Filip Truță: „Noua soluție Bitdefender 2020 protejează intimitatea utilizatorilor”

INTERVIU EXCLUSIV

Vizualizari: 2599

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Filip Truță, security analyst la Bitdefender, a acordat un interviu in exclusivitate  pentru dpo-NET .ro despre GDPR și despre tehnologiile noi din soluția de securitate Bitdefender 2020 care feresc utilizatorii de folosirea intruzivă a datelor personale și îi protejează de atacuri informatice sofisticate.

Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește de protejarea datelor lor?

FT: Responsabilitatea conștientizării cade în primul rând pe autorități, instituții publice și pe entitățile care lucrează cu datele personale ale cetățenilor Uniunii Europene. Exemple primare pot fi instituțiile de stat, companiile de telecomunicații, instituțiile financiare, magazinele online sau orice procesator de date personale. Întrebarea legitimă este în ce măsură reușesc acestea să educe publicul cu privire la drepturile nou-dobândite. Studiile arată că entitățile aflate sub incidența GDPR încă se luptă cu unele fațete ale noii legi, inclusiv cu propria conformitate.

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

FT: Cetățenii oricărei țări, nu doar cei din UE, au o răspundere personală cu privire la cunoașterea drepturilor și libertăților în fața legii. GDPR nu este o excepție. În era digitală, a devenit imperativ sa ne autoeducăm cu privire la amenințările informatice, iar studierea GDPR este un început bun. De exemplu, toți cetățenii UE ar trebui să știe că, începând cu 25 mai, 2018, au dreptul să ceară informații cu privire la cum sunt colectate, procesate și în ce scop sunt folosite datele lor personale. Entitățile vizate au la dispoziție o lună sa se conformeze. De asemenea, un cetățean UE poate solicita oricând, oricărei entități vizate de GDPR, încetarea colectării datelor personale și chiar ștergerea acestora. Lipsa conștientizării acestor drepturi poate duce la abuzuri din partea celor care le colectează și prelucrează datele.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

FT: Educarea persoanelor sau educarea operatorilor nu trebuie luate ca două premise separate. Cele două tabere sunt interdependente. Desigur, eforturile încep cu instituțiile ce prelucrează date cu caracter personal către utilizatori. În același timp, persoanele fizice au responsabilitatea de a se informa cu privire la legile de protecția datelor în vigoare. Este în interesul tuturor ca efortul să fie unul concomitent, făcut de toate părțile vizate.

Anul acesta s-au dat primele amenzi pentru nerespectarea GDPR. Considerați că amenzile au un rol important în aplicarea GDPR-ului? Din experiența dvs practică, cei mai mulți operatori se conformează cu GDPR-ul din responsabilitate sau de frica amenzilor?

FT: Scopul GDPR este de a asigura un cadru preventiv – ca entitățile să implementeze măsuri de colectarea și securizare a datelor specifice obiectului lor de activitate, împotriva potențialelor breșe. În primul an de la intrarea in vigoare a noii legi, autoritățile au fost indulgente, permisive chiar, pentru că entitățile încă se luptau cu cerințele de conformitate – un aspect reflectat la nivel mondial, nu doar în România. Începând cu iulie 2019, situația s-a schimbat radical. In doar 3 zile, autoritățile responsabile cu protecția datelor in UE au dat amenzi de sute de milioane de Euro. Printre companiile amendate se numără compania aeriană British Airways, lanțul hotelier Marriott, sau Unicredit România, ca sa amintim și una din „victimele” GDPR de pe teritoriul țării noastre. Tot in România, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul World Trade Center care s-a soldat cu o amenda de 71.028 lei, echivalentul sumei de 15.000 euro. Amenzile cu siguranța au un rol important in aplicarea legii. Odată ce conștientizarea GDPR atinge nivelul scontat, amenințarea amenzilor va deveni un stimul puternic pentru cei încă rămași în urmă cu conformitatea.

Mai este important de menționat că GDPR nu impune standarde tehnologice de securitate. Totuși, conformitatea cu GDPR ajută la încrederea clienților în respectiva entitate. Astfel, operatorii devin din ce în ce mai conștienți de importanța investițiilor în tehnologii noi și personal calificat pentru a oferi servicii de calitate în regim de siguranță, cu scopul final de a spori încrederea clienților.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? Suntem noi romanii un popor norocos și breșele de securitate ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea?

FT: România suferă atacuri cibernetice cot la cot cu restul lumii. Uneori, însă, în funcție de scopurile atacatorilor, o țară, o instituție, sau o anumită industrie poate fi vizată mai mult decât alta într-o anumită perioadă de timp. De exemplu, dacă atacul are ca scop șantajul financiar (ransomware), victimele vizate sunt cele care dețin date valoaroase, cu potențial ridicat de rascumpărare. De regulă, țările dezvoltate economic, precum SUA, Marea Britanie, Germania, Olanda, etc., care au și o putere ridicată de cumpărare, sunt mult mai vizate de astfel de atacuri. Diferențele de dezvoltare digitală dintre țări, din nou, pot reflecta discrepanțe în ceea ce privește interesul infractorilor informatici. Totodată, o problemă reală cu care se confruntă unele entități este că nu dețin sisteme informatice performante de detecție și raportare iar, astfel, nu își dau seama dacă au avut o breșă de securitate. Această situație se reflectă atât la nivel european, cât și la nivel mondial.

A trecut un an de la intrarea în vigoare a GDPR-ului. Ce s-a schimbat în decursul acestui an?

FT: În ultimul an, au fost duse campanii de informare în rândul entităților prin diverse conferințe, au apărut cursuri de formare cu privire la prevederile GDPR, iar majoritatea entităților și-au desemnat o persoană specializată in protecția datelor sau au externalizat servicii în acest sens. Formularele de confidențialitate au devenit imperative, iar cei care aveau o asemenea politică și-au consolidat-o conform noilor reglementări. Prin cerința de minimizare a colectării datelor, entitățile nu mai cer o sumedenie de date ce pot identifica personal un individ, ci doar strictul necesar. Înainte de intrarea în vigoare a GDPR nu exista o cultură a protecției datelor. Poate cea mai importantă schimbare adusă de GDPR este însăși responsabilizarea entităților și conștientizarea la nivel public că entitățile care ne dețin datele personale sunt obligate să fie mult mai atente cu colectarea, stocarea și folosirea acestor date. Totodată, publicul de azi este mai conștient cu privire la drepturile sale asupra datelor personale.

Ce noutăți ne pregătește Bitdefender în perioada următoare? 

FT: Bitdefender a lansat suita de soluții de securitate informatică pentru familii Bitdefender 2020, capabilă să ofere utilizatorilor confidențialitate completă pe internet. Noile tehnologii integrate în produs sunt construite să combată cele mai sofisticate atacuri informatice, să protejeze viața digitală de infractori informatici, site-uri intruzive, dar și de cele mai sofisticate amenințări informatice concepute să cripteze datele utilizatorilor sau să le fure identitatea. Bitdefender 2020 aduce nou un modul anti-tracking pentru Windows și mac OS., care notifică utilizatorul despre instrumentele de monitorizare din spatele fiecărei pagini vizitate și îl ajută să controleze informațiile personale compilate de către companii.

Astfel, site-urile nu vor mai putea afișa către utilizatori reclame concepute pornind de la datele personale sau istoricul de navigare. Noua funcționalitate de monitorizare a microfonului se alătură celei de protecție a camerei video și va notifica utilizatorul despre orice încercare de acces neautorizat al unor aplicații sau programe la funcția de înregistrare audio, folosită adeseori în scopuri de spionaj.

Motoarele de detecție a amenințărilor informatice sunt capabile să oprească cele mai noi variante ale amenințărilor informatice actuale, precum ransomware și minerii de monedă virtuală.

Bitdefender 2020 introduce în premieră și protecția în timp real pentru dispozitive cu iOS față de tentative de înșelătorie. Indiferent de browser, noul feature va bloca orice încercare de sustragere a datelor de card sau altor date personale de către o pagină de internet frauduloasă.

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Ce a însemnat anul 2020 pentru Responsabilul cu protecția datelor personale din România?

INTERVIU EXCLUSIV

Vizualizari: 1970

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Daniela Cireasa a absolvit Facultatea de Drept, Universitatea Nicolae Titulescu, este consilier juridic din anul 2001 și Senior Partner în cadrul NeoPrivacy Romania. In 2018 a absolvit cursurile postuniversitare de protectia datelor „Protectia juridica a datelor personale” si a obtinut în iunie 2019 titlul de „Cel mai bun DPO din Romania” împreuna cu Echipa Nord Est DPO Romania la Targu Mures. Ofera consultanță în domeniul implementării Regulamentului General privind Protecția Datelor (GDPR) și este Responsabil cu protectia datelor (DPO). Cei 17 ani de activitate practica din care 4 ani in functie de conducere, au ajutat la cunoasterea mediului privat de afaceri si respectiv a activitatii departamentelor din cadrul unei societati de productie si comert, precum si schimburi intracomunitare. Este Vicepreședinte al ASCPD - Asociatia Specialistilor in Confidentililitate si Protectia Datelor și coautor al volumului "GDPR Aplicat", publicat la începutul acestui an. 

Daniela Cireasa a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să realizeze o radiografie fidelă a tuturor provocărilor profesionale, și nu numai, din acest an, pentru Responsabilul cu Protecția Datelor din România. 

Prin acest interviu i-am adresat doar două întrebări: cum a arătat agenda DPO-ului Daniela Cireașă și care au fost cele mai mari provocări cu care s-a confruntat în anul 2020?

D.C.: Deși a început în condiții de normalitate, anul 2020 avea să fie unul dintre cei mai plini de provocări ani, atât pentru DPO, cât și, în general, pentru întreaga omenire.

Dacă în 2019 ne-am concentrat pe problematici precum incompatibilitățile, poziția DPO-ului în cadrul organizației și metodele de a-și câștiga și consolida rolul stabilit de Regulament, cine este cu adevărat responsabil pentru implementarea GDPR și cine întocmește celebrul “dosar GDPR”, ce înseamnă cu adevărat măsuri tehnice și organizatorice "suficiente", anul 2020 se anunța destul de liniștit, fără mari provocări pentru DPO, concentrarea sa îndreptându-se către formarea profesională continuă în domeniu. Așa a debutat și anul meu, cu participarea în luna ianuarie la CPDP 2020 la Bruxelles (https://www.cpdpconferences.org/news/cpdp2020-full-program-available ).

Perspectiva mea profesională, din care scriu aceste rânduri, este una diversă, ca DPO extern, consultant în protecția datelor personale, co-autor al cărții “GDPR Aplicat”, dar și vicepreședinte al Asociației Specialiștilor în Confidențialitate și Protecția Datelor (https://ascpd.ro/). Fiecare dintre aceste roluri a presupus în 2020 foarte multă muncă de voluntariat și orientare către aducere de plus valoare prin articole, ghiduri, proceduri, webinare gratuite și conferințe online prin intermediul cărora am încercat să dau o mână de ajutor operatorilor si profesioniștilor în domeniu, dar, mai ales responsabililor cu protecția datelor personale, care au fost copleșiți în aceasta perioadă de noianul de schimbări și situații cu care nu s-au mai confruntat vreodată. În ianuarie 2020 am lansat, împreună cu Daniela Simionovici, Cătălina Lungu și Marius Florian Dan, volumul “GDPR Aplicat. Instrument de lucru pentru implementarea Regulamentului 679/2016”, carte care se adresează responsabililor cu protecția datelor personale dar și operatorilor sau persoanelor împuternicite.

Cea mai mare provocare, pentru noi toți, a venit în luna martie, o dată cu starea de urgență, când mulți dintre noi, DPO externi, am fost puși în situația de a suspenda contractele de servicii.

Odată cu starea de urgență a apărut provocarea educației online, procedurile privind școala online făcându-se anevoios, în totală nesiguranță din punct de vedere cibernetic. Am publicat împreună cu ceilalți co-autori ai “GDPR Aplicat” un set de recomandări pentru școala online (https://dpo-net.ro/specialistii-in-protectia-datelor-personale-sar-in-ajutorul-cadrelor-didactice-implicate-in-invatamantul-on-line/?cat=106), punând accentul pe securitatea prelucrărilor de date online, în mod special ținându-se seama că majoritatea persoanelor vizate erau minori. Demersul nostru a fost ulterior susținut și de către ASCPD prin “Scrisoarea deschisă adresată ministerului educației și cercetării privind limitarea accesului la educație al elevilor din Romania” atunci când s-a solicitat consimțământul părinților și declarații pe propria răspundere ale elevilor, atât la evaluarea națională cât și la bacalaureat (https://ascpd.ro/2020/06/17/ascpd-transmite-o-scrisoare-deschisa-adresata-ministerului-educatiei-si-cercetarii-privind-limitarea-accesului-la-educatie-al-elevilor-din-romania/), dar și prin reacția la cuvântul “bazaconie” folosit de fostul prim ministru atunci când a răspuns afirmației că profesorii invocă GDPR-ulca să evite lecțiile online. În reacția menționată am prezentat 10 situații în care procesul de teleeducație din România încalcă Regulamentul UE 2016/679, generând riscuri considerabile la adresa drepturilor și libertăților fundamentale ale tuturor actorilor implicați în învățământul online. Apreciez, din experiența proprie cu școala online, că lucrurile s-au mai îmbunătățit odată cu începerea anului școlar în septembrie, dar nu radical și încă se mai produc incidente. Amintesc cu acest prilej că a fost publicată o metodologie privind învățământul online, însă aceasta transferă întreaga responsabilitate a securizării cursurilor către unitățile de învățământ și profesori, iar mai nou, prin celebra declarație solicitată părinților și copiilor privind înregistrarea orelor online, răspunderea se transferă parțial și către părinți. La nivelul unităților de învățământ este o adevărată provocare pentru responsabilul cu protecția datelor deoarece nu se pun la dispoziție resurse materiale suficiente pentru măsurile pe care acesta le-ar recomanda. Aș adăuga aici și faptul că mulți dintre DPO de școală sunt profesori, neavând pregătirea necesară și nici suportul pentru îndeplinirea acestui rol.

În aprilie, datorită intensificării activității ONG-urilor de strângere de fonduri pentru acordarea de ajutor pe timpul pandemiei celor care aveau nevoie, am elaborat, împreună cu colegii din ASCPD, un Ghid destinat ONG-urilor (https://ascpd.ro/2020/04/27/ascpd-a-publicat-un-ghid-destinat-ong-urilor-implicate-in-campanii-de-strangere-de-fonduri-in-perioada-pandemiei-covid-19/). Scopul Ghidului a fost și este acela de a oferi celor implicați în activitatea de strângere de fonduri, un instrument cu ajutorul căruia să se asigure că respectă dreptul fundamental al persoanelor vizate la protecția datelor cu caracter personal, cu precizarea că respectarea prevederilor Regulamentului 679/2016 nu se suspendă în nicio situație, nici pe timp de pandemie, contrar celor auzite de multe ori anul acesta.

Începând cu luna mai a demarat organizarea de webinare și conferințe online, primele la care am participat fiind “Provocările procesului de cartografiere” (https://dpo-net.ro/participa-la-webinarul-dpo-tools-12-mai-2020-provocarile-procesului-de-cartografiere/?cat=67), prezentarea mea fiind axată pe cartografierea datelor personale în domeniul resurselor umane, iar următorul eveniment a avut un subiect îndelung comentat anul acesta: “Termoscanarea și implicațiile asupra relațiilor de muncă” (https://dpo-net.ro/dpo-talks-21052020-webinar-termoscanarea-implicatiile-asupra-relatiilor-de-munca/?cat=67).  Tot în cursul lunii mai 2020 am elaborat și publicat gratuit o procedură privind termoscanarea (https://dpo-net.ro/document-gratuit-procedura-controlul-temperaturii-angajatilor/?cat=58), în contextul în care apărea legislație nouă aproape zilnic, cea mai mare provocare pentru operatori dar și pentru DPO fiind aceea că termoscanarea nu trebuie să se facă cu prelucrare de date personale, lucru aproape imposibil în practică, deoarece majoritatea locurilor în care se face/făcea termoscanarea sunt amplasate la intrarea în unitate, deci supravegheate video și, dacă erau depistați angajați cu temperatura peste 37,3 grade, aceștia erau direcționați către medicul de familie, înregistrându-se în evidențele angajatorului motivul absenței acestora. De asemenea, DSP-urile județene, cu ocazia verificării îndeplinirii acestei obligații, solicitau dovada măsurării temperaturii, dovadă care implica, de cele mai multe ori, prelucrarea de date personale. Așadar, rolul DPO-ului în cazul termoscanării a fost unul deosebit de dificil, cadrul legal în permanentă modificare, presiunea persoanelor vizate (să ne amintim de CIP-puri, sârmele din măști, 5G și alte fakenews din perioada aceea), managementul superior care încerca să-și protejeze business-ul, toate acestea făcând misiunea DPO-ului foarte grea. Am recomandat la momentul respectiv formarea unei comisii din care să facă parte atât managementul cât și responsabilul cu sănătatea și securitatea în muncă, medicul de medicina muncii, juristul și DPO-ul, comisie care să gestioneze situația în cele mai bune condiții posibil.

În luna iunie, pe fondul solicitării consimțământului în procesul de educație dar și în procesul termoscanarii, am scris, împreună cu Marius Dumitrescu, articolul “De unde provine falsa supremație a consimțământului ca temei legal”, manifestându-ne îngrijorarea că, după 2 ani de la punerea în aplicare a GDPR, încă se mai discută întâi de consimțământ și abia apoi se verifică existența unui alt posibil temei de prelucrare a datelor personale. Concluzia a fost că această confuzie provine din vechea ierarhie din Legea 677/2001, lege în care consimțământul era considerat principalul temei al prelucrării, operatorii scăpând din vedere că situația s-a schimbat o dată cu apariția Regulamentului și a ghidului privind consimțământul.

Luna iulie a adus două noi evenimente online în cadrul cărora am prezentat prelucrarea datelor personale în cazul sănătății și securității în muncă (https://www.youtube.com/watch?v=6FpbUTqkmkE), dar și a medicinei muncii (https://www.youtube.com/watch?v=6XdDWfsenjM&t=16727s), prezentări care s-au concretizat într-un articol apărut în numărul trei al Revistei pentru protecția și securitatea datelor cu caracter personal. De ce SSM și MM? Deoarece am întâlnit cazuri în care încă nu se înțelege calitatea de persoana împuternicită sau operator asociat a responsabilului extern cu SSM și a medicului de medicina muncii, încă nu se înțelege că volumul de date prelucrat de către aceștia este unul impresionant, iar incidentele de securitate sunt destul de frecvente. De asemenea, am ales acești doi actori deoarece sunt deosebit de importanți în perioada pandemiei pentru activitatea oricărui operator de date personale. Una dintre ultimele provocări în calitate de DPO a fost aceea a unui operator care a declarat că responsabilul extern de SSM este operator independent și că nu au niciun fel de relație conform GDPR.

Tot luna iulie a adus, de data aceasta pentru toți operatorii de date, una dintre cele mai mari provocări din istoria protecției datelor personale: invalidarea Privacy Shield cu Statele Unite.

16 iulie 2020. O dată de la care aproape toți operatorii de date personale din România ar fi trebuit să-și reconsidere soluțiile de tip website, găzduire e-mail, servicii de newsletter, cloud, conturi pe rețele de socializare, cookie-ului de analiză, remarketing, aplicații, găzduire de baze de date și altele. Invalidarea Scutului de confidențialitate a avut ecou în rândul specialiștilor în protecția datelor din întreaga lume, însă, cei afectați direct, respectiv operatorii de date personale și persoanele vizate, nu par a  fi la curent cu această decizie sau, în orice caz, nupar a conștientiza efectele ei.

Operatorii ar putea spune că ei nu fac niciun transfer de astfel de date către SUA, uitând să analizeze furnizorii de servicii de tip newsletter, spre exemplu, sau categoriile de cookie instalate pe website-ul companiei. Transferurile de acest tip sunt frecvente și mulți dintre operatori le-au făcut și încă le fac inconștient. Menționez aici lipsa acordurilor încheiate cu persoanele împuternicite chiar și anterior Deciziei de invalidare a scutului de confidențialitate sau utilizarea încă frecventă a adreselor de e-mail de tip yahoo sau gmail în scop profesional. Revenind la problematica ridicată de către Decizie, apreciez că efectele acesteia nu sunt cunoscute încă nici de către marea masă a operatorilor și nici de către persoanele vizate. Mai multe detalii despre această decizie puteți citi în articolul “Impactul invalidării Privacy Shield și posibile soluții pentru operatorii de date personale” (https://dpo-net.ro/impactul-invalidarii-privacy-shield-si-posibile-solutii-pentru-operatorii-de-date-personale/?cat=36).

Deși am recomandat operatorilor din Romania să apeleze la specialiști în domeniul protecției datelor personale, nici pentru aceștia misiunea de a convinge operatorii să renunțe la soluții din SUA în favoarea altora din UE, nu a fost deloc ușoară. Anul acesta am avut ocazia să moderez evenimentul “Schrems II- Avem soluții?” (https://dpo-net.ro/webinar-dpo-talks-schrems-ii-avem-solutii-02-11-2020/) în cadrul căruia am identificat soluții românești atât pentru newsletter, platforme online, plata online, cloud, găzduire și multe altele, așadar am încercat să facem misiunea DPO-ului mai ușoară, oferindu-i instrumente alternative celor din Statele Unite.

În luna septembrie am prezentat, în cadrul Conferinței “Protecția datelor personale. Impactul noilor tehnologii și dreptul” desfășurată în cadrul «International Summer School 2020» ediția a XIII-a , desfășurată la Târgu Mureș, lucrarea privind invalidarea Privacy Shield, lucrare ce a devenit ulterior subiectul unui articol publicat.

Luna octombrie a adus două declarații nefericite pentru protecția datelor personale și, pe cale de consecință, pentru poziția DPO-ului în organizații, dar și în mentalul celor din jur: termenul de “bazaconie” folosit de către fostul premier (https://ascpd.ro/2020/10/03/ascpd-isi-manifesta-ingrijorarea-fata-de-utilizarea-termenului-bazaconie-in-declaratiile-publice-ale-premierului/), și cel de “eșafodaj complicat”, folosit de către un europarlamentar român la adresa Regulamentului privind protecția datelor personale. Astfel de declarații nu fac deloc mai ușoară munca DPO-ului, ba dimpotrivă.

Lunile octombrie și noiembrie s-au concentrat, în ceea ce mă privește, pe telemuncă, provocările aduse de aceasta și recomandările pentru operatori, angajați și DPO, concretizând aceasta activitate atât prin participarea la evenimente online cu acest subiect (https://neoprivacy.ro/webinar-digitalizarea-beneficii-provocari-legate-de-telemunca-30-10-2020/), cât și prin scrierea de articole (https://dpo-net.ro/telemunca-si-protectia-datelor-personale-in-contextul-digitalizarii/?cat=106) și publicarea, împreună cu colegii din Neoprivacy, a unei Proceduri gratuite privind munca în afara sediului angajatorului (https://neoprivacy.ro/procedura-privind-munca-in-afara-sediului-angajatorului-gratuit/).

Reglementată de Legea 81/2018 și impusă în viața noastră mai repede decât ne-am fi așteptat de către pandemia Covid 19, telemunca, dar și munca la domiciliu au devenit o realitate tot mai prezentă. Este evident că viitorul se îndreaptă către digitalizare și activități preponderent online în toate domeniile vieții noastre, inclusiv în ceea ce privește munca de la distanță, în alte locații decât sediul angajatorului dar, o dată cu ea, apar noi provocări, atât pentru angajați, cât și pentru angajatori și, evident, pentru DPO.

Conform articolului 4 alin. 3 din Legea 81/2018, angajatorii pot verifica activitatea angajaților care lucrează prin telemuncă în condițiile și în modalitatea concretă stabilite prin Regulamentul intern, contractul individual sau colectiv de muncă, după caz. Așadar, condițiile și modalitățile efective de monitorizare trebuie stabilite în mod transparent anterior începerii activității de telemuncă.

Recomand ca înainte de a pune în aplicare orice formă de monitorizare a angajaților, angajatorul să efectueze o analiză a gradului de imixtiune în viața privată a angajatului, a riscurilor pentru drepturile și libertățile acestuia șisă-și adapteze politicile și procedurile la legislația internă și la cea a Uniunii Europene, la recomandările privind prelucrarea datelor personale la locul de muncă, la jurisprudența Curții de Justiție a Uniunii Europene în materie dar și la  amenzile aplicate până acum pentru monitorizarea excesivă a angajaților.

Este de menționat și în acest caz rolul Responsabilului cu protecția datelor personale în întocmirea dar și monitorizarea respectării acestei proceduri. Apreciez că riscul apariției unui incident de securitate este cu mult mai ridicat decât în condițiile muncii normale, de la birou, așa că se impun măsuri tehnice și organizatorice mai stricte. Această temă este tratată pe larg într-un articol din numărul patru al Revistei române pentru protecția și securitatea datelor cu caracter personal, scris împreună cu Daniela Simionovici.

În luna noiembrie ne-a pregătit o surpriză și o provocare și mai mare pentru noi, Responsabilii cu protecția datelor personale: proiectul de lege privind profesia de DPO (https://www.juridice.ro/wp-content/uploads/2020/12/20b653FG.pdf). Un proiect de lege complet eronat, căruia i s-au adus critici atât de către ASCPD (https://ascpd.ro/2020/11/12/ascpd-contesta-continutul-si-modul-de-legiferare-ales-pentru-organizarea-profesiei-de-responsabil-cu-protectia-datelor-in-romania/), de către avocați (https://www.juridice.ro/706312/nici-gdpr-nu-e-pentru-oricine-opinie-fata-de-un-proiect-de-lege-si-fata-de-punctul-de-vedere-al-unbr.html ),  dar și de către mediul de business, profesori universitari, și, în general, de majoritatea celor specializați în domeniul protecției datelor. Proiectul de lege amintit nu numai că încalcă legislația internă, dar și Regulamentul UE 679/2016, afectând dramatic rolul Responsabilului cu protecția datelor personale așa cum a fost el stabilit de către GDPR. De asemenea, prin proiectul de lege se stabilesc atribuții noi pentru Autoritatea de supraveghere, care nu a fost consultată anterior depunerii lui.

Deși speram că luna decembrie va fi, în sfârșit, una liniștită,  se pare că este doar liniștea dinaintea unei noi furtuni, deoarece zilele trecute a fost depus un nou proiect de lege care impactează activitatea Responsabililor cu protecția datelor personale, de data aceasta din domeniul educației: supravegherea audio-video în sălile de clasă (http://www.cdep.ro/proiecte/2020/600/70/8/pl888.pdf). Proiectul este la fel de plin de încălcări ale legislației în vigoare (internă, dar și europeană), neținând cont nici de jurisprudența în materie.

Apreciez că persoanele vizate încep să-și cunoască drepturile, anul acesta am avut mai multe solicitări de ajutor ca niciodată pentru formularea de cereri pe dreptul de acces, numai în ultima lună având 3 (toate pentru primirea de mesaje prin poștă sau sms în cursul campaniei electorale).

Anul acesta a adus cu sine numeroase sancțiuni ale încălcării Regulamentului aplicate atât în Europa cât și în România. Am tratat pe larg aceste sancțiuni împreună cu Marius Dumitrescu și Daniela Simionovici în numerele 2,3 și 4 ale Revistei române pentru protecția și securitatea datelor cu caracter personal. Ceea ce este de subliniat e paleta largă a încălcărilor sancționate de către Autoritatea de supraveghere din România, printre care amintesc lipsa implementării de măsuri tehnice și organizatorice, lipsa de cooperare, lipsa notificării incidentelor de securitate, lipsa de răspuns la cererile persoanelor vizate, lipsa de ducere la îndeplinire a măsurilor corective dar și încălcarea principiilor din GDPR. Este de menționat una dintre cele mai mari amenzi aplicate vreodată de către autoritatea română, cea dată Băncii Transilvania, publicată în cursul lunii decembrie 2020 și care scoate în evidență importanța covârșitoare a instruirii angajaților, dincolo de măsurile tehnice de securitate implementate (https://www.dataprotection.ro/?page=Comunicat_17_12_2020&lang=ro ). Până la urmă, așa cum s-a dovedit în nenumărate rânduri, angajații sunt cea mai mare vulnerabilitate și cred că anul 2021 ar trebui să fie despre conștientizare și instruiri repetate ale personalului.

Apreciez în mod deosebit faptul că Autoritatea de supraveghere a întocmit și publicat Ghidul cu recomandări pentru asociațiile de proprietari (https://www.dataprotection.ro/?page=Prelucrarea_datelor_personale_de_catre_asociatiile_de_proprietari&lang=ro ), acestea fiind printre cei mai sancționați operatori.

Anul 2020 a fost o provocare pentru întreg mediul economic, mulți operatori restrângându-și activitatea și renunțând, printre primele lucruri, la “moftul” numit GDPR, acest fapt afectând activitatea multor DPO externi.

În concluzie, cuvintele cheie pentru activitatea DPO-ului în anul 2020 sunt: provocare continuă, voluntariat, digitalizare, rol cheie în organizație, conștientizarea importanței datelor personale de către operatori și persoanele vizate.

De la anul 2021 cred că Responsabilii cu protecția datelor își doresc recomandările Comitetului European pentru Protecția Datelor Personale în urma invalidării Privacy Shield, ghidul pentru operatorii asociați și persoanele împuternicite dar, în primul rând, întoarcerea la normalitate, deși ea nu va mai fi niciodată la fel, ci vom fi confruntați cu o normalitate redefinită și marcată de cu totul alte repere decât cele cu care am fost obișnuiți.

Din punctul de vedere al activității Asociației Specialiștilor în Confidențialitate și Protecția Datelor, anul 2021 se anunță unul plin, debutând în luna ianuarie cu organizarea Conferinței Naționale de Confidențialitate și protecția datelor PRIVACY ROMANIA 2021 (https://privacyromania.ro/).

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Daniela Simionovici: “Există soluții pentru reducerea riscului unei amenzi GDPR”

INTERVIU EXCLUSIV

Vizualizari: 4725

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Daniela Simionovici a absolvit cursurile Universității Ștefan cel Mare din Suceava, specializarea Asistență socială și un master în consiliere și administrare resurse umane la aceeași universitate. A absolvit cursul postuniversitar de “Protecția datelor cu caracter personal” organizat de Facultatea de Drept și Științe Administrative ale aceleiași universități sucevene. Este membru ASCPD și a obținut titlul de „Cel mai bun DPO din România” împreună cu Echipa Nord Est DPO România la Târgu Mureș în iunie 2019. În calitate de Senior Partner la NeoPrivacy România, oferă consultanță în domeniul implementării Regulamentului general privind protecția datelor (GDPR) și oferă și servicii de Responsabil cu protecția datelor personale în regim externalizat (DPO). Participă constant la seminare, dezbateri și conferințe dedicate protecției datelor personale și împărtășește din experiența sa scriind articole și cărți dedicate domeniului protecției datelor din perspectiva practicianului. La sfârșitul lunii Septembrie 2020 a moderat Webinarul LIVE dpo.TALKS unde alături de Mihai Ghiță, Cofondator Sypher Solutions, a analizat provocările profesionale ale DPO-ului în contextul actual.  

Daniela a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să ne trezească interesul tuturor pentru un subiect atât de important pentru orice companie care își propune să adopte și să implementeze principiile GDPR: “Amenzile GDPR”. 

Dacă ar fi să facem o radiografie succintă a amenzilor GDPR la nivel european, cum ar arăta?

D.S.: Respectarea dreptului persoanelor vizate la protecția datelor este un drept fundamental, chiar dacă nu este absolut, iar acest lucru presupune că operatorii de date personale trebuie să-și îndeplinească obligațiile care le revin conform prevederilor GDPR.

Indiferent de domeniul specific de activitate al operatorilor sau al PI, indiferent dacă sunt sau nu obligați să numească un DPO sau să întocmească evidențele prevăzute de art. 30, toți operatorii de date personale sunt obligați să respecte principiile GDPR și vom face trimitere explicită la respectarea principiului responsabilității, adică la faptul că toți operatorii și PI trebuie să facă dovada că respectă și implementează corect prevederile GDPR, lucru care, dacă se întâmplă, reduce semnificativ riscul amenzilor GDPR.

Motivele pentru care s-au aplicat cele mai multe amenzi GDPR în acest an au fost stabilirea incorectă sau insuficientă a temeiului legal de prelucrare a datelor și corelarea acestuia cu scopurile prelucrării și insuficiența măsurilor tehnice și organizatorice de securitate a datelor implementate de operatori se află în topul european, dar și în cel românesc în ce privește numărul și cuantumul amenzilor GDPR aplicate de autoritățile de supraveghere și nerespectarea principiilor GDPR de prelucrare a datelor. 

Care este mesajul, legat de aceste amenzi GDPR, pe care un operator de date ar trebui să îl rețină?

D.S.: Se vorbește foarte mult despre amenzile GDPR, despre cuantumul acestora, despre caracterul disuasiv, sau nu al acestora, dar se pierde din vedere faptul că măsurile corective sunt mult mai importante și cu consecințe mai grave decât amenda, per se, în sensul în care, spre exemplu, unui operator căruia i se stabilește măsura corectivă a suspendării chiar și temporare a prelucrării datelor personale, până la corectarea deficiențelor constatate de autoritatea de supraveghere, înseamnă că, nemaiputând să prelucreze date personale, operatorul își suspendă, de fapt, activitatea până când autoritatea ridică măsura suspendării prelucrării datelor.

Am dori să atragem atenția asupra prevederilor art. 29, alin. (2) din Procedura ANSPDCP de efectuare a investigațiilor unde se precizează: „(2) Introducerea contestației [Împotriva procesului-verbal de constatare/sancționare și/sau a deciziei de aplicare a măsurilor corective – n.a.] suspendă NUMAI plata amenzii, până la pronunțarea unei hotărâri judecătorești definitive.”

Operatorii ar trebui să fie conștienți de faptul că, și dacă remediază imediat deficiențele constatate de autoritate și pentru care s-a aplicat măsura corectivă a suspendării prelucrării datelor personale, acest lucru nu înseamnă că autoritatea de supraveghere se mișcă la fel de repede. Prin urmare, riscă să se confrunte cu o perioadă destul de lungă în care nu își pot desfășura activitatea! Ca atare, o amendă, deși nu e de neglijat, mai ales dacă suma este foarte mare, nu înseamnă decât bani, totuși, pe când suspendarea activității pe perioade oricât de scurte ar putea însemna pierderi financiare mult mai mari.

Ați moderat Webinarul dpo.Talks de la sfarsitul lunii septembrie. Care este cea mai surprinzătoare concluzie la care ați ajuns? 

D.S.: Constat ca există o preocupare reală în rândul DPO din toate entitățile legate de numirea forțată a acestora pe postul de DPO, de multe ori în situații evidente de incompatibilitate. Numirea / desemnarea forțată și de formă, pe hârtie, a unui DPO este o realitate care poate avea și chiar are consecințe negative sub aspectul amenzilor GDPR. O soluție pentru evitarea amenzilor GDPR în acest caz, dar și pentru păstrarea unui mediu de lucru armonios într-o entitate ar fi ca operatorii să convingă și să motiveze, nu să oblige un angajat să devină DPO, să-i liniștească temerile și să-l facă să accepte cu ușurința aceste noi sarcini, mai ales dacă acest salariat vede că operatorul se implică, îi alocă resurse de toate tipurile, dacă operatorul conștientizează faptul că trebuie să cheltuie suplimentar pentru instruirea DPO-ului și pentru formarea continuă a acestuia etc. Relația între DPO și operator nu trebuie să se desfășoare de pe poziții de forță, ci pe un nivel de cooperare și colaborare responsabilă. Evitarea situațiilor de incompatibilitate se poate face aplicând un filtru relativ simplu: DPO-ul nu poate desfășura alte activități care l-ar pune în situația de a se audita/monitoriza singur, iar în Ghidul privind responsabilul pentru protecția datelor (DPO), raportat la art. 37-39 din RGDP se găsesc toate îndrumările de care un operator ar avea nevoie pentru a desemna un DPO în mod corect. Numirea unui DPO incompatibil este purtătoare de sancțiuni, iar soluția evitării amenzilor GDPR în acest caz este exact opusul acestei realități, adică numirea corectă a unui DPO evitându-se situațiile de conflict de interese și de incompatibilitate.

Are DPO-ul român resursele necesare pentru a-și desfășura activitatea ?

D.S.: Foarte mulți DPO sesizează și reclamă faptul că nu au resursele necesare pentru a-și desfășura activitatea. Asigurarea resurselor pentru această activitate este obligația operatorului, iar în Regulament sunt menționate explicit și resursele care trebuie alocate, inclusiv pentru instruirea DPO-ului, nu doar cele care vin imediat în mintea unui operator, cum ar fi birotică, papetărie și cam atât. În acest sens, art. 38, alin. 2 este cât se poate de explicit: “(2) Operatorul și persoana împuternicită de operator sprijină responsabilul cu protecția datelor în îndeplinirea sarcinilor menționate la articolul 39, asigurându-i resursele necesare pentru executarea acestor sarcini, precum și accesarea datelor cu caracter personal și a operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate.” DPO-ul, în funcție de mărimea organizației, ar putea avea nevoie și de o echipă pluridisciplinară, care să includă cel puțin un jurist și / sau un IT-ist, de un birou propriu, securizat corespunzător, de o colecție, dacă nu de o bibliotecă proprie de materiale bibliografice de specialitate etc. În cazul producerii unei breșe de securitate urmată de o amendă, argumente de tipul “Nu am știut!” sau “Nu avem fonduri suficiente să alocăm și pentru DPO pentru că suntem în criză economică!” sunt irelevante și, chiar dacă nu vor fi interpretate de autoritatea de supraveghere ca circumstanțe agravante, nici nu vor fi luate în considerare ca argumente pentru clemență dusă până la iertarea “păcătosului”. Dacă lipsa de resurse poate fi purtătoare de sancțiuni GDPR, soluția evitării acestora sau a reducerii riscului amenzilor GDPR este bugetarea corespunzătoare a activității DPO-ului. Operatorii ar trebui să includă în bugetul anual de cheltuieli și resursele necesare pentru implementarea GDPR, dar și pentru menținerea conformității, pentru că procesul de conformare GDPR a entității este continuu și este egal cu durata de viață a entității.

Este DPO-ul român investit cu autoritatea necesară pentru a-și putea desfășura activitatea în mod corespunzător ? 

D.S.: DPO-ul nu este învestit de operator cu autoritatea necesară pentru a-și putea desfășura activitatea în mod corespunzător și, mai rău, este chiar ignorat de conducere. Această autoritate absolut necesară DPO-ului nu înseamnă că acesta devine un fel de șef peste ceilalți colegi, pe care-i poate sancționa, ci că este ascultat atunci când trasează sarcini și responsabilități pe linie de GDPR și că beneficiază, pe de o parte, de sprijinul conducerii, pe de altă parte, obține cooperarea și colaborarea responsabilă și implicată a tuturor salariaților care prelucrează date personale. NU DPO-ul este cel care stabilește sancțiunile într-o entitate, ci conducerea acesteia, iar DPO-ul NU face parte din conducere! DPO-ul nu trebuie văzut ca un mic despot în entitate, ci ca pe un garant pentru persoanele vizate că prelucrarea datelor personale se face respectând principiile GDPR, iar operatorul trebuie să-l vadă ca pe o resursă reală pe care, dacă o folosește corespunzător, chiar îndepărtează de entitatea sa riscul contactului cu autoritatea de supraveghere și, implicit, reduce riscul amenzilor. Dacă autoritatea DPO-ului se limitează la transformarea acestuia într-un producător și arhivar de hârtii, de proceduri, politici și chestionare de audit, ușa spre amenzile GDPR este larg deschisă, iar operatorii n-ar trebui să fie nici surprinși, nici nemulțumiți că sunt sancționați. Prin urmare, soluția pentru reducerea riscului amenzilor GDPR în această situație presupune ca DPO-ul să primească autoritate din partea operatorului, iar acesta din urmă să se asigure că toți ceilalți salariați o respectă. Învestirea cu autoritate a DPO-ului nu se limitează la o simplă decizie internă și la semnarea unui proces verbal de luare la cunoștință din partea salariaților, ea trebuie să producă efecte reale.

În ce privește implicarea la timp a DPO-ului în activitățile de protecție a datelor personale vom atrage atenția operatorilor asupra faptului că lipsa încrederii în salariatul desemnat ca DPO nu este o justificare per se, ba, mai mult, în cazul producerii unei breșe de securitate poate fi un indicator clar al unor disfuncționalități grave și a unei stări de dezorganizare la nivelul entității și care nu pot fi estompate de existența unei documentații de conformitate GDPR, oricât de bine și de frumos ar fi întocmită. Cu alte cuvinte, operatorul nu are nicio scuză în fața autorității de supraveghere pentru că a numit un DPO în care nu are încredere și, pe aceasta bază, operatorul nu-și respectă obligația prevăzută de art. 38, alin. 1 din Regulament: “(1) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.”

Mai mult decât această implicare, operatorul trebuie să asigure independența DPO-ului, în sensul art. 38, alin. 3 din Regulament: “(3) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.” Independența DPO-ului este o altă piedică majoră în entitățile în care acesta este numit de formă și se poate trezi că fiecare șef ierarhic superior pe linia activităților de bază îi spune DPO-ului ce și cum să facă și pe linie de GDPR.

Toate aceste trei situații în care probabilitatea primirii unei amenzi este foarte mare, pot fi evitate, sau măcar redus riscul unei amenzi GDPR prin implicarea operatorului. De acesta depinde, aproape în exclusivitate, ca aceste sancțiuni să nu apară.

Există o preocupare reală legată de răspunderea DPO-ului? În ce măsură DPO-ul poate fi tras la răspundere și poate suporta consecințe negative în cazul implementării necorespunzătoare a GDPR-ului în entitate, mai ales în cazul amenzilor?

D.S.: Se cuvine să punctăm întâi faptul că această temere provine din traducerea nepotrivită a termenului DPO în limba română. În limba engleză, ca, de astfel și în celelalte limbi în care a fost tradus Regulamentul 679/2016, înseamnă Ofițer cu Protecția Datelor - Data Protection Officer și nu RESPONSABIL cu protecția datelor cu caracter personal, inducând, astfel, ideea că persoana care ocupă aceasta funcție este responsabilă de implementarea GDPR. Implementarea GDPR este obligația și implicit responsabilitatea operatorului (a angajatorului) și nu a salariatului numit pe postul de DPO.

În al doilea rând, DPO-ul răspunde legal dacă a produs prejudicii operatorului încălcând alte prevederi legale. Spre exemplu, DPO-ul nu poate fi concediat pentru îndeplinirea funcțiilor și sarcinilor sale specifice, adică nu poate fi concediat pentru că insistă pe lângă operator să-i asigure resurse, sau dă un aviz nefavorabil pentru o anumită activitate de prelucrare de date pe care o consideră riscantă dacă nu se iau măsuri de remediere a deficiențelor, dacă, însă, fură din bunurile angajatorului, provoacă distrugeri, îi perturbă activitatea, consuma alcool în timpul programului, se implică / se lasă implicat în altercații / agresiuni / violențe etc., este pasibil de sancțiuni disciplinare, administrative, penale etc.

Externalizarea serviciului de implementare GDPR este o soluție viabilă și care sunt limitele de responsabilitate ale prestatorilor de servicii în cazul amenzilor GDPR?

D.S.: La această întrebare răspunsul este categoric DA, externalizarea serviciului de protecție a datelor este o soluție foarte bună în multe contexte, dar, operatorii trebuie să ia în calcul câteva aspecte foarte importante:

Operatorii răspund oricum și sunt pasibili de amendă dacă externalizează serviciul către prestatorul nepotrivit, care nu demonstrează că are competențe și experiență adecvată în domeniu și care nu demonstrează că poate securiza datele personale încredințate spre prelucrare în mod corespunzător. Dacă operatorul externalizează serviciul de implementare GDPR către o firmă specializată în vânzarea de legume, dar care pretinde că are codul CAEN potrivit pentru a putea oferi și consultanță GDPR, amenda este ca și scrisă pentru operator. Verificarea sistemului de expertiză și de reputație al prestatorului este obligația operatorului. 

Operatorii răspund oricum și sunt pasibili de amendă dacă nu-și exercită la timp și corect instrumentul controlului asupra prestatorului pentru a se asigura, continuu, că acesta respectă condițiile contractuale în ce privește confidențialitatea și securitatea datelor personale încredințate spre prelucrare. Prestatorul de servicii externalizate ar putea fi sancționat doar dacă operatorul ar putea demonstra fără urmă de dubiu că vina este exclusiv a prestatorului. În teorie, operatorul și prestatorul ar putea răspunde solidar în fața autorității de supraveghere, în practică, însă, se va considera că partea cea mai mare de vină o deține operatorul, deoarece nu și-a exercitat în mod corespunzător instrumentul controlului pe care doar el îl deține. Poate, nu întâmplător, în limba engleză operatorul este numit controller. Ne putem afla, iarăși, în fața unei traduceri neinspirate în limba română a acestui termen, deoarece creează confuzii și poate induce ideea că operatorul prelucrează personal date cu caracter personal, deși este posibil ca cel mai înalt nivel al conducerii să nu se afle în această situație. Cel mai înalt nivel al conducerii entității, însă, are obligația de a folosi acest instrument al controlului pe care doar el îl deține, și asupra angajaților, și asupra împuterniciților săi.

În ce privește externalizarea serviciului de DPO, deși tentant și foarte comod pentru operator, în aparență, în realitate poate avea efecte pervese. Un DPO conectat la entitate va ști mereu, cu o precizie foarte mare, ce se întâmplă în organizație, unde se află documentele, în grija cui se află și cum le securizează, va putea monitoriza în timp real respectarea măsurilor de securitate implementate de entitate etc. și, cel mai important aspect, în cazul investigațiilor efectuate de autoritatea de supraveghere la sediul operatorului, va fi mult mai expeditiv, mai sigur pe sine și mai organizat în îndeplinirea solicitărilor echipei de investigații decât un DPO extern. Modul în care se poate organiza un DPO intern față de un DPO extern poate face diferența între o amendă și un avertisment însoțite, sau nu, de măsuri corective, sau s-ar putea traduce cel puțin în reducerea valorii amenzii. Această diferență nu este dată de incompetența unui DPO extern, ci de organizarea operatorului. Un DPO extern are cu atât mai mult nevoie de cooperarea operatorului, cu cât nu poate fi prezent în entitate așa cum este un DPO intern. Ori, dacă operatorul este dispus să ofere acest sprijin, cea mai bună combinație în opinia noastră și care ar reduce considerabil riscul amenzilor GDPR ar fi DPO intern și consultant extern pentru audituri, monitorizare, DPO coaching și / sau instruire salariați.

Dacă ar fi să sintetizăm într-o singură frază răspunsul la întrebarea “Cum reducem riscul amenzilor GDPR?” care ar fi acesta?

D.S.: “Riscul amenzilor GDPR scade foarte mult prin responsabilizare, cooperare și implicare, adică, în primul rând prin elemente ce țin de natura umană și abia apoi de partea tehnică, adică de instrumente de lucru, aplicații, programe etc.”

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Mihai Ghita: „Digitalizarea este cea care asigura continuitatea afacerii”

Portalul dpo-NET.ro – Data Protection Officers Network reia organizarea evenimentelor dpo.TALKS și organizează împreună cu Sypher Solutions și NeoPrivacy România, în data de 30 Septembrie 2020, în intervalul […]

Care a fost cea mai mare provocare a companiilor in procesul de obtinere si mentinere a conformitatii GDPR?

Specialistii in protectia datelor au fost cei care au lucrat alaturi de organizatii in procesul de obtinere si mentinere a conformitatii GDPR. Am vrut sa stim care a […]

Care a fost cea mai mare provocare, în ultimii doi ani, pentru specialistii in protectia datelor personale?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

Ce am învățat în primii 2 ani de GDPR în România?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

Marius Dumitrescu: “Este trist ca a fost nevoie de acest coronavirus pentru a înțelege mai bine GDPR-ul”

Astăzi, 25 mai 2020, se împlinesc doi ani de la aplicarea Regulamentului general privind protecția datelor personale (GDPR), moment prielnic pentru noi toți de a realiza o scurtă […]

Ovidiu Ionescu: Conformarea GDPR, deși nu este aducătoare de profit, este o carte de vizită foarte prețioasă

Ovidiu Ionescu a absolvit Facultatea de Administrație Publică, din cadrul SNSPA, în anul 2013 și Facultatea de Drept, Universitatea Titu Maiorescu, în anul 2017. A urmat 7 ani […]

Daniela Cireașă: „Realizarea cartografierii nu este sarcina exclusivă a DPO-ului”

Daniela Cireasa a absolvit Facultatea de Drept, Universitatea Nicolae Titulescu, este consilier juridic din anul 2001. In 2018 a absolvit cursurile postuniversitare de protectia datelor „Protectia juridica a […]

Alexandru Luca: În acest context, digitalizarea nu este o noutate, este mai mult o oportunitate

Alexandru Luca, în prezent Mobile Division Manager – Cybersecurity BU in cadrul comapaniei certSIGN, are o experiență de peste 15 ani în domeniul IT&C, asumându-și roluri cheie în […]

Alexandru Gheorghe: Nu am găsit în România experți care să realizeze o „autopsie” a unui telefon mobil

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Inperspective. El a format și condus […]

Ovidiu Seceleanu: „Containerizarea, inovația SAMSUNG pentru utilizarea GDPR a terminalelor mobile”

Preocupați de impactul tehnologiei în activitatea operatorilor de date cu caracter personal, specialisti si responsabili cu protectia datelor din întreaga țară sunt invitati sa participe la cea de-a […]

Alexandra Jivan: „În cazul unui litigiu, salariații s-ar putea prevala de lipsa de informare, susținând că nu cunosc procedurile”

Alexandra Jivan (CIPP/E) are o experiență profesională de peste 11 ani, oferind consultanță și reprezentare juridică, atât startup-urilor, precum și companiilor multinaționale. În 2018, a fost inițiatorul proiectului […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

Cursul postuniversitar UMFST Târgu Mureș de protecția datelor a ajuns la debutul celei de-a treia ediție

Cursul postuniversitar „Formare si pregatire a Responsabilului cu Protecția Datelor”, organizat de Centrul de cercetare pentru protecția datelor, constituit in cadrul Universității de Medicina, Farmacie, Științe și Tehnologie […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

Stefan Gabriel Iancu: România este in top 3 din Europa la numarul de amenzi GDPR aplicate

Stefan Gabriel Iancu are o experiență de peste 21 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei iPrivacy. El si-a dezvoltat expertiza […]

„Operatorii ar trebui sancționați pentru desemnarea persoanelor nepotrivite în functia de DPO?”

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Iperspective. El a format și condus […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Cătălina Lungu: „De Black Friday, vânătorii de chilipiruri se pot transforma în victime”

Cătălina Lungu este Responsabil cu protecția datelor (DPO) si Consultant GDPR la Proactiv Cons SRL , fiind licențiată în managementul firmei și absolventă a cursurilor postuniversitare în protecția […]

Brittany Kaiser: Intervenția străinilor în alegerile din România încă este o amenințare (VIDEO)

În calitate de fost Director de dezvoltare a afacerilor la Cambridge Analytica, Brittany Kaiser este un celebru denuntator, demascând modul în care au fost influențați și manipulați oamenii, […]

Gradul de conformare GDPR, în domeniul sanitar românesc, nu a depășit 15%

Regulamentul General privind Protecția Datelor (GDPR-General Data Protection Regulation) a apărut pentru a oferi un grad de control într-o lume dominată de tehnologie, iar conformarea la acest Regulament […]