Importanța respectării autonomiei și independenței DPOului

Editorial

Vizualizari: 21572

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În urma diferitelor discuții purtate cu colegi și colaboratori DPO au reieșit câteva dintre condițiile dificile în care își desfășoară activitatea unii dintre aceștia și, din provocările cu care se confruntă au rezultat următoarele constatări:

  • Există opoziție din partea restului organizației,
  • Volumul de muncă este masiv și în continuă creștere,
  • Independența DPO este contestată,
  • DPO-ul se confruntă cu lipsa suportului managementului pentru schimbarea situațiilor descrise anterior.

DPO, ca și garant al respectării dreptului fundamental al persoanelor fizice la protecția datelor cu caracter personal, este o componentă importantă a Regulamentului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal (679/2016 /GDPR).

Neînțelegerea de către operatori a acestui rol al DPO este un alt motiv pentru care acesta întâmpină dificultăți în îndeplinirea sarcinilor sale și în consolidarea poziției sale în cadrul organizației.

Acest specialist este desemnat de Regulament să protejeze/să asigure protecția datelor cu caracter personal ale persoanelor vizate, iar acest lucru reiese clar și din titulatura acestei funcții, fie că este denumit responsabil (într-o traducere neinspirată din limba engleză), fie că este denumit ofițer (DPO - Data Protection Officer). În relația sa cu operatorul, DPO are obligația de a se asigura că datele personale al persoanelor vizate nu sunt opționale, sunt prelucrate în condiții de securitate, iar obligația sa de a nu aviza favorabil prelucrări de date personale care ar încălca dreptul persoanelor la protecția datelor face ca, uneori, relațiile dintre aceste două părți să devină tensionate.

Rolul unui DPO asigură că operatorii de date sunt informați cu privire la riscurile legate de diferite activități de prelucrare, include consilierea cu privire la evaluările impactului asupra protecției datelor (DPIA), supravegherea acurateței cartografierii datelor, instruirea personalului și răspunsul la cererile de acces ale persoanelor vizate (DSAR), iar un DPO capabil este tocmai punctul de echilibru al unui program de protecție a datelor de succes.

Organizațiile care promovează o cultură a conformității datelor se află în avantaj competitiv într-o lume în care confidențialitatea și protecția datelor contează mai mult decât oricând. Pentru cei care nu fac acest lucru, riscurile financiare, juridice și reputație pot fi semnificative.

Tocmai din această perspectivă a provocărilor tot mai complexe, DPO nu ar trebui să rezolve problemele în mod individual. În schimb, autoritățile vor trebui să își asume un rol activ în îmbunătățirea condițiilor pentru DPO, oferind îndrumări clare și explicite cu privire la chestiuni practice și prin aplicarea sancţiunilor în cazurile de încălcare a Regulamentului și/sau al breșelor de securitate.

Rolul DPO în evaluarea impactului și interpretarea legilor privind protecția datelor

Articolul 38 din GDPR prevede ca atât operatorul cât și persoana împuternicită să se asigure că DPO este „implicat, în mod corespunzător și în timp util, în toate aspectele legate de protecția datelor cu caracter personal”. Acest lucru implică faptul că DPO nu este consultat doar ocazional sau post factum (când apar incidente de securitate sau când sunt de procesat cereri ale persoanelor vizate pentru exercitarea drepturilor acestora), ci și ante factum, pentru ca aspectele legate de protecția datelor cu caracter personal să fie avute în vedere și luate în considerare înainte de desfășurarea unor activități noi care presupun prelucrări de date cu caracter personal. Cu alte cuvinte, această consultare prealabilă a DPO și respectarea avizului acestuia înseamnă că se respectă, implicit și principiul privacy by design al activității de prelucrare a datelor preconizată de operator.

Din faptul că DPO are sarcina de a oferi consultanță operatorului, acesta din urma ar trebui să înțeleagă și faptul că DPO, chiar dacă dă aviz negativ felului în care operatorul a realizat prelucrarea de date, poate oferi și soluții pentru ca acea prelucrare să devină conformă cu GDPR, parțial, sau chiar integral.

Acest lucru nu înseamnă că DPO este un magician cu soluții minune disponibile în joben, pentru ca operatorul să poată face prelucrarea de date dorită folosindu-se de eventuale interpretări din zona gri a Regulamentului.

Acolo unde nu există dubii asupra prevederilor Regulamentului, iar DPO a dat un aviz negativ pe baza acestora, operatorul trebuie să respecte acest aviz și să nu interpreteze poziția DPO ca fiind una negativă, îndreptată împotriva operatorului și a intereselor acestuia ci, din contră, să înțeleagă că prin acel aviz negativ, DPO îl protejează și pe el, de fapt, nu doar persoanele vizate.

În temeiul articolului 39, “un DPO nu primeşte niciun fel de instrucţiuni în ceea ce priveşte tratarea unei probleme, de exemplu, ce rezultat ar trebui obținut, cum să investigheze o plângere, sau dacă să consulte Autoritatea de Supraveghere. Mai mult, aceștia nu trebuie să aibă o anumită viziune asupra unei probleme legate de legislația privind protecția datelor, de exemplu, o interpretare specială a legii”. (Comitetul European pentru Protecția Datelor).

Independența DPO este testată foarte dur mai ales în situațiile în care operatorul se confruntă cu o breșă de securitate. Dacă DPO, în urma analizării faptelor și a contextului în care s-a produs incidentul de securitate decide că operatorul se confruntă cu o încălcare a securității datelor personale iar acesta trebuie să-și respecte obligația legală de a notifica breșa de securitate la ANSPDCP, DPO trebuie să păstreze o poziție fermă și să nu cedeze eventualelor sugestii sau chiar insistențelor operatorului de a cosmetiza incidentul, de a ascunde informații, sau chiar de a nu respecta prevederile GDPR privind notificarea breșelor de securitate. Această poziție a DPO este de cele mai multe ori generatoare de tensiuni între operator și DPO, mai ales atunci când, operatorul se va confrunta cu amendă/măsuri corective din partea Autorității. Pierderile operatorului în termeni de credibilitate și reputație pot fi mult mai importante decât o amendă de câteva mii de euro (în primele 5 luni ale anului 2020,  media/amendă în România a fost de 3.358 euro).

În legătură cu evaluările impactului asupra protecției datelor (DPIA),  GDPR prevede implicarea timpurie a DPO și specifică la articolul 35 alineatul (2) că operatorul va solicita sfatul DPO atunci când efectuează astfel de evaluări de impact. Guidelines on Data Protection Officers (‘DPOs’) - Ghidul privind Responsabilul cu protecția datelor cu caracter personal prevede faptul că „dacă operatorul nu este de acord cu sfaturile furnizate de DPO, documentația DPIA ar trebui să justifice în scris în mod specific motivul pentru care sfatul nu a fost luat în considerare”. În plus, articolul 36 din Regulamentul 679/2016 obligă operatorul să consulte Autoritatea de protecție a datelor, prin intermediul DPO, înainte de prelucrare, în cazul în care DPIA indică existența unui risc ridicat al prelucrării.

Deci, ce înseamnă asta în practică?

O bună gestionare a conformității prelucrării datelor provine dintr-o bună guvernanță implementată în practică. Dacă independența DPO este ceva care există doar scriptic în organizație, în realitate:

  1. sfatul DPO nu este apreciat și nici luat în considerare
  2. DPO nu este implicat în toate procesele relevante
  3. uneori i se solicită DPO să își schimbe recomandările, ceea ce ulterior constituie o slăbiciune a acestuia, chiar o încălcare a GDPR.

Echipa de management a operatorului trebuie să sprijine construirea culturii conformității în organizație nu numai prin punerea la dispoziția DPO a resurselor umane, financiare sau logistice necesare (conform art 38 din GDPR), pentru ca acesta să-și îndeplinească sarcinile specifice, dar și prin sprijinirea DPO în îndeplinirea sarcinilor sale. Aceasta implică ascultarea și luarea de măsuri pe baza sugestiilor uneori incomode din partea DPO, cu privire la consolidarea stării de maturitate organizațională.

Cum putem rezolva problemele

Opoziția din partea restului organizației față de activitatea de protecţie a datelor provine, de obicei, din trei motive:

  • lipsa sprijinului acordat de conducere activităţii de protecţie a datelor,
  • roluri și responsabilități neclare
  • instrumente de lucru neadecvate

Dacă cel mai înalt nivel al conducerii operatorului nu a fost clar în comunicarea cu privire la importanța unui management implicat și a unor practici de protecţie a datelor coerente față de întreaga organizație, poate fi dificil pentru angajații care nu sunt implicați în mod curent în activitatea de protecție a datelor să înțeleagă importanța unor sarcini suplimentare care trebuie îndeplinite. Pentru că îndeplinirea sarcinilor privind protecția datelor personale nu este o activitate direct productivă, nefiind ceva ‘palpabil’ cu efecte directe in zona beneficiilor materiale, este esențial ca, în astfel de situaţii, conducerea să trimită un mesaj clar și să dedice timp și efort pentru a sublinia importanța unei culturi solide a protecţiei datelor. Obținerea unei conformități GDPR reale, de facto a organizației este un efort de echipă și nu poate fi considerată sarcina exclusivă a DPO.

Un alt motiv pentru opoziție poate fi lipsa de roluri bine definite și atribuirea clară a responsabilităților. În multe organizații, există încă loc de îmbunătățire atunci când vine vorba de proiectarea organizației care trebuie să mențină documentația activităților de prelucrare a datelor și să efectueze evaluările și monitorizarea îndeplinirii sarcinilor. Cade în sarcina echipei de management să implice toți membrii organizației în sprijinirea DPO pentru identificarea corectă a activităților de prelucrare a datelor personale, de furnizare corectă și completă a informațiilor către DPO și, acolo unde este cazul, fiecare actor implicat în implementarea GDPR să elaboreze și să gestioneze partea proprie de documentație.

Atunci când un angajat se confruntă brusc cu o sarcină legată de protecţia datelor care nu a fost prioritizată de conducere, sau care i-a fost atribuită în mod oficial pe cale administrativă, reacția naturală a acestuia este de a o neglija (mai ales dacă este solicitat și de celelalte atribuții de serviciu). DPO va experimenta acest lucru ca o respingere, sau chiar opoziție față de munca ce trebuie făcută. În această situație e indicat ca DPO, să dea dovadă de tact, pentru a compensa și chiar a înlătura reticența și opoziția , celorlalte părți interesate prin îndrumări și clarificări necesare si astfel să răspundă în mod adecvat la nevoile fiecărei părți și să își îndeplinească obligațiile față de toate părțile.

În consecință, este esențial ca fiecare organizație să aibă timp să ia în considerare rolurile din organizație pentru a îndeplini toate sarcinile relevante atât la nivel strategic, cât și la nivel tactic și operațional. Până când nu sunt definite clar rolurile și responsabilităţile fiecăruia cu privire la ce trebuie să facă și până când această nouă atribuţie nu este percepută și acceptată ca fiind necesară, DPO va continua să se lupte pentru a obține și colaborare din partea celor implicaţi.

Al treilea motiv pentru care DPO se află în conflict este din cauza instrumentelor de lucru depășite și ineficiente. Multe organizații se bazează încă pe tabele Excel și șabloane “word”,  în cel mai bun caz centralizate pe un site SharePoint. Această configurare face practic imposibil pentru DPO să delege atribuțiile într-un mod eficient și permite doar adaptarea limitată la situația specifică. Prin urmare, destinatarul noii activități va experimenta interacțiunea cu DPO ca fiind rigidă și suprasolicitantă. O mulțime de instrumente de lucru sunt disponibile pe piață astăzi, iar DPO ar trebui să aibă acces la cele mai bune dintre ele pentru a facilita organizațiilor să sprijine conformitatea cu cerințele Regulamentului. DPO poate îmbunătăți colaborarea cu salariații și poate obține colaborarea voluntară și conștientă a acestora pentru implementarea GDPR, folosindu-se de calitățile sale “naturale”, dar nu poate compensa lipsa resurselor financiare și carcterul depăsit al instrumentelor de lucru pe care le are la dispoziție. Mare parte din reticența, sau chiar opoziția celorlalți membri ai entității organizaționale în ce privește îndeplinirea sarcinilor pe linie de protecție a datelor personale, ar putea fi depășite dacă ar putea fi contrabalansate de timpul scurt de realizare a acestora cu ajutorul unor instrumente de lucru performante.

Volumul de muncă deseori copleşitor

Motivul creșterii volumului de muncă provine de obicei din proiectarea organizațională ineficientă, lipsa resurselor și lipsa disponibilității instrumentelor adecvate.

Atunci când vine vorba de a complica munca pentru DPO, lipsa unui design organizațional eficient este întotdeauna vinovatul principal. În multe organizații, DPO a ajuns să fie “calul de bătaie” pentru întreaga corporație. DPO trebuie să țină evidența activităților de procesare, să elaboreze acorduri de prelucrare a datelor, să efectueze DPIA-uri, să asigure implementarea capabilităților tehnice, să instruiască angajații și să monitorizeze implementarea practicilor de protecţie a datelor. Cu alte cuvinte, DPO a devenit o resursă operațională necesară pentru îndeplinirea sarcinilor, care în mod ideal ar trebui să fie îndeplinite de către cei responsabili cu activitățile de prelucrare. Rețineți că articolul 39 din GDPR prevede că DPO doar va informa și consilia, misiunea lui nu este de a efectua lucrările operaționale propriu-zise.

Această provocare este rezultatul unui concept organizațional ineficient, în care responsabilitatea de a îndeplini sarcinile enumerate mai sus nu a fost atribuită resurselor relevante, sau, dacă au fost atribuite, acest lucru s-a făcut doar scriptic, iar echipa de management nu s-a asigurat prin acțiuni de monitorizare și control eficiente că aceste sarcini chiar sunt îndeplinite, aceasta fiind una din explicațiile pentru care salariații manifestă reticență sau refuză, tacit sau chiar explicit, să îndeplinească aceste sarcini. În consecință, pe baza neînțelegerii rolului DPO, organizația se așteaptă ca acesta să gestioneze toate aspectele operaționale legate de activitatea de protecţie a datelor. În schimb, DPO ar trebui să acționeze la un nivel tactic, să instruiască și să ofere sfaturile necesare celor care fac munca la nivel operațional. DPO are de îndeplinit și o parte operațională în activitatea sa, dar nu poate prelua și îndeplini aceste activități pentru toată organizația.

Pentru îndeplinirea conformității nu înseamnă neapărat că trebuie să existe mai mulți angajați în zona de protecţie a datelor. Cu toate acestea, doar puține organizații au luat în considerare impactul GDPR la nivel operațional și au alocat timp pentru sarcinile suplimentare ale angajaţilor referitor la protecţia datelor, în plus faţă de activitățile curente ale postului. De asemenea, responsabilitatea de a îndeplini aceste sarcini trebuie să le fie atribuită în mod clar. Acest lucru va elimina o parte din volumul de lucru al DPO și va elibera timp pentru alte sarcini critice. În esență, salariații urmează indicaţiile operatorului, iar DPO îi ajută să înțeleagă CUM să facă ceea ce le solicită operatorul. DPO are o contribuție hotărâtoare la clarificarea acestui CE este de făcut, dar este obligația operatorului să impună realizarea sarcinilor, fie direct, fie dându-i DPO autoritatea necesară (este valabil pt toți stakeholderii, nu numai pt salariați)pentru ca acesta să poată stabili sarcini și atribuții pe linie GDPR, așa cum este prevăzut în art. 39, alineatul 1, lit. b) din Regulamentul 679/2016.

Încă o dată, accesul la instrumente de lucru de ultimă generație (aplicații automatizate, sisteme inteligente) este esențial pentru ca DPO să își poată îndeplini sarcinile (ceea ce nu înseamnă că DPO, sau angajații nu și-ar putea îndeplini sarcinile folosind documente create în Excel sau șabloane în “word”, ci existența unor instrumente de lucru de ultimă generație s-ar traduce în timpi mult mai scurți de efectuare a acestor sarcini suplimentare și ar avea ca efecte benefice detensionarea relațiilor între DPO și restul organizației și reducerea / eliminarea reticenței, opoziției sau refuzului de a contribui activ la obținerea conformității GDPR).

Independența DPO este contestată

Amenințarea la adresa independenței DPO este o problemă mult mai gravă și care poate necesita o implicare externă, dacă DPO este blocat în mod repetat în a-și prezenta opiniile către conducere, la orice nivel. Mulți DPO reclamă faptul că se confruntă cu numeroase situații în care conducerea s-a opus anumitor evaluări făcute de acesta cu privire la riscurile și legalitatea prelucrării.

Acest lucru este o provocare pentru DPO și se află în conflict direct cu intenția de a avea DPO ca organism independent în cadrul organizației, care să asigure practici solide de protecție a datelor. De asemenea, conflictul cu echipa de management și presiunea de a-și schimba poziția pot avea implicații psihologice semnificative în termeni de stres și satisfacție scăzută la locul de muncă.

Problema independenței DPO este cauzată, adesea, de două aspecte:

  • neînțelegerea de către conducere a rolului DPO
  • poziția, uneori inflexibilă a DPO, ceea ce face dificilă găsirea unei căi de urmat.

Conducerea tinde să privească DPO ca fiind “aproape” o extensie a funcției juridice, prin urmare, se așteaptă ca acesta să găsească argumente juridice care ar putea permite activități de prelucrare a datelor într-o “zona incertă” și este contrariată, sau chiar nemulțumită de poziția DPO când acesta exprimă îngrijorări sau chiar dă aviz negativ pentru anumite activități de prelucrare a datelor personale care nu sunt conforme cu prevederile GDPR. Cum explicam anterior, rolul DPO nu este de a găsi “portițe de scăpare” în Regulament pentru operator, ci de a oferi soluția cea mai corectă pentru respectarea principiilor protecției datelor cu caracter personal.

Cea mai bună modalitate de a rezolva această problemă este de a purta o discuție cu privire la rolul DPO înainte de apariția oricărui conflict. O întâlnire informală cu conducerea superioară unde DPO poate avea ocazia să explice conducerii avantajele independenței funcției sale care este benefică pentru toate părțile implicate: asigură soluții care generează încrederea clienților, îndeplinesc așteptările clienților, evaluează și diminuează riscurile, face verificări și asigură echilibrul, elaboreaza documentație - cu precizarea că elaborează doar documentația care cade în sarcina sa, conform prevederilor Regulamentului, sprijină operatorul în  îndeplinirea obligației sale de a respecta principiul responsabilității etc. Înțelegerea sau interpretarea greșită de către conducere a rolului DPO provine și din faptul că mulți DPO nu sunt suficient de bine pregătiți și nu cunosc suficient de bine care sunt limitele de competență ale rolului lor, ceea ce contribuie la apariția acestei confuzii de roluri. Acest impas poate fi depășit, pe de o parte prin munca individuala a DPO de a-și extinde experiența în domeniu, iar pe de alta parte de obligația operatorului de a pune la dispoziția DPO resursele pentru actualizarea cunoștințelor de specialitate ale acestuia, fie că este vorba despre achiziționarea de bibliografie în domeniu (cărți, reviste etc.), fie prin alocarea unui buget care sa-i permita participarea la cursuri de perfecționare, sau achiziția unui abonament la o platformă care conține bibliografie legislativă actualizată.

Cu toate acestea, DPO trebuie să înțeleagă că face parte dintr-o organizație care depinde de cunoștințele și îndrumările sale ca specialist în materie de gestionare a conformității. Prin urmare, considerăm că DPO are obligația de a căuta în mod activ soluții care să asigure un echilibru corect între soluționarea problemelor organizației și reducerea riscului pentru persoana vizată, fără ca acest lucru să blocheze activitatea organizației sau să încarce membrii acesteia cu sarcini suplimentare care să pună presiune suplimentară (și inutilă) pe aceștia. Chiar dacă nu este prevăzut în Regulament, DPO trebuie să-și asume și rolurile suplimentare de facilitator și chiar de mediator pentru a fluidiza activitatea organizației în efortul acesteia de a obține și de a menține un nivel ridicat de conformitate GDPR.

Pare ușor pentru un DPO să spună „nu” și să solicite întotdeauna mai mult în ceea ce privește securitatea și protecția datelor, dar valoarea reală, atât pentru organizație, cât și pentru persoana vizată este faptul că DPO poate ajuta la găsirea de soluții care să atenueze în mod adecvat riscurile activităților de prelucrare a datelor și reducerea lor la un nivel acceptabil. În cazul în care DPO se poate poziționa în mod recurent ca un ajutor în găsirea de soluții la probleme și nu doar ca un identificator de probleme, atunci probabil ca va primi sprijinul corespunzător din partea restului organizației. Operatorii ar trebui să fie conștienți de faptul că solicitările DPO de alocare de resurse suplimentare, uneori deloc de neglijat sub aspect financiar au scopul de a reduce inclusiv riscul unor sancțiuni în cazul producerii unei breșe de securitate. Este, deja, de notorietate faptul că amenzile pentru nerespectarea art. 32 din Regulament sunt bazate, de multe ori, pe faptul că operatorul nu va putea niciodată să demonstreze că a făcut suficient sau că “[...] implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc [...]”, deoarece, oricâte eforturi ar face operatorul pentru obținerea conformității, faptul că breșa de securitate s-a produs este folosit ca justificare pentru a demonstra că nu a făcut suficient. Realitatea producerii breșei de securitate nu poate fi ștearsă sau ignorată nici de operator, nici de autoritatea de supraveghere.

Lipsa suportului managementului superior

Cele din urmă provocări cu care se confruntă DPO sunt rezistența din partea conducerii de a face modificările necesare pentru a aborda situația DPO. Principalul motiv pentru această reticență este că, uneori, conducerea nu are o înțelegere deplină atât a riscurilor, cât și a oportunităților ratate pe care le presupune configurarea ineficientă a protecţiei datelor.

În multe organizații, activitățile GDPR și managementul protecţiei datelor au fost gestionate ca un proiect de conformitate, la fel ca practicile și anticoncurențiale, spălarea banilor, programele anticorupție, etc. Cu toate acestea, domeniul protecţiei datelor reprezintă un exercițiu complet diferit și mult mai orientat către piață. Prelucrarea datelor este ceva de care companiile depind în mare măsură. Iar corupția și spălarea banilor sunt activități pe care companiile doresc să le evite.

Rolul vieții private nu poate fi abordat doar ca o activitate de conformitate. Trebuie luat în considerare din perspectiva pieței. Trebuie luat în considerare din perspectiva dezvoltării serviciilor. Trebuie luat în considerare din perspectivă organizațională. Deasemenea, este necesar să fie luate în considerare implicațiile financiare, tehnologice, de piață și de risc semnificative pentru a aborda pe deplin impactul acestuia. Acest lucru trebuie discutat la nivel strategic cu conducerea, unde DPO trebuie să ia în considerare protecția datelor companiei, apetitul la risc și nivelul de conformitate ale companiei.

În concluzie:

DPO are nevoie de conducere pentru a-l ajuta să reușească în misiunea sa, mai ales în încercarea rezolvării următoarelor probleme:

  1. Creșterea gradului de conștientizare de către echipa de management cu privire la importanța rolului său în alinierea programului de protecţie a datelor organizației cu strategia și valorile sale
  2. Derularea și implementarea unui proiect organizațional eficient care să permită DPO să preia un rol tactic
  3. Alocarea clară a sarcinilor operaționale resurselor relevante din organizație
  4. Creșterea gradului de conștientizare de către echipa de management cu privire la avantajele accesului DPO și al întregii organizații la instrumentele de lucru potrivite pentru gestionarea protecţiei datelor
  5. Definirea clară a nivelului de maturitate pentru gestionarea proiectului organizațional
  6. Creșterea gradului de conștientizare de către echipa de management cu privire la avantajele independenței DPO și respectarea activă a acestei independențe de către toți membrii organizației
  7. Identificarea de soluții la provocările cu care se confruntă organizația (pe baza cunoștințelor, expertizei și experienței DPO cu rol activ și constructiv în a ajuta organizația să vadă oportunități și să exploreze noi căi de urmat)

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

După trei ani, GDPR nu este încă înțeles și respectat de majoritatea operatorilor români, inclusiv de autorități!

Editorial

Vizualizari: 16430

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Ne îndreptăm spre a treia aniversare a datei de 25 mai, ca punct de plecare în aplicarea prevederilor Regulamentului European 679/2016, normă legislativă europeană care s-a impus în memoria colectivă ca fiind cea care prevede aplicarea unor amenzi neegalate de nicio altă lege, la nivel mondial, în special din cauza faptului că unul dintre reperele în stabilirea cuantumului acestora este reprezentat de un procent din cifra de afaceri la nivel mondial a operatorului sancționat.

Regulamentul UE 679/2016, cunoscut de noi toți sub numele de GDPR, a intrat în vigoare în 2016, în urmă cu cinci ani, dar se aplică doar din 25 mai 2018, după o perioadă de grație de doi ani, pe care majoritatea țărilor europene, inclusiv România, nu au folosit-o pentru a lansa campanii de educație pentru persoanele vizate și operatorii.

În România, GDPR a intrat brusc în viața noastră printr-un bombardament al consimțămintelor, lansat de operatori și împuterniciții acestora din dorința de a obține rapid conformitatea cu aceste noi reglementări legislative. Din păcate, chiar și astăzi există operatori români care folosesc, de exemplu, consimțământul ca bază legală pentru prelucrarea datelor de sănătate ale persoanelor internate într-un spital, de unde deduc faptul că Responsabilul cu protecția datelor nu și-a câștigat încă locul pe care îl merită în organizație și recomandările sale încă nu sunt luate în considerare, deoarece prelucrarea datelor în sistemul sanitar este reglementată specific și NU este necesară obținerea unui alt consimțământ pentru prelucrarea datelor personale.

În luna mai 2018 se estima că 20% dintre operatorii europeni începuseră un program pentru obținerea conformității GDPR. Acest procent a crescut valoric în mod semnificativ în ultimii trei ani, fiind estimat astăzi la peste 60%, dar, în același timp, îngrijorează, din ce în ce mai mult, calitatea conformității obținute la nivel european. Conform studiilor făcute de specialiști, în 2019 au fost deja create primele 500.000 de roluri de DPO, fără a fi modificate organigramele și fără a fi asigurate și garantate resursele necesare pentru ca un DPO să își poată îndeplini cu succes acest rol. Consider că operatorii de date cu caracter personal trebuie să nu mai caute soluții de formă, de fațadă și să înțeleagă că această mult dorită conformitate GDPR nu se realizează prin apăsarea butonului „Print” și că oricine alege această cale rămâne la fel de expus riscurilor, ca oricare alt operator care decide să ignore GDPR.

În ultimii trei ani, strategia de marketing și vânzări a multor companii de consultanță GDPR s-a bazat pe „crearea panicii”, folosind marketingul înșelător, care accentua, în primul rând, dimensiunea astronomică a amenzilor, în loc să promoveze nevoia de instruire a personalului. Plătim în continuare pentru campaniile de marketing din acești trei ani care au vândut conformitatea “de fațadă”, fără a include serviciile specializate ale unui responsabil cu protecția datelor.

Sper că într-un final vom înțelege că în tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creşterea birocraţiei şi despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm şi să îl obţinem unii de la ceilalţi, respect de care am uitat datorită, în principal, avantajelor obținute prin utilizarea tehnologiilor bazate pe tranzacționarea datelor cu caracter personal și a informațiilor confidențiale.

În afacerea mea, ca angajator, influențez direct și decid modalitățile prin care sunt procesate datele cu caracter personal. Dar, ca persoană fizică, atunci când navighez pe internet, când merg pe stradă, la un supermarket sau mă cazez la un hotel am așteptarea naturală de a cunoaște cine, de ce și ce date personale sunt prelucrate în ceea ce mă privește. Chiar și după acești trei ani, acest lucru nu se întâmplă aproape niciodată și am încetat să mai cred că ceva poate fi gratuit, dându-mi seama că în aceste situații plătesc de fapt  cu datele mele personale, care au devenit o monedă de schimb foarte valoroasă.

Din punct de vedere personal, cea mai mare provocare pentru companii în procesul de obținere și menținere a conformității GDPR rămâne lipsa unei culturi generale a responsabilității în rândul angajaților asupra confidențialității datelor. Această deficiență poate fi substanțial corectată prin programe de instruire cu privire la importanța protecției datelor, în conformitate cu practicile generale și politicile specifice activității companiei. Responsabilizarea angajaților din perspectiva protecției datelor cu caracter personal va adăuga valoare companiei. Un angajat conștient și informat este un angajat vigilent care acționează responsabil, riscurile specifice erorii umane se diminuează semnificativ, în timp ce eficiența muncii crește. Mai mult, identificarea rapidă a posibilelor breșe de securitate și respectarea procedurilor de răspuns la incidente vor reduce la minimum pierderile reputaționale și financiare ale companiei.

Persoana vizată a rămas cea mai mare provocare pentru întreg domeniul protectiei datelor din România, deoarece, din cauza lipsei educației populației în acest domeniu al protecției datelor, Autoritatea de Supraveghere și întreg corpul profesional de specialiști se confruntă cu solicitări nejustificate și insuficient documentate privind stergeri selective sau rectificari neîntemeiate a datelor personale. Cu siguranță, aceste solicitări nu sunt soluționate întotdeauna în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce privește termenul de retenție și posibilitățile de restricționare și condiționare a accesului la date.

Gardianul modului în care sunt respectate confidențialitatea și mecanismele de protecție a datelor cu caracter personal rămâne Responsabilul cu protecția datelor (DPO), această profesie „tânără”, care probabil se confruntă cu una dintre cele mai mari provocări profesionale, datorită caracterului general al Regulamentului (UE) 2016/679 și a lipsei unor repere unitare pentru interpretarea și punerea sa în aplicare.

Modul în care această nouă funcție de DPO a fost tradusă în limba română, înlocuind termenul de „ofițer” cu „responsabil” este o eroare cu efecte pe termen lung, deoarece induce greșit ideea că responsabilitatea stă pe umerii acestei persoane, făcând să fie și mai greu de conștientizat faptul că responsabilitatea conformității este în permanență a managementului operatorului și că rolul Responsabilului cu protecția datelor este de a susține și de a monitoriza acest proces și nu răspunde efectiv de implementare sau de consecințele neimplementării GDPR în entitate.

Dacă ne oprim asupra obligațiilor operatorilor publici din România de a desemna un responsabil cu protecția datelor, conform datelor furnizate de Autoritatea de Supraveghere, constatăm că doar o parte din aceste instituții publice și-au notificat decizia de numire a unui DPO, aproximativ 2000 de notificări fiind înregistrare din partea acestora, restul aparținând operatorilor din domeniul privat. Dacă luăm în considerare că în România avem aproximativ 20,000 de instituții publice, reiese un grad de conformare de doar 10% în privința respectării obligațiilor conform articolului 37 din Regulament, restul de 90% alegând asumat să nu ducă la îndeplinire această obligație legală.

În ultimul an, societatea în care trăim s-a schimbat, fiind supusă unuia dintre cele mai dificile teste de stres. Frica este cea care a forțat societatea noastră să se adapteze și să se maturizeze forțat, făcând, în primul rând, un mare salt spre digitalizare. Astăzi vorbim mai mult ca oricând despre telemuncă, telemedicină, tele-educație și, mai ales, despre știri false. Mediul de afaceri românesc a resimțit pe deplin efectele acestei pandemii. Unele companii și-au suspendat în totalitate activitățile, în timp ce altele au implementat noi procese de lucru la distanță pentru angajați, ținând cont de regulile de izolare. Prioritatea a fost restabilirea cât mai rapidă a activității companiilor și instituțiilor publice și, în acest context, au existat compromisuri privind protecția datelor, compromisuri care vor trebui rezolvate pe măsură ce situația se îndreaptă spre o nouă normalitate.

Putem spune că pandemia a acționat ca un accelerator pentru deciziile de adoptare și utilizare a noilor tehnologii, deoarece, în doar câteva luni, a devenit clar că digitalizarea nu mai este opțională, ci este absolut necesară pentru supraviețuirea companiilor și pentru continuitatea serviciile publice furnizate de autorități. Această situație a făcut ca multe proiecte să fie lansate în regim de urgență, deși, în mod normal, ar necesita ani de analiză și planificare și a fost practic imposibil să se ia în considerare toate efectele „secundare”.

În urma recomandărilor autorităților române, mai multe companii au decis să accepte, de la o zi la alta, ca angajații să lucreze de acasă. Din punct de vedere legal, am fost pregătiți, legislația română are prevederi clare în ceea ce privește telemunca / munca la domiciliu și majoritatea companiilor au semnat acum cu fiecare angajat doar o anexă la contractul de muncă, pentru a îndeplini această formalitate birocratică. Foarte puține companii au investit în securitatea echipamentelor și canalelor de comunicații, alegând adesea soluțiile cele mai rapide și mai ieftine, folosind adesea echipamentele de calcul și de comunicare personale ale angajaților.

Trebuie să ne dăm seama că toată această digitalizare în regim de urgență vine la pachet cu asumarea riscurilor de către operatori. Cu toate acestea, urgența nu înseamnă renunțarea la precauții și analize prealabile. Chiar și cu timp și resurse limitate, se pot lua măsuri pentru a reduce riscul prin identificarea proceselor a căror digitalizare are impact maxim asupra funcționării companiei și alocarea cu prioritate a resurselor de analiză și control al riscurilor.

Derapajele operatorilor de la respectarea principiilor GDPR au devenit o normalitate pe care persoanele vizate le acceptă și le trec cu vederea în speranța că nu se vor repeta. Cu toate acestea, valorile amenzilor aplicate de Autoritățile de Supraveghere europene sunt în creștere, ajungând să depășească 170 milioane de euro în 2020, dublu atât ca număr de amenzi, cât și valoric, față de anul anterior.

În ultimul an, de când a fost recunoscută oficial pandemia Covid-19, s-a vorbit mai mult despre GDPR decât în întreaga perioadă de la intrarea în vigoare a Regulamentului UE 679/2016 și este trist că a fost necesar acest virus pentru a oferi domeniului protecției datelor cu caracter personal atenția pe care o merită cu adevărat. Numărul crescut de incidente de securitate, de multe ori prin campanii de phishing, infectând mii de computere, se datorează naivității utilizatorilor care citesc acum orice e-mail legat de acest Coronavirus. Din păcate, multe afaceri au suferit și, mai mult decât efectele crizei sanitare ale acestei pandemii, sunt îngrijorat de valul de recesiune economică pe care estimez că o vom parcurge în următoarele luni și care va pune, din păcate, protecția datelor cu caracter personal într-un con de umbră.

 

Marius Dumitrescu, președinte al Asociației Române a Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD), DPO certificat PECB și Trainer, Managing Partner NeoPrivacy România

 

 

 

 

 

 

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Fiecare practician GDPR trebuie să aibă această carte

Editorial

Vizualizari: 140575

Facebooktwittergoogle_plusredditpinterestlinkedinmail

In domeniul protecției datelor în România, anul 2021 a debutat cu relansarea pe piață a carții "GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016" ( Editia 1, Editura Wolters Kluwer). Cartea este disponibilă în webshop-ul dpo-net.ro si poate fi comandată la prețul promoțional de 110 lei. 

Conf. Univ. Dr. Nicolae Ploeșteanu - Directorul Centrului pentru Protecția Datelor - Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade” din Târgu Mureș a avut amabilitatea sa semneze prefața acestei ediții:

"Apariția volumului GDPR Aplicat, ediția a I-a, elaborat de autorii Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Pantilimon și Marius-Florian Dan, reprezintă valorificarea de către aceștia, într-o editură de prestigiu precum Wolters Kluwer, a unui „succes editorial”. Prima ediție a apărut în editura Lumen și, cred eu, că datorită confirmării valorii practice a volumului, autorii au trecut de faza „timidității” începutului editorial și se adresează în prezent prin elaborarea acestei a doua ediții către dimensiunea reală a publicului interesat de domeniul protecției datelor cu caracter personal și, mai ales, către nevoile pieței de a implementa exhaustiv Regulamentul General privind Protecția Datelor, la nivelul operatorilor de date din România.

Volumul GDPR Aplicat este o idee strălucită a unui colectiv de persoane cu experiență practică și însuflețite să își pună amprenta proprie într-un domeniu în emergență, anume domeniul protecției datelor cu caracter personal. Legislația specifică pe care o abordează într-o manieră utilă și formativă este aceea care privește mai ales „GDPR”. Autorii doresc atât să se implice cât și să ofere un instrument antrenant și imediat pentru probleme practice serioase și multiplicate în activitățile curente ale operatorilor de date cu caracter personal. Toate entitățile publice și private sunt interesate să se pună de acord cu ceea ce la momentul de față este „sperietoarea” activității lor. Această intenție are sinuozități și îndoieli dar, în final, se impune practic asemănător unui standard de calitate și, în același timp, complet diferit: este diferența dintre un tablou pictat, privit ca o operă și, pe de altă parte, evoluția și inițierea unui proces juridic; oare cine are dreptate? Răspunsul este oferit cu precauție în paginile volumului acestor pionieri….În final, practica și viitorul vor fi circumstanțele în baza cărora vom argumenta liniile decisive ale acestei îndrăznețe acțiuni: protecția datelor din perspectiva unei societăți mai sigure și a unei vieți private intime fiecărei persoane fizice.

Este necesară această lucrare și îi felicit pe autori și pe cei care au contribuit pe această linie, într-un fel sau altul, la formarea acestora, iar aici mă gândesc în special la cei care au avut inițiativa de a întreprinde la Universitatea suceveană un curs postuniversitar de protecție a datelor, pe care toți autorii acestui volum l-au urmat!

Volumul este consistent: are 752 de pagini și, în esență, 14 capitole tematice, la care se adaugă anexe, bibliografie, figuri și tabele. Volumul se remarcă prin utilitate, nu prin argumentare științifică. Principala metodă de investigație utilizată în realizarea volumului este metoda experimentală.  În cele 14 capitole se tratează atât ideile de esență și directoare ale protecției datelor, precum și măsurile, acțiunile care trebuie întreprinse pentru a asigura implementarea GDPR la nivelul entităților, oferindu-se în mod constant exemple. În partea finală, referitoare la proceduri, modele și tabele ni se prezintă o varietate de exemple. Legat de structura volumul în acest context de evaluare pot fi extrem de încrezător în a afirma că este complet antamat pe necesitățile practice. Demersul autorilor va fi îmbogățit în edițiile viitoare, prin practica viitoare și abordarea unor tematici de nișă, cum este aceea a transferului internațional de date.

Pentru elaborarea volumului GDPR aplicat este cert că autorii au alocat un timp prețios și o disponibilitate aparte, poate chiar încercată și deloc ușoară. La momentul de față, astfel  cum se numește în partea secundă a sa, „Instrument de lucru pentru implementarea Regulamentului UE 679/2016” este instrumentul cel mai valoros de pe piața din România, pentru toți cei implicați în acest fenomen. Nu este un volum științific ci este exact ceea ce se numește: „Instrument de lucru…”. Dar este cel mai bun în domeniul GDPR. Îndrăznesc să afirm, pentru întreaga masă de profesioniști și interesați în domeniu, că utilizând acest volum pot să aibă siguranța conformității pentru o medie a entităților, într-un procent de aproximativ 90%. Oricum, până la apariția vreunui volum mai exhaustiv sau sintetic, acesta este, în opinia mea, sub aspect practic numărul 1 în România.

În mod interesant, lucrarea este utilă atât pentru practicieni cât și pentru directorii executivi ai companiilor. În prima parte, se oferă lecții nenumărate pentru management cum ar trebui să regândească sistemul propriu în care activează și, sigur că da, în același timp practicienii vor avea nenumărate soluții și documente la dispoziție pentru a sprijini companiile sau autoritățile în implementarea GDPR. Spre exemplu, la nivel de management este expusă povestea așteptării unui standard cumpărat și implementat imediat, cu deziluzia că așa ceva nu s-a putut întâmpla…Se caută vina la consultant și nu se poate direcționa juridic. Ce facem de aici încolo? Cât mai trebuie să stăm împiedicați de protecția datelor?

La nivel de executiv, lucrurile se complică deoarece pe lângă aceste instruiri, adevăratul specialist în protecția datelor trebuie să devină un real confident al companiei și să contribuie la rebreduirea acesteia. Va fi acceptat? Va fi înghițit? Volumul răspunde acestor întrebări într-o manieră sinceră și corectă!

Autorii au investit pasiune și interes suprapuse pe ideea importanței formării continue și a observației și cercetării cu demonstrații. Spuneam că autorii sunt într-o mare măsură pionieri: au simțit flexibilitatea și dinamica domeniului și au considerat că pot să afirme reguli, aspect care s-a confirmat în mod evident. De aici, apare una din primele trăsături ale lucrării, anume că la fiecare domeniu și secțiune se începe cu o „poveste” legată de ce se întâmplă în practică atunci când se urmărește implementarea GDPR: totul prinde contur și devine extrem de narativ și util în același timp. Spre exemplu, cuvântul introductiv debutează exact cu cea mai importantă parte a implementării GDPR, anume aceea a conștientizării și educației: „Etica reprezintă o invitație la conștientizarea consecințelor a ceea ce se face”

În al doilea rând, se face o descriere juridică a fiecărui concept principal utilizat în GDPR, inclusiv descrierea faptică alăturată. Dacă deschid la întâmplare volumul, ajung, spre exemplu la pagina 59, unde se vorbește de pseudonimizare, despre care se afirmă în mod corect că „are o componentă obligatorie și anume reversibilitatea acesteia. Reversibilitatea este tehnica inversă pseudonimizării, adică, folosind informații suplimentare, pe care doar operatorul le are, datele pot deveni, din nou, „clare”(…)” Aceasta este o obligație specifică în anumite condiții a operatorului de date.

În al treilea rând se oferă de către autori la fiecare argumentare sistematic prezentată, un exemplu, de regulă referit de ghidurile de implementare și orientare realizate de fostul Grup de lucru articolul 29, în prezent înlocuit de Comitetul european pentru protecția datelor stabilit prin GDPR. Această modalitate de expunere conferă instruire și înțelegere cititorului și practicianului, deoarece exemplele sunt extrem de relevante și fin relevate.

Nu în ultimul rând, trebuie remarcată referirea la practica instanțelor din România și a instanțelor europene în domeniul protecției datelor cu caracter personal, chestiune utilă deoarece contribuie la statuarea definitivă a unor linii de interpretare a domeniului analizat.

Consider că fiecare practician trebuie să aibă această lucrare pentru că îl va ajuta în implementarea GDPR. Lucrarea conține atât conținut cu documentare științifică cât și conținut aplicativ corect dar orientativ și specific ghidurilor.

În ceea ce mă privește, sunt încântat că autorii  Daniela Simionovici, Daniela-Irina Cireașă, Cătălina Lungu și Marius-Florian Dan, mi-au fost pentru o scurtă perioadă „studenți”, deoarece orice dascăl este împlinit când este depășit de proprii studenți. I-am întâlnit cu ocazia unei competiții în domeniul protecției datelor, desfășurată la Târgu Mureș, și am simțit că este vorba de un grup cu potențial reformator. Au demonstrat în interesul comunității din România acest lucru. Le doresc mult succes și felicitări pentru demersurile continue pe care le întreprind în domeniul protecției datelor cu caracter personal."

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Nu e nevoie de consimțământul GDPR al parinților pentru testarea elevilor!

Dacă ar fi să folosesc un termen binecunoscut în rândul specialiștilor români în domeniul protecție și securității datelor cu caracter personal, aș spune că o noua „bazaconie” (termen […]

Avem nevoie de o lege a Responsabilului cu protectia datelor cu caracter personal?

Data de 10 noiembrie 2020 a fost marcată de un eveniment controversat, care a declanșat discuții între teoreticienii și practicienii din domeniul protecției datelor cu caracter personal, atât […]

De câți DPO are nevoie România ?

Pe parcursul anului 2019, operatorii au înregistrat la Autoritatea Naţională de Supraveghere un număr de 4318 responsabili cu protecția datelor numiți de către operatorii din sectorul public și […]

TELEMUNCA și protecția datelor personale în contextul digitalizării

Reglementată de Legea 81/2018 și impusă în viața noastră mai repede decât ne-am fi așteptat de către pandemia Covid 19, telemunca este o realitate tot mai prezentă. Este […]

IMPACTUL INVALIDĂRII PRIVACY SHIELD SI POSIBILE SOLUTII PENTRU OPERATORII DE DATE PERSONALE

16 iulie 2020. O dată de referință pentru istoria protecției datelor personale. O dată de la care aproape toți operatorii de date personale din România ar trebui să-și […]

“EA ne vede, noi o vedem”

Draga cititorule, nu este vorba de vreo doamna frumoasă și elegantă! Fie vorba între noi e chiar urâtă! Are doar un ochi de zici că-i o doamnă ciclop […]

„GDPR-ul nu se aplică partidelor politice?”

Ne aflăm în plină campanie electorală pentru alegerile locale, care se va finaliza cu votul cetățenilor in 27.09.2020. Cu toții suntem chemați la vot de foarte multe partide […]

Care a fost cea mai importanta lectie pe care companiile, dar si specialistii in protectia datelor personale, au invatat-o in aceasta perioada?

Cei doi ani care au trecut de la implementarea GDPR nu au reprezentat pentru noi doar provocari, ci au introdus si oportunitati de a invata lectii valoroase. Am […]

Care a fost cea mai mare provocare a companiilor in procesul de obtinere si mentinere a conformitatii GDPR?

Specialistii in protectia datelor au fost cei care au lucrat alaturi de organizatii in procesul de obtinere si mentinere a conformitatii GDPR. Am vrut sa stim care a […]

Care a fost cea mai mare provocare, în ultimii doi ani, pentru specialistii in protectia datelor personale?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Ce am învățat în primii 2 ani de GDPR în România?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

Normele GDPR nu împiedică măsurile luate împotriva pandemiei Covid-19

În cadrul celei de-a 30-a sesiuni plenare, EDPB a adoptat o declarație privind drepturile persoanelor vizate în contextul actual epidemiologic al stării de urgență sau alertă din statele […]

A măsura sau a nu măsura temperatura? Aceasta este întrebarea …

Mare agitație în aceasta frumoasă dimineață de 15 mai 2020. Au fost publicate pe site-ul Ministerului Afacerilor Interne măsurile de prevenire și control a infecțiilor aplicabile pe durata […]

Specialiștii în protecția datelor personale sar în ajutorul cadrelor didactice implicate în învățământul on-line

Un grup de patru specialiști în domeniul protecției datelor, autorii volumului GDPR Aplicat, vin în sprijinul celor interesați și implicați direct în procesul de învățământ on-line în România […]

Alexandru Luca: În acest context, digitalizarea nu este o noutate, este mai mult o oportunitate

Alexandru Luca, în prezent Mobile Division Manager – Cybersecurity BU in cadrul comapaniei certSIGN, are o experiență de peste 15 ani în domeniul IT&C, asumându-și roluri cheie în […]

La ce clauze contractuale vom fi mai atenți de acum în colo ?

Epidemiile, la fel ca războaiele, reprezintă situații care ne găsesc întotdeauna nepregătiți pentru a gestiona efectele complexe ale acestora. Consecința de lungă durată a acestora, după impactul psiho-emoțional, […]

Publicitatea declarației de căsătorie și respectarea principiilor GDPR

Scrieți pe Google „publicație starea civilă”, selectați modul „imagini” și observați rezultatul…Poate chiar vă regăsiți numele pe internet, alături de soțul/soția de atunci sau (încă) din prezent. Ne […]

GDPR se aplică și în timpul pandemiei COVID-19

GDPR se aplică chiar dacă pe timp de pandemie operatorilor de telefonie mobilă le-a fost solicitat de autorități să comunice anumite date pentru a ajuta la reducerea răspândirii […]

Pandemia Covid-19 a impus maturizarea forțată a societății românești

Nimic nu va mai fi ca înainte. Societatea în care trăim s-a schimbat deja, fiind supusă la unul din cele mai dificile teste de stres. Frica este cea […]