O radiografie obiectivă a primului an de GDPR

Editorial

Vizualizari: 2483

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Mâine se împlinește un an de la aplicarea Regulamentului general privind protecția datelor personale (GDPR), moment prielnic pentru noi toți de a realiza o scurtă retrospectivă și de a trage câteva concluzii esențiale.

În cadrul conferinței GDPR Talks 2019 care a avut loc în data de 21 mai, s-a urmărit realizarea unui bilanț după un an de GDPR, aducând laolaltă reprezentanți ai autorităților publice, asociații profesionale și patronale, avocați, consultanți, experți în eCommerce și tehnologii Web, ofițeri de protecția datelor personale, dar și specialiști cu ani buni de experiență în securitatea datelor, furnizori și antreprenori în tehnologii de graniță și promotori ai transformării digitale.

Cu siguranță unul dintre momentele mult așteptate ale evenimentului a fost bilanțul prezentat de  Autoritatea naționala de supraveghere (ANSPDCP).

Iată cifrele făcute publice de autoritate:

  • sunt 9.335 de responsabili cu protecția datelor (DPO) notificați la Autoritate
  • 391 de încălcări de securitate notificate autorității
  • 460 de investigații din oficiu (69 din sesizări și 391 în urma încălcărilor notificate autorității)
  • 456 de investigații dispuse în urma plângerilor persoanelor vizate
  • Peste 5000 de plângeri efective înregistrate doar în 2018

Mult, puțin?! Greu de spus, asa că am aruncat un ochi în ograda altor autorități de supraveghere din UE pentru a ne face o idee mai clară despre cât de grasă este găina noastră.

Primul reper l-am regăsit în raportul DLA Piper GDPR data breach survey: February 2019, de unde obserm că România este extrem de departe de media europeană în ceea privește plângerile privind prelucrările ilegale de date personale.

În perioada cuprinsă între 25 mai 2018 și până în februarie 2019 când a fost elaborat studiul, la nivelul UE, au fost raportate nu mai puțin de 59.000 de breșe de securitate. Campioni la acest capitol au fost olandezii cu 15,400 breșe notificate, în timp ce România număra la acea vreme doar 270. Analizâd această situație am găsit două răspunsuri posibile: ori noi romanii suntem un popor norocos și atacurile cibernetice ne evită, ori nu recunoaștem o breșă de securitate nici dacă ne împiedicăm de ea.

Al doilea reper îl regăsim în Raportul European Data Protection Board, care cuprinde datele înregistrate de autoritățile de supraveghere în primele 9 luni de la aplicarea GDPR-ului.

De aici aflam că autoritățile europene de supraveghere au deschis în total total de 94.622 de investigații, din care aproape 65.000 au survenit în urma notificărilor privind încălcarea datelor (a breșelor de securitate). Tot în acest raport am identificat și câteva informații interesante despre autoritatea națională din România.

  • bugetul autorității naționale de supraveghere este cu aproape 50% mai mic decât necesarul estimat de EDPB
  • schema de personal a autorității este mult subdimensionata, necesitând o suplimentare de 142%

Conform datelor oferite de reprezentantul autorității, chiar dacă în orgnigramă sunt prevăzute 85 de posturi, structura organizatorică actuală numără 34 de angajați, cu tot cu șoferi și personal TESA. Apreciez ca a fost o munca titanica sa efectuezi acest numar de investigatii cu un asa numar redus de persoane angajate in cadrul Autoritatii.

Concluziile specialiștilor după primul an de GDPR în România

Experții care au luat parte la analiza primului an de GDPR ne-au oferit câteva concluzii extrem de importante pentru toți cei implicați în aplicarea GDPR-ului.

Relațiile defectuoase intre operatori generează cele mai frecvente greșeli

Conform Domnului Cătălin Giulescu, Director Direcția pentru Evidența Persoanelor și Administrarea Bazelor de date din cadrul MAI, raportul între operator și împuternicit s-a dovedit a fi o nuca tare. “Operatorul are niște responsabilități foarte mari cu privire la calitatea acestui împuternicit. Acel raport cost beneficiu nu trebuie să fie elementul determinant în alegerea unui împuternicit. Trebuie sa aveți garanția că v-ați ales un împuternicit de cea mai bună calitate”. Sfatul pentru cei care se luptă să obțină alinierea la Regulament este să acorde o importanță sporită transparenței prelucrărilor de date. În opinia mea, 50% din activitățile pe care Dumeavoastră trebuie să le dispuneți pentru a ajunge compliant GDPR, în mare măsură țin de informare și de transparență”.

Elaborarea codurilor de conduită

"Lucrul care ar fi ideal să se întâmple în următor an de aplicare GDPR în România ar fi să existe cât mai multe coduri de conduită sectoriale. Mi se pare aspectul crucial care poate sa ajute să crească industriile pe nișă. Este clar că autoritatea nu o să poată să dea sfaturi în toate domeniile și toate spetele astfel că acesta a încurajat Responsabilii în protecția datelor să se implice în scrierea codurilor de conduită.", a declarat Bogdan Manolea Trusted.ro

Confirmări și sprijin din partea ANSPDCP

Reacția Doamnei Simona Zamfir, a fost una extrem de pozitivă, specificând că unele industrii, cum este cea de telecom, care au făcut deja pași importanți în acest sens “Nu putem decât să-i ajutăm și să așteptăm să ne aducă aceste coduri nu doar la avizat, sa le aducă în faza de lucru să le discutăm, să putem să lucrăm împreuna și să construim pe acest regulament.”, a declarat a Simona Zamfir, consilier în cadrul Biroului Juridic și comunicare al Autorității.

Sfaturi utile pentru DPO

Domnul Daniel Suciu, consultant GDPR, a oferit sfaturi extrem de practice tuturor celor implicați în domeniul protecției datelor. “Prioritatea absolută eu o văd ca trecerea de la formalismul inițial la obținerea unor procese mature, operaționale pentru ariile GDPR. Pentru asta, DPO-ul și managementul ar trebui să analizeze modul în care se desfășoară activitățile sau testarea lor acolo unde nu sunt activități recurente. Unde ar trebui corectat și îmbunătățit? Teoretic acolo unde sunt riscurile mai mari de încălcare a GDPR-ului, dar practic ordinea ar putea fi aleasă și în funcție de interesul manifestat de responsabilii pe anumite zone. Un succes într-o zonă nu foarte critică poate fi folosit ca exemplu pozitiv și poate fi impus pentru alte zone. Și evident, informarea continuă și networking-ul pentru a beneficia de experiența altora”.

Numărul unic de sesizare a unui incident de securitate

Centrul Național de Răspuns la Incidentele de Securitate Cibernetică (CERT-RO), după lansarea de săptămâna trecută a numărului unic 1911 prin care persoanele fizice, juridice și instituțiile publice din România vor putea raporta incidentele de securitate cibernetică, a anunțat  dezvoltarea unei platforme, care va fi pusă la dispoziția autorităților și celorlalți parteneri cu care colaborează, prin intermediul care se va realiza interconectare inclusiv cu platforma comuna europeană. Un instrument extrem de important în procesul de eficientizare a prevenirii, identificării, comunicării și neutralizării amenințărilor cibernetice.

Proiecte ambițioase dedicate educației operatorilor și a persoanelor vizate

Societatea civilă din România a reacționat în acest prim an prin inființarea Asociației Specialiștilor în Confidențialitate și Protecția Datelor, ajungând în scurt timp la peste 100 de membrii. Proiectele deja finalizate au presupus desfășurarea a doua studii, unul privind gradul de conștientizare a persoanei vizate din România privind importanța datelor cu caracter personal și un al doilea studiu care a vizat evaluarea gradului de conformare în cadrul domeniului sanitar românesc.

Persoana fizică în sine a devenit o provocare pentru întreg sistemul de protecție a datelor din România, deoarece prin lipsa de educare întreg corpul profesional se confruntă cu solicitări nejustificate și insuficient documentate privind ștergeri selective sau rectificări neîntemeiate a informațiilor înregistrate în documente. Cu siguranță aceste solicitări nu vor fi soluționate în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce privește termenul de retenție și posibilitățile de acces restricționat și condiționat. Gardianul modului în care se respectă confidențialitatea și mecanismele de protecție a datelor cu caracter personal rămâne Responsabilul privind protecția datelor, o meserie nou aparută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și lipsei unor repere unitare privind interpretarea și implementarea lui.”, declară  Marius DUMITRESCU, președintele ASCPD.

Asociația Specialiștilor ca continua să lanseze proiecte de educație a membrilor, a operatorilor și a persoanelor vizate, în trecut organizând campanii de informare privind

  • Retragerea consimtâmantului GDPR din domeniul sanitar și condiționatea actului medical de semnarea unui document formal
  • Pericolul fenomenului Fakenews, "Știrile false, adevărate bombe invizibile"
  • Ghidul consumatorului de reduceri - Sfaturi si trucuri pentru cumpărături online în singuranță
  • exercitarea dreptului de acces la datele prelucrate de operatori.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Operatorul GDPR în Epoca Internetului

Editorial

Vizualizari: 989

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Devine accesul liber la internet în era GDPR o problemă pentru operatori? Într-o proporție covârșitoare operatorii au pagini web de prezentare, contact sau  magazine online, pagini de Facebook, conturi de Whatsapp și adrese de e-mail profesionale.  De câte ori apare o oportunitate de promovare (free) foarte mulți operatori apelează la ea fără a face o analiză preliminară din punct de vedere al gradului de confidențialitate sau chiar protecție a datelor personale asigurate de noua aplicație.

Dacă după 25 mai 2019 și până acum s-a făcut un pic de curățenie în newsletterele primite fără acordul consumatorului, anul acesta de Black Friday au explodat din nou SMS-urile și e-mailurile trimise de magazinele online. Și asta în condițiile în care până acum Autoritatea de Supraveghere a sancționat cu amendă 3 operatori pentru transmiterea de mesaje comerciale nesolicitate. Să fie de vină slaba diseminare a veștilor despre sancțiuni sau pur și simplu operatorii se gândesc că nu li se va întâmpla lor?

Întorcându-ne la paginile web ale operatorilor, am constatat atât înainte dar mai ales în perioada de Black Friday, că magazinele online deși au publicat politici de protectia datelor si politici de cookie, au în continuare cookie-uri prebifate, înregistrarea la newsletter prebifată sau pur și simplu mesajul “prin continuarea navigarii pe acest site vă dați acordul cu privire la utilizarea cookie-urilor” fără a da posibilitatea utilizatorilor de a opta pentru diversele categorii de cookie.

Mulți operatori care au pagini web de prezentare care conțin “doar” formular de contact sau chiar Secțiunea Cariere prin care se solicită transmitere de CV consideră că nu prelucrează date personale, neglijând să informeze utilizatorii site-ului despre scopul prelucrării acestor date personale și despre prelucrare în general. Oare să coste un specialist în GDPR atât de mult încât să nu-și permit operatorii consultanța de specialitate? Atât de mult încât să riști o amendă?!?

Cât despre paginile de Facebook/Instagram ale operatorilor, așa cum déjà știm, aceștia devin operatori de date personale (și) prin intermediul acestor pagini de pe rețelele sociale, fapt ignorat total de către operatori.

Orice operator utilizează în activitatea sa adresa de e-mail în scop profesional, foarte mulți având conturi de yahoo sau gmail, adrese prin intermediu cărora circulă ștate de plată, acte de angajare, investigații medicale, pe scurt date personale. Sunt conștienți operatorii de riscurile asumate? Dar clienții/pacienții/angajații? Considerăm că nici unii, nici ceilalți nu sunt știu (încă) cât de importante sunt datele personale și ignoră protecția temeinică a acestora.

Cât de posibilă este implementarea GDPR la nivelul unui astfel de operator? Poate fi realizată corect sau e privită ca pe încă o obligație de a avea un “dosar”? Cât de departe sunt operatorii de acest tip de respectarea principiilor GDPR? Este de ajuns să-și desemneze un DPO sau trebuie regândită toată strategia de management? Până unde se întind brațele caracatiței GDPR în organizație? Răspunsul este peste tot! Deși mulți operatori își imaginează că dacă au un dosar de formulare și politici sunt acoperiți de riscurile GDPR, în realitate lipsa de măsuri tehnice și organizatorice este mult mai periculoasă decât lipsa unei politici iar legătura cu tot ce presupune internetul este una dintre verigile care trebuie securizată în mod special.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Conformitatea GDPR se construiește cărămidă cu cărămidă

Editorial

Vizualizari: 908

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Ce presupune această schimbare din 25 mai 2018 și care este rolul ei?

O întrebare cu o greutate, cu părere de rău pentru multe persoane este încă o ”necunoscută”.  Întrebarea cea mai des întâlnită pe buzele oamenilor ar fi ”Ce e GDPR?”. Deși a trecut mai bine de 1 an de aplicare a Regulamentului general privind protecția datelor (GDPR) majoritatea persoanelor nu stiu încă  ce este ”GDPR-ul.

Pe scurt, GDPR necesită o înțelegere documentată a motivului pentru care și modul în care informațiile sunt colectate, stocate și utilizate, când acestea sunt șterse sau anonimizate și cine are acces la acestea. Datele cu caracter personal au devenit în acest secol un bun de valoare, dezvoltarea  tehnologică punând accent pe ele, GDPR-ul venind ca o modalitate de protecția asupra lor.

Primul pas în mobilitatea GDPR ar fi responsabilizarea instituțiilor și societăților private  asupra datelor pe care le colectează, le dețin și le folosesc. Asupra modului de protecția a acestei valori a viitorului. Un exemplu negativ ar fi marketingul agresiv cu care ne confruntăm zi de zi online sau chiar si offline.

Ce pot aceștia să faca? Să acorde o  importanță deosebit asupra modului de prelucrare a datelor cu caracter personal. DPO-ului fiind o piesă de puzzel  importantă în GDPR, este recomandat comunicarea cu el și împreună să se implementeze strategii care să asigure protecția datelor personale. DPO-ul , chiar dacă are statutul de consultant , va trebui să documenteze toate activitățile de prelucrare , scopul, baza legală, persoanele vizate, destinatari , să aducă strategii de protecție a datelor , să creeze politici de confodențialitate și proceduri de securitate, evaluări de impact etc. și să se asigure că vor fi implementate. Această colaborarear poate duce la soluții tehnice și organizatorice compliante GDPR.

La fel de important este ca angajații să fie educați nu doar cu privire la drepturile lor, conform contractului scris și semnat, ci și instruiți și motivați să mențină GDPR. Creșterea gradului de conștientizare a angajaților prin dezvoltarea unui plan de comunicare și formare ar fi un pas important.

O altă parte important a GDPR-ului ar fi conștientizarea persoanelor vizate. Orice persoană fizică ( denumită în GDPR persoană vizată) ar trebui să fie conștientă de importanța datelor sale cu caracter personal, de drepturile sale ( dreptul de acces, modificare, mutare, ștergere și restricționare a utilizării datelor lor personale, precum și dreptul de a refuza luarea deciziilor automatizate) și în acelaș timp și de răspunderea sa. Trebuie să fie conștientă de propietatea sa asupra datelor care il pot identifica.

 Concluzia

Conformitatea GDPR presupune o grămadă resurse (umane, financiare, tehnologice). Ar fi bine să se pună un accent pe efortul de conformare GDPR, chiar dacă nu se reușește din prima, chiar dacă te lovești de mentalități, să ai posibilitatea de a demonsta efortul depus serios, de a ”zidi cărămidă cu cărămidă , zidul de protecție GDPR” .

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Principiile prelucrării datelor personale și rolul auditului preliminar

Celebrul GDPR este deja în aplicare de mai bine de un an de zile, suficient pentru ca fiecare antreprenor conectat on-line sau la diverse centre de afaceri să […]

15 recomandări GDPR pentru managerul de spital

“Mie nu mie se poate intampla, am băieți tineri și destepti la IT”  este argumentul unui manager de spital pentru a justifica lipsa de interes, resurse și timp […]

Când viața îți oferă lămâii, apelezi la GDPR

Un link postat de Cristiana Deca pe unul dintre conturile ei de social media m-a făcut să mă prăbușesc de râs, dar până să apuc să mă opresc […]

Societatea civila contestă legalitatea implementării tehnologiei de recunoaștere facială

Mai multe organizații nonguvernamentale au transmis autorităților o SCRISOARE DESCHISĂ prin care îți exprimă îngrijorarea cu privire la respectarea principiilor fundamentale ce țin de respectarea vieții private, prin punerea în […]

Cum ajunge o copie de buletin să coste 10.000 €? Încălcând GDPR-ul, desigur!

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor […]

De ce românilor nu le pasă de viața lor privată ?

La începutul săptămânii trecute citeam despre implementarea unui sistem de recunoaștere facială care va folosi camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare și camere […]

Românii vor fi monitorizați de un sistem de recunoașterea facială

Camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare, camere ATM din România vor fi monitorizate de un sistem de recunoaștere facială. Controversele din jurul acestei tehnologii […]

Facebook riscă și îi fură job-ul lui Cupidon

Proaspătul lansat Facebook Dating ridică mai multe semne de întrebare privind confidențialitatea.  Cupidon a fost scos forțat la pensie când Facebook a anunțat ieri lansarea noului sau serviciu […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

Curtea de Justiție a hotărât: amprentarea angajatilor contravine GDPR-ului

Decizia Curții de Justiție din Amsterdam din 12 august 2019 pune pe jar mulți dintre angajatori. Control accesul angajatilor sau sistemele de autorizare care utilizează cititoare biometrice sunt, în cele mai […]

Giovanni Buttarelli (1957-2019)

Giovanni Buttarelli, liderul Autorității Europene pentru Protecția Datelor (EDPS), a murit înconjurat de familia sa în Italia, la vârsta de 62 de ani. Înmormântarea va avea loc sâmbătă, […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

Ești DPO ? S-a lansat un MANUAL pentru tine!

Autoritatea de supraveghere italiană (Il Garante per la protezione dei dati personali) a publicat un manual în limba engleză menit să sprijine responsabilii cu protecția datelor (DPO) ai […]

Cine scapă de GDPR?

Autor: Alina Crăciun, Coordonator Editorial Wolters Kluwer Romania La mai bine de un an de la intrarea în vigoare a Regulamentului nr. 679/2016 privind protecția datelor cu caracter […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]

Te-ai înscris la GDPR Summer Challenge?

Peste 50 de persoane s-au înscris până acum în concursul „GDPR Summer Challenge”, motiv pentru care organizatorii au decis creșterea numărului de membrii într-o echipă la 5 persoane, […]

Ghidul turistului GDPResponsabil. Află cum îți protejezi datele în concediu!

Vacanțele sunt acele momente în care încercăm să fugim de grijile de zi cu zi, însă una dintre ele ne va urmări oriunde am pleca: protejarea datelor noastre. […]

Înscrie-te acum la GDPR Summer Challenge!

Acceptă GDPRovocarea acestui sfârșit de vară! 5 echipe formate din pasionați de GDPR vor concura pentru titlul de GDPR Summer Challenge Champion 2019. Nu este doar un concurs, […]

Atenție la falsele certificări GDPR!

Înainte de a parcurge acest articol-manifest vă invit să răspundeți singuri la o întrebare: „Dacă ideea de a fi tratat de un fals doctor vă înspăimântă, v-ați lăsa […]

Persoanele fizice pot fi amendate, conform GDPR!

Pe zi ce trece devine din ce în ce mai greu să ignori titlurile bombastice care fac referire la acest nou Regulament European (GDPR). Majoritatea titlurilor încearcă să […]