O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de Medicina, Farmacie, Știinte și Tehnologie „George Emil Palade” din Târgu Mureș. Lucrarea prezinta o importanta practica pentru ca faciliteaza la nivelul operatorilor de date implementarea Regulamentului General privind Protectia Datelor.

Lucrarea este ușor accesibila și celor care, deși nu au o specializare in domeniul protectiei datelor, au atributii manageriale și sunt interesati sa ia decizii cu respectarea legislatiei specifice acestui domeniu. Spre exemplu, șeful unui departament tehnic trebuie sa fie interesat de adoptarea unei politici de utilizare a sistemului GPS (Global Position System) la autovehiculele companiei, ceea ce trebuie realizat prin a tine cont de Regulamentul General privind Protectia Datelor.

Lucrarea are un caracter profund practic, permitându-i operatorului de date și responsabilului cu protectia datelor sa adopte o pozitie strategica atunci când este vorba de implementarea Regulamentului General privind Protectia Datelor. Modele și formularele cuprinse in volum trebuie citite cu atentie de fiecare Responsabil cu protectia datelor, dupa care sa recomande adoptarea oricaruia dintre acesta doar cu propuneri care sa reflecte specificul fiecarui operator de date. Poate aceasta este cea mai importanta idee practica sugerata aici, anume niciodata sa nu ne aplecam pe achizitionarea unor „kituri” de modele și formulare, uitând că implementarea se face specific fiecarei problematici.

Acest volum pune la dispozitie mijloace pentru o implementare corecta și justificata, fara insa sa aiba pretentia nici a exhaustivitatii modalitatilor de implementare și nici a epuizarii modelelor posibile pe diferite domenii. Lucrarea este elaborata exclusiv pe baza experientei autorilor, fiind adresabila celor care au nevoie de implementare, institutiile publice și agentii economici.

DESCARCA FRAGMENT

Cuprinsul cărţii - PROTECTIA DATELOR CU CARACTER PERSONAL. MODELE SI FORMULARE

I. Acorduri de protectie a datelor

• Model de Acord de confidentialitate ce urmeaza sa fie incheiat cu studentii care solicita accesul la baza de date a spitalului
• Model de Acord de confidentialitate și integritate date
• Model de Acord de protectie a datelor cu caracter personal la un contract
• Model de Acord de protectie a datelor cu caracter personal in cazul beneficiarilor de finantari nerambursabile și autoritatile contractante
• Model de Clauze de confidentialitate privind executia de lucrari

II. Formulare de consimtamant 

• Formular consimtamant vecini – CCTV
• Solicitare consimtamant pentru prelucrarea de categorii speciale de date cu caracter personal
• Nota interna a Operatorului de date privind consimtamantul dat la prelucrarea unor categorii speciale de date și durata prelucrarii datelor

III.MODELE DE FORMULARE PRIVIND EXERCITAREA DREPTURILOR DE CATRE PERSOANELE VIZATE/INTERESATE 

• Cerere pentru exercitarea drepturilor persoanei vizate (candidati /angajati /foști angajati /alte persoane interesate) / Nota interna/
• Model de procedura operationala privind solutionarea cererilor pentru exercitarea drepturilor de catre persoanele vizate in temeiul Regulamentului General privind Protectia Datelor
• Model de procedura interna de solutionare a cererilor pentru exercitarea drepturilor specific RGPD, privind tipul și fluxul de operatiuni in cadrul organizatiei
• Model de procedura operationala privind solutionarea cererilor pentru exercitarea drepturilor ce privesc datele cu character personal Candidati / Angajati /Foști angajati /Alte persoane interesate

IV. Strategii de implementare a standardului de protectie a datelor cu caracter personal

• Model de strategie de implementare la nivelul unei unitati administrativ-teritoriale a standardului de protectie a datelor cu caracter personal și a vietii private
• Model de strategie de implementare la nivelul unui spital public de pediatrie a standardului de protectie a datelor cu caracter personal și a vietii private
• Model de strategie de implementare la nivelul unei institutii școlare a standardului de protective a datelor cu caracter personal și a vietii private
• Schema logica a strategiei de implementare a standardului

V. Formulare specifice responsabilului cu protectia datelor

• Cerere de consigliere
• Regulamentul de organizare și functionare și Procedura de lucru a Responsabilului cu protectia datelor la nivelul unei institutii spitalicești
• Regulamentul de organizare și functionare și Procedura de lucru a Responsabilul cu protectia datelor la nivelul unei primarii/unitati administrativ-teritoriale
• Model de Memorandum privind Riscul asupra indeplinirii cerintelor RGPD referitoare la Statutul Responsabilului cu Protectia Datelor in cadrul unei primarii/unitati administrativ-teritoriale/institutii publice
• Stabilirea sistemului de evaluare a performantei Responsabilului cu Protectia Datelor in cadrul unei unitati administrativ-teritoriale
• Model de Fișa a postului Responsabilului cu Protectia Datelor din cadrul unei primarii a unitatii administrativ-teritoriale
• Fișa postului Responsabilului cu Protectia Datelor din cadrul unui spital
• Model de Nota de informare adresata conducerii operatorului referitoare la conformitatea mecanismului CCTV utilizat in cadrul institutiei cu standardele protectiei datelor cu character personal
• Nota de informare privind prelucrarea datelor cu caracter personal prin folosirea sistemului CCTV
• Nota de informare adresata conducerii operatorului

VI.POLITICI

• Model de Politica Generala de confidentialitate și protectie a vietii private
• Model de Politica de confidentialitate și protectie a vietii private la nivelul unei unitati administrativ-teritoriale
• Model de Politica generala de confidentialitate și protectie a vietii private la nivelul unui spital
• Model de Politica de prelucrare a datelor cu caracter personal privind utilizarea sistemelor GPS in activitatea de transport

E. MODEL DE POLITICA PRIVIND SUPRAVEGHEREA PRIN MIJLOACE VIDEO (TVCI)

• România ocupă locul al doilea în acest top, întrucât 84% dintre români nu au nici o idee despre cum să raporteze o infracțiune cibernetică sau un comportament online ilegal
• În mod îngrijorător, 67% dintre români nu se simt bine informați cu privire la riscurile criminalității cibernetice
• Cetățenii spanioli (86%) și danezi (86%) sunt cei care declară că au cele mai puține cunoștințe despre cum să raporteze o infracțiune cibernetică sau orice comportament online ilegal
• În ansamblu, ca medie în toate țările evaluate, 77% dintre europeni nu au idee despre modul în care ar raporta o crimă cibernetică sau orice comportament ilegal online.

În ultimul deceniu, problema criminalității informatice a apărut din ce în ce mai des în atenția publicului larg astfel că, guvernele din întreaga lume au luat decizia de a înființa organisme specializate pentru a se ocupa în mod special de toate problemele legate de criminalitatea informatică. În ciuda acestei măsuri, gradul de conștientizare a populației în privința riscurilor cibernetice nu a cunoscut o îmbunătățire seminificativă.

Interesat de siguranța online, Reboot Online a analizat cele mai recente date publicate de Comisia Europeană, pentru a descoperi care europeni nu știu cum să raporteze o infracțiune cibernetică sau orice alt comportament ilegal online în țara lor respectivă. A fost evaluat practic dacă europenii știu sau nu de  existența unui site web, a unei adrese de e-mail, a unui formular online și / sau a unui număr de contact în țara lor pentru a raporta o infracțiune cibernetică sau orice alt comportament ilegal online, cum ar fi hărțuirea / agresiunea cibernetică.

Reboot Online a constatat că Spania și Danemarca se află pe primul loc împreună, întrucât 86% dintre cetățenii din fiecare țară respectivă nu au nicio idee despre cum să raporteze o infracțiune cibernetică.

Pe a doua poziție se află România, unde 84% dintre români recunosc că nu au nicio idee pe cine să contacteze sau cum ar trebuie să raporteze o infracțiune cibernetică. În plus, 67% dintre români recunosc că nu se simt bine informați cu privire la riscurile criminalității cibernetice. Pentru acest studiu au fost chestionați 1.089 români. 

Franța se află pe locul trei, 82% dintre cetățenii francezi declarând că nu sunt conștienți de căile relevante pe care ar putea să le exploreze pentru a raporta că sunt victime sau martori ai criminalității informatice.

În al patrulea loc se află Suedia, unde 81% dintre suedezi mărturisesc că nu au cunoștințele adecvate pentru a alerta părțile relevante cu privire la o crimă cibernetică.

Interesant este că 80% dintre cetățenii care locuiesc în Lituania, Portugalia și Polonia nu știu cum să raporteze o infracțiune cibernetică, respectiv pe locul al cincilea.

La celălalt capăt, cei din Malta par a fi cei mai pregătiți să facă față consecințelor unei infracțiuni informatice, doar 46% dintre cetățeni nu știind cum să raporteze o infracțiune informatică.

Per total, în medie din toate țările evaluate, 77% dintre europeni nu știu cum să raporteze criminalitatea informatică sau comportamentul ilegal online.

Shai Aharony, cofondatorul și directorul general al Reboot Online a comentat:

„Pe măsură ce criminalitatea cibernetică devine mai sofisticată și periculoasă, trebuie să devenim mai vigilenți pentru a ne proteja online. Luarea unor acțiuni mici, cum ar fi familiarizarea cu agențiile / organismele de criminalitate informatică susținute de guvern și aplicarea celor mai bune practici recomandate acțiunilor dvs. online, poate juca un rol monumental în reducerea riscului de a deveni victimă a criminalității informatice. Dar această cercetare demonstrează, de asemenea, că aceste agenții / organisme guvernamentale de criminalitate informatică trebuie să se promoveze mai bine în fața publicului pentru a-i face conștienți de rolul, operațiunile și serviciile lor de sprijin în ceea ce privește criminalitatea informatică. Deși necunoașterea cu privire la modul de raportare a criminalității cibernetice în unele țări europene este mai slabă decât altele, o acțiune activă a agențiilor / organismelor relevante în domeniul criminalității cibernetice pentru a ieși din umbră și pentru a educa publicul cu privire la ce protocoale să urmeze în caz de criminalitate cibernetică va remedia această problemă ”.

Securitatea cibernetică este de interes în fiecare industrie și arie geografică, așa cum pericolul atacurilor online vizează orice organizație. În consecință, numeroase companii sunt în căutare de expertiză și consultanți calificați pentru a-i ajuta in implementarea standardelor și cerințelor legale sau de altă natură (GDPR, NIS, Norma X etc.), sau in managementul securității cibernetice etc.  Principalele aspecte de luat în considerare atunci când este selectat un astfel de expert sau companie sunt: cunoștințele fundamentale, experiența similara demonstrată în alte proiecte, abordarea holistică, soluțiile personalizate, independența de anumiți vendor-i/ tehnologii etc.

Mihai Danțiș, Lead Auditor și Trainer pe mai multe standarde ISO, cu o experienta de 15 ani în domeniu standardelor și peste 20 de ani în securitate IT recomandă un minim de 15 întrebări pe care ar trebui să i le adresăm consultantului, pentru a fi convinși că răspunde necesităților si asteptarilor organizației:

1. Ce experiență relevantă aveți în implementarea standardelor (framework-urilor) pentru clienții din industria din care facem parte?

• Vom identifica experiența similară privind cerințele de business, legale, contractuale etc. Astfel, vom avea siguranța că expertul cunoaște toate aspectele specifice ce țin de implementare și nu învață experimentând pe organizația noastră.

2. Câte dintre aceste proiecte au fost implementate cu succes în ultimii trei ani?

• Obținem informații exacte despre cum expertiza sa a fost materializată în practică. Succesul poate avea diverse definiții, de la obținerea unei certificări pentru respectivul standard până la lipsa unor amenzi în cazul unor controale.

3. Povestiți-ne despre cel mai complex proiect de consultanță în care ați fost implicat și despre rolul dvs. în acel proiect.

• Vom înțelege experiența similară ce ne va ajuta să calibrăm așteptările pe care le putem avea de la un consultant. De exemplu, așteptările de la un consultant junior care a deținut un rol de asistent în echipă, sunt diferite față de cele pe care le avem în raport cu un team-leader.

4. Ce clienți v-ar putea recomanda? Ne puteți oferi o persoană de contact?

• Din considerente de confidențialitate, consultantul s-ar putea să nu poată oferi asemenea detalii. Este bine totuși să căutăm detalii suplimentare care să poată demonstra experiența consultantului.

5. Ce alte standarde mai cunoașteți? Cu ce standarde ați mai integrat activitatea derulata în cadrul proiectelor de consultanță anterioare?

• Activitatea unei organizații trebuie privită în mod complex. S-ar putea să ne dorim o documentație unitară la nivelul organizației noastre, care să cuprindă și alte sisteme de management ce nu țin neaparat de securitate și pe care le avem deja implementate (ex. calitate, mediu, sănătate și siguranță ocupațională etc.), iar cunoașterea experienței consultantului, ne va ajuta să avem o abordare sistemică.

6. Clientii carora le-ati oferit consultanta au avut audituri de terță parte (de certificare) sau controale din partea autoritatilor pentru subiectul respectiv? Ați participat la proces alături de client?

• Este important să cunoaștem dacă clienții au obtinut certificările in cadrul auditului din partea Organismelor de Certificare sau daca au primit amenzi în cazul controalelor, precum și dacă au beneficiat de suportul consultantului pe acea perioadă (gratuit sau cu costuri suplimentare)

7. Sunteți și trainer pentru standardele/ framework-urile pe care dorim să le implementăm? De cât timp? Câte grupuri sau câți oameni au participat la sesiunile de instruire? Aveți certificat de trainer?

• Această informație ne este utila, în special în condițiile în care angajații companiei trebuie instruiți.

8. Ne puteți prezenta un exemplu de documentație rezultată ca urmare a implementării unor standarde similare în cadrul altor companii și materiale de training folosite pentru un client anterior?

• Astfel, vom putea evalua complexitatea procesului de implementare și de educație. Aceasta ne va ajuta să ne facem o idee despre produsele care ne vor fi oferite și vom înțelege complexitatea și calitatea lor.

9. Ați lucrat ca auditor extern pentru un Organism de Certificare?

• Astfel, vom cunoaște experiența suplimentară a consultantului. Organismul de Certificare este obligat, conform standardelor aplicabile lor (ex. ISO 17021) dupa care este, la rândul sau,auditat (de către Organismul de Acreditare), să se asigure de experiența, instruirea periodică, validitatea diplomelor, evaluarea periodică a auditorului etc.

10. Care au fost principalele probleme regăsite frecvent în proiectele de acest fel?

• Este important și util să încercăm să învățăm din experiența altora.

11. Care sunt persoanele din compania noastra ce ar trebui să fie implicate în proiect alaturi de dvs și să va susțină cu documente, detalii etc.? Cât timp ar trebui să aloce aceste persoane?

• Inclusiv alocarea acestor resurse (oameni din companie) reprezintă costuri pentru companie (oameni scoși din producție) și trebuie asumate ca atare; deși nu se regăsesc pe oferta financiară a consultantului trebuie sa prezentăm top managementului toate costurile aferente implementării.

12. Care este timpul estimat de implementare al proiectului? Care sunt factorii critici de care depinde acest proiect și respectarea termenului de livrare?

• Astfel, validăm dacă ne încadrăm în cerințele și așteptările interne (top management, business etc.) și înțelegem intern că este nevoie și de implicarea tuturor colegilor relevanti (ex. din IT, HR, Legal, Business, DPO, Security etc.)

13. Există servicii suplimentare pe care este necesar sa le achiziționăm pentru implementarea proiectului?

• Suplimentar serviciilor de consultanță, s-ar putea să avem nevoie și de expertiza unor terți: diverse tehnologii, servicii de scanare vulnerabilități, servicii pentest etc. Este important să avem imaginea cât mai completă a costurilor totale.

14. Prețul ofertei financiare este final sau pot aparea costuri suplimentare?

• Costuri precum - deplasare, cazare, dezvoltarea documentației (eventual o listă cu documentația minimă și pașii), instruirea personalului, uneori nu sunt incluse în oferta de bază, iar aceasta va solicita resurse adiționale. Este recomandat, chiar de la inceput, să avem imaginea globala a dimensiunilor și costurilor implementării.

15. Identificati un potențial conflict de interese în cazul în care veți deveni furnizorul nostru?

• Aceasta ne va permite să înțelegem dacă consultantul are prieteni sau rude în cadrul companiei, precum și contracte anterioare/în derulare sau proceduri de achiziție în desfășurare etc.

Contractarea unui consultant în procesul de implementare al unui standard ISO și/ sau a oricărui cadru de securitate, implică o serie de riscuri.

Printre cele mai importante sunt:

• Lipsa cerințelor legale clare pentru acest tip de activitate sau profesie, duc la percepția eronată a expertizei de care trebuie să beneficieze consultantul. Astfel, „autodeclarații” experți în domeniu, nu vor putea furniza intotdeauna expertiza necesară pentru implementarea standardelor. Din aceste motive trebuie să fim foarte riguroși în alegerea colaboratorilor și să nu ne limităm la valoarea financiară a ofertei
• Munca consultantului presupune acces la toate informațiile companiei, inclusiv cele critice: vulnerabilități, deficiențe de personal, listă subcontractori/ furnizori, tehnologii folosite etc. Este important să ne asigurăm legal că aceste date nu vor utilizate în detrimentul nostru sau în beneficiul individual al consultantului.
• Lipsa implicării personalului propriu în implementarea standardelor poate conduce la inadvertente periculoase ale documentatieir finale: politici, proceduri, instrucțiuni de lucru etc. Ulterior implementării, ar putea apărea anumite probleme de menținere la zi a documentației, rezultate din lipsa de intelegere, sau chiar de “asumare” interna, datorita neimplicarii initale in proces. Din acest motiv, trebuie să alocăm și personal propriu care să fie instruit, sa dezvolte un sentiment de responsabilitate fata de proces și să poată duce mai departe sistemul, să îl poată optimiza astfel încât sa fie permanent funcțional, actual si adaptabil la schimbari.
• Mulți dintre consultanți sunt „angajați” în comercializarea produselor unor companii de software și hardware. Din aceste considerente, consultantul este cel care recomandă un anumit produs, de la o anumita companie, pentru a-l procura și a intra in conformitate cu cerințele. Acesta este motivul pentru care, de cele mai multe ori, prețul consultanței este unul “convenabil”. Și asta pentru că își poate recupera reducerile oferite la contractual de consultanță în alt mod. Aceste înțelegeri pot crește simțitor bugetul dedicat procesului de conformare. Pe de altă parte, s-ar putea ca această relație a consultantului să fie exploatată și în beneficiul organizației, în sensul în care pot fi negociate reduceri substanțiale pentru soluțiile ce ar trebui implementate. Regula nu se aplică în cazul distribuitorilor unici.

Amenințările în materie de securitate cibernetică evoluează zilnic, astfel devine imperativ necesar să fie identificat un consultant care să fie la curent cu  cele mai noi provocări de securitate și soluții de ultimă generație.