Sergiu Bozianu este în primul rând un profesionist în domeniul protecției datelor din Republica Moldova, ultima funcție publică fiind cea de director adjunct în Direcția Generală Supraveghere și Conformitate în cadrul Centrului Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova. În prezent este președintele Asociației pentru Protecția Vieții Private prin care şi-a luat angajamentul să contribuie la promovarea şi transpunerea la nivel naţional a standardelor europene, în domeniul protecţiei datelor cu caracter personal şi a vieţii private. Este directorul companiei ,,Law, Privacy & Data Protection Services” SRL și  doctorand, tema sa de cercetare fiind,,Caracteristica juridico penală și criminologică a inviolabilității vieții personale”. A acceptat provocarea de a inaugura această nouă secțiune pe portalul dpo-net.ro, intitulată "Interviu Exclusiv", acordând răspunsuri la cele mai arzatoare întrebări ale momentului, despre provocările implementarii GDPR în România și Republica Moldova. Ne propunem periodic să publicăm interviuri exclusive cu profesioniști în domeniul protecției și securității datelor, atât din România, cât și din Europa. Vă invităm să ne urmăriți și așteptăm propuneri pe adresa de email a redacției cu persoane pe care vă doriți să le includem în acest proiect editorial.

Scopul GDPR-ului nu este de a da amenzi ci de a proteja persoanele. Cu toate acestea, după 3 ani de la intrarea în vigoare a Regulamentului doar 67% dintre Europeni au auzit de GDPR, în timp ce doar 36% au declarat că știu ce este acest regulament (date prezentate de Comisia Europeana în sondajul Eurobarometru). Credeți ca aceste cifre sunt rezultatul dezinteresului persoanelor în ceea ce privește de protejarea datelor lor?

 În opinia mea, rezultatele sondajului denotă 2 aspecte:

• Constatăm o tendința de maturizare a acestui drept modern – Dreptul la protecția datelor cu caracter personal, care a început a fi promovat cu insistență doar odată cu aplicarea Regulamentului General privind Protecția Datelor (25 mai 2018) deși, elaborarea și aprobarea acestui Regulament este consecința dezvoltării Dreptului fundamental al persoanei la viața privată și de familie statuat la art. 8 din CEDO, încă în anul 1950 și dezvoltat odată cu adoptarea Convenției nr. 108 privind protecția persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal.
• Punctajul (cartonașul roșu) acumulat de Statele vizate în cazul obligațiilor pozitive ce le revin, de a respecta și ocroti viața intimă, familială și privată.

Care credeți ca vor fi consecințele acestei lipse de conștientizări a importantei datelor în rândul persoanelor, pe termen lung?

Este un fapt demonstrat că persoanele vizate cedează tot mai mult dreptul său la protecția datelor cu caracter personal în schimbul confortului personal – aspect ce rezultă din automatizarea exponențială în ultima perioadă de timp a proceselor și serviciilor din sfera publică și privată. Consecințele nu se lasă mult așteptate pe motiv că datele cu caracter personal sunt utilizate pe larg în scopuri meschine cum ar fi: șantajul, înșelăciunea, supunerea, denigrarea și manipularea în masă a societății. Important este de a conștientiza că datele cu caracter personal, în marea majoritate a cazurilor, nu au termen de valabilitate, pot fi utilizate și reutilizate de nenumărate ori, iar eventualele prejudicii pe urma utilizării ilegale a acestora ar putea ieși la iveală după o perioadă îndelungată de timp, în unele situații producând efect chiar și în raport cu copii, nepoții sau strănepoții noștri.   

Este esențial ca persoanele să identifice prelucrările ilegale de date pentru a-și putea exercita drepturile. Cât este de important sa-ți cunoști drepturile atâta timp cât nu poți identifica o prelucrare ilegală? Pe ce ar trebui să se axeze campaniile de informare a persoanelor?

Cunoașterea de către persoanele vizate a drepturilor ce rezultă din legislația din domeniul protecției datelor cu caracter personal este una crucială din considerentul că această disciplină interferează orice domeniu cum ar fi: medical, social, economic, educațional etc. De reținut că unul dintre principalele scopuri pentru care a fost adoptat Regulamentul general privind protecția datelor este de a asigura persoanei fizice un control mai mare asupra modului de prelucrare și protecție a datelor cu caracter personal care-l vizează. Concluzia este că cu cât este mai informat cetățeanul cu atât este mai responsabil operatorul de date. În acest context, necunoașterea drepturilor prevăzute de legislația din domeniul protecției datelor cu caracter personal duce la imposibilitatea constatării situațiilor care ar putea duce la încălcarea regimului juridic al protecției datelor cu caracter personal.

Campaniile de informare trebuie să se bazeze pe explicația simplă a celor mai importante drepturi ale persoanei: dreptul de a fi informat și dreptul de acces la aceste date, care, odată realizate, deschid calea spre pârghiile de control și interdicție care pot fi realizate direct către operatorul de date sau prin intermediul Autorității de supraveghere sau instanței de judecată. Nu în ultimul rând de menționat că realizarea drepturilor subiecților de date contribuie esențial asupra conștientizării sarcinilor și responsabilităților operatorului în raport cu datele cu caracter personal prelucrate. În Republica Moldova, dar cred că și în alte țări vizate, operatorii de date cu caracter personal încep a reacționa la trebuințele legale prevăzute de domeniul protecției datelor cu caracter personal doar urmare a depunerii unei plângeri din partea persoanei vizate sau în urma inițierii unei investigații din partea Autorității de supraveghere.

Care credeți că ar fi cea mai scurta cale spre creșterea gradului de conștientizare și complianta GDPR: educarea persoanelor sau educarea operatorilor?

Cea mai simplă cale pentru atingerea unui nivel de conștientizare adecvat ar fi de explicarea beneficiilor în cazul respectării regimului juridic al protecției datelor cu caracter personal:

• pentru operatori – obținerea elementului de competitivitate, legalizarea activităților ce implică prelucrarea datelor, promovarea imaginii și stabilirea unei relații de încredere dintre prestator-consumator, evitarea riscurilor privind răspunderea: pecuniară sub formă de amendă 20 000 000 sau 4 %, repararea prejudiciilor morale și materiale ale persoanelor vizate, cheltuieli de judecată, pierderea reputației. În același context urmează a fi conștientizat că cu cât mai devreme începi să implementezi cerințele de protecție a datelor, cu atât mai repede îți asiguri continuitatea afacerii sau a serviciilor prestate.
• pentru persoanele vizate – protejarea informațiilor confidențiale despre sine, afacere, membri de familie, obținerea unui confort emoțional și fizic, evitarea riscurilor de pierdere a unor proprietăți, active, a reputației on-line și off-line.

În România, până în acest moment, nu s-a dat nici o amenda pentru nerespectarea GDPR deși autoritatea condus aproape 1.000 de investigații, adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că Amenzile au un rol important în aplicarea GDPR-ului? Din experienta Dumneavoatră practică, cei mai mult operatori se conformeză cu GDPR-ul din responsabilitate sau de frica amenzilor? Care este situatia in Republica Moldova ?

Având în vedere experiența anterioară la Autoritatea națională de protecție a datelor cu caracter personal din Republica Moldova, pot să vă comunic că cea mai eficientă măsură este dialogul specific, informat și lipsit de ambiguitate dintre regulator și operatorii de date cu caracter personal care trebuie să fie asigurat cu norme coercitive consistente pentru a reda forță juridică discuțiilor inițiate. Așadar, cel mai important este de a asigura spiritul legii și de a nu denatura esența acesteia, de a oferi soluții practice și de compromis și nu de mers în extreme, or, disciplina protecției datelor cu caracter personal nu poate fi atinsă peste noapte doar prin impunerea unor măsuri pecuniare. Forța coercitivă a Autorității trebuie aplicată doar ca ultimă măsură spre calea conformării sau, în toate cazurile: de rea intenție sau neglijență vădită. Din practică, pot să vă afirm că cel mai mari impedimente întru asigurarea principiilor de protecție a datelor cu caracter personal este lipsa capacității raportării realităților juridice cu cele practice, persistența vacuumului în dialogul constructiv și analfabetismul funcțional. 

Totuși trebuie să recunoaștem că un avânt cu totul special pentru respectarea dreptului la viața privată în legătură cu prelucrarea datelor cu caracter personal la nivel global l-a adus anume Regulamentul general privind protecția datelor care a impus niște amenzi considerabile. De remarcat că acest Regulament nu a schimbat esența principiilor fundamentate spre exemplu prin Directiva 95/46, însă a schimbat de principiu atitudinea legiuitorului european din perspectiva obligațiilor pozitive care revin statelor de a asigura dreptul la viața privată, reliefând importanța persoanei fizice și prețul datelor cu caracter personal în condițiile relațiilor juridice. 

Așadar, sarcina noastră comună la moment este de a dezvolta acel reflex condiționat în raport cu dreptul modern la protecția datelor cu caracter personal.

Credeți că instituțiile publice ar trebui sa fie un exemplu pentru restul operatorilor? Punem această întrebare pentru că în Romania instituțiile publice riscă o amenda maxima pentru nerespectarea GDPR-ului de 200.000 lei, cu mult inferior față de ceea ce risca operatorii privați. Care este situatia in Republica Moldova ?

Una dintre principala premisă urmărită de art. 8 din CEDO, Convenția 108, Directiva 95/46, Regulamentul 679/2016, Directiva 680/2016 și a altor acte, a fost limitarea eventualului abuz al forței publice în raport cu persoana fizică. De reținut că așa cum opinează CEDO cu putere de lucru judecat, simpla înregistrare a unor date cu caracter personal de către o autoritate sau instituție publică reprezintă o ingerință în viața privată a persoanei vizate.

Așadar, putem constata că autoritățile publice sunt cei mai mari operatori de date cu caracter personal având cele mai intruzive mijloace de colectare și prelucrare a datelor cu caracter personal. Mai mult, Legea Supremă din România și din Republica Moldova statuează obligația autorităților publice de a respecta și ocroti dreptul la viața intimă, familială și privată.

Așadar, intenția legiuitorului de a diminua suma sancțiunilor aplicate în raport cu autoritățile publice este una previzibilă pe motiv că în joc sunt puși banii publici care, odată cu aplicarea sancțiunii vor migra dintr-un buget în altul. Nu este neapărat ca suma cuantumului pecuniar să fie aceeași ca și în cazul operatorilor de drept privat, însă, aceste diminuări ar trebui în mod corespunzător de compensat prin intermediul altor măsuri punitive care ar aduce un echivalent echitabil în raport cu autoritățile publice.

Din aceste considerente, fără a diminua importanța asigurării cerințelor legale de către sectorul privat, autoritățile publice sunt principalii actori vizați întru respectarea principiilor de protecția datelor cu caracter personal. În Republica Moldova autoritățile publice nu pot fi atrase la răspundere contravențională, însă această interdicție legiuitorul a compensat-o prin instituirea dreptului de a atrage la răspundere contravențională persoanele cu funcție de răspundere (conducătorii, factorii de decizie, executorii etc.). Așadar, dacă e să facem o analiză a numărului de cazuri de atragere la răspundere, cam jumătate din sancțiunile contravenționale care au fost aplicate de către Autoritatea de protecția datelor cu caracter personal din Republica Moldova, au fost aplicate în privința: primarilor, executorilor judecătorești, polițiștilor, procurorilor, funcționarilor publici etc.

Un studiu ASCPD atragea atentia la începutul acestui an asupra acestor statistici din unitatile medicale Romanesti: 37,44% din instituţiile sanitare cuprinse în analiză s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% din total nu au implementat un plan de reacţie la incidentele de securitate. De asemenea, sondajul a scos în evidenţă că 70,26% încă folosesc adrese de email @yahoo.com şi @gmail.com în interes profesional în interiorul reţelei, expunând astfel organizaţia unor riscuri care pot fi evitate. Din sondaj a mai reieşit că 11,28% nu au implementat sisteme tehnice de protecţie antivirus, cel mai des invocând lipsa fondurilor. Cum comentati aceste rezultate ?

Rezultatele denotă o problemă stringentă care nicidecum nu poate fi justificată prin lipsa fondurilor. Urmează a fi reținut că în majoritatea cazurilor asigurarea unui nivel adecvat de protecție a datelor nu presupune cheltuieli exorbitante după cum pretind anumiți actori, exagerând sub aspectul dat în încercarea de a justifica propriile acțiuni sau inacțiuni care sunt neconforme. Așa cum relevă și GDPR, operatorul trebuie să fie în stare să demonstreze conformitatea prelucrării datelor cu caracter personal și măsurile de securitate asigurate prin implementarea unor politici care implică măsuri organizatorice și tehnice adecvate riscurilor pentru care sunt expuse datele. În acest context, atunci când operatorii de date în cunoaștere de cauză admit neconformități, aceste acțiuni ar putea fi încadrate de către Autoritatea de supraveghere în pârghiile de reeducare prevăzute de GDPR. Totuși, pentru a oferi o consecvență și previzibilitate în cazul enunțat, de resortul Autorității ține înaintarea unor preavize scrise sau electronice prin care să se solicite excluderea fără întârziere a inadvertențelor admise.

Cu toate că România înregistrează cel mai scăzut nivel de utilizare a serviciilor de internet dintre statele membre ale UE, 86 % dintre utilizatorii români de internet au conturi pe rețelele sociale, ceea ce ne face campionii Europei la acest capitol. Având în vedere scandalurile imense în care au fost implicate rețelele de socializare, fie prin breșele de securitate, fie prin utilizarea ilicită a datelor, putem considera că suntem și cei mai vulnerabili. Cum considerați ca ar trebui să se comporte un utilizator de internet, dacă ar sti de riscurile pe care internetul le ascunde?

În primul rând utilizatorii de internet trebuie să conștientizeze că cei mai înstăriți agenți economici din lume sunt proprietarii platformelor de socializare și a serviciilor de web service și de software. Așadar, impresia precum că serviciile platformelor de socializare sunt gratuite sunt false, din prima clipă de utilizare a platformelor de socializare noi plătim cu datele noastre cu caracter personal în schimbul acestor servici. Esența afacerii privind platformele de socializare este structurarea analitică a datelor, analiza preferințelor și viziunilor utilizatorului, furnizarea dirijată și adaptivă a informațiilor specifice către utilizatorul final, crearea dirijată de opinie și promovarea anumitor viziuni și preferințe. În acest context, regula de bază ar fi să limităm la maxim oferirea datelor cu caracter personal. Trebuie să înțelegem că serviciile societății informaționale în majoritatea situațiilor ne depășesc posibilitățile reale de a înțelege activitățile ce rulează în fundal inclusiv trasabilitatea datelor cu caracter personal care ne vizează și de a raporta aceste procese la cerințele legale. O încercare de a reglementa aceste procese este instituirea obligației operatori de date de a ne informa asupra modului de prelucrare și protecție a datelor cu caracter personal prin afișarea extraselor din politicile de securitate. După cum s-a adeverit a fi, majoritatea utilizatorilor nu citesc politicile de securitate și bifează aproape în regim automatizat (la nivel de reflex) rubrica prin care confirmă că a luat cunoștință de aceste politici. O bună parte din utilizatori sau nu dispun de cunoștință speciale în domeniul dat pentru a putea tălmăci acele acrobații juridice expuse de către operatorii de date care au sarcina de a demonstra grija și atenția oferită utilizatorilor și în special datelor cu caracter personal ale acestora sau au lipsă de timp și atenție față de aceste note informative.

În opinia mea, în cazul în care utilizatorii vor fi în cunoștință de cauză asupra scopului, destinatarilor și a modului de prelucrare a datelor cu caracter personal, ar fi cel puțin mai precauți sau chiar vor renunța la multe din serviciile și funcționalitățile la care s-au abonat.

Facebook a lansat Study, un program de cercetare de piață bazat pe recompense. Cum vi se pare un asemenea concept: să fim plătiți pentru datele pe care le facem publice? Este acesta direcție una corecta?

Consider că această ofertă publică este următorul pas spre care se vor focaliza mulți prestatori de servicii. Această situație a existat și anterior însă a fost camuflată sub diferite servicii și activități. Chiar dacă în opinia mea acest concept este unul destul de periculos, având în vedere monopolul evident al unor prestatori de servicii, afișarea deschisă în vederea remunerării pentru oferirea datelor cu caracter personal este o nouă provocare pentru Etica digitală. Fenomenul cumpărării sau obținerea unor beneficii în schimbul datelor cu caracter personal nu cred că va putea fi anihilat, însă, efortul de bază ar fi necesar de conturat asupra creării unor mecanisme adecvate pentru a putea concilia interesul economic al prestatorului de servicii și dreptul la viața privată în legătură cu prelucrarea datelor cu caracter personal. 

Accesul copiilor la internet este deja o normalitate. Ar trebui acest lucru sa ne îngrijoreze? Considerați că o educație privind privind accesul la internet al copiilor ar trebui sa fie o sarcina a părinților sau sistemul de învățământ ar trebui să-și asume acest rol?

În ultimii 20-30 de ani a crescut exponențial prezența tehnologiilor informaționale în viața de zi cu zi a fiecărui individ – acest fenomen fiind recunoscut ca era digitală. Veriga slabă în acest circuit este copilul, care, fiind în curs de dezvoltare a conștiinței, în multe cazuri este expus nejustificat riscurilor și provocărilor legate de utilizare a internetului. Spre regret, atât părinții cât și cadrul didactic nu sunt pregătiți în deplină măsură pentru a oferi o instruire și o protecție adecvată a copilului în spațiul on-line. De regulă copilul este de unul singur atunci când accesează internetul precum și nu are nici un fel de restricții în navigare, fapt ce poate duce la antrenarea acestuia în anumite fapte ilegale, sau comiterea abuzurilor de ordin psihic, sexual etc. are acces nelimitat la resursele de pe internet accesând site-uri care pot admite abuzuri în privința acestor minori. În cele din urmă, responsabilitatea de a răspunde acestor provocări este a părinților și a sistemului de învățământ. Cu titlu de exemplu, în Republica Moldova din anul 2018, a fost revizuită curicula școlară și cea universitară, copii din anul întâi având obiectul ,,educația digitală” inclusiv fiind ajustată legislația din domeniul comunicațiilor electronice, fiind stabilită obligația prestatorilor de servicii de a elabora ghiduri și de a oferi servici menite pentru a proteja copii de unele informații pe internet.

Conform unui raport DLA Piper (GDPR data breach survey: February 2019), de la data aplicării GDPR-ului și pana în februarie 2019, Autoritatea de supraveghere din Olanda înregistrase 15,400 de notificări de breșe, în timp ce România număra la acea vreme doar 270. Care credeți că este motivul acestei discrepanțe? 

Problemă de bază este capacitatea de a constata aceste breșe de securitate, deoarece în o bună parte de cazuri, operatorii de date cu caracter personal desemnează formal ofițerul de protecție a datelor sau își asumă anumite măsuri declarative privind protecția datelor cu caracter personal, însă în practică nefiind asigurate cerințe minime organizatorice și tehnice care ar putea duce la constatarea acestor breșe de securitate. Suplimentar există și o altă explicație care se rezumă la teama sau lipsa de încredere a operatorilor în Autoritatea de supraveghere, care odată informată asupra unui incident de securitate, ar putea aplica măsuri punitive în privința celor care au sesizat. Acest fenomen ar putea fi depășit doar prin deschiderea Autorității de protecție a datelor, inclusiv prin elaborarea unor acte departamentale care vor dezvolta acest mecanism de sesizare și de examinare a cazurilor, pentru a oferi o claritate în acțiunile date. Cu alte cuvinte obligația de a sesiza eventualele breșe de securitate trebuie să vină în ajutorul operatorilor de date pentru identificarea soluțiilor corecte și pentru a exclude pe viitor aceste incidente. Mai mult, oferirea masivă a informațiilor cu privire la incidentele depistate și măsurilor de corecție aplicate, ar trebuie să fie sistematizate de către Autoritatea de supraveghere și expusă sub formă de recomandări și ghiduri pentru a preveni alți operatori de date de la aceste riscuri.

Identificarea riscurilor este unul din cei mai importanți pași spre complianta GDPR. Cum putem identifica riscurile?

Pentru a putea identifica aceste riscuri, urmează să punem accent pe calitatea și profesionalismul de care trebuie să dispună ofițerul de protecție a datelor cu caracter personal. Totodată pentru a crește nivelul de percepție a eventualelor riscuri care pod duce la admiterea breșelor de securitate, Autoritatea de supraveghere în baza raporturilor de informare privind incidentele de securitate dar și având în vedere investigațiile realizate, urmează să publice anumite ghiduri și recomandări care să fie examinate și aplicate de către ofițerul de protecție datelor în cadrul operatorului.

În final, cine credeți ca ar trebui să se implice mai mult în diseminarea importantei datelor personale? Instituțiile publice, Autoritățile naționale de supraveghere sau ONG-urile din domeniul protecției datelor?

Tonul privind diseminarea informațiilor privind importanța domeniului protecției datelor cu caracter personal urmează să date de către Regulator și să continue de către ONG-uri și organizațiile profesionale. Cooperarea dinte Regulator, ONG-uri, organizații profesionale, și operatori este esențială din perspectiva conjugării eforturilor.

"Romania, three GDPR fines, two European premieres", is the way we could synthesize the context in which our country finds itself, as we have seen in the past few days a GDPR lesson in three parts: the banking system, tourism and services. This is not a negative thing, on the contrary, it shows the courage of the Romanian Data Protection Authority to take paths that are still uncharted. If the fine applied to UniCredit Bank brings out attention, for the first time, on the principle of privacy by design, the second fine applied to the WTC was based on the principle of the operator's responsibility to implement and, above all, comply with the technical and organizational protection measures of the privacy of personal data. The last fine applied so far in Romania has been a surprise to all of us, especially because it targeted a legal consulting company, well-known for launching the first GDPR document kit in Romania. We have all realized that any of us can have a security breach, regardless of the field of activity or the level of professionalism.

Ana-Maria Udrişte, the founder of avocatoo.ro (the company fined by the Romanian DPA), accepted our invitation to give an interview exclusively for Dpo-NET.ro - Data Protection Officers Network, providing important information that will help us to remind ourselves that our responsibility extends to the actions of our employees or to the actions of our business partners.

It is a European premiere to fine a company that offers GDPR consultancy and implementation services and we are talking about your own company (avocatoo.ro) in this case. How was such a security breach possible and what steps did you take immediately after identifying it?

UA: When we migrated the site from one host to another, a WooCommerce plug-in was used to migrate an inactive database containing encrypted data about online transactions that targeted legal entities. In one of the back-up versions remained a partial version of this file - which did not even appear in online vulnerability testing. And the person who knew exactly where to look, because he went straight to the link, did the complaint. From the moment I was informed, which happened through the on-line chat on the site, by the person who made the complaint about this vulnerability, I secured everything in less than 10 minutes, fact confirmed even by that person in the conversation.

The Authority said that on February 1, 2019 the information was publicly available, and the issue was resolved immediately. However, although we requested additional information, including being provided in confidential form, we did not have access to them.

We immediately identified the document, made the internal analysis to decide whether or not to impose the notification of the authority and the persons involved, and given the public nature of the data, its volume, the transaction date and the possible risk, the risk that was practically non-existent, consequently.

Later on, we have redone the site from scratch, added a higher level of security through triple password and key usage, and the definition of much better-defined roles of access and changeability.

What were the steps of the investigation conducted by the Authority, that led to this fine? Did you also receive recommendations or corrective measures? Does it seem justified to apply these measures?

AU: Steps were simple and to the point. I received the request to provide the information via e-mail and I also responded by e-mail. No written procedure apart from the handing over the sanctioning report. I have not received any recommendations or corrective measures, nor have proposals, not even one mentioning of this issue ever.

If we look at the turnover of the company, the fine is 2.6%, which is much higher compared to the other two sanctions applied. At World Trade Center the fine would be about 0.2%, and at Unicredit Bank it hovers around the same value, according to publicly available information. We might say it seems a bit disproportionate, but I can also understand the authority's approach by being tougher with operators, to send out the message that "GDPR works at any level even in Romania."

In Romania, up until now, three fines have been applied for non-compliance with the GDPR, the Supervisory Authority conducting nearly 1,000 investigations in the first year and adopting a prevention-oriented attitude and order corrective measures. Do you think that fines have an important role in applying the GDPR? From practical experience, most Romanian operators are trying to comply with GDPR from responsibility or because the fear of fines? Is anyone thinking about the reputational risk?

UA: The fines do not solve this problem. Look at the competition rights, where the Council is very active and conducts information campaigns across the country.

From my point of view, and not only me, we need an information campaign from the authority and other digital or consumer organizations that protect consumers, so that a simple person or a commercial entity, can know what rights they have, what obligations, WHY is important and what steps to adopt.

It's not an established idea, but we are a nation that likes to take legal action, so the fines will only increase the number of disputes, and at the end we will only stick to the idea that " I will get away with it next time ."

Let's look at the Authority in the UK, Ireland, France, Belgium, The Netherlands, who issue guides, weekly recurring notes. In France, we have the fine applied to Sergic where the authority "begged" the company to comply. After almost one year, when the Authority saw that the company had done nothing of what they were told, applied the fine. Which is not the case with us, unfortunately.

New operators, in most cases, try to comply to tick an action on the list called "GDPR - to do". Reputational risk is passed on a third plan, not even secondary, as you might think at first glance.

After all, the industry has already been discussing for some time that there are indications that health data "stumbles" without control and no one says anything and no one is upset about it.

We received a fine of 2.6% of our net turnover (according to the information available on the website of the Ministry of Finance).

We have been told many times in the last few days that we should have gotten a warning, at most. We do not comment on the authority's decision, we respect it, no matter if it seems a big anunt or not.

The message from the Surpervisory Authority is extremely strong, stressing out that risk analysis and appropriate measures require increased attention from any operator. So we could say that identifying risks is one of the most important steps in achieving a high degree of GDPR compliance. However, if some of the operators fail to identify the breaches, how could they identify the risks?

UA: Here comes a person who has practical experience and can see beyond the papers. One issue that has been noted this year is that the person who supports the organization for implementation has to have a practical vision and see the business flow before the organization even thinks about it.

Practically you see what kind of data they are, where they come from, what happens to them, etc. And then working with the organization in detail, you can identify risks you might not have thought of. And I also think you need to imagine a practical scenario of possible scenarios, which often happens in the communications industry, for example .The idea is to be as detailed and unusual at first as you slowly get to something tangible that will surely apply.

Let's say Ionel delivers invoices in envelopes to the recipients. Perhaps Ionel stops to buy a pack of cigarettes and forgets to lock the car door. And somebody takes all the envelopes, thinking it's money. Or Ionel is angry because his wife did not answer his phone and throws the envelopes with promotional leaflets on a field, because he wants to go to the bar to drink a beer. And we have a risk and a possible breach. Would you have thought about it in the first place?

As we can see from the analysis of the first three cases in which the Romanian data operators were sanctioned, a fine imposed by the Supervisory Authority may also arise following the investigation initiated after the operator has filed the security breach notification. Do you think this will lower the incidence of security breach reports from operators?

UA: The reality tells us that most operators do not even know when a security breach should be notified or what it is. As I wrote at one point, a security breach can happen when writing an e-mail and because most e-mail programs automatically fill in a recipient, you might choose the wrong one.

But yes, I think this will considerably decrease the number of operators reporting. If, for example, and once again I draw a parallel to competition rights, the operator would benefit from a mitigating circumstance, clemency or immunity when notifying a breach, then we would find ourselves in a situation where there was a real interest from operators for doing so. If we do not like the parallel with competition rights, let's talk about how they fix things in aviation and why it has become one of the safest environments.

In the absence of such benefits, the majority will stand aside, on the idea that "it is possible that no one notifies the authority - why should I give myself away?" And then again it is a problem. The legislator or even the authority could have intervened and offered such solutions and thus increased the degree of cooperation, awareness and assumption. But who does notify knowing that they can be punished if doing so?

Let's also talk about the Cambridge Analytica and FTC scandal, where Facebook and the authority are in the negotiation phase of a deal, under certain conditions, to close the investigation. Okay, 5 billion dollars, but there could be more. We do not have such benefits.

You have a rich legal activity including the development of one of the most popular document kits for implementing GDPR principles, along with specialized consulting services. What do you think of operators who simply sum up the kit without investing in an in-house specialist or contacting an external specialist? How can we fight, as data protection specialists, against this phenomenon by which an operator attempts to formally obtain documents that prove compliance, in the absence of substantial changes in the way they operate?

AU: We have been constantly trying, especially through what we write on the blog, to provide as many examples and methods as possible, for identifying risks and how to get the right approach.

We have always said that the person who best knows how to implement it is the organization, especially at the level of small and medium-sized businesses, because the people who are daily in the business are usually those who founded the organization. And they are best able to know, at first hand, where the data comes from and where it goes.

We also went on a "as many examples and guidance as possible" approach to help you better identify data streams and possible risks. This is your first task as an organization, take a pen, and, with a series of documents, start to crunch what you think would apply to you and how you see things.

Later, after you consider finished this part, you should turn to a person who checks the documentation and finds out if there are things that somehow have been overlooked or how to handle the issues further. We have consistently offered, at no extra cost, assistance on this side. However, people write to us on social networks or email and ask us for certain information or revisions of documents, and we do it if we have the time. And sometimes we also write articles about situations we realize that could be of interest to several people.

But it is very important to choose the right person to help you in the implementation and to make you understand that the documentation is not enough, that is what I have always said: GDPR is a mix between legal, technical and organizational and involves both the rethinking of operational processes, as well as the implementation or adaptation of technical solutions that ultimately increase the trust of individuals in the organization and redistribute to all parties involved.

It's been one year since the GDPR is being applied and more than three years since it's been legislated. What were the challenges you faced as a data protection specialist? What has changed in this period and how do you see the evolution in Romania and at European level in the short and medium term?

AU: We look forward to the entry into force of GDPR at European level. At the macro level, we do not realize the importance of our personal data. For example, we use the phone to locate, reach a destination, transmit holiday pictures, share with others documents, information, albums, make appointments to various salons that we later save in our phones to calendar, to receive or send money, to listen to music, record what we eat, what time do we wake up, what friends we went out with.

Without realizing, if someone has access to your Google account at some point, let's say, basically it can see your whole life.

And it is not normal for these data:

(1) to be requested more detailed than necessary,

(2) not be protected,

(3) have no idea what happens to them once they are collected and stored.

Let's just consider that based on this information, you can make someone's profile without struggeling too much. Not to talk about the situations when you find out that you have a loan that you did not know about. You'll laugh, it may seem impossible, but it has happened before.

As I said, people are not aware of the importance of data until you provide them with examples as the ones above. Nor can we expect too much from a simple user of technology. To most people it might seem to be an utopia regulating the collection, storage and transmission of data. GDPR is not a boogie man or an extra reason to expand bureaucracy. And if some think of it as ticking a to-do list to be GDPR compliant, others are going to extremes and shut down their sites or no longer communicate data - as was my personal example when a private clinic did not want to give me, after a preliminary check, my patient ID to check my analyzes and I had to go 40km to get to the center.

It's not about that. First, we talk about awareness, then responsibility and assumption.

According to the report issued at European level by the European Commission, 73% of those concerned know their rights. But this is at the European level. At national level I tend to think that not even 15% know about GDPR, how and what it does, and what is personal data.

And fines will not solve this problem because it is about education and information. It's what we are trying to do on avocatoo.ro with GDPR solution packages. A fine will only make them say "well, I'll sign some documents, and that's it, anyway, the fines are a normal thing."

So, in short term, we will see that there will be several service providers who will offer you compliance with GDPR without you having to do much.

What tips can you offer to data protection specialists, this newly emerging profession, which probably faces the greatest professional challenges due to the general character of Regulation (EU) 2016/679 and the lack of unitary benchmarks on its interpretation and implementation?

UA: Read a lot, especially from the websites of foreign authorities that offer very good and applied information. Even press articles, specialist sites, can-can, hypothetical situations, this being a new and permanent domain, you need to be connected with the latest news so you know exactly what to be careful about and how to identify any problems that may arise.

In conclusion, what does an operator have to do in this case and what advice do you give to managers who have waited until now "something to happen" without undertaking any steps to get GDPR compliance?

UA: Operators should keep in mind that GDPR problem is not "who," but "when." Because no one escapes a security breach and sooner or later, you can have one, no matter how good you are. And the best option, if you have a security breach, is to minimize the risks. Let us be aware, therefore, that it is a real phenomenon and that it can happen for reasons that no one ever thought.

GDPR alignment is not a "signed paper", but involves operator accountability to all involved. He must first know what data he collects, where, what he does with them and who he sends them to. And to make his own preliminary audit, as best he can, and then turn to the help of people who, above all, understand his field of activity and with whom they can implement the necessary procedures from the operational, technical and legal point of view.

“România, trei amenzi GDPR, două premiere europene”, așa am putea sintetiza contextul în care se află țara noastră, asistând în ultimele zile la o lecție GDPR în trei acte: sistemul bancar, turismul și serviciile. Nu este un lucru negativ, din contră, denotă curajul Autorității noastre de supraveghere de a merge pe căi încă nebătătorite. Dacă amenda aplicată UniCredit aduce pentru prima dată în atenția tuturor principiul GDPR de confidențialitate prin design (“privacy by design”), ce-a de-a doua amendă aplicată WTC a fost fundamentată pe principiul responsabilității operatorului de a implementa și mai ales respecta măsurile tehnice și organizatorice de protecție a confidențialității datelor cu caracter personal. Ultima amendă aplicată până în prezent a fost o surpriză pentru noi toți, mai ales pentru că a vizat o companie de consultanță juridică cunoscută și pentru lansarea primului kit de documente GDPR din România. Am realizat cu toții că oricine dintre noi poate avea o breșă de securitate, indiferent de domeniul de activitate și de nivelul de profesionalism.  

Ana-Maria Udriște, fondatorul avocatoo.ro, a acceptat invitația noastră de a acorda un interviu în exclusivitate pentru dpo-NET.ro, oferind informații importante care ne vor ajuta să ne reamintim că responsabilitatea noastră se extinde și asupra acțiunilor angajaților sau, în cazul de față, a partenerilor de afaceri. 

Este o premiera europeana amendarea unei companii care ofera servicii de consultanta si implementare GDPR si vorbim in acest caz chiar de compania condusa de Dumneavoastra (avocatoo.ro). Cum a fost posibila o astfel de bresa de securitate si ce masuri ati luat imediat dupa identificarea acesteia ?

U.A: Când am făcut migrarea site-ului de pe un host pe celălalt, a fost folosit un plug-in de WooCommerce pentru a migra o bază de date inactivă, care conținea date criptate despre tranzacțiile online, care vizau persoane juridice. În una dintre versiunile de back-up a rămas o versiune parțială a acestui fișier - care nu a apărut nici măcar la testarea online pentru vulnerabilitate. Iar persoana care a știut exact să se uite, pentru că s-a mers direct pe link, a făcut și plângerea. Din momentul în care am fost informați, lucru care s-a întâmplat prin intermediul chatului online de pe site chiar de către persoana care a făcut plângerea despre această vulnerabilitate, am securizat totul în mai puțin de 10 minute, fapt confirmat chiar și de respectiva persoană în cadrul conversației.

Autoritatea a spus că la data de 1 februarie 2019 informațiile erau disponibile în mod public, când problema s-a remediat imediat. Însă, deși am solicitat informații suplimentare, inclusiv să ne fie furnizate în formă confidențială, nu am avut acces la ele.

Noi am identificat imediat documentul, am făcut analiza internă pentru a decide dacă se impune sau nu notificarea autorității și a persoanelor implicate, și având în vedere natura publică datelor, volumul acestora, data tranzacțiilor și eventualul risc, risc care era practic inexistent, am acționat în consecință.

Ulterior, am refăcut site-ul de la zero, am adăugat încă un nivel superior de securitate prin tripla parolare și utilizare a cheilor, precum și definirea unor roluri mult mai bine stabilite de acces și posibilitate de modificare.

Care au fost etapele anchetei desfasurate de Autoritatea de Supraveghere care a condus la aplicarea acestei amenzi ? Ati primit si recomandari sau masuri corective? Vi se pare justificata aplicarea acestei masuri ?

U.A.: Etapele au fost simple și la obiect. Am primit cererea de furnizare a informațiilor pe e-mail și am răspuns tot prin e-mail. Niciun fel de procedură scrisă în afară de înmânarea propriu-zisă a procesului-verbal de sancționare. Nu am primit recomandări sau măsuri corective, nici propuneri, nici măcar nu s-a făcut mențiune despre acest aspect vreodată.

Dacă este să raportăm la cifra de afaceri, amenda este în cuantum de 2.6%, ceea ce este mult mai ridicată prin raportare la celelalte două sancțiuni aplicate. La World Trade Center amenda ar fi de aproximativ 0.2%, iar la Unicredit Bank se învârte în jurul aceleiași valori, asta conform informațiilor disponibile public. Am putea spune ca pare un pic cam disproporționat, însă eu pot înțelege și abordarea autorității de a fi mai dură cu operatorii pentru a transmite un semnal de genul "GDPR funcționează la orice nivel chiar și în România".

În România, până în acest moment, s-au aplicat trei amenzi pentru nerespectarea GDPR, Autoritatea de supraveghere conducand aproape 1.000 de investigații in primul an si adoptând o atitudine orientată spre prevenție și dispunerea de măsuri corective. Considerați că amenzile au un rol important în aplicarea GDPR-ului? Din experienta practică, cei mai mult operatori romani incearca sa se conformeze cu GDPR-ul din responsabilitate sau de frica amenzilor? Se gandeste cineva si la riscul reputational ?

U.A.: Amenzile nu rezolvă această problemă. Fac o paralelă cu dreptul concurenței, unde Consiliul este foarte activ și duce campanii de informare la nivelul întregii țări.

Din punctul meu de vedere, și nu numai al meu, avem nevoie de o campanie de informare din partea autorității și a altor organisme din domeniul digital sau care protejează consumatorii, ca tu om simplu sau entitate comercială să știi ce drepturi ai, ce obligații, DE CE e important și ce pași să adopți. 

Nu e o idee încetățenită, dar suntem un popor căruia îi place să introducă acțiuni în instanță, așa că amenzile nu vor face decât să crească numărul litigiilor, iar la final vom rămâne doar cu ideea că ”ei, data viitoare scap”.

Hai să ne uităm la autoritățile din Marea Britanie, Irlanda, Franța, Belgia, Olanda care emit ghiduri, note cu recurență săptămânală. În Franța avem amenda aplicată Sergic unde autoritatea ”a tras” de companie să se conformeze. Abia după aproape un an, când a văzut că nu a făcut nimic din ce i s-a spus, a aplicat amenda. Ceea ce e nu cazul la noi, din păcate.

La noi operatorii, în majoritatea lor, încearcă să se conformeze pentru a bifa o acțiune pe lista numită "GDPR - de făcut". Riscul reputațional este trecut pe un plan terțiar, nici măcar secundar cum ai putea crede la prima vedere.

Până la urmă, în branșă se discută de ceva vreme deja că există indicii că datele din sănătate ”tropăie” fără vreun control și nimeni nu zice nimic și nu se supără nimeni din cauza asta.

Nouă ni s-a aplicat o amendă în cuantum de 2.6% din cifra de afaceri netă (conform informațiilor disponibile pe site-ul Ministerului de Finanțe).

Ni s-a spus de nenumărate ori în ultimele zile că trebuia să luăm avertisment, cel mult. Noi nu comentăm decizia autorității, ci o respectăm, indiferent că ni se pare mult sau puțin.

Mesajul din partea Autoritatii de Supraveghere este unul extrem de puternic, subliniind tototdata faptul ca analiza riscurilor si masurile adecvate necesita o atentie marita din partea oricarui operator. Am putea spune astfel ca identificarea riscurilor este unul din cei mai importanți pași spre a obtine un grad ridicat de conformitate GDPR. Cu toate acestea, dacă uniii dintre operatori nu reusesc sa identifice nici  macar breșele, cum putea identifica riscurile?

U.A.: Aici intervine o persoană care să aibă experiență practică și să vadă dincolo de hârtii. O chestiune constatată de-a lungul acestui an este că trebuie ca persoana care sprijină organizația în vederea implementării să aibă o viziune practică și să vadă fluxurile înainte ca organizația să se gândească la ele.

Practic să vezi cam ce fel de date sunt, de unde vin, ce se întâmplă cu ele etc. Și apoi să lucrezi cu organizația în profunzime, din aproape în aproape ajungi și la riscuri la care nu te-ai fi gândit. Și, de asemenea, cred ca e necesar să îți imaginezi un scenariu practic al unor posibile scenarii, lucru care se întâmplă frecvent în industria de comunicare, spre exemplu. Ideea este să fie cât mai detaliat și mai puțin obișnuit la început, că încet ajungi la ceva palpabil care cu siguranță se va aplica.

Pleacă Ionel cu plicurile cu facturi către destinatari. Poate că Ionel se oprește să își ia un pachet de țigări și uită ușa deschisă la mașină. Și cineva ia toate plicurile, crezând că sunt bani. Sau Ionel e supărat pentru că soția lui nu i-a răspuns la telefon și aruncă plicurile cu pliante promoționale pe un câmp, că vrea să se ducă la birtul din sat să bea o bere. Iar avem un risc și o eventuală breșă. Te-ai fi gândit din prima la asta?

Dupa cum constatăm din analiza primelor trei cazuri in care au fost sanctionati operatorii de date romani, o amenda aplicata de Autoritatea de Supraveghere poate sa apara si in urma anchetei demarate dupa depunerea de catre operator a notificarii de bresa de securitate. Credeti ca acest lucru va scadea incidenta raportarilor de brese din partea operatorilor?

U.A.:Realitatea ne spune că majoritatea operatorilor nici măcar nu știu când trebuie notificată o breșă de securitate sau ce este aceasta. Cum scriam la un moment dat, o breșă de securitate înseamnă inclusiv atunci când scriu un e-mail și la destinatar trec, din neatenție sau pentru că majoritatea programelor de e-mail completează automat, un alt destinatar decât cel vizat.

Însă da, consider că astfel va scădea considerabil numărul de raportări din partea operatorilor. Dacă de exemplu, și iar fac paralelă cu dreptul concurenței, operatorul ar fi beneficiat de circumstanță atenuantă, de clemență sau imunitate pentru că notifică o breșă, atunci am fi fost în situația în care ar fi existat un interes real din partea operatorilor de a proceda la notificare. Dacă nu ne place paralela cu dreptul concurenței, hai să vorbim despre cum se corectează lucrurile în aviație și de ce a ajuns să fie unul dintre cele mai sigure medii.

În lipsa unor asemenea beneficii, majoritatea vor sta deoparte, pe ideea că ”lasă că poate nu notifică nimeni autoritatea - de ce să mă dau singur de gol”. Și atunci iarăși este o problemă. Legiuitorul sau chiar autoritatea ar fi putut să intervină și să ofere astfel de soluții și astfel ar fi crescut gradul de cooperare, conștientizare și asumare. Însă așa cui îi convine să notifice știind că va putea fi sancționat la fel dacă nu notifică?

Să ne aplecăm și asupra scandalului Cambridge Analytica si FTC, unde Facebook și autoritatea sunt în faza de negociere a unei tranzacții, cu anumite condiții, care să închidă investigația. Bun, pe 5 miliarde de dolari, dar putea să fie mai mult. Noi nu avem asemenea beneficii. 

Aveti o activitate bogata printre care si dezvoltarea si comercializarea unuia dintre cele mai cunoscute kituri de documente pentru implementarea principiilor GDPR, alaturi de serviciile consultanta de specialitate. Ce parere aveti despre operatorii care se rezuma la simpla achizitie a kitului, fara a investi in formarea unui specialist intern sau apelarea la un specialist extern ? Cum putem lupta ca specialisti in protectia datelor impotriva acestui fenomen prin care un operator incearca formal obtinerea unor inscrisuri care sa dovedeasca conformitatea, in lipsa unor modificari de fond in modul in care isi desfasoara activitatea ?

U.A.: Noi am încercat constant, în special prin ceea ce scriem pe blog, să oferim cât mai multe exemple și metode de identificare a riscurilor și cum să ai o abordare corectă.

Întotdeauna am afirmat că persoana care știe cel mai bine să-și facă implementarea este organizația, mai ales la nivelul firmelor mici și mijlocii pentru că de obicei persoanele care se ocupă de activitatea zilnică sunt și cele care au fondat organizația. Și acestea sunt cele mai în măsură să știe, la prima mână, pe unde le vin și pleacă datele.

De asemenea, noi am mers pe o abordare de genul ”cât mai multe exemple și îndrumări” care să te ajute să identifici într-un mod optim fluxurile de date și eventual riscurile. Asta e prima sarcină a ta ca organizație, să iei un pix și, cu o serie de documente în față, să începi să creionezi ceea ce tu consideri că ți s-ar aplica și cum vezi tu lucrurile.

Ulterior, după ce din punctul tău de vedere ai cam terminat pe partea asta, ar trebui să apelezi la o persoană care să verifice documentația și să vadă dacă sunt chestii care cumva au scăpat sau cum trebuie abordate problemele pe mai departe.  Noi am oferit constant, fără vreun cost suplimentar asistență pe partea asta. Oricum, oamenii ne scriu pe rețele de socializare sau e-mail și ne cer anumite informații sau revizuiri de documente pe care le facem în limita timpului disponibil. Iar uneori scriem și articole despre situația respectivă, când ne dăm seama că ar putea fi de interes pentru mai multă lume.

Dar este foarte important și să alegi persoana care să te ajute în implementare și să te facă să înțelegi că documentația nu este suficientă, e ce am zis întotdeauna: GDPR este un mixt între juridic, tehnic și organizațional și implică atât regândirea unor procesele operaționale, cât și implementarea sau adaptarea unor soluții tehnice menite ca, în final, să crească încrederea persoanelor în organizația respectivă și să redisponibilizeze toate părțile implicate.

A trecut primul an de cand se aplica GDPR-ul si mai bine de trei ani de cand a intrat in vigoare. Care au fost provocarile cu care v-ati confruntat in calitate de specialist in protectia datelor ? Ce s-a schimbat în aceasta perioada si cum vedeti evolutia in Romania si la nivel european pe termen scurt si mediu?

U.A.: Așteptam cu nerăbdare să intre în vigoare GDPR, la nivel european. La nivel macro, noi nu conștientizăm importanța datelor noastre personale. Spre exemplu, folosim telefonul pentru localizare, pentru a ajunge la o destinație, pentru a transmite poze din vacanțe, pentru a partaja cu alții documente, informații, albume, pentru a ne face programări pe la diverse saloane pe care ulterior le salvăm cu tot cu locație în telefon în calendar, pentru a primi sau trimite bani, pentru a asculta muzică, a ne înregistra ce mâncăm, cât sport facem, când ne trezim, cu ce prieteni am fost în oraș etc.

Fără să-ți dai seama, dacă cineva are acces la un moment dat la contul tău de Google, să zicem, practic poate să-ți vadă întreaga viață.

Și nu este normal ca aceste date:

(1) să fie cerute într-un număr cât mai mare,

(2) să nu fie protejate,

(3) să nu ai idee ce se întâmplă cu ele odată colectate și stocate.

Să ne gândim doar că pe baza tuturor acestor informații, poți să faci profilul cuiva fără să te chinui prea mult. Nu mai spun de situațiile când te trezești că ai contract un credit de care habar nu aveai. O să râdeți, că poate pare imposibil, dar s-a întâmplat.

După cum spuneam, oamenii nu conștientizează importanța datelor până când nu le furnizezi exemple ca cele de mai sus. Și nici nu putem avea pretenții de la un user simplu de tehnologie. Altfel că majorității i se pare o utopie regularizarea colectării, stocării și transmiterii de date. GDPR nu e un bau-bau sau un motiv în plus să extindem birocrația. Și dacă unii doar asta înțeleg, bifarea unui to-do list ca să fie GDPR compliant, alții îl duc la absurd și își închid site-urile sau nu mai comunică date deloc - cum a fost exemplul meu personal când o clinică privată nu a vrut să-mi ofere, după o verificare prealabilă, ID-ul de pacient prin care să îmi pot verifica analizele și a trebuit să bat 40km până la centru.

Nu despre asta este vorba. În primul rând vorbim despre conștientizare, apoi de responsabilizare și asumare.

Potrivit raportului emis la nivel european de Comisia Europeană, 73% din cei avuți în vedere știu care le sunt drepturile. Dar asta e la nivel european. La nivel național tind să cred că nici măcar 15% nu știu de GDPR, ce face, cum face și ce e vreo dată cu caracter personal.

Iar amenzile nu vor rezolva această problemă pentru că ține de educare și informare. Ceea ce noi încercăm să facem pe avocatoo.ro cu pachetele de soluții GDPR. O amendă nu va face decât să zică ”ei, lasă, mai semnez niște documente și aia e, oricum amenzile sunt ceva normal la noi”.

Așadar, pe termen scurt vom vedea că vor există și mai mulți prestatori de servicii care se vor oferi să te conformezi GDPR fără să-ți bați capul.

Ce sfaturi puteti oferi specialistilor in protectia datelor, aceasta meserie nou aparută, care se confruntă probabil cu cele mai mari provocări profesionale datorită caracterului general al Regulamentului (UE) 2016/679 și lipsei unor repere unitare privind interpretarea și implementarea lui ?

U.A.:Să citească foarte mult, în special de pe site-urile autorităților externe care oferă informații foarte bune și aplicate. Chiar și articole de presă, site-uri de specialitate, can-can, situații ipotetice, pentru că fiind un domeniu nou și în permanentă mișcare, trebuie să fii conectat cu ultimele știri ca să știi exact la ce să fii atent și cum să identifici eventuale probleme care pot să apară.

In incheiere, ce trebuie sa retina un operator din acest caz si ce sfat ati oferi managerilor care au asteptat pana in acest moment "sa se intample ceva", fara a intreprinde nici un demers in sensul obtinerii conformitatii GDPR ?

U.A.:Operatorii ar trebui să aibă în vedere că problema GDPR nu este "cine", ci "când". Pentru că nimeni nu scapă de o breșă de securitate și mai devreme sau mai târziu, tot suferi una, indiferent de cât de bun ești. Iar cea mai bună opțiune, în cazul în care suferi o breșă de securitate, este de a minimiza riscurile. Să conștientizăm, așadar, că este un fenomen real și că se poate întâmpla din motive la care nici nu s-a gândit cineva vreodată.

Alinierea la normele GDPR nu este o chestie de ”semnat hârtii”, ci presupune o responsabilizare a operatorului față de toți cei implicați. El trebuie să știe în primul rând ce date colectează, de unde, ce face cu ele și cui le transmite. Și să-și facă propriul audit preliminar, așa cum se pricepe mai bine, iar ulterior neapărat să apeleze la ajutorul unor persoane care, înainte de toate, înțeleg domeniul lui de activitate și cu care, împreună, să implementeze procedurile necesare din punct de vedere operațional, tehnic și juridic.