Ovidiu Seceleanu: „Containerizarea, inovația SAMSUNG pentru utilizarea GDPR a terminalelor mobile”

INTERVIU EXCLUSIV

Vizualizari: 7473

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Preocupați de impactul tehnologiei în activitatea operatorilor de date cu caracter personal, specialisti si responsabili cu protectia datelor din întreaga țară sunt invitati sa participe la cea de-a patra ediție dpoTOOLS care se va organiza in 30 Aprilie 2020, sub forma unui webinar, pe o platforma online de comunicare. Inscrierea este GRATUITA si se face din pagina dedicata evenimentului. 

Tema principală, "Mobilitatea, o provocare pentru aplicarea GDPR" va aduce în prim plan problema "Securizarii informatiei purtatoare de date cu caracter personal la nivelul dispozitivelor mobile".  Evenimentul este organzat de Portalul dpo-NET.ro - Data Protection Officers Network in parteneriat cu SAMSUNGcertSign,  Wolters Kluwer RomâniaNeoPrivacy RomâniaInperspective, Reimens si IJV& Partners Law Firm.

L-am rugat pe Ovidiu Seceleanu, Head of B2B IM Division la Samsung, sa impartaseasca cu cititorii dpo-net.ro cateva informatii inainte de acest eveniment.

Ce se intampla in acest moment in domeniul securitatii dispozitivelor mobile ? Ce solutii exista ?

Ovidiu Seceleanu: La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate pe de o parte cat si interesul de a obtine access la informatii cu privire la carduri bancare sau metode de autentificare in sfera de online payment. Toate acestea datorita utilizarii tot mai frecvente ale dispozitivelor mobile, in general, pentru accesul la internet (in 2013 16.2% din traficul de internet era efectuat de pe dispozitivele mobile, in 2018 procentul a ajuns la 52.2%) si in special pentru operatiuni de plati online. Prin tehnologia de containerizare separăm pe telefonul angajatului zona personală de zona de birou. În felul acesta securizam datele companiei și oferim libertate angajatului să folosească același telefon în ambele scopuri, fără să interferam în problemele lui personale.

Cum a fost posibilă colaborarea dintre un gigant IT și o companie autohtonă precum CertSign?

Ovidiu Seceleanu: Un dispozitiv mobil are nevoie de aplicații care să-l pună în valoare. Astfel, Samsung a dezvoltat un program de parteneriat pentru a sprijini dezvoltatorii de aplicații de mobilitate care vor sa integreze funcționalități Samsung. Centrul de cercetare-dezvoltare din Polonia, împreună cu partenerii din regiune, printre care se numără și CertSIGN, lucrează la dezvoltarea de aplicații în diverse industrii, pentru a face utilizarea acestora mai sigură, mai productivă și mai ușor de administrat de la distanță. Împreuna cu certSIGN am lansat conceptul de #GoMobile pentru ca în afara telefoanelor, a funcționalităților DEX și a softului nostru care face managementul securității telefoanelor, avem nevoie de aplicații specifice fiecarei industrii.  Ei au dezvoltat o solutie care presupune semnătura electronică în cloud și practic putem semna de pe terminalul mobil, fara sa avem nevoie de un PC

Cât de importantă va fi mobilitatea în viitorul apropiat pentru activitatea de business și care sunt trendurile în această materie.

Ovidiu Seceleanu: Piața muncii se schimba, în anul 2020 peste 50% dintre oamenii din campul muncii vor fi millennials, oameni care s-au născut cu telefoane în brațe și care se așteaptă de la angajatori și de la companiile producătoare de tehnologii să le pună la dispoziție mijloace, device-uri dar și soluții software în așa fel încât să nu fie legați de un anumit loc de munca, să își poată desfășura activitatea de oriunde și să nu fie nevoiți sa care dupa ei un laptop sau să vina la birou numai pentru a lucra pe un desktop. IT Managerii dacă se gandesc sa achiziționeze sau să schimbe flota de device-uri mobile, sau dacă analizează ce tipuri de probleme au avut cand au implementat o soluție de mobilitate, se lovesc de următoarele probleme: securitate, urmată de managementul device-urilor, pe locul trei aflandu-se productivitatea. Pentru a răspunde asteptarilor clientilor, Samsung a creat, pe baza acestor trei piloni, un portofoliu de soluții software, sub numele de Samsung KNOX, care a fost integrat deja în peste 50 de milioane de terminale ale clientilor din peste 80 tari

La ce ar trebui sa fim atenți în procesul de digitalizare?

Ovidiu Seceleanu: Dacă vorbim de digitalizare, cel mai important element pe care trebuie să-l avem în vedere este schimbarea. Propunem sa nu mai dăm vina pe utilizatori ca nu respecta procedurile si masurile de securitate, ci sa folosim aplicații de management si securitate. Cu portofoliul nostru de produse Samsung Knox putem face de la distanta atat toate setarile cat si managementul aplicațiilor pe dispozitivele mobile.

Este adevărat că astăzi este posibil să îți transporți computerul în buzunar?

Ovidiu Seceleanu: Pentru că performanțele terminalelor mobile Samsung au ajuns chiar sa le depaseasca pe cele ale majoritatii laptopurilor, pentru a crește productivitatea oamenilor, Samsung a dezvoltat tehnologia DeX, prin care putem să conectăm telefonul mobil la un monitor printr-un simplu cablu. Cu alte cuvinte,  telefonul pe care îl folosim în viața de zi cu zi, când ajungem acasă, la birou sau la un client, il conectam la un monitor sau la un orice alt display și putem susține o prezentare, putem lucra productiv in aplicatii office sau business atașând o tastatură și un mouse precum unui un desktop sau unui laptop. 

Cum separam viața privata de cea profesională, având în vedere utilizarea de cel mai multe ori a unui singur dispozitiv mobil ?

Ovidiu Seceleanu: Solutia Samsung Knox Platform for Enterprise creeaza o zona personală și o zona de business. Prin tehnologia de containerizare separăm pe telefonul angajatului zona personală de zona de birou, iar în zona de birou noi hotărâm care este  politica de securitate, lăsând ca în zona personală să facă ceea ce dorește. În felul acesta securizam datele companiei și oferim libertate angajatului să folosească același telefon în ambele scopuri, fără să interferam în problemele lui personale. Dacă vorbim de digitalizare, cel mai important element pe care trebuie să-l avem în vedere este schimbarea. Propunem sa nu mai dăm vina pe utilizatori ca nu respecta procedurile si masurile de securitate, ci sa folosim aplicații de management si securitate. Cu portofoliul nostru de produse Samsung Knox putem face de la distanta atat toate setarile cat si managementul aplicațiilor pe dispozitivele mobile

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Marius Dumitrescu: “Este trist ca a fost nevoie de acest coronavirus pentru a înțelege mai bine GDPR-ul”

INTERVIU EXCLUSIV

Vizualizari: 1801

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Astăzi, 25 mai 2020, se împlinesc doi ani de la aplicarea Regulamentului general privind protecția datelor personale (GDPR), moment prielnic pentru noi toți de a realiza o scurtă retrospectivă și de a trage câteva concluzii esențiale. Au fost multe provocări, atât pentru DPO cât și pentru operatorii de date care și-au propus să obțină și să mențină conformitatea GDPR. Cel mai important  lucru este să folosim pe viitor lecțiile deja învățate și tocmai despre aceste lecții vorbește Marius Dumitrescu, specialist în domeniul protecției datelor, în următorul interviu. 

Cum ai caracteriza, pe scurt, cei doi ani care au trecut de la implementarea GDPR în Uniunea Europeana?

"GDPR-ul nu este o revoluție, este o evoluție!", așa îmi încep majoritatea cursurilor încercând să explic că acest pachet de reglementări legislative există încă din 1995 și a evoluat într-un regulament european unic, influențat mai ales de dezvoltarea tehnologică fără precedent. Mai mult, putem spune că și în acest moment legislația aleargă după tehnologie, dacă ne gândim doar la inteligența artificială și la tehnologia 5G.

Regulamentul UE 679/2016 cunoscut drept GDPR a intrat în vigoare în 2016, acum patru ani de zile, dar se aplică doar din 25 mai 2018, după o perioadă de grație de doi ani, pe care majoritatea statelor europene, inclusiv România, nu au folosit-o pentru a lansa campanii de educare a persoanelor vizate și a operatorilor. Astfel, startul a fost dat în luna mai 2018, la momentul respectiv existând o estimare că doar 20% dintre operatorii europeni au început demersurile pentru a obține conformitatea. Aceste procent a crescut semnificativ valoric, fiind estimat astăzi ca fiind peste 60%, dar am rețineri privind calitatea conformităților obținute la nivel european. Conform studiilor, în 2019 s-a ajuns deja la crearea primelor 500.000 de roluri de DPO, fără a modifica fundamental organigramele și fără a asigura toate resursele necesare pentru a îndeplini cu succes acest rol. Operatorii de date trebuie să renunțe la a mai căuta soluții formale și să înțeleagă faptul că această mult dorită complianță GDPR nu se obține apăsând butonul "Print" și că orice operator care alege această cale rămâne la fel de expus riscurilor.

În România, GDPR-ul a intrat brusc în viețile noastre, acum doi ani de zile, printr-un bombardament al consimțămintelor, lansat de operatori din dorința de a intra rapid în legalitate. Din păcate și astăzi mai există operatori care folosesc consimțământul ca temei legal pentru prelucrarea datelor privind sănătatea persoanelor vizate și deduc, astfel, că DPO-ul nu și-a câștigat încă locul pe care îl merită în organizație și recomandările lui încă nu sunt ascultate.

În ultimii doi ani, strategia de vânzări a multor firme de consultanță s-a bazat pe “crearea panicii”, folosind marketingul înșelător care accentua, în primul rând, dimensiunea astronomică a amenzilor în loc să promoveze nevoia de instruire a personalului. Plătim și astăzi campaniile de marketing de acum doi ani care vindeau complianță formală fără a include serviciile de specialitate ale unui DPO.

Astazi, mai mult ca oricând, trebuie să ne reamintim că în tot acest GDPR este vorba despre oameni, sau mai bine spus despre NOI! Nu este vorba despre creșterea birocrației și despre proceduri sufocante. Este vorba despre respectul pe care trebuie să îl acordăm și să îl obținem unii de la ceilalți, respect de care am uitat datorită banilor obținuți prin tranzacționarea datelor personale și a informațiilor confidențiale, ca efect direct al evoluției exponențiale a tehnologiei. Să nu uităm că toți suntem persoane vizate. Dacă la birou nu simt acest lucru pentru că sunt patron și influențez și decid direct în ce direcție îmi conduc firma, atunci când navighez pe internet sau pur și simplu merg pe stradă, intru într-un supermarket sau într-un hotel, sunt doar o persoană fizică și mă aștept să pot să decid cine, de ce și ce date personale prelucrează despre mine. Cu toții trebuie să punem umărul și să vorbim cu prietenii, rudele, vecinii despre erorile pe care le facem atunci când vânăm gratuități pe internet. Trebuie să încetăm să mai credem că ceva este gratuit și să înțelegem că, de fapt, plătim scump cu datele noastre personale care au devenit o valoroasă monedă de schimb.

Și mai trebuie să învățăm o lecție : „Când ești cunoscut, oamenilor le place să vorbească despre tine. Totuși, nu tot ce se vorbește, este și adevărat!”. Încă trebuie să învățăm ce înseamnă Fakenews, să recunoaștem acest fenomen, să ne protejăm, să nu mai alimentăm cererea și să sancționăm atunci când această practică ne influențează deciziile.

Care consideri că a fost cea mai mare provocare pentru specialiștii în protecția datelor personale?

Persoana fizică în sine a rămas cea mai mare provocare pentru întreg domeniul protecției datelor din România, deoarece, prin lipsa de cultură, întreg corpul profesional se confruntă cu solicitări nejustificate și insuficient documentate privind ștergeri selective sau rectificări neîntemeiate a informațiilor înregistrate în documente. Cu siguranță aceste solicitări nu vor fi soluționate în favoarea persoanei vizate, existând mai multe reglementări specifice în ceea ce privește termenul de retenție și posibilitățile de acces restricționat și condiționat. Gardianul modului în care se respectă confidențialitatea și mecanismele de protecție a datelor cu caracter personal rămâne în continuare Responsabilul cu protecția datelor cu caracter personal (DPO), această meserie nou apărută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și lipsei unor repere unitare privind interpretarea și implementarea lui.

Poate și denumirea postului, care induce ideea responsabilității concentrate pe umerii unei singure persoane, a îngreunat ascensiunea și recunoașterea profesională, mulți DPO făcând educație managementului în momentul semnării contractelor de consultanță.

Care a fost cea mai mare provocare a companiilor în procesul de obținere și menținere a conformității GDPR?

Angajații reprezintă unul dintre cele mai mari riscuri în ceea ce privește securitatea unei organizații. Și nu spun eu asta, mergând pe principiul 80/20 al lui Pareto, transpus în business (80% din probleme sunt cauzate de 20% dintre angajați), ci studiul State of Cybersecurity 2019 realizat de ISACA.

Din punctul meu de vedere, cea mai mare provocare a companiilor în procesul de obținere și menținere a conformității GDPR este carența unei culturi a responsabilității, în rândul angajaților, privind protecția datelor personale. Acesta carență poate fi diminuată substanțial în urma instituirii unor programe de instruire cu privire la importanța protecției datelor în concordanță cu practicile generale și politicile specifice activității companiei. Responsabilizarea angajaților din perspectiva protecției datelor personale va aduce un plus de valoare companiei. Un angajat conștient și informat este un angajat vigilent și care acționează cu responsabilitate, riscurile unei erori umane scăzând, în același timp în care randamentul muncii crește. Mai mult, identificarea rapidă a eventualelor breșe de securitate și respectarea protocolului de răspuns la incidente va minimiza pierderile companiei.

Rămân un visător și sper ca în următoarea perioadă să vedem campanii de educare a persoanelor vizate din România, și de ce nu, campanii de educație în scoli.

Care a fost cea mai importantă lecție pe care companiile, dar și specialiștii în protecția datelor personale au învățat-o în această perioadă?

Constat că în ultimele două luni, de când a fost recunoscută oficial pandemia Covid -19, s-a vorbit despre GDPR mai mult decât în toată perioada de când a intrat în vigoare Regulamentul UE 679/2016 și este trist că a fost nevoie de acest coronavirus ca să-i acordăm atenția pe care o merită.

Societatea în care trăim s-a schimbat, fiind supusă la unul din cele mai dificile teste de stres. Frica este cea care a obligat societatea noastră să se adapteze și să se maturizeze forțat, făcând, în primul rând, un salt mare către digitalizare. Vorbim astăzi mai mult ca niciodată despre tele-muncă, tele-medicină, tele-educație și mai ales despre știrile false.

Fiind un act de responsabilitate să stăm acasă în aceste condiții, utilizăm din ce în ce mai mult tehnologia, din dorința de a comunica cu cei dragi și cu colegii de serviciu. Am auzit că s-au organizat zile de naștere online, că oamenii au continuat să se întâlnească și să bea o cafea cu prietenii, printr-o conexiune video și că se pot vizita muzee sau chiar să participi la concerte din confortul fotoliului de acasă. Citim cărți pentru care până acum nu găseam timpul necesar. Pentru o parte din oameni, autoizolarea este un test greu de trecut și de suportat și nimeni nu conștientizează, încă, faptul că procesul de autoizolare socială este un fenomen apărut o dată cu rețele de socializare. Se vorbește de ani de zile de această tendință de a petrece mai mult timp în casă, conectat cu mii de prieteni online, cu care poate nu te-ai întâlnit niciodată față în față. Astăzi, mai mult ca niciodată, prețuim interacțiunea fizică și testăm efectul nociv și pervers al dezinformărilor care abundă pe rețelele de socializare. Este o lecție pe care am învățat-o în timpul acestei pandemii și cred că societatea noastră nu va mai fi niciodată la fel ca înainte.

Trebuie să realizăm și că toată această digitalizare, pe repede înainte, vine la pachet cu asumarea unor riscuri de care mi-aș dori să fim conștienți încă de la început.

Nu cred că suntem pregătiți încă să îmbrățișăm digitalizarea și să ne folosim la maxim de beneficiile acesteia. În urma recomandărilor autorităților din România, mai multe companii au decis să accepte, de pe o zi pe alta, ca angajații să lucreze de acasă. Din punct de vedere legal eram pregătiți, legislația română avea prevederi clare privind tele-munca și cele mai multe firme au semnat acum cu fiecare angajat doar un act adițional la contractul de muncă, pentru a îndeplini această formalitate birocratică. Foarte puține firme au investit în securizarea echipamentelor și a căilor de comunicare, alegând deseori soluțiile cele mai rapide și ieftine, utilizând de cele mai multe ori echipamentele proprii ale angajaților.

În ultimele zile chiar am urmărit cum a crescut numărul incidentelor de securitate, prin campanii de phishing, infectând mii de computere, bazându-se pe naivitatea utilizatorilor care acum citesc orice email legat de acest Coronavirus. Din păcate, foarte multe afaceri au de suferit și, mai mult decât efectele acestei pandemii, mă sperie valul de recesiune care ne va lovi peste câteva luni.

Mi-aș fi dorit să vorbim de digitalizarea mediului de business românesc, precum și a administrației publice, în alte condiții decât cele de astăzi.

Revenind la domeniul protecției datelor, chiar dacă DPO-ul este captiv între obligațiile legale impuse de legile organice, care pot limita drepturile persoanelor, și principiile și obligațiile GDPR, există, în opinia mea, o rețetă pentru a asigura un echilibru între toate aceste reglementări:

  1. Implicarea DPO-ului. El este specialistul care astăzi poate să consilieze și să ghideze organizația în respectarea GDPR și păstrarea acestui echilibru cu obligațiile legale și interesele comerciale.
  2. Respectarea celor șapte principii fundamentale ale GDPR. Aceste principii trebuie să devină o realitate, trebuie să fie implementate în orice fel de procedură, ca niște filtre care trebuie aplicate înainte de a lansa orice tip de document, orice fel de procedură.
  3. Informarea persoanelor vizate. Este foarte ușor să investim în această informare prealabilă și să obținem, practic, o implicare și motivarea acestor persoane, pentru că, în fond, toate aceste proceduri restrictive sunt în interesul lor, al protecției datelor lor cu caracter personal.
  4. Instruirea persoanelor și obținerea de garanții adecvate. Trebuie să fim foarte atenți atunci când datele angajaților noștri, sau datele clienților noștri, datele vizitatorilor noștri sunt prelucrate de către împuterniciții noștri ca operatori și să ne asigurăm că sunt implementate măsuri tehnice și organizatorice de protecție și securitate a acestor date personale pe tot procesul de prelucrare.
  5. Evaluarea nivelului de prelucrare a datelor (de exemplu, dacă este excesiv) și identificarea unor metode mai puțin intruzive de prelucrare a datelor personale, fără a creste birocrația. Să nu uităm că DPO-ul este cel care poate evalua dacă discutăm de un nivel excesiv de prelucrare a datelor, trebuie să încercăm să limităm înscrisurile, astfel încât să nu creștem birocrația doar de dragul de a ne acoperi cu documente justificative privind respectarea acestei legi. Respectarea tuturor celorlalte principii GDPR s-ar face mult mai ușor dacă principiul minimizării ar fi respectat întocmai și pun accent mai ales pe acest lucru, deoarece noi, românii, companiile românești, instituțiile statului am ridicat birocrația aproape la nivel de tradiție. Nu tot ce e mult e și bun, un singur document bine întocmit și cu responsabilitate mă protejează la fel de bine ca zece documente pline de date personale nefolositoare, dar colectate pe sistemul „să fie”.

Concluzionez că această rețeta nu se aplică exclusiv în această perioadă de pandemie, cele cinci recomandări fiind aplicabile oricărei organizații care își propune în următorul an să își adapteze cultura organizațională și să îmbrățișeze principiile GDPR.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Ovidiu Ionescu: Conformarea GDPR, deși nu este aducătoare de profit, este o carte de vizită foarte prețioasă

INTERVIU EXCLUSIV

Vizualizari: 2534

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Ovidiu Ionescu a absolvit Facultatea de Administrație Publică, din cadrul SNSPA, în anul 2013 și Facultatea de Drept, Universitatea Titu Maiorescu, în anul 2017. A urmat 7 ani de formare juridică  dobândită  în domeniul notarial. Începând cu 1 mai 2018 și-a început activitatea în domeniul protecției datelor cu caracter personal. Timp de șapte luni a oferit consultanță pentru companii private, iar din februarie 2019 şi-a început activitatea ca Responsabil pentru Protecția Datelor în cadrul KRUK Romania. În vara anului 2019 a obținut acreditarea ANC în cadrul Institutului Bancar Român, susținând lucrarea „Protecția datelor cu caracter personal în domeniul investigaților private”. Ovidiu îşi continuă pregătirea profesinală  și anul acesta prin parcurgerea cursului PECB inc., în vederea acreditării internaționale.

În rețeaua profesională, Ovidiu spune despre el că, în calitate de jurist, cultivă verticalitatea, iar în activitatea pe care o desfășoară asigură protecția dreptului persoanei la viață privată. Valori precum dreptatea, corectitudinea și respectul față de om sunt esențiale și le va cultiva întotdeauna.

Ovidiu Ionescu e unul din lectorii Workshop-ulului dpo.Tools organizat de Portalul dpo-NET.ro - Data Protection Officers Network, în data de 12 Mai 2020 (10:00 - 12:00), în parteneriat cu SYPHERWolters Kluwer RomâniaNeoPrivacy RomâniaKruk Romania si NetSpace - GDPR Division, abordand o tema de mare interes, "Provocarile procesului de CARTOGRAFIERE". Evenimentul isi propune sa analizeze, intr-un mod pragmatic, etapele procesului de cartografiere, dificultatile intalnite precum si solutiile care pot ajuta DPO-ul sa indeplineasca si sa gestioneze cu succes aceasta sarcina.

PARTICIPAREA ESTE GRATUITA. Webinarul are loc in limba romana pe Microsoft Teams si se va adresa comunitatii specialistilor in confidentialitate si securitatea datelor din Romania, fiind un eveniment cu acces GRATUIT. Locurile sunt limitate, numarul maxim fiind de 250 de persoane. Evenimentul va fi inregistrat si ulterior postat in spatiul public pentru a asigura accesul la informatii cator mai multe persoane si dupa acest eveniment. Inscrierile se pot face prin intermediul acestei pagini dedicate evenimentului. 

Ovidiu Ionescu a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să ne trezească interesul tuturor pentru un subiect atât de important pentru orice companie care își propune să adopte și să implementeze principiile GDPR: "Cartografierea in contextul GDPR. Indicator al responsabilității prelucrării."

Cât de importantă este cartografierea datelor pentru un DPO? Dar pentru operator?

Cartografierea datelor este „actul”, tabel și diagramă sau sistem informatic, care oferă, atât DPO-ului, cât și operatorului, o imagine de ansamblu asupra activităților de prelucrare a datelor. Aceasta oferă trasabilitate în cadrul procesului de prelucrare a datelor, însă chiar și trasabilitatea, specifică unei hărți, este doar o parte din beneficiile aduse de procesul de cartografiere a datelor.

Cartografierea datelor îți oferă, într-un cadru centralizat, informații despre tipurile de date prelucrate, motivele prelucrării, sursa acestora, temeiurile juridice, perioadele specifice de stocare, locurile în care acestea sunt stocate și măsurile tehnice și organizatorice aplicate fiecărei activităţi de prelucrare în parte. Mai mult decât atât, în privința fluxului de date, cartografierea include destinatarii datelor, calitatea părților (ex. persoană împuternicită de operator, operator asociat, separat, instituție publică.) și măsurile care sunt luate în cazul transferurilor de date către acești destinatari.

Pentru DPO, cartografierea datelor reprezintă imaginea de ansamblu relevantă a activităților de prelucrare din cadrul unei companii. Este mijlocul prin care acesta își poate îndeplini sarcinile atribuite, cum ar fi monitorizarea respectării regulamentului, oferirea unei consilieri concludente operatorului și angajaților acestuia sau soluționarea cererilor de acces venite din partea persoanelor vizate.

De asemenea, supervizarea unui proces de cartografiere a datelor de către DPO este cel mai bun mijloc prin care acesta poate să cunoască efectiv activitățile de prelucrare din cadrul companiei. Din punctul meu de vedere, acest proces stă la baza oricărui plan de implementare a Regulamentului General privind Protecția Datelor și este esențial să fie elaborat în prima fază a implementării.

Pentru operator, cartografierea datelor ajută în contextul aplicării principiului responsabilității prevăzut de articolul 5, alineatul 2 din Regulament, căci, astfel, operatorul poate dovedi fără echivoc întocmirea evidenței activităților de prelucrare. Dar aceasta este doar un beneficiu al cartografierii. Pot fi operatori care nu au  obligația întocmirii unei evidențe a activităților de prelucrare, iar aceste categorii de operatorii ar putea fi tentați cu ușurință, să nu vadă acest beneficiu.

Cu toate acestea, cartografierea datelor ajută, pe de o parte, la stabilirea bazei legale pentru fiecare activitate de prelucrare în parte, iar, pe de altă parte, la elaborarea unor note de informare corespunzătoare, precum și a unor politici și registre specifice, cum ar fi managementul accesului utilizatorilor, registrul operatorilor, registrul persoanelor împuternicite, politici de reținere a datelor, politici privind documentele fizice, norme pentru utilizarea echipamentelor digitale, contribuind chiar și la elaborarea politici de securitate a informației. Cu alte cuvinte, trecând prin procesul de cartografiere a datelor, operatorul poate lua măsuri care să asigure principiul legalității, transparenței și echității, poate minimiza datele, acolo unde identifică că sunt excesive, poate limita scopul, acolo unde este irelevant sau ilegal, poate stabili termenele de reținere specifice și, mai ales, poate stabili măsurile tehnice și organizatorice corespunzătoare, asigurând integritatea și confidențialitatea.

Altfel spus, având în vederea că dovedirea aplicării și respectării regulamentului este principiul de bază, cartografierea completă este o probă care stă la baza construiri altor probe concludente ori în limbaj juridic a „unui început de probă”.

Evaluarea Impactului asupra Protecției Datelor este un alt proces care poate fi ușurat cu ajutorul unei cartografieri corespunzătoare a datelor, întrucât poate contribui foarte bine la descrierea fluxului datelor, a nivelului de confidențialitate al acestora și a riscurilor asociate prelucrării.

Care sunt principalele provocări în cadrul procesului de cartografiere?

Personal, cred că cea mai mare provocare a acestui proces este identificarea datelor. În mod simetric, beneficiul ideal rezultat din cartografierea datelor și din toate acțiunile ulterioare, este curățenia și ordinea în activitățile de prelucrare și efectiv în cadrul întregii activități a companiei. Responsabilitatea față de prelucrare este o cultură, din punctul meu de vedere, și o carte de vizită foarte prețioasă în relațiile de afaceri, atât cu partenerii cât și cu clienții.

Revenind la provocări și la identificarea datelor, într-adevăr, identificarea se poate arăta dificilă uneori, întrucât, în lipsa unui cadru normativ general, imperativ și coercitiv, până în anul 2018 nu toți operatorii au cultivat protecția datelor la un standard ridicat. Astfel, în lipsa unor reguli interne de gestionare și păstrare a datelor cu caracter personal, datele nu au fost întotdeauna prelucrate și stocate în mod controlat.

Din punctul meu de vedere, având în vedere cultura pe care Regulamentul o propune și esența acestuia, precum și principii de bază, cum ar fi respectul față de celălalt, consider demn de apreciat orice operator care este pregătit să o ia de la zero, elaborând o cartografiere completă a datelor, culegând și păstrând doar acele date care sunt absolut esențiale afacerii și curățând întreaga infrastructură fizică și digitală. În felul acesta, se pot evita riscurile generate de activitățile din trecut și se poate porni  cu pași siguri către o construcție sănătoasă în materie de protecție a datelor cu caracter personal. Desigur, pe cât de necesar este, pe atât de ideal poate părea. Complexitatea, amploarea și vechimea unor afaceri, pot să facă dificil de aplicat, dintr-o dată, un astfel de proiect de „punct zero”. În cazul acestor afaceri, curățenia, cartografierea și construirea noilor mecanisme se face treptat, concomitent.

O altă provocare este identificarea măsurilor tehnice și organizatorice corespunzătoare pentru asigurarea protecției datelor și a controlului asupra acestora. Necesitatea acestor măsuri apare odată cu cartografierea datelor.

Regulamentul, atunci când se referă la securitatea prelucrării, face referire la nivelul actual al dezvoltării, termen care, fiind tradus din „state of the art” în limba engleză, se definește ca cel mai înalt nivel de dezvoltare generală privind un dispozitiv, o tehnică sau un domeniu științific, la un moment dat. Astfel, aplicarea măsurilor tehnice atât de importante pentru integritatea și confidențialitatea datelor, poate presupune un consum economic ridicat pentru anumiți operatori, având în vedere specificul activității fiecăruia. Astfel, pot exista companii mici, care, prin prisma activității pe care o desfășoară sunt nevoite să aplice un nivel de securitate ridicat și măsuri organizaționale complexe. Primul exemplu care îmi vine minte, este o firmă de recrutare, dar la fel de bine pot exista companii mici care desfășoară activități cu date sensibile, cum ar fi cele în domeniul medical.

Acești operatori optează deseori pentru resurse modeste de implementare a măsurilor tehnice și organizatorice de protecție a datelor și optează pentru o implementare progresivă a măsurilor. Din acest punct de vedere, identificarea măsurilor de bază pentru a asigura o protecție responsabilă în faza inițială de implementare poate deveni, uneori, o provocare.

Un aspect important care cred că trebuie cultivat este apetitul pentru schimbare. Așa cum nici cartografierea nu este o activitate statică, care se face odată și gata, nici implementarea nu este o activitatea dintr-o dată, ci o activitate continuă, care trebuie monitorizată și controlată constant și revizuită periodic. La fel, activitatea DPO-ului este o activitate în continuă desfășurare.

Ce sfaturi ai pentru cartografierea datelor?

Sfatul meu principal pentru operatori este de a efectua cartografierea datelor într-o manieră cât mai exactă și mai elaborată, astfel încât să asigure controlul asupra datelor. E un mijloc care, cum spuneam anterior, nu ușurează doar munca DPO-ului, ci ajută compania în ansamblul ei și care poate, astfel, reglementa, dezvolta și proba o practică coerentă în interiorul companiei, cu partenerii de afaceri, autoritățile sau clienții.

De asemenea, este foarte important să implice toate departamentele în acest proces și, înainte de asta, să arate importanța și beneficiile asigurării protecției datelor, astfel încât să se asigure că toți colegii din subordine tratează acest subiect în mod constructiv și cu deschidere. Este foarte importantă transparența, pentru a asigura ulterior transparență, astfel că aceasta trebuie să pornească de la conducere, să meargă către colegii din subordine, să revină înapoi la conducere, ca în final să ajungă la clienți, la toți angajații, la partenerii de afaceri și la alte persoane vizate cu care compania interacționează.

Un sfat personal într-un cadru ceva mai general, este să ia în considerare faptul că activitatea de conformare, deși nu este aducătoare de profit, este menită să scadă anumite riscuri, să formeze o cultură a responsabilității față de persoanele vizate și reprezintă, cum spuneam mai sus, o carte de vizită foarte prețioasă.

Nu există un singur mijloc de cartografiere a datelor, sunt varii opțiuni prin care acest proces poate fi îndeplinit, pornind de la documente, tabele sau hărți (ori toate la un loc), până la software-uri specifice, mai tehnice sau mai prietenoase cu utilizatorul, și chiar până la soluții CRM. Ce este relevant, este ca acest mijloc să arate în mod concludent întregul ansamblu al activităților de prelucrare a datelor și să fie documentat corespunzător.

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Daniela Cireașă: „Realizarea cartografierii nu este sarcina exclusivă a DPO-ului”

Daniela Cireasa a absolvit Facultatea de Drept, Universitatea Nicolae Titulescu, este consilier juridic din anul 2001. In 2018 a absolvit cursurile postuniversitare de protectia datelor „Protectia juridica a […]

Alexandru Luca: În acest context, digitalizarea nu este o noutate, este mai mult o oportunitate

Alexandru Luca, în prezent Mobile Division Manager – Cybersecurity BU in cadrul comapaniei certSIGN, are o experiență de peste 15 ani în domeniul IT&C, asumându-și roluri cheie în […]

Alexandru Gheorghe: Nu am găsit în România experți care să realizeze o „autopsie” a unui telefon mobil

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Inperspective. El a format și condus […]

Alexandra Jivan: „În cazul unui litigiu, salariații s-ar putea prevala de lipsa de informare, susținând că nu cunosc procedurile”

Alexandra Jivan (CIPP/E) are o experiență profesională de peste 11 ani, oferind consultanță și reprezentare juridică, atât startup-urilor, precum și companiilor multinaționale. În 2018, a fost inițiatorul proiectului […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

Cursul postuniversitar UMFST Târgu Mureș de protecția datelor a ajuns la debutul celei de-a treia ediție

Cursul postuniversitar „Formare si pregatire a Responsabilului cu Protecția Datelor”, organizat de Centrul de cercetare pentru protecția datelor, constituit in cadrul Universității de Medicina, Farmacie, Științe și Tehnologie […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

Stefan Gabriel Iancu: România este in top 3 din Europa la numarul de amenzi GDPR aplicate

Stefan Gabriel Iancu are o experiență de peste 21 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei iPrivacy. El si-a dezvoltat expertiza […]

„Operatorii ar trebui sancționați pentru desemnarea persoanelor nepotrivite în functia de DPO?”

Alexandru Gheorghe are o experiență de peste 12 ani în calitate de consilier juridic, DPO / Consultant Protectia Datelor, fiind fondatorul companiei Iperspective. El a format și condus […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Cătălina Lungu: „De Black Friday, vânătorii de chilipiruri se pot transforma în victime”

Cătălina Lungu este Responsabil cu protecția datelor (DPO) si Consultant GDPR la Proactiv Cons SRL , fiind licențiată în managementul firmei și absolventă a cursurilor postuniversitare în protecția […]

Brittany Kaiser: Intervenția străinilor în alegerile din România încă este o amenințare (VIDEO)

În calitate de fost Director de dezvoltare a afacerilor la Cambridge Analytica, Brittany Kaiser este un celebru denuntator, demascând modul în care au fost influențați și manipulați oamenii, […]

Gradul de conformare GDPR, în domeniul sanitar românesc, nu a depășit 15%

Regulamentul General privind Protecția Datelor (GDPR-General Data Protection Regulation) a apărut pentru a oferi un grad de control într-o lume dominată de tehnologie, iar conformarea la acest Regulament […]

Adriana Ceaușescu: „Trebuie să învățăm că implementarea GDPR este un efort de echipă”

Adriana Ceaușescu este Ofiter Securitatea Informatiei si Protectia Datelor pentru companii din domeniul Asigurarilor si Sanatatii și a urmat cursurile IAPP, participând totodată la intocmirea codului de conduita […]

Timis Horea: Frica de amenzi GDPR a oprit inovația în multe domenii

De profesie medic, Timis Horea este expert in Management Sanitar si fost director de proiecte europene pe componenta socio-medicala, la Primaria Alba Iulia, director de spital, director al […]

Radu Crahmaliuc: „Spitalele de stat din România nu sunt pregătite să ne proceseze datele”

Radu Crahmaliuc este fondatorul Cloud☁mania, una dintre cele mai populare platforme independente de cunoștințe și servicii din Europa de Est Centrală care s-a dezvoltat pe următorul principiu: „cele […]

Adrian Munteanu: În România găsim „un număr imens de „consultanți GDPR„ care au apărut de nicăieri”

Cu o experiență de peste 13 ani în proiecte de audit (internet banking, securitate IT, proiecte IT, proiecte finanțate prin fonduri UE), consultanță (continuitatea afacerii, analiză de impact, […]

Filip Truță: „Noua soluție Bitdefender 2020 protejează intimitatea utilizatorilor”

Filip Truță, security analyst la Bitdefender, a acordat un interviu in exclusivitate  pentru dpo-NET .ro despre GDPR și despre tehnologiile noi din soluția de securitate Bitdefender 2020 care […]

Gordon Wade: “ANSPDCP este pregătită să treacă de la o abordare tolerantă la una activă”

Gordon Wade este avocat specializat în confidentíalitatea și protecția datelor la PwC Legal Middle East, cu sediul în Dubai, și a acceptat cu entuziasm să ofere un interviu […]

Nicolae Ploeșteanu: „ONG-urile sunt cele care trebuie să se implice cel mai mult în România”

Nicolae Ploeșteanu a absolvit studiile juridice în anul 1995, la București și este Doctor în drept din anul 2005, făcând numeroase specializări în țară și în străinătate, în […]