) - f), alin. (2) - (3), alin. (4), lit. a) - e);
  • Art. 8 “Condiții aplicabile în ceea ce privește consimțământul copiilor în legătură cu serviciile societății informaționale”, alin. (3);
  • Art. 9 “Prelucrarea de categorii speciale de date cu caracter personal”, alin. (1), alin. (2), lit. b) - j), alin. (3) - (4);
  • Art. 17 “Dreptul la ștergerea datelor („dreptul de a fi uitat”)”, alin. (3), lit. a), alin. (3), lit. b) - e);
  • Art. 18 “Dreptul la restricționarea prelucrării”, alin. (2);
  • Art. 22 “Procesul decizional individual automatizat, inclusiv crearea de profiluri”, alin. (2), lit. a) - c), alin. (4).
7.2.2 Identificarea bazei legale
  • Art. 8 “Condiții aplicabile în ceea ce privește consimțământul copiilor în legătură cu serviciile societății informaționale”, alin. (1) - (2).
7.2.3 Determinarea situațiilor când și cum trebuie obținut consimțământul
  • Art. 7 “Condiții privind consimțământul”, alin. (1) - (2);
  • Art. 9 “Prelucrarea de categorii speciale de date cu caracter personal”, alin. (2), lit. a).
7.2.4 Obținerea și înregistrarea consimțământului
  • Art. 35 “Evaluarea impactului asupra protecției datelor”, alin. (1) - (2), alin. (3), lit. a) - c), alin. (4) - (5), alin. (7), lit. a) - d), alin. (8) - (11);
  • Art. 36 “Consultarea prealabilă”, alin. (1), alin. (3), lit. a) - f), alin. (5).
7.2.5 Evaluarea impactului asupra confidențialității
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (2);
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. e), alin. (9).
7.2.6 Contracte cu împuterniciții PII
  • Art. 26 “Operatori asociați”, alin. (1) - (3).
7.2.7 Operatorii asociați
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (2);
  • Art. 24 “Responsabilitatea operatorului”, alin. (1);
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (1), lit. a) - d) și lit. f) - g), alin. (3) - (5).
7.2.8 Înregistrări legate de procesarea împuterniciților
  • Art. 12 “Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, alin. (2).
7.3.1 Determinarea și îndeplinirea obligațiilor față de împuterniciți
  • Art. 11 “Prelucrarea care nu necesită identificare”, alin. (2);
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (3), alin. (1), lit. a) - f), alin. (2), lit. c) - e), alin. (4);
  • Art. 14 “Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, alin. (1), lit. a) - f), alin. (2), lit. b) și lit. e) - f), alin. (3), lit. a) - c), alin. (4), alin. (5), lit. a) - d);
  • Art. 15 “Dreptul de acces al persoanei vizate”, alin. (1), lit. a) - h), alin. (2);
  • Art. 18 “Dreptul la restricționarea prelucrării”, alin. (3);
  • Art. 21 “Dreptul la opoziție”, alin. (4).
7.3.2 Determinarea informațiilor pentru împuterniciți
  • Art. 11 “Prelucrarea care nu necesită identificare”, alin. (2);
  • Art. 12 “Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, alin. (1) și (7);
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (3);
  • Art. 21 “Dreptul la opoziție”, alin. (4).
7.3.3 Furnizarea de informații către împuterniciți
  • Art. 7 “Condiții privind consimțământul”, alin. (3);
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (2), lit. c);
  • Art. 14 “Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, alin. (2), lit. d);
  • Art. 18 “Dreptul la restricționarea prelucrării”, alin. (1), lit. a) - d).
7.3.4 Furnizarea mecanismului de modificare sau retragere a consimțământului
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (2), lit. b);
  • Art. 14 “Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, alin. (2), lit. c);
  • Art. 21 “Dreptul la opoziție”, alin. (1) - (3), alin. (5) - (6).
7.3.5 Furnizarea mecanismului de a obiecta la procesarea de către împuterniciți
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. d);
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (2), lit. b);
  • Art. 14 “Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, alin. (2), lit. c);
  • Art. 16 “Dreptul la rectificare;
  • Art. 17 “Dreptul la ștergerea datelor („dreptul de a fi uitat”)”, alin. (1), lit. a) - f), alin. (2).
7.3.6 Acces, corectare și / sau ștergere
  • Art. 19 “Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării.
7.3.7 Obligațiile operatorilor PII de a informa terții
  • Art. 15 “Dreptul de acces al persoanei vizate”, alin. (3) - (4);
  • Art. 20 “Dreptul la portabilitatea datelor”, alin. (1) - (4).
7.3.8 Furnizarea copiei cu datele procesate
  • Art. 15 “Dreptul de acces al persoanei vizate”, alin. (1), lit. a) - h);
  • Art. 12 “Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, alin. (3) - 6).
7.3.9 Gestionarea cererilor
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (2), lit. f);
  • Art. 14 “Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, alin. (2), lit. g);
  • Art. 22 “Procesul decizional individual automatizat, inclusiv crearea de profiluri”, alin. (1) și (3).
7.3.10 Luarea automată a deciziilor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. b) - c).
7.4.1 Limitarea colectării
  • Art. 25 “Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit”, alin. (2).
7.4.2 Limitarea procesării
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. d).
7.4.3 Acuratețe și calitate
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. c) și e).
7.4.4 Obiective de minimizare
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. c) și e);
  • Art. 6 “Legalitatea prelucrării”, alin. (4), lit. e);
  • Art. 11 “Prelucrarea care nu necesită identificare”, alin. (1);
  • Art. 32 “Securitatea prelucrării”, alin. (1), lit. a).
7.4.5 Anonimizarea și ștergerea la sfârșitul procesării
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. c).
7.4.6 Fișiere temporare
  • Art. 13 “Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, alin. (2), lit. a);
  • Art. 14 “Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată”, alin. (2), lit. a).
7.4.7 Termenul de păstrare
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
7.4.8 Eliminarea / Ștergerea
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
7.4.9 Transferul de date 
  • Art. 15 “Dreptul de acces al persoanei vizate”, alin. (2);
  • Art. 44 “Principiul general al transferurilor;
  • Art. 45 “Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecție”, alin. (1), alin. (2), lit. a) - c), alin. (3) - (9);
  • Art. 46 “Transferuri în baza unor garanții adecvate”, alin. (1), alin. (2), lit. a) - f), alin. (3), lit. a) - b), alin. (4) - (5);
  • Art. 47 “Reguli corporatiste obligatorii”, alin. (1), lit. a) - c), alin. (2), lit. a) - n), alin. (3);
  • Art. 49 “Derogări pentru situații specifice”, alin. (1), lit. a) - g), alin. (2) - (6);
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (1), lit. e);
  • Art. 48 “Transferurile sau divulgările de informații neautorizate de dreptul Uniunii.
7.5.1 Identificarea temeiului pentru transferul către terți 
  • Art. 15 “Dreptul de acces al persoanei vizate”, alin. (2);
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (1), lit. e).
7.5.2 Țări și organizații internaționale către care poate fi transferate date
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (1), lit. e).
7.5.3 Înregistrări ale transferului
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (1), lit. d).
7.5.4 Înregistrări ale divulgării către terți
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. f), alin. (3), lit. e), alin. (9);
  • Art. 35 “Evaluarea impactului asupra protecției datelor”, alin. (1).
8.2.1 Acordul clientului
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. a) - b);
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. a);
  • Art. 29 “Desfășurarea activității de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de operator;
  • Art. 32 “Securitatea prelucrării”, alin. (4).
8.2.2 Scopurile organizației
  • Art. 7 “Condiții privind consimțământul”, alin. (4).
8.2.3 Utilizarea marketingului și a publicității
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. h).
8.2.4 Informarea încălcărilor de securitate
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. h).
8.2.5 Obligațiile clienților
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (3) - (5), alin. (2), lit. a) - b).
8.2.6 Înregistrări legate de procesare
  • Art. 15 “Dreptul de acces al persoanei vizate”, alin. (3);
  • Art. 17 “Dreptul la ștergerea datelor („dreptul de a fi uitat”)”, alin. (2);
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. e).
8.3.1 Obligații față de împuterniciți
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. c).
8.4.1 Fișiere temporare
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. g);
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (1), lit. f).
8.4.2 Returnarea, transferul sau eliminarea datelor
  • Art. 5 “Principii legate de prelucrarea datelor cu caracter personal”, alin. (1), lit. f).
8.4.3 Controlul transferurilor
  • Art. 44 “Principiul general al transferurilor;
  • Art. 46 “Transferuri în baza unor garanții adecvate”, alin. (1), alin. (2), lit. a) - f), alin. (3), lit. a) - b);
  • Art. 48 “Transferurile sau divulgările de informații neautorizate de dreptul Uniunii;
  • Art. 49 “Derogări pentru situații specifice”, alin. (1), lit. a) - g), alin. (2) - (6).
8.5.1 Temeiul transferului între jurisdicții
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (2), lit. c).
8.5.2 Țări și organizații internaționale către care pot fi transferate date
  • Art. 30 “Evidenţele activităţilor de prelucrare”, alin. (2), lit. d).
8.5.3 Înregistrări ale divulgării către terți
  • Art. 28 “Persoana împuternicită de operator”, alin. (3), lit. a).
8.5.4 Notificarea cererilor de divulgare
  • Art. 48 “Transferurile sau divulgările de informații neautorizate de dreptul Uniunii.
8.5.5 Dezvăluiri obligatorii din punct de vedere legal
  • Art. 28 “Persoana împuternicită de operator”, alin. (2) și (4).
8.5.6 Dezvăluirea subcontractanților utilizați pentru procesarea datelor
  • Art. 28 “Persoana împuternicită de operator”, alin. (2), alin. (3), lit. d).
8.5.7 Angajarea unui subcontractant pentru procesarea datelor
  • Art. 28 “Persoana împuternicită de operator”, alin. (2).
8.5.8 Schimbarea subcontractantului pentru procesarea datelor

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Comandă acum Curierul Judiciar nr. 4/2021 – dedicat în exclusivitate Conferinţei Naţionale de Confidenţialitate şi Protecţia Datelor Pr!vacy Romania 2021 (ASCPD)

Un nou proiect editorial a fost adaugat în webshop-ul dpo-net.ro. Este vorba un număr special al Revistei Curierul Judiciar care este dedicat în exclusivitate Conferinţei Naţionale de Confidenţialitate […]

De ce ai nevoie la o gazduire web si unde poti alege o varianta de incredere?

Atunci când deții o afacere online, indiferent de mărimea acesteia, ai nevoie de găzduire web. O prezență cât mai vizibilă pe internet a devenit o necesitate pentru orice […]

Gazduire web: Asteptarile fiecarui client vs realitatea din 2021, alege cea mai buna gazduire web

Cand vine vorba de alegerea unei firme care sa furnizeze un pachet ideal de web hosting, indiferent ca este destinat unui blog personal sau unui magazin online urias, […]

Fiecare practician GDPR trebuie să aibă această carte

In domeniul protecției datelor în România, anul 2021 a debutat cu relansarea pe piață a carții „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016” ( Editia 1, […]

A apărut Revista Romana pentru Protectia si Securitatea Datelor cu Caracter Personal 4/2020

O noua publicatie a fost introdusa recent in webshop-ul dpo-NET.ro.  Este vorba de numărul 4 al Revistei Romane pentru Protectia si Securitatea Datelor cu Caracter Personal, aparuta la […]

Cu ocazia Zilei Internationale a Cititului Impreuna am lansat 10 noi publicații în webshop-ul dpo-NET.ro

16 februarie este „Ziua Internațională a Cititului Împreună”, o zi care ne amintește de puterea cuvintelor, a informațiilor și despre importanța educației profesionale continue. Cu această ocazie ne-am […]

Cum programăm angajații la vaccinul împotriva COVID-19? (model notă de informare GDPR și recomandări)

Societatea în care trăim s-a schimbat radical, fiind supusă și în prezent la unul din cele mai dificile teste de stres. Frica este cea care a obligat societatea […]

Comanda acum „Protectia datelor cu caracter personal. Ghid practic” (Diana Flavia Barbur)

O noua publicație a fost inclusă în portofoliul WebShop-ului dpo-NET. Este vorba de cartea „Protectia datelor cu caracter personal. Ghid practic” (Diana Flavia Barbur) apărută la sfârșitul anului […]

PROCEDURĂ privind munca în afara sediului angajatorului *(GRATUIT)

  Reglementată de Legea 81/2018 și impusă în viața noastră mai repede decât ne-am fi așteptat de către pandemia Covid 19, telemunca și munca la domiciliu au devenit […]

A apărut nr.3/2020 al Revistei Române pentru Protectia si Securitatea Datelor cu Caracter Personal

O noua publicatie a fost introdusa recent in webshop-ul dpo-NET.ro.  Este vorba de-al treilea numar al Revistei Romane pentru Protectia si Securitatea Datelor cu Caracter Personal, aparuta la […]

A apărut nr.2/2020 al Revistei Române pentru Protectia si Securitatea Datelor cu Caracter Personal

O noua publicatie a fost introdusa recent in webshop-ul dpo-NET.ro.  Este vorba de al doilea numar al Revistei Romane pentru Protectia si Securitatea Datelor cu Caracter Personal, aparuta […]

Document GRATUIT: PROCEDURĂ „Controlul temperaturii angajaților” (actualizat 23.05.2020)

Ținând cont de completarea legislației relevante cu Ordinul 874/81/2020 (ordin comun al Ministerului Sănătății și Ministerului Afacerilor Interne), de poziția Autorității Naționale de Supraveghere a Prelucrării Datelor cu […]

Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema „Informatii introductive despre utilizarea semnaturilor electronice” si care isi propune sa ofere informații […]

Cartea „GDPR for dummies” este acum disponibilă cu livrare imediată

O noua publicație a fost inclusă în portofoliul WebShop-ului dpo-NET. Este vorba de cartea apărută în Marea Britanie la începutul acestui an, „GDPR for dummies”. Cu peste 440 […]

Peste 20 de titluri noi in WebShop-ul Dpo-NET.ro

NeoPrivacy Romania a dezvoltat la inceputul anului 2019 primul portal web românesc dedicat exclusiv comunității profesioniștilor din domeniul protecției datelor și securității informațiilor  oferind informații naționale și internaționale, […]

Prevederi legislative privind desfasurarea muncii la domiciliul angajatilor. BONUS! Model GRATUIT act aditional CIM

Avand in vedere demersurile initiate de Grupul de suport tehnico-stiintific privind gestionarea bolilor inalt contagioase, din cadrul Guvernului Romaniei, cu privire la gestionarea cazurilor de infectie cu Coronavirus […]

A apărut Revista Romana pentru Protectia si Securitatea Datelor cu Caracter Personal

O noua publicatie a fost introdusa recent in webshop-ul dpo-NET.ro.  Este vorba de primul numar al Revistei Romane pentru Protectia si Securitatea Datelor cu Caracter Personal, aparuta la […]

Un ghid de AUDIT care nu trebuie să lipsească de pe biroul fiecărui GDPR-ist

Acest ghid si INSTRUMENT DE AUDIT, disponibil in webshop-ul dpo-net.ro, este probabil printre putinele carti aparute in Romania cu ajutorul careia o institutie sau o companie poate sa-si […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

gazduire website gazduire web