Așteptăm prima amendă sau ne ocupăm de conformitate înainte să ni se întâmple ceva?

Evenimente

Vizualizari: 1948

Facebooktwittergoogle_plusredditpinterestlinkedinmail

GDPR Talks a fost primul eveniment din Romania organizat anul acesta pe tema noilor reglementari GDPR, după un an de la intrarea in vigoare. La discuții  au participat specialiști care vin din diferite culturi, cu diferite experiențe, din mediul public sau privat, reprezentând companii mai mari sau mai mici, asociații profesionale sau consultanți independenți, dar toți animați aceeași dorință de a împărtăși din propriile experiențe.

Temele evenimentului au abordat realizările și dificultățile GDPR din perspectiva sectorului public si a celui privat. Al treilea panel a fost o premieră pentru Romania, abordând tematica Digital Ethycs, o temă de care se va vorbi tot mai mult, pe măsura asimilării noilor tehnologii, care vin cu noi riscuri pentru protecția datelor personale și a drepturilor și libertăților fundamentale. La GDPR Talks, pentru perspectiva sectorului public, au participat Simona Zanfir – Consilier Birou Juridic ANSPDCP, Cătălin Giulescu – consultant GDPR, Nelu Munteanu – Director Tehnic CERT.RO, Yugo Neumorni – Președinte CIO Council România, Silvia Axinescu – Senior Managing Associate Reff & Associates / Deloitte Romania, Iurie Cojocaru – Managing Associate CIPP/E NNDKP și Marius Dumitrescu – Președinte Asociația Specialiștilor în Confidențialitate și Protecția Datelor România.

La nivel de reglementare, bilanțul ultimului an arată cam așa:

  • Legea nr. 129/2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înființarea, organizarea şi funcționarea ANSPDCP, precum şi pentru abrogarea Legii nr. 677/2001
  • Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679.
  • Decizia nr. 99/2018 privind încetarea aplicabilității unor acte normative cu caracter administrativ emise în aplicarea Legii nr. 677/2001.
  • Decizia nr. 128/2018 privind aprobarea formularului tipizat al notificării de încălcare a securității datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679
  • Decizia nr. 133/2018 privind aprobarea Procedurii de primire și soluționare a plângerilor
  • Decizia nr. 161/2018 privind aprobarea Procedurii de efectuare a investigațiilor
  • Decizia nr. 174/2018 privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal.

Până acum la nivelul autorității de reglementare au fost înregistrate: 391 încălcări de securitate a datelor notificate până la 17 mai 2019, 69 investigații efectuate ca urmare a sesizărilor primite, 456 investigații efectuate la plângerile persoanelor vizate de către Autoritate până la 01 mai 2019, 9335 de persoane DPO până la data de 1 mai 2019.

Cătălin Giulescu,  consultant GDPR, a fost printre primii specialiști în protecția datelor din România, este DPO certificat de EIPA și a fost coordonatorul echipei tehnice care a gestionat negocierile la nivel european pentru elaborarea și adoptarea GDPR. Principalul sfat al lui Cătălin Giulescu a fost să nu ne lăsăm copleșiți de complexitatea unei situații și să încercăm să abordăm dificultățile cu calm: ”Un process de obținere a conformității GDPR este un fenomen extrem de complex și de fluid și fiecare etapă sau problemă trebuie abordată cu mult calm”. Cătălin a răspuns la un mare număr de întrebări venite din sală și chiar din partea celorlalți paneliști, dezamorsând una dintre cele mai critice probleme, aceea a aplicării unui sistem diferit de penalizare pentru organizațiile din sectorul public și privat. Exista falsa impresie că această situație se regăsește numai în România, în realitate, acest sistem a fost gândit chiar la nivelul Uniunii Europene, ca o consecință a capacității restrânse de adaptare la risc ce se manifestă în sectorul public.

Începând din data de 2 mai 2019 a devenit disponibil numărul unic 1911 pe care Centrul Național de Răspuns la Incidente de Securitate Cibernetică îl pune la dispoziție pentru raportarea incidentelor de Securitate. Nelu Munteanu, director tehnic la CERT.RO a oferit câteva detalii, la GDPR Talks, despre înființarea acestui call-center care poate oferi o asistență primară și consiliere persoanelor fizice, juridice și instituțiilor publice care raportează incidente de Securitate cibernetică.

Din perspectiva GDPR, care vine cu obligativitatea ca fiecare organizație să aibă un plan de raportare a breșelor și o echipă de intervenție în caz de breșă, existența acestui serviciu de urgență specializat oferă operatorilor de date personale posibilitatea efectuării unei analize mult mai exacte cu privire la natura incidentului și amploarea lui, ajutând la luarea deciziei de notificare a breșei către Autoritate, atunci când este cazul, în termenul de 72 de ore hotărât. Nelu Munteanu a prezentat și alte activități și proiecte de conștientizare în care este implicate CERT.RO, precum supervizarea aplicării NIS în România, dar și buna colaborare cu Autoritatea și alte instituții publice și private pentru creșterea gradului de Securitate în spațiul cibernetic.

Printre cei mai profund implicați în problemele ridicate de GDPR sunt directorii informatici, care se află în prima linie în continua bătălie cu atacurile cibernetice dar și cu asigurarea măsurilor interne de reducere a vulnerabilităților datorate erorilor umane. Yugo Neumorni, Președinte CIO Council România, prezent la GDPR Talks, s-a referit la preocupările concrete ale asociației profesionale a directorilor informatici, care în ultimii doi an a derulat o serie de proiecte speciale destinate asigurării condițiilor optime de securizare și eficientizare a sistemelor informatice. ”Există, din păcate, destule organizații în care aplicarea GDPR este percepută în mod eronat ca fiind o responsabilitate exclusivă a CIO când aceasta aparține, în realitate, Board-ului. Din perspectiva CIO, fenomenul GDPR aduce o mare provocare profesională și mult stres, dar și un sprijin și o argumentație în plus la constituirea bugetelor IT” a apreciat Yugo Neumorni.

Una dintre marile probleme ridicate de GDPR este asigurarea efectivă a dreptului la ștergere a datelor personale ale unei persoane vizate. Se știe foarte bine că este destul de dificil din punct de vedere tehnic și costisitor, în același timp, să se asigure ștergerea unor seturi de date în cazul unor sisteme informatice, în marea lor majoritate heterogene, unde sistemele de backup sunt implementate pe diferite nivele și, evident, în diferite locații. Specialiștii așteaptă elaborarea unor seturi de recomandări care să faciliteze efectuarea operațiunilor necesare în cazul în care e nevoie să se răspundă la solicitări de acest fel.

De la aspectele tehnice s-a trecut în mod natural la cele legale, ce pot fi însoți uneori cauze tehnice, precum procedurile asociate administrării multivalente a incidentelor de Securitate și rolul analizelor de impact în asigurarea conformității.

Silvia Axinescu, Senior Managing Associate la Reff & Associates / Deloitte Romania a prezentat o interesantă abordare a utilității analizei de impact în cazul adoptării de noi tehnologii sau procese ce ar putea induce riscuri majore pentru securitatea datelor personale. O importanță apare o au și analizele de tip LIA (Legitim Interest Analyse) care sunt absolut obligatorii în cazurile în care legitimul interes este principalul temei legal la prelucrarea de date personale și unde trebuie menținută în permanență balanța între ceea ce pentru operator este interes legitim, iar pentru persoana vizată un drept de asigurare a drepturilor și libertăților fundamentale.

Iurie Cojocaru, Managing Associate la casa de avocatură NNDKP  a făcut o scurtă trecere în revistă a măsurilor organizatorice ce trebuie adoptate pentru reducerea riscurilor de apariție a unor incidente de Securitate, printre care și cele asociate instruirii corecte a angajaților și implementării politicilor și normelor interne. Sunt situații în care riscul apariției unor incidente de Securitate este datorat în proporție de peste 60-70% unor vulnerabilități interne, asupra cărora se poate acționa.

O prezență activă la organizarea și desfășurarea evenimentului a avut-o asociația profesională a DPO, reprezentată la discuțiile primului panel de Marius Dumitrescu, Președinte Asociația Specialiștilor în Confidențialitate și Protecția Datelor România, iar în sală de o numeroasă delegație de membrii ai asociației. Obiectivul ASCPD este de a oferi soluții concrete la problemele cu care se confruntă specialiștii în confidențialitate și protecția datelor, de a crește gradul de conștientizare a legislației și de a oferi membrilor săi un forum în care aceste subiecte să poată fi dezbătute, precum și un loc de pregătire profesională continuă.

ASCPD militează pentru îmbunătățirea gradului de conștientizare cu privire la tehnologiile și legile care pun în pericol viață privată, pentru a se asigura că publicul este informat și implicat. Una dintre problemele ridicate de Marius Dumitrescu în cadrul discuțiilor din panel a fost cea legată de persoanele care sunt puse în postura de a activa ca DPO prin numirea conducerii și care nu posedă cunoștințele obligatorii necesare pentru exercitarea acestei funcții sau se află într-un posibil conflict de interese.

În Privat totul se vede altfel și orice risc poate deveni fatal pentru business

Fiecare dintre invitații prezenți la discuțiile dedicate sectorului privat acumulează o bogată experiență în proiecte de implementare sau educație legate de GDPR, ceea ce a permis asigurarea unui climat de discuții deschis, colocvial, unde chiar diferențele de opinii au fost prezentate într-o manieră constructivă: Sînziana Oghină – Avocat Medlife, Ciprian Timofte – Managing Associate Țuca Zbârcea & Asociații, Bogdan Manolea – Trusted.ro, Daniel Suciu – Consultant GDPR, DPO Extern, iar ca moderator Tudor Galoș – ECPC-B DPO, Senior Consultant GDPR.

Sînziana Oghină, Avocat Medlife a prezentat câteva dintre experiențele în domeniul privat, unde companiile mari au fost nevoite să ia mult mai în serios provocările GDPR. Cu toate eforturile pentru conformare depuse, elaborarea unor proceduri și a unor politici cu resurse interne sau externe și comunicarea acestora către angajați nu asigură conformitatea organizației. ”O soluție pentru o eficientă implementare și funcționare a Regulamentului este o mai buna informare, poate chiar organizarea unor workshopuri din partea Autorității, deoarece Regulamentul lasă multe locuri de interpretare”, a spus Sînziana Oghină.

Ciprian Timofte, Managing Associate, Țuca Zbârcea & Asociații a pus accentul,  la GDPR Talks, pe necesitatea elaborării unor strategii la nivel de organizație, care să urmărească asimilarea regulilor și procedurilor la nivel intern. Din discuții a reieșit dificultatea acestui demers, oamenii fiind în general reticenți la schimbare. Constatare susținută cu exemple din situații reale și de ceilalți paneliști. O altă zonă de activitate importantă care a fost destul de puternic influențată de GDPR este marketingul. Noile condiții de obținere a consimțământului corelate cu obligativitatea respectării principiilor  promovate de GDPR determină departamentele și organizațiile de marketing să adopte o nouă disciplină, în care pe primul loc se găsește persoana vizată.

Bogdan Manolea – co-fondator Trusted.ro și Director Executiv al asociației pentru Tehnologie și Internet, a venit la GDPR Talks cu perspectiva provocărilor din zona de comerț electronic, unde există un cumul de norme, directive și regulamente ce guvernează funcționarea magazinelor online. Deși aici lucrurile par mai simple decât în alte zone de business, fiind vorba de Internet, totul ține de transparență, dar tocmai necesitatea respectării acestui principiu ridică o serie de mari probleme pentru cei care nu sunt pregătiți pentru asta, crezând că orice se poate posta pe Web. Marca de Încredere TRUSTED.ro este un program special de atestare dedicat magazinelor online și site-urilor profesionale.

Cum  Internetul este un mediu transnaţional, iar reglementările legale pentru protecţia consumatorului nu pot fi singurul element care aduc dezvoltarea afacerilor online, sprin programele initiate și dezvoltate de Trust.ro se încearcă implicarea activă a mediului de afaceri în creşterea încrederii în domeniul în care activează. Chiar prin directiva privind comerţul electronic s-a încercat stipularea acestui lucru prin promovarea codurilor de conduită şi a metodelor extra-judiciare de rezolvare a disputelor ca opțiuni ce pot creşte comerţul electronic.

Daniel Suciu – Consultant GDPR, DPO Extern are o bogată experiență în zona de protecție a datelor personale, atât la nivel de corporații, cât și pentru companii mici și mijlocii. Prin tot ceea ce face, Daniel încearcă să faciliteze accesul la informația generală, punând accentul pe aspectele practice din activitățile de zi cu zi, cu o grijă deosebită pentru detalii. Toate intervențiile susținute de Daniel au demonstrat o reală capacitate de transpunere în rolul clientului și de identificare cu cerințele acestuia.

Una dintre temele de discuție de interes general a fost legată de provocările speciale cu care GDPR vine pentru companiile mici și mijlocii, care teoretic nu dispun de resursele necesare pentru investiții în tehnologie, fiind la fel de expuse la riscuri precum companiile mari. ”Soluții și abordări există pentru orice organizație implicată într-un proces de prelucrare a datelor personale. Diferența aici este că dacă sunt conștienți de amploarea acestor provocări pentru continuitatea în business, managerii unor companii mici sunt mult mai deschiși și mai dispuși să se implice direct în eforturile de asigurare a asigurare a conformității”, a spus Daniel Suciu.

Despre Etica Digitală din perspectiva unei noi generații de tehnologii de graniță, la  de la GDPR Talks

În premieră pentru evenimentele din România, cel de-al treilea panel de la GDPR Talks, a avut ca temă majoră modul în care transformările digitale respectă principiile GDPR și drepturile noastre fundamentale, adică articolele Art. 7 (Respectarea vieții private și de familie) și Art. 8 (Protecția datelor cu caracter personal) din Carta Drepturilor Fundamentale a UE. Revoluția digitală vine cu siguranță cu o grămadă de lucruri benefice, dar și cu foarte multe semne de întrebare legate de modul în care tehnologiile de graniță precum Cloud Computing, BigData, Analytics, IoT , Blockchain sau Inteligența Artificială pot garanta drepturile fundamentale ale utilizatorilor. În același timp, protecția datelor nu se face doar prin adoptarea de politici. Un rol de bază îl au și tehnologiile. Dar, e bine știut: orice nouă tehnologie vine cu noi provocări, cu noi vulnerabilități de securitate care nu au apucat încă să fie studiate și evaluate. Cât este de importantă analiza de impact în adoptarea de noi soluții și ce se înțelege de fapt prin conceptele By Design si By Default?

În deschiderea discuțiilor, de la GDPR Talks, legate de etica digitală, Cătălin Gligan – Marketing Coordonator la ESET Romania a prezentat un studiu de piață realizat de IDC pentru compania ESET, precum și o serie de considerente care recomandă soluțiile ESET Data Loss Prevention pentru endpoint și pentru rețea ca alternative viabile pentru asigurarea prevederilor stipulate în Art.32 din GDPR, prin care operatorii și procesatorii de date sunt obligați să adopte și să implementeze măsuri tehnice şi organizatorice adecvate pentru garantarea securității datelor personale.

La discuții au mai participat Andreea Lisievici, CIPP/E și Tudor Galoș care a venit cu experiența a  mulți ani lucrați și cu abilități acumulate în ultima perioadă, de când și-a dedicat timpul consultanței pentru business transformation și GDPR. Cătălin Gligan a avut ocazia să răspundă unor întrebări din public legate de caracteristicile și funcționalitățile soluțiilor ESET. Discuțiile în cadrul panelului de la GDPR Talks au pornit de la necesitatea ca orice nouă tehnologie revoluționară și disruptivă să servească în primul rând omului. Nu va exista niciodată un pericol real și critic de a fi înlocuiți în totalitate de roboți, drone și mașini care învață singure. Andreea a discutat despre capcanele abordării greșite a unei politici de cookies și ce trebuie să conțină o informare corectă despre folosirea acestora, dar neuitând să facem același lucru pentru toate tehnicile de urmărire a unor parametrii ce reflectă locația sau preferințele noastre de consumatori. Alte teme discutate în care s-a implicat activ și Tudor se referă la așa zisa incompatibilitate între tehnlogia Blockchain și GDPR și la boomul pe care îl înregistrează tehnlogiile de Inteligență Artificială și refuzul de utilizare a tehnicilor de Recunoaștere Facială.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

De ce românilor nu le pasă de viața lor privată ?

Evenimente

Vizualizari: 662

Facebooktwittergoogle_plusredditpinterestlinkedinmail

La începutul săptămânii trecute citeam despre implementarea unui sistem de recunoaștere facială care va folosi camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare și camere ATM pentru a realiza o prelucrare, în regim automatizat, de către organele de poliție, pentru identificarea unică a indiviazilor, cu generarea unor decizii individuale automatizate care pot genera efecte juridice negative pentru subiecții de date.

Linștea din jurul acestui subiect o pot explica în doua feluri: fie majoritatea românilor sunt conștienți de acest cost și sunt dispuși să îl plătească pentru a combate criminalitatea și frauda din România sau, întreaga societate românească nu este îndeajuns educată ca să recunoască riscurile introduse de implementarea unui astfel de sistem automatizat și nu apreciază corect valoarea "vieții private"  și a libertății. În rândurile următoare nu veți găsi un răspuns clar la întrebarea din titlu dar, citind următoarele informații, puteți cel puțin să ajutați la creșterea nivelul de educație a întregii societăți românești care se va pronunța pe viitor dacă acest proiect intruziv aduce mai multe beneficii sau introduce mai multe riscuri pentru asigurarea drepturilor și libertăților persoanelor.

Ce este această tehnologie de recunoaștere facială? 

Ei bine, această tehnologie presupune prelucrarea automatizată a imaginilor, care constă în identificarea unor caracteristici faciale specifice persoanei fizice, precum ochii, nasul și gura, extragerea unor caracteristici esențiale din datele biometrice, cum ar fi măsurările faciale pornind de la o imagine captată, inclusiv prin reprezentarea matematică a întregii imagini care rezultă din analiza componentelor principale ale acesteia și duce la identificarea persoanei. Soluția de recunoaștere facială care se dorește implementată în România va trebui să poată executa căutări după o imagine „în litigiu” într-o bază de date de până la 2.000.000 de înregistrări, în maxim 5 secunde, într-o bază de date care va putea cuprinde mai mult de 10% din toată populația României. Altfel spus, BigBrother devine o realitate în România și vom plati cu toții cu prețul vieții noastre private pentru binele comun, în condițiile în care un astfel de sistem nu și-a dovedit eficacitatea, fiind interzis de exemplu în San Francisco, Somerville din Massachusetts și Oakland.  Conform unui anunț recent, chiar și California urmează sa adopte o lege de interzicerea a camerelor utilizate de poliție și care folosesc tehnologia de recunoaștere facială, ca o măsură de protecție a vieții private.

În România acest proiect a fost inițiat de Inspectoratul General al Poliției Române care a lansat deja o achiziție publică pentru operaționalizarea sistemului de identificare și recunoaștere facială NBIS (Național Biometric Identification System) și interconectarea acestuia cu autoritățile de aplicare a legii din Uniunea Europeană. Prin implementarea acestei tehnologii, Poliția Română urmărește să crească gradul de combatere și elucidare a cazurilor asociate furtului de identitate, a documentelor pierdute sau furate, identificarea suspecților care comit sau intenționează să comită fapte de natură penală (terorism, infracțiuni cu violenta, etc.).

Am studiat cu interes Caietul de sarcini - sistem de recunoastere faciala și am constatat cu surpriză faptul că în cadrul acestor criterii de atribuire a contractului, ponderea pentru „Eficacitatea algoritmului de căutare/comparare” este de doar 30%, fiind pe aceeași treaptă cu prețul ofertei. Restul factorilor de evaluare vizează caracteristici hardware care nu afectează acuratețea funcționarii software-ului de recunoaștere faciala.  Un alt aspect care mi-a întărit îngrijorarea privind viabilitatea sistemului de recunoaștere faciala este faptul că Autoritatea nu a impus prin documentația achiziției cele mai utilizate condiții de participare atunci când sunt vizate proiecte de o asemenea amploare și sensibilitate: demonstrarea capacității tehnice și profesionale și situația economica și financiară a ofertantului. Prin urmare, operatorii care vor depune o oferta nu vor trebui să dovedească faptul că dețin resursele financiare suficiente pentru a duce la bun sfârșit un proiect de o asemenea amploare și importanță și nici nu vor trebui să dovedească că au experiență în implementarea unei soluții similare sau măcar că personalul care se va ocupa de instalarea sistemului este calificat și deține experiență specifică în astfel de proiecte.

Care este legislația națională și europeană care reglementează această tehnologie ?

Am facut următorul pas logic și am căutat articole din legislația românească și europeană care reglementează acest tip de prelucrări de date personale și am găsit Legea nr. 363/2018 și Directiva 680/2016.

Astfel, conform dispozițiilor art. 10 și 11 din Legea 363/2018, prelucrarea datelor sensibile (biometrice) prin mijloace automate este interzisă, cu excepţia cazului în care prelucrarea este reglementată expres de lege, și sunt instituite măsuri corespunzătoare pentru protejarea drepturilor, a libertăţilor şi a intereselor legitime ale persoanei vizate. Mai mult, utilizarea unui sistem ce ridica suspiciuni privind intruziunea în viața privată a persoanelor ar trebui înainte de toate să treacă printr-o evaluare a impactului asupra protecţiei datelor cu caracter personal (DPIA), obligatorie pentru acest tip de prelucrări conform Deciziei nr. 174/2018 a Autorității Naționale de Supraveghere.

Având în vedere că vorbim despre implementarea unei tehnologii noi care prezintă un risc ridicat pentru drepturile și libertățile persoanelor și care va putea fi utilizat pe întreg teritoriul României, consider că Poliția Română ar fi trebuit să consulte autoritatea națională de supraveghere atunci când a planificat achiziția acestui sistem în vederea includerii în caietului de sarcini a unor cerințe funcționale specifice care să ofere garanții suficiente în ceea ce privește protecția datelor personale, adică respectarea conceptului de privacy by design (vezi art. 25 din GDPR).

În privința legislației europene m-am consultat cu un specialist în domeniu, Sergiu Bozianu - Președinte al Asociației pentru Protecția Vieții Private, Fost Director Adjunct -  Direcția Generală de Supraveghere și Conformitate la Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova, realizând următoarea analiză succintă:

"Având elementele constitutive relevate, constatăm cu certitudine că acestor operațiuni de prelucrare a datelor nu sunt opozabile cerințele GDPR în măsura în care datele colectate în scopurile enunțate nu vor fi prelucrate în alte scopuri decât cele care cad sub incidența Regulamentului, în conformitate cu prevederile art. 9 alin. (1) din Directiva 680. Chiar dacă cerințele Directivei 680 nu au aplicabilitate directă pentru statele membre cum ar fi în cazul GDPR, pentru asigurarea respectării dreptului la viața privată în legătură cu prelucrarea datelor cu caracter personal în sectorul polițienesc aceste trebuințe reprezintă un imperativ.

În acest sens, art. 10 din Directiva 680/2016 stabilește expres și fără drept de interpretare că: prelucrarea datelor genetice, prelucrarea datelor biometrice pentru identificarea unică a unei persoane fizice [.....] este autorizată numai atunci când este strict necesară și sub rezerva unor garanții adecvate pentru drepturile și libertățile persoanei vizate și numai atunci când este autorizată de dreptul Uniunii sau de dreptul intern

Pentru a putea aprecia caracterul conform al acestei intenției ale IGP, se impun următoarele întrebări:

  • Art. 12-18, cum se vor realiza drepturile persoanelor vizate și în ce măsură vor fi asigurate/restrânse, inclusiv perioada pentru care nu vor fi informați;
  • Art. 22, care sunt măsurile organizatorice și tehnice puse în aplicare de către persoana împuternicită, care aparent este de drept privat;
  • Art. 24, care este actul normativ care stabilește condițiile de evidență a prelucrărilor de date: în special care s-ar referi la: destinatarii datelor, categoriilor de persoane vizate, eventualul transfer către o țară terță, temeiul juridic al prelucrării, termenul limită pentru ștergere a datelor, măsurile generale tehnice de securitate asigurate.
  • Art. 27, dacă a fost efectuat impactul asupra protecției datelor cu caracter personal înainte de a prelucra categoria specială de date prin intermediul dezvoltării unei noi tehnologii.
  • Art. 28, dacă în prealabil a fost consultată Autoritatea de supraveghere, inclusiv care a fost poziția acesteia pe caz, cu specificarea aspectelor esențiale;
  • Art. 36-37, dacă se va efectua transferul către țări terțe și care vor fi situațiile opozabile;
  • Art. 41, care este Autoritatea responsabilă de asigurarea protecției datelor cu caracter personal în cazul unor astfel de operațiuni de prelucrare a datelor și care sunt competențele efective ale acesteia.

De menționat că așa cum opinează CEDO în numeroasele sale hotărâri, simplul fapt al colectării și înregistrării de către o autoritate publică a datelor cu caracter personal ale unei persoane vizate – reprezintă o ingerință în viața privată, care poate avea loc doar dacă este prevăzută de LEGE și este necesară într-un stat democratic. Suplimentar pot să comunic că în Republica Moldova încă în perioada anilor 2015-2016, de către Î.S. CRIS ,,Registru” actuala Agenție Servicii Publice – instituție publice responsabilă de gestionarea mai multor registre de stat cum ar fi: (Registrul de stat al populației, Registrul de stat al unităților de drept, Registrul de stat al transporturilor auto etc.) a intenționat în regim de testare a unui sistem similar de recunoaștere facială. În acel caz, instituția vizată a solicitat poziția Autorității de supraveghere – Centrului Național pentru Protecția Datelor cu Caracter Personal care și-a expus poziția, înaintând un set de cerințe similare celor descrise supra pentru a fi asigurat regimul juridic al protecției datelor cu caracter personal."

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Studentii viziteaza CERT.RO in cadrul programului de internship

Evenimente

Vizualizari: 857

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Luni, 2 septembrie 2019, CERT-RO a primit în vizită 18 studenți înscriși în Programul Oficial de Internship al Guvernului României. Domnul Iulian Alecu, Directorul General Adjunct și domnul Nelu Munteanu, Directorul Direcției Tehnice, au realizat o prezentare generală a activității CERT-RO.

În prezentarea domnului Iulian Alecu, a fost surprinsă importanța securității cibernetice în tot spectrul social, de la individ în activitățile lui cotidiene, până la state și companii. A fost subliniat faptul că nivelul de protecție și de pregătire a reacției în caz de atac este într-o continuă creștere, dar și că atacurile devin din ce în ce mai versatile. Atacatorii pot folosi diverse mijloace de desfășurare a campaniilor, inclusiv prin căi simple precum ingineria socială. Orice activitate a oamenilor în mediul online îi poate plasa în circumstanțe vulnerabile. Însă acest lucru nu trebuie să descurajeze utilizarea acestui mijloc de comunicare, ci încurajează adoptarea unei atitudini mai riguroase în ceea ce privește igiena cibernetică și cantitatea de informație pe care o facem publică.

Domnul Nelu Munteanu a prezentat istoricul evoluției CERT-RO, de la înființarea acestuia, până la schimbările aduse prin legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. S-a menționat și natura activității instituției, respectiv de expertiză şi cercetare-dezvoltare în domeniul protecției infrastructurilor cibernetice, realizată prin împletirea domeniului social-administrativ cu cel tehnic.

Prezentările au stârnit curiozitatea participanților, care au lansat numeroase întrebări despre cum ne putem proteja ca utilizatori obișnuiți într-un mediu virtual plin de riscuri de securitate.

Mai mult, studenții au avut oportunitatea să viziteze „National Call Center for Cyber Security (NC3)”, apelabil la numărul unic 1911, inițiativă unică la nivelul Europei, a doua din lume după Israel, cu mari șanse de a fi transformată într-o inițiativă comună a tuturor statelor membre. De asemenea, internii au  interacționat cu specialiștii Serviciului de Securitate Informatică și Monitorizare din cadrul CERT-RO, unde au avut ocazia să observe îndeaproape modul de lucru al experților tehnici.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

CERT-RO a organizat conferința finală a proiectului “Enhanced National Cyber Security Services and Capabilities for Interoperability – eCSI”

Marți, 20 August 2019, la hotel Marriott din București, CERT-RO a organizat o conferință cu ocazia finalizării proiectului “Enhanced National Cyber Security Services and Capabilities for Interoperability – eCSI”  Evenimentul […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

Web Summit 2019: „Cea mai bună conferință tehnologică de pe planetă”

Web Summit este o conferință tehnologică anuală organizată la Lisabona , Portugalia , considerată cel mai mare eveniment tehnologic din lume. Fondată în 2009, de Paddy Cosgrave , David Kelly și Daire Hickey, Web Summit a avut […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]

Te-ai înscris la GDPR Summer Challenge?

Peste 50 de persoane s-au înscris până acum în concursul „GDPR Summer Challenge”, motiv pentru care organizatorii au decis creșterea numărului de membrii într-o echipă la 5 persoane, […]

Înscrie-te acum la GDPR Summer Challenge!

Acceptă GDPRovocarea acestui sfârșit de vară! 5 echipe formate din pasionați de GDPR vor concura pentru titlul de GDPR Summer Challenge Champion 2019. Nu este doar un concurs, […]

Exercițiul Blue OLEx 2019, un exemplu de cooperare între statele membre UE

Specialiști din cadrul CERT-RO au participat în zilele de 2 și 3 iulie, la Paris, la Blue OLEx 2019, exercițiu table-top dedicat crizelor de securitate cibernetică la nivel […]

Ne lasă GDPR-ul să facem poze la evenimente școlare ?

Fotografierea la școală – În cazul în care bunul simț intră în joc Introducerea Regulamentului general privind protecția datelor (GDPR) a determinat o schimbare semnificativă a percepției populației […]

Participarea ministrului Comunicațiilor și Societății Informaționale la “CYBER WEEK” Tel Aviv

Alexandru Petrescu, ministrul Comunicațiilor și Societății Informaționale, participă în perioada 24-26 iunie 2019 la cea de-a IX-a ediție a conferinței “CYBER WEEK”, desfășurată la Universitatea Tel Aviv, Israel, […]

A fost acordat premiul pentru „Cel mai bun DPO din România”

Universitatea de Medicină, Farmacie, Științe și Tehnologie din Târgu Mureș, în parteneriat cu Asociația SOROCAPP și alte asociații profesionale și universități din România, au organizat vineri, 14 iunie […]

Raluca Popa:”Pe operatorii de date personale îi așteaptă controale și amenzi!”

Universal Juridic și Camera de Comerț a Municipiului București, cu sprijinul ASCPD, în parteneriat cu ARGO SECURITY, Professionals Business Science Society, au organizat evenimentul Data Protection: Un an […]

Reacția rapidă la atacurile cibernetice este vitală pentru limitarea pagubelor și protejarea utilizatorilor

Ministerul Comunicațiilor și Societății Informaționale (MCSI) organizează în perioada 27-31 mai 2019, în parteneriat cu Universitatea Politehnica din București (UPB) și sub auspiciile Președinției României la Consiliul Uniunii […]

Soluții și responsabilități – Un an de la aplicarea GDPR în România

General Data Protection Regulation (GDPR), regulament care se aplică în România și în statele membre începând cu 25 mai 2018, reprezintă cea mai mare schimbare legislativă la nivelul […]

Un nou eveniment GDPR marca Universul Juridic

In data de 23 Mai 2019 in Aula Carol I a Palatului Camerei de Comerț și Industrie București (Str. Ion Ghica, Nr. 4, Sector 3, București – vis-a-vis […]

Papa Francisc în România și GDPR-ul

Cu ocazia extraordinară a vizitei Sfântului Părinte Papa Francisc în România şi a celebrării Sfintei Liturghii pe care o va prezida Sanctitatea Sa în Catedrala romano-catolică Sfântul Iosif […]

ASCPD: Știrile false, adevărate bombe invizibile

În contextul Zilei Internaționale a Păcălelilor, anunțul Asociației Specialiștilor în Confindențialitate și Protecția Datelor (ASCPD) prin care se anunța lansarea pe data de 1 Aprilie 2019 a unei […]

dpo-NET.ro lansează un nou curs online GRATUIT

In numai 20 de zile care au trecut de la lansarea noului modul pe portalul dpo-NET.ro, peste 250 de persoane au absolvit cursurile online dedicate atat profesionistilor cat […]

EDPB – ce s-a discutat la cea de-a opta plenară ? (ePrivacy, DPIA, campaniile electorale)

În data de 12 și 13 martie, autoritățile naționale pentru protecția datelor și Autoritatea Europeană pentru Protecția Datelor (EPBS) s-au reunit în cadrul Comitetului european pentru protecția datelor […]

CERT-RO a participat la CYBERSECURITY FORUM

CERT-RO a participat marți, 12 martie 2019, la CYBERSECURITY FORUM, eveniment care a reunit oficiali ai autorităților de stat, ambasadori, oameni de business, top management de companii din domenii […]