Fiind una dintre cele mai mari conferinte din lume la care participa antreprenori, specialisti si investitori, WebSummit 2019 are loc la Lisabona gazduind peste 120.000 de oameni din mai mult de 170 de țări.  

Pentru prima dată, participanții la WebSummit au posibilitatea de a  nu utiliza deloc bancnotele și monedele pe perioada evenimentului. Un parteneriat pe o perioada de trei ani cu principalul furnizor de servicii de plăți din Portugalia, SIBS, a permis opțiunile de plată electronică pe toată durata conferinței din acest an.

SIBS va oferi soluții de plată sigure pentru toți furnizorii de la eveniment, cu sisteme care acceptă toate tipurile de plăți și soluții digitale, inclusiv plăți cu card și aplicații mobile. 

Ministrul Economiei, Pedro Siza Vieira, afirmă că „acest parteneriat ne permite, încă o dată, să poziționăm Portugalia ca o țară inovatoare care continuă să consolideze accentul pe digitalizarea economiei sale”. „Oportunitatea de a prezenta inovația noastră tehnologică într-un eveniment cu o vizibilitate internațională atât de ridicată, precum și asocierea cu un brand atât de puternic precum WebSummit, oferă o reputație excelentă a tehnologiei portugheze.. În același timp, sper că va încuraja o penetrare mai mare a plăților digitale în economia noastră ” , afirmă el.

„Mediul economic avanseaza din ce in ce mai mult catre utilizarea platilor electronice, astfel ca si Web Summit isi dorește să avanseze și să creeze o experiență de plăți mai ușoară pentru participanții noștri. Suntem încântați să partenerăm cu SIBS în această călătorie. Atât echipele Web Summit, cât și echipele SIBS sunt încântate să lucreze la acest proiect împreună în următorii trei ani. ” - spune Paddy Cosgrave, CEO și fondator Web Summit. 

„SIBS a fost partenerul Web Summit încă de la prima ediție în Portugalia și suntem foarte mândri că vedem consolidarea acestei conexiuni. Viitorul plăților sunt tranzactiile digitale și ne concentrăm in aceasta directie. Este o strategie cu beneficii clare pentru economia națională care trebuie consolidată. Într-un eveniment atât de concentrat asupra tehnologiei și inovării, este perfect justificat ca plățile fără numerar să fie o realitate ” - spune Madalena Cascais Tomé, CEO SIBS.

Fondată în 1983, SIBS oferă servicii financiare, moderne, fiabile și sigure, în special în zona plăților, la peste 300 de milioane de utilizatori din diferite geografii, procesând peste 3 miliarde de tranzacții anual. Pe lângă faptul că este un procesor major de plăți în Europa, SIBS este un reper în soluțiile și serviciile de securitate și antifraudă în externalizarea proceselor de afaceri și liderul iberic în producția și personalizarea cardurilor.

SIBS s-a născut și a crescut ca fintech, inovând și preluând tehnologia ca motor în această directie. SIBS a reinventat metodele de plată existente și a creat MB WAY, cea mai modernă și completă aplicație de plată din Portugalia, care permite utilizatorilor să efectueze achiziții, transferuri instantanee și retrageri doar cu telefonul mobil. De asemenea, este compania responsabilă de gestionarea ATM Express și a rețelelor MULTIBANCO, cea mai mare rețea de ATM-uri portugheze, la care SIBS a adăugat zeci de funcții, multe dintre ele facand pionierat la nivel mondial. În paralel, SIBS gestionează mai multe canale digitale de plată, de la Terminale de plată automată, la canale online sau telefoane mobile. De asemenea, este un jucător important internațional, prezent pe mai multe piețe, și anume în Europa și Africa, unde soluțiile SIBS operează în peste 330 de mii de terminale care procesează aproximativ 2 miliarde de tranzacții, în special în Polonia, unde SIBS deține Paytel, unul dintre cele mai dinamice operatorii de terminale de plată pe piața respectivă. Angajat în activitatea de zi cu zi, SIBS își continuă permanent misiunea de a fi partenerul de referință al entităților publice și private, creând valoare societății prin dezvoltarea și gestionarea soluțiilor de plată, proceselor și serviciilor conexe bazate pe tehnologie care combină siguranța, comoditatea și inovația. , respectând principiile de comportament bune și condițiile de durabilitate. Puteți găsi mai multe informații despre SIBS la www.sibs.com .

Alexandra Jivan (CIPP/E) are o experiență profesională de peste 11 ani, oferind consultanță și reprezentare juridică, atât startup-urilor, precum și companiilor multinaționale. În 2018, a fost inițiatorul proiectului GDPRO, cea mai mare platformă online românească care oferă seturi de documente adaptate pentru mai mult de 35 de domenii de practică diferite, concepute pentru IMM-uri și ONG-uri (www.protectia‐datelor‐imm.ro). Din 2020, este unul dintre membrii fondatori ai proiectului Timișoara Legal Hackers.

Este și unul din moderatorii Workshop-ulului dpo.Tools organizat de Portalul dpo-NET.ro - Data Protection Officers Network, în data de 23 și 24 Martie 2020, în parteneriat cu Wolters Kluwer România, NeoPrivacy România, SAMSUNG, Inperspective, Reimens si IJV& Partners Law Firm și care abordează o tema de mare interes, "Mobilitatea, o provocare pentru aplicarea GDPR”, analizând intr-un mod pragmatic avantajele si riscurile privind securitatea informatiilor si a datelor personale in contextul utilizarii din ce in ce mai mult a tehnologiei mobile pentru a comunica. Alexandra Jivan a acceptat să ofere un interviu în exclusivitate pentru cititorii dpo-NET.ro, reușind să ne trezească interesul tuturor pentru un subiect atât de important pentru orice compananie care își propune să adopte și să implementeze principiile GDPR: implicarea, motivarea și responsabilizarea angajaților. 

În cadrul workshop-ului dpo.Tools organizat în data de 23 și 24 Martie 2020 în parteneriat cu SAMSUNG ROMÂNIA, având titlul “MOBILITATEA, O PROVOCARE PENTRU APLICAREA GDPR”, ne vei vorbi despre reglementarea responsabilităților angajaților cu privire la utilizarea tehnologiei mobile pe dispozitive personale și pe cele ale angajatorilor. Ce te-a atras la această temă?

Atunci când am primit invitația de a fi speaker la acest eveniment, am acceptat cu mare bucurie, unul dintre motivele care au stat la baza deciziei mele fiind chiar tema generală a workshop-ului: mobilitatea în contextul GDPR. În ziua de astăzi nu mai putem vorbi despre un business fără dispozitivrlr de comunicare mobile. Mai mult, punerea la dispoziția angajatului a unui telefon sau laptop de serviciu nu mai reprezintă de mult un bonus care să facă diferența între angajatori. S-a trecut chiar la pasul următor, acela în care utilizarea device-urilor personale în interes de serviciu (BYOD - Bring Your Own Device) e tot mai des întâlnită.

Normalitatea este deci utilizarea tehnologiei mobile, cu toate consecințele firești ale acestui fapt, fie ele bune sau mai puțin bune.

La ce consecințe te referi?

Fără a dezvolta toate situațiile de fapt cu care m-am confruntat de-a lungul activității, despre care voi vorbi însă pe larg la workshop, este important să conștientizăm că folosirea tehnologiei mobile (a telefonului mobil spre exemplu) de către un angajat poate fi de un real folos societății deoarece va facilita modul în care își desfășoară acel salariat activitatea, însă va genera totodată și un risc din perspectiva securității datelor. Fotografierea unui baze de date cuprinzând datele de contact ale clienților societății sau alte angajaților acesteia, folosirea acelor date în alt scop decât cel asumat de societate, permiterea accesării bazei de date a societății de pe un laptop privat virusat ce afectează ulterior întregul sistem al angajatorului, sunt exemple simple de consecințe grave cu care orice societate se poate confrunta.

Dacă vom analiza rapoartele ANSPDCP (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal) din ultima vreme, vom putea constata că există societăți care au fost deja obligate la plata de amenzi pentru neluarea de măsuri tehnice și organizatorice adecvate în vederea evitării unor situații de tipul celor amintite anterior.

Ce înseamnă “măsuri tehnice și organizatorice adecvate”?

GDPR oferă câteva exemple de măsurile tehnice şi organizatorice considerate a fi adecvate, precum şi anumite linii directoare pe care entităţile implicate în prelucrarea datelor cu caracter personal le pot urma atunci când implementează măsurile interne. Regulamentul nu prevede însă o definiţie concretă sau o listă clară a măsurilor adecvate, întrucât un astfel de demers ar fi unul extrem de laborios, dacă nu chiar imposibil, raportat la multitudinea particularităţilor fiecăreia dintre situaţii. În consecinţă, efortul determinării măsurilor potrivite pentru fiecare caz trebuie asumat de entităţilor care prelucrează datele cu caracter personal, respectiv de societăți.

Raportat la tema workshop-ului firește că este important să amintesc dintre măsurile orgaznizatorice ce ar trebui avute în vedere, cel puțin următoarele: obligația de confidențialitate a angajaților (ce trebuie clar reglementată printr-un act adițional la contractul de muncă și asumată în deplină cunoștință de cauză de către aceștia); training-ul adecvat în urma căruia salariații să înțeleagă importanța securității datelor prelucrate și a rolului lor în acest context; implementarea de politici interne cum e cea de HR, în care să se reglementeze modul în care se folosesc echipamentele mobile, condițiile ce trebuie îndeplinite pentru a se putea folosi un echipament personal în interes de serviciu, sancțiunile ce pot fi aplicate în cazul nerespectării acestei politici ș.a.m.d.

Există deci metode prin care angajatorii se pot asigura că nu vor exista incidente de securitate a datelor ca urmare a folosirii technologiei mobile de către salariați?

Cu siguranță că există, însă acestea nu se pot rezuma strict la documentația despre care vă vorbeam. În opinia mea, o implementare corectă și completă de GDPR se face doar prin colaborarea departamentului juridic cu cel tehnic. Așadar, vom avea spre exemplu politici interne care să reglementeze modul în care se vor utiliza laptop-urile private în interes de serviciu (folosirea parolelor, existența unui antivirus valabil, aplicare de sancțiuni etc.) însă va trebui să ne putem baza și pe niște sisteme IT/aplicații care să se asigure că în practică aceste demersuri sunt și duse la îndeplinire. Fiind avocat de consultanță în domeniul de business, convingerea mea este aceea că prevenția e mai bună decât încercarea reparării situației. Țelul principal al oricărei societăți ar trebui să fie acela de a împiedica producerea unui data breach, nu de a avea împotriva cui să se întoarcă pentru recuperarea daunelor suferite...deși firește că și această plasă de siguranță trebuie construită.

În contextul unei breșe de securitate, operatorul este responsabil conform Regulamentului UE 2016/679. Ce modalități există pentru ca operatorul să atragă răspunderea pentru greșeala unui angajat, în situația în care există proceduri și instrucțiuni de lucru? Se schimbă situația dacă operatorul nu a prelucrat corespunzător aceste proceduri si instructiuni către proprii angajați?

Atunci când un angajat nu își respectă obligațiile asumate în contextul relațiilor de muncă, sancțiunile sunt cele prevăzute de Codul Muncii și pot varia de la avertisment, la reducerea salariului pe o anumită perioadă de timp și până la concediere. Dacă societatea a suferit un prejudiciu, firește că există posibilitatea solicitării de despăgubiri de la persoana culpabilă, respectiv de la angajatul care a generat acel incident de securitate. Pentru a putea susține însă faptul că neîndeplinirea obligațiilor de către un anumit angajat a dus la respectivul incident și este deci răspunzător de acesta, este în primul rând necesar ca acelui angajat să îi fie clare obligațiile avute și consecințele nerespectării lor.

Vorbim astfel despre utilitatea existenței unor prevederi în cuprinsul regulamentului intern care să includă anumite fapte în categoria abaterilor disciplinare sau a abaterilor disciplinare grave și care să prevadă sancțiunile aferente acelor fapte, dar și despre importanța ridicată a procedurilor interne cu rol în reglementarea modului de desfășurare a activităților angajatului. Dacă aceste proceduri există, trebuie discutate cu reprezentanții salariaților/sindicatele (acolo unde acestea s-au constituit) și ulterior implementate. Prin “implementare” mă refer la aducerea lor la cunoștința angajaților, explicarea lor, efectuarea de traininguri interne, audituri periodice și orice alte demersuri care sprijină intenția angajatorului de evitare a breșelor de securitate ca urmare a activității salariaților.

În situația în care astfel de proceduri nu au fost stabilite la nivelul societății, sau au fost stabilite dar nu și aduse la cunoștința angajaților, scopul final al angajatorului de asigurare a securității datelor poate fi cu greu atins. Mai mult, salariații se pot prevala de acest lucru în cazul unui litigiu referitor la răspunderea lor, susținând că nu știau de respectivele proceduri. Înspre cine va înclina balanța rămâne de văzut în funcție de fiecare situație concretă, însă cu certitudine o atitudine diligentă din partea angajatorului prin crearea și implementarea efectivă și corectă a unor proceduri interne, nu poate decât să vină în sprijinul acestuia.

Asociația pentru Tehnlogie și Internet – APTI împreună cu Centrul pentru Inovare Publică și Centrul pentru Jurnalism Independent organizează în data de 11 martie, între orele 10-14, un eveniment care își propune să analizeze modul de prelucrare a datelor personale în contextul electoral din România.

• Ce se întâmplă în lume cu datele personale în context politic și ce se poate face cu ele?
• Cât ne interesează, cât ne doare si cat ar trebui sa ne pese?
• Ce este legal și ce este neetic?
• De unde putem să găsim sau să explorăm mai multe informații când se încinge lupta politica pentru voturi?
• Ce se întâmplă pe Facebook în public și în spatele ușilor?

Evenimentul "Vin alegerile! Ce facem cu datele personale?" își propune să ofere unele răspunsuri la aceste întrebări. Organizatorii invită să participe la dezbatere categorii diverse de public: jurnaliști, studenți la jurnalism, alți comunicatori publici.

Prezentările propuse:

• “Political Data Exploitation - from Cambridge Analytica to recent elections around the world. Trying to find out more”: Ailidh Callander, Legal Officer, Privacy International
• “ Who targets me - crowdsourced global database of political adverts placed on social media”: Sam Jeffers, Who Targets Me (via Skype)
• “Platformele de reclame politice de la Google si Facebook - ce se vede, ce nu se vede și după ce date putem săpa prin API”: Alexandra Ștefănescu, Tech Officer, Code4Romania
• “Monitorizarea Facebook la alegerile prezidențiale din noiembrie 2019”: Ana Maria Luca, Global Focus Center

Workshop-ul va fi moderat de Ovidiu Voicu (Centrul pentru Inovare Publică - CIP).

Persoanele interesate sunt rugate să confirme participarea prin email la adresa contact@cji.ro.