Atenție la falsele certificări GDPR!

Amenzi GDPR

Vizualizari: 5822

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Înainte de a parcurge acest articol-manifest vă invit să răspundeți singuri la o întrebare: „Dacă ideea de a fi tratat de un fals doctor vă înspăimântă, v-ați lăsa firma „tratată” de un pretins consultant GDPR certificat?”. Da, știu, este o comparație puțin exagerată, doar una dintre aceste activități punând viața noastră pericol, însă  „viața” business-ului tău, pentru creșterea căruia probabil ai muncit ani de zile și pentru care te lupți zilnic din dorința de a-l urca cât mai sus pe culmile succesului, cât de importantă este pentru tine?

Dacă sanatatea afacerii este importantă pentru tine, atunci ar trebui să citești mai departe

Mi-a fost semnalată o practică, otrăvită aș zice eu, prin care firme de consultanță specializate în protecția datelor personale, din dorința obsesivă de a contracta cât mai mulți clienți, recurg la practici mai puțin oneste, un marketing mincinos ar spune unii, o treabă vădit ilicită spun alții. Inițial nu i-am dat importanță, însă am observat că „gluma” se tot îngroașă!

Mai precis, mai multe firme de consultanță își ademenesc clienții lăudându-se cu certificări sau autorizări care exista doar în imaginația lor.

Te rog sa nu percepi acest „manifest” drept o încercare de „reglare de conturi” între concurenți, ci drept semnal de alarmă adresat operatorilor care pot cădea cu ușurință pradă acestei înșelăciuni.

Inevitabil îmi vine pe limbă o altă întrebare pe care te invit să reflectezi: "dacă descoperi că cineva te-a mințit încă din prima clipă, mai ai încredere sa lașii soarta afacerii tale în mainile mincinosului?"

Fără să fac un research amănunțit, m-am împiedicat sau mi-a fost dat sa aflu despre cateva astfel de exemple.

  • Voi începe cu cea mai neinspirată reclamă, zic eu, dintre ele. 

Pe site-ul său, o firma de consultanță în protecția datelor a subliniat încă în logo-ul său că deține „Experți certificați de Minister*”. Observând steluța de la final am căutat pe pagina lor însemnătatea acesteia, dar fără vreun rezultat. 

Dar oare ce minister ar fi putut să-i certifice? Primul care mi-a trecut prin cap a fost Ministerul Justiției, așa că am luat la puricat site-ul ministerului pentru a căuta calea spre dobandirea statutului de „expert certificat de minister” în protecția datelor. Lista persoanelor certificate de MJ cuprinde traducatori, notari, executori judecătorești, experți criminaliști, operatori autorizați ai AEGRM (Arhiva Electronică de Garanţii Reale Mobiliare), dar nimic legat de protecția datelor. Atunci m-am gândit că poate se referă la experții înscriși în Registrul Naţional al Evaluatorilor de Risc la Securitate Fizică, registru de care se îngrijește Poliția Română, dar securitatea fizică este una iar protecția datelor este cu totul altceva. 

Într-un final m-am resemnat și am abandonat căutările și îți voi explica mai jos de ce sunt absolut sigur că în acest moment nu exista un “minister steluță’ care sa ofere o certificare în domeniul protecției datelor și nici nu cred ca va exista curand o asemenea certificare.

Dar ce sa vezi, asta nu este tot! Trec peste șocul suferit la vederea logo-ului și dând scroll down pe pagina principala dau de ceva ce m-a dărâmat de pe scaun!

Aceștia nu numai că au „experți autorizați” de ministerul steluță, dar societatea respectivă este și ea certificată și nu de oricine, de însăși autoritatea națională în materie de protectia datelor ANSPDCP.

Va spun sincer ca probabil i-as fi crezut dacă n-aș fi avut un strop de habar de GDPR și de existență articolelor 42 și 43 din Regulament care prevăd obiectivele, garanțiile și rolurile actorilor, împreună cu principiile generale pentru procesele de certificare și acreditare.

 

  • Cel de-al doilea exemplu în topul „rușinică” pare a veni din direcția unei asociații profesionale. Greu de crezut, nu?

Pe unul din grupurile de pe Facebook dedicate protecției datelor, în care s-a nimerit să fiu și eu înscris, a fost publicată, de către o asociație de experți, o „OFERTĂ GENERALĂ GDPR”, prin care asociația urmărea promovarea serviciilor unei companii comerciale private.

Sigur mă veți acuza de subiectivism, eu însumi făcând parte dintr-o asociație, însă vă asigur că respectarea valorilor după care mă ghidez în viață sunt incompatibile cu astfel de practici.

Primul lucru care mi-a atras atenția a fost numele asociației „profesionale”, constituită din „experți GDPR”, fapt pentru care nu pot să nu mă întreb cum membri acestei asociații au atins statutul de „experți” atâta timp cât această calificare sau calitate nu este reglementată în acest moment în România sau în Europa. Titulatura de „expert” depășește în grad certificarea de "Responsabil cu protecția datelor" și, de regula, implică o experiență dovedită și sustinerea unui examen în fața unei autorități sau organizații careia i s-a oferi aceasta prerogativă prin lege, in baza unui standard ocupațional sau similar. O persoană neinițiată va fi ușor impresionată și convinsă prin utilizarea însemnelor naționale precum stema României, drapelul sau de sigla unor instituții ale statului. 

În fine, știu că îmi bat capul de pomană așa că revin la subiect. Iată cum este prezentată societatea comercială respectivă:

Cu un ochi râd, cu unul plâng. În concluzie avem o asociație formată din „Experți GDPR„ iluzorii, care nu doar că s-au coagulat dând naștere unei entități juridice, dar au și puterea de a autoriza alte persoane juridice pentru ca acestea din urmă să ofere consultanță GDPR. Să mai menționăm și faptul că specialiștii propuși de firma respectivă ocupă posturile de management în asociația respectivă? Adică eu mă autorizez pe mine însumi.Pe bune? 

 

  • Cei din urmă, dar la mare distantă față de primii 2 din clasament

Cu un marketing agresiv a intrat pe piața GDPR o companie care probabil inițial se ocupă de realizarea de site-uri. M-au contactat pe numărul de telefon postat pe un site al unui business B2B pentru a mă anunța că site-ul nu era aliniați la GDPR și pentru a-si prezenta serviciile, subliniindu-mi totodată că risc o amendă de milioane de euro. Evident că i-am întrebat ce-i „recomanda” pentru aceasta activitate iar răspunsul a fost foarte concis: „suntem firma autorizata și avem angajat un DPO”. Am cerut informații despre respectiva autorizare și după 30 de secunde de fâstâceală și consultare cu colegii mi s-a răspuns „ANC”. 

Captură foto din oferta pe care am primit-o

În concluzie, conform spuselor lor, ar fi suficient să angajezi un „ofițer DPO”, adică un „Responsabil cu protectia datelor cu caracter personal”, care a urmat un curs acreditat ANC pentru ca acea certificare ANC a DPO-lui să se transmită firmei.. nu? Mind-blowing! 

ATENȚIE: nu contest calitatea individuală a specialiștilor angajați ai acestor 3 organizații, ci doar semnalez un mic neadevăr strecurat intenționat sau accidental printre rânduri.

Cred că mi-am făcut suficienți „dușmani” pentru o zi, însă nu voi încheia fără să argumentez de ce sunt aceste afirmații doar niște erori.

Acum aproape 2 luni am scris un articol în care am explicat de ce nu vom avea organisme de certificare și implicit firme certificate în ceea ce privește respectarea regulamentului GDPR.

Așa cum semnalam în acel articol, asemeni certificarilor ISO, pentru a exista firme certificate trebuie să existe organisme de certificare. Solicitând un punct de vedere al Autorității Naționale de Supraveghere a Prelucrării Datelor (ANSPDCP) pe acest subiect, aceasta ne-a comunicat următoarele: “[...] la nivel național, potrivit Regulamentului (CE) nr. 765/2008, RENAR este entitatea care va acredita organismele de certificare, în temeiul articolului 43 din Regulament”.

Prin urmare am solicitat un punct de vedere și celor de la RENAR, pentru a afla cat mai avem de așteptat până la apariția standardului pentru certificarea GDPR. Aceștia ne-au comunicat că “Autoritatea Națională de Supraveghere a Prelucrării Datelor nu a prezentat cerințele suplimentare stabilite de autoritatea de supraveghere menționate la pct. Art. 43 (1) b) din Regulamentul (UE) 2016/679, cerințe care sunt necesare pentru dezvoltarea schemei de acreditare pentru domeniul menționat la art. 43”. Aceștia au mai adăugat că “Activitățile de acreditare a organismelor de certificare se vor putea desfășura numai după finalizarea schemei de acreditare și publicarea mapei de documente informative”.

 

Mai simplu spus, în 3 etape:

  1. În baza art. 43 din GDPR, ANSPDCP transmite celor de la RENAR cerințe suplimentare standardului EN-ISO/IEC 17065/2012.
  2. RENAR dezvolta schema de acreditare în baza căreia acreditează entități juridice care vor avea calitatea de organisme de certificare.
  3. Aceste organisme de certificare vor analiza planificarea, controlul, evaluarea și corectarea proceselor organizațiilor care vor dori să se certifice, astfel încât să se asigure că acestea corespund normelor standardului în materie de protecție a datelor. Cele care vor corespunde acestui standard vor primi o certificare care va atesta acest lucru, similară cu certificarile ISO.

Ce trebuie să rețineți este faptul că în prezent încă nu s-a trecut de prima etapă!

 

10 sfaturi pentru alegerea unui consultant profesionist

  1. Înainte de a stabili o intalnire, analizează în amănunt site-ul sau pagina de facebook consultantului respectiv. Practic site-ul sau conturile de social media spun foarte multe. Analizati coerența, claritatea cu care a fost organizată informația, pentru așa va organiza și datele voastre.
  2. Evită ofertele „too good to be true”. În general acestea se dovedesc a fi servicii de o calitate îndoielnică.
  3. Solicită cat mai multe informații despre calificarea specialistului GDPR. Faptul ca are studii juridice, sau eventual un curs urmat online nu înseamnă automat că este „calificat” sa ofere consultanta de specialitate în domeniul protectiei datelor.
  4. Solicită informații despre experiența specifică a consultantului în domeniul de activitate al afacerii tale.
  5. Invită consultantul GDPR la sediul tău pentru a-ți cunoaște firma și a înțelege business-ul. Teoretic este foarte dificil de realizat o evaluare inițială în vederea ofertarii din scaunul de la birou.
  6. Atenție la firmele care se laudă cu certificări, experți autorizați de ministere sau altele asemenea. Verifică dacă acestea exista. Solicită dovezi înainte de a semna contractul.
  7. Evită să apelezi la o firma care a angajat un „DPO” dar de tine se va ocupa femeia de serviciu. Asigură-te că pe toata durata contractului vi beneficia de personal de specialitate care ti-a fost promis la semnarea contractului.
  8. Asigură-te că în contract sunt prevăzute traning-ul angajaților angajați și asistență pe durata implementării. Altfel te vei trezi cu un teanc de hârtii fără valoare.
  9. un consultant GDPR trebuie sa dețină atat cunoștințe juridice cat și IT. Alinierea la GDPR nu înseamnă numai măsuri organizatorice ci și tehnice. Cum deținerea cumulativa a acestor calități este rară, îți recomand să cauți echipe mixte de specialisti cu experienta atat în juridic cât și în securitate IT
  10. Evită să semnezi un contract în care firma de consultanta nu-și asumă responsabilitatea pentru indicațiile ce are vi le oferă. Este drept că niciun consultant nu-și va asuma în totalitate răspunderea unei eventuale amenzi atâta timp cât acesta doar vă asigură consilierea de specialitate iar respectarea indicațiilor sale cade în sarcina ta, însă ce te faci dacă te-a consiliat eronat?

 

P.S.1. Citind cu voce tare cele 10 criterii, realizez că nici eu nu prea mă încadrez. Dar asta e bine, așa realizez unde sunt minusurile pentru a le putea transforma în plusuri. 

P.S.2. Acest articol reprezintă o opinie personală și nu poate sub nicio formă să fie asociată platformei DPO-Net.ro

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Cât costă ignorarea solicitărilor ANSPDCP-ului? Două companii din România au aflat!

Amenzi GDPR

Vizualizari: 1744

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Națională de Supraveghere a anunțat astăzi două noi amenzi pentru încălcarea Regulamentului general privind protecția datelor

Două companii din România, Nicola Medical Team 17 SRL și Modern Barber SRL, au fost vizate de investigații din partea Autorității Naționale de Supraveghere (ANSPDCP).

În cadrul procedurii de investigare, autoritatea a solicitat acestora informații suplimentare, fără a primi un răspuns din partea operatorilor.

În primă instanță, în cazul celor doi, autoritatea a dispus sancțiunea acestora cu avertisment și a fost dispusă măsura corectivă constând în obligarea operatorilor de a transmite către Autoritate, în scris, toate informațiile solicitate, în termen de 10 zile calendaristice de la comunicarea procesului-verbal.

Întrucât aceștia nu au dus la îndeplinire măsurile corective impuse, Autoritatea a constatat încălcarea prevederilor art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) și lit. e), dispunând amendarea celor 2 operatori.

Cât îi costa pe cei doi operatori ignorarea solicitărilor autorității?

  • Modern Barber SRL - 14329,5 lei, echivalentul sumei de 3000 EURO
  • Nicola Medical Team 17 SRL  - 9555,4 lei, echivalentul sumei de 2000 EURO

Dar asta nu este tot! Împreună cu amenzile, cei doi operatori s-au ales și cu o nouă măsură corectivă. Aceștia au obligația de a transmite în scris Autorității Naționale de Supraveghere toate informațiile solicitate anterior, în termen de 5 zile de la comunicarea procesului-verbal.

Cu alte cuvinte, ne putem aștepta ca Autoritatea să-i mai pomenească în viitor, dacă vor insista sa ignore solicitările autorității sau dacă Autoritatea va identifica încălcări ce privesc conformitatea operațiunilor de prelucrare efectuate de acești operatori.

Sursă: dataprotection.ro  |   Sursp foto: profitpoint.eu

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Un nou spital este amendat pentru nerespectarea GDPR

Amenzi GDPR

Vizualizari: 3930

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Comisarul pentru protecția datelor și libertatea informațiilor din Germania, a aplicat o amendă de 105.000 de euro unui spital din regiunea Renania-Palatinat.

Amenda finală se bazează pe mai multe încălcări ale Regulamentului general privind protecția datelor în contextul unei proceduri confuze care a dus la identificarea incorectă a pacientului în momentul internării. Această situație a dus la facturarea eronată și a evidențiat deficiențe ale măsurilor tehnice și organizatorice implementate de spital în ceea ce privește managementul pacienților.

Comisarul prof. Dr. Kugelmann subliniază: „Obiectivul principal al măsurilor corective și al sancțiunilor este remedierea deficiențelor existente și îmbunătățirea protecției datelor. Amenzile sunt  doar un instrument. Pe lângă efectul sancționator, acestea conțin întotdeauna un element preventiv. Ceea ce contează pentru mine este faptul că se realizează progrese substanțiale în ceea ce privește protecția datelor privind sănătatea, având în vedere sensibilitatea particulară a datelor. Prin urmare, sper că amenda va fi văzută și ca un semnal și că autoritățile de supraveghere a protecției datelor sunt deosebit de vigilente în domeniul gestionării datelor în asistența medicală. "

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Încă o mare bancă din România amendată pentru încălcarea GDPRului!

ING Bank N.V. Amsterdam – Sucursala București este a doua banca din România sancționată pentru nerespectarea prevederilor Regulamentului General privind Protecția Datelor. Vă reamintim că în luna octombrie […]

O amendă pentru nerespectarea GDPR-ului a zburat către TAROM

Autoritatea Națională de Supraveghere a anunțat pe site-ul său finalizarea unei investigații ce viza cea mai veche companie aeriană din România, TAROM! Autoritatea a constatat că operatorul SC […]

Pensiune amendată pentru nerespectarea GDPR-ului

Royal President SRL, care deține o pensiune din Bragadiru, Ilfov, unde se organizează și evenimente private (nunti, botezuri, aniversari sau evenimente corporate), a făcut obiectul unei investigații a […]

Amendă usturătoare pentru cea mai mare firmă românească de curierat

Autoritatea Națională de Supraveghere (ANSPDCP) a anunțat ce-a de-a IX-a amendă pentru încălcarea prevederilor Regulamentul (UE) 2016/679 (GDPR).  Conform comunicatului emis ieri (25.09.2019) de Autoritate, cea mai mare […]

Cetelem amendat pentru încălcarea GDPR. BONUS! Procedură procesarea cererilor

BNP Paribas Personal  Finance SA Paris Sucursala București, cunoscută sub denumirea de Cetelem IFN România, denumit în continuare Cetelem, unul dintre cei mai activi actori în domeniul creditelor […]

Vodafone amendat cu 10.000 lei de catre ANSPDCP

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în urma investigației finalizate pe data de 15.10.2019, a constatat încălcarea prevederilor art. 13 alin. (1) lit. q) […]

Serviciul Postal din Austria a fost amendat pentru vânzarea datelor clienților

  Comitetul European pentru Protecția Datelor a anunțat în cursul săptămânii trecute decizia Autorității de supraveghere austriece privind sancționarea Serviciului postal național pentru încălcarea protecției datelor clienților săi, […]

Prima persoană fizică din RO sancţionată contravenţional și importanța dublului opt-in

DA! Persoanele fizice pot face obiectul unei sancțiuni GDPR Nu cu mult timp în urma, cândva prin mijlocul verii, s-a viralizat o știre potrivit căreia  Regulamentului General privind […]

ANSPDCP: lista măsurilor (55) dispuse în urma investigațiilor, în ultimele 3 luni

Săptămâna trecută, Autoritatea de supraveghere națională (ANSPDCP) a publicat Raportul activității sale în decursul anului 2018 (vezi aici cele mai interesante date desprinse din raport). Conform acestui raport, […]

Cât ne poate costa pierderea unui stick cu date personale? Un polițist a aflat!

V-ați întrebat vreodată cât v-ar putea costa pierderea unui stick cu date personale? O încălcare a securității datelor cu care ne putem confrunta oricare dintre noi, oricât de […]

55.000 euro amenda GDPR aplicată unui SPITAL pentru nedesemnarea DPO-ului

Conform unui comunicat al Comitetul European pentru Protecția Datelor, la 12 august 2019, Autoritatea de supraveghere austriacă a aplicat o amendă administrativă unui operator care activează în sectorul […]

Avocatnet.ro a fost sancționat cu 9000 € pentru lipsa consimțământului explicit

Ziua și amenda, așa pare să ne obișnuiască Autoritatea națională de supraveghere. „Victima” de astăzi este INTELIGO MEDIA SA, administratorul platformei online avocatnet.ro, un website care „explică legislația […]

Elefant.ro sancționat pentru newslettere trimise fără existența consimțământului destinatarului

Autoritatea Națională de Supraveghere a publicat pe site-ul său  o nouă amendă în aplicarea Legii nr. 506/2004. Conform comunicatului, Elefant Online S.A., care administrează magazinul online elefant.ro, a […]

British Airways se îndreaptă spre noi recorduri privind costurile unei breșe de securitate

British Airways este pe cale să bată cu mult recordul pentru cea mai mare sancțiune financiară din Europa în era postGDPRistă. ICO, omologul englez al ANSPDCP-ului nostru, în […]

Noi amenzi GDPR: două instituții financiare din România sancționate

Autoritatea Națională de Supraveghere a anunțat astăzi finalizarea a două investigații care vizează operatorii Raiffeisen Bank S.A. și Vreau Credit S.R.L. În urma investigațiilor, autoritatea de supraveghere a constat următoarele: […]

Cea mai mare amenda GDPR din Grecia: operator de telefonie sancționat pentru SPAM

În data de 07.10.2019, Autoritatea de supraveghere din Grecia a emis un comunicat de presa anunțând cea mai mare sancțiune pe care a emis-o în baza Regulamentului general […]

O nouă amendă impusă de Autoritatea Națională de Supraveghere

Autoritatea Națională de Supraveghere a anunțat, printr-un comunicat de presă publicat astăzi pe site-ul său, finalizarea unei investigații în urma căreia operatorul Artmark Holding SRL  fost sancționat contravențional […]

Cum ajunge o copie de buletin să coste 10.000 €? Încălcând GDPR-ul, desigur!

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor […]

Amendă GDPR uriașă primită de un magazin online

Morele.net, primul magazin online de electronice din Polonia, fost sancționat cu cea mai consistentă sancțiune emisă de autoritatea de supraveghere poloneză pentru încălcarea reglementărilor de protecție a datelor […]

Amendă GDPR pentru sancționarea unui angajat folosind filmările făcute cu telefonul

Autoritatea de supraveghere spaniolă  a sancționat un restaurant cu amendă de 12.000 EURO pentru aplicarea unei sancțiuni disciplinare unui angajat, în baza înregistrărilor video realizate cu telefonului mobil […]