Specialiștii în protecția datelor personale sar în ajutorul cadrelor didactice implicate în învățământul on-line

Editorial

Vizualizari: 10557

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Un grup de patru specialiști în domeniul protecției datelor, autorii volumului GDPR Aplicat, vin în sprijinul celor interesați și implicați direct în procesul de învățământ on-line în România publicând o serie de precizări, avertismente și recomandări, pentru ca dreptul fundamental al persoanelor la protecția datelor cu caracter personal să fie respectat și în condiții de pandemie.

" În contextul epidemiologic actual, întreaga societate umană, în tot ansamblul ei, și-a modificat substanțial anumite comportamente sociale și s-a adaptat la acest context activitățile care nu se pot întrerupe,  indiferent de situație.Una dintre aceste activități este și cea de învățământ, care a trebuit să se adapteze și a suferit modificări semnificative în modul de desfășurare a actului educațional. Aceste modificări au surprins nepregătite, din punct de vedere tehnic și organizatoric, aproape toate țările, inclusiv România. Pentru rezolvarea acestor probleme, din punct de vedere tehnic și organizatoric, țările afectate s-au mobilizat și au adoptat anumite măsuri, inclusiv legislative iar, pentru România, amintim Ordinul 4135/21.04.2020 de aprobare a Instrucțiunii privind asigurarea continuității procesului de învățare la nivelul sistemului de învățământ preuniversitar.", au afirmat autorii.

Marius Florian Dan, Daniela-Irina Cireașă, Cătălina Lungu și Daniela Simionovici au lucrat împreună la acest set de recomandări care subliniază, încă o dată, complexitatea efortului oricărui operator, de a asigura conformitatea cu principiile GDPR, mai ales în situația utilizării unor tehnologii noi. Ghidul de propus de aceștia, conține patru secțiuni:

  • Principii generale de prelucrare a datelor
  • Recomandări minimale privind desfășurarea procesului de învățământ online în condiții de securitate / protecție a datelor personale
  • Recomandări minimale privind protecția datelor cu caracter personal pentru sesiunile de lucru online
  • Recomandări minimale privind protecția datelor cu caracter personal pentru conducătorii instituțiilor de învățământ și pentru Responsabilii cu protecția datelor cu caracter personal

Persoanele interesate pot intra în contact cu autorii acestui ghid, prin intermediul acestei pagini Facebook sau prin e-mail: contact@gdpraplicat.ro

Care sunt principile fundamentale care se aplică în procesul de învățământ on-line?

  1. Limitarea scopului – nu se folosesc datele personale colectate cu acest prilej, în alte scopuri decât cel declarat, respectiv organizarea și desfășurarea activităților pentru învățarea on-line / evaluarea calității procesului de învățare on-line.
  2. Minimizarea datelor – nu se prelucrează mai multe date personale decât cele strict necesare pentru atingerea scopului declarat.
  3. Transparența prelucrărilor – datele personale care sunt prelucrate în cadrul procesului on-line de desfășurare a învățământului, mijloacele de prelucrare a acestora, precum și destinatarii datelor utilizate în proces sunt aduse la cunoștința elevilor și/sau a părintelui, în mod clar, explicit și transparent.
  4. Integritate și confidențialitate – obligația de confidențialitate este valabilă atât pentru profesori, cât și pentru elevi (se va face instruirea elevilor cu privire la diseminarea datelor cu caracter personal și posibilele consecințe, si se va interzice acestora diseminarea datelor personale ale colegilor, de ex. teme completate, sesiuni de lucru conținând comentarii, etc.), dar și pentru părinții / reprezentanții legali ai copiilor.
  5. Responsabilitate – procesele se documentează pentru a putea proba la nevoie respectarea principiilor GDPR și a măsurilor de securitate și, pe cât posibil, dovezile vor conține date cu caracter personal cât mai puține și mai puțin intruzive – ex. dacă este suficient un document scris din partea profesorului ca dovadă a respectării programei de învățământ / orarului / prezenței elevilor, se va evita folosirea fotografiilor sau filmărilor din timpul lecțiilor on-line. Se vor cere clarificări directorilor școlilor / grădinițelor / creșelor și inspectoratelor școlare legat de tipul de dovezi acceptate. Dacă nu ați numit până acum un DPO, este timpul!!! Pentru profesori, recomandarea noastră este să nu demarați procesul de învățare on-line fără a fi instruiți / reinstruiți de către specialistul IT și de către DPO.
  6. Perioadă limitată de stocare – stocarea datelor personale se va face pe o durată de timp strict necesară atingerii scopului declarat și se va determina cât mai exact, funcție de dispozitivul folosit pentru desfășurarea procesului de învățare on-line, de aplicația pe care se desfășoară lecțiile și de precizările directorilor / inspectoratelor școlare.

 Recomandări minimale privind desfășurarea procesului de învățământ online în condiții de securitate / protecție a datelor personale

  • Utilizarea unui singur terminal (calculator / tabletă / telefon), devirusat, parolat, echipat cu elemente de siguranță (minim antivirus actualizat), de preferat cu un sistem de operare licențiat și actualizat;
  • Terminalul de lucru (calculator / tabletă / telefon) nu va fi folosit în această perioadă pentru alte activități (extrașcolare);
  • Terminalul de lucru (calculator / laptop / tabletă / telefon) va fi folosit doar cu softul educațional / platforma educațională utilizate de clasa respectivă și aflate pe lista aplicațiilor agreate / validate de Ministerul Educației și Cercetării (https://digital.educred.ro/#h.cjuhzoxfo0hb), preinstalat de către părinte și configurat pe contul de lucru al copilului;
  • Contul de lucru al elevului de pe calculator / laptop, precum și tableta / telefonul de pe care elevul participă la procesul de învățământ on-line trebuie să fie restricționat la instalări de software nou, fără licență sau din surse nesigure sau la stocare de date personale în afara spațiului comun unde se pot salva atât materialele de curs, cât și ciornele;
  • Acolo unde este posibil, profesorii vor crea pe calculatorul personal un cont de utilizator special dedicat desfășurării procesului de învățare on-line, cont care va fi securizat și parolat corespunzător.
  • La nivelul școlilor se va elabora și se va implementa, de către toți participanții la procesul de învățare on-line, procedura privind utilizarea echipamentelor personale în scop profesional (BYOD – „Bring your own device”).
  • Gestionarea cu responsabilitate a listelor cu numele și adresele de email ale elevilor, asigurându-le măsuri adecvate de securitate. Nu se vor transmite aceste liste pe spațiul comun de lucru cu elevii și părinții și nici pe rețelele de socializare!
  • Lista cu numele elevilor participanți, asociată la imaginile de conectare pe platformele de învățare va conține doar prenumele elevului. Listele ce conțin datele de contact ale elevilor constituie adevărate baze de date cu caracter personal, nu se partajează, nu se trimit în mod nesecurizat și nici altor destinatari, precum grupuri de profesori / părinți de pe rețelele de socializare. Aceste liste nu se salvează în niciun format (document text în format electronic / pe suport de hârtie sau sub formă de capturi de ecran) și nici pe medii externe de stocare (HDD extern, memorii USB) fără a se securiza atât conținutul cât și echipamentul;
  • Școlile vor realiza informarea profesorilor / elevilor / părinților punând la dispoziția acestora toate informațiile prevăzute de art. 13 din Regulamentul 679/2016 (scopurile și temeiurile prelucrărilor de date personale, destinatarii datelor cu caracter personal, perioada de stocare a datelor personale, drepturile persoanelor vizate și modalitățile de exercitare a acestora etc.);
  • Evaluările și notele se vor acorda în conformitate cu instrucțiunile Ministerul Educației și Cercetării / Inspectoratului Școlar Județean, evitând publicarea notelor tuturor elevilor în spațiul virtual comun. Este obligatorie și instruirea cadrelor didactice privind operațiunile de prelucrare admise, respectiv interzise.

Recomandări minimale privind protecția datelor cu caracter personal pentru sesiunile de lucru online

  • Pentru desfășurarea activității de învățământ on-line se vor folosi doar aplicațiile / platformele de e-learning și resursele de învățare on-line asigurate și, după caz, validate și recomandate de Ministerul Educației și Cercetării (art. 3, alin. 1 din Ordinul 4135/21.04.2020 de aprobare a Instrucțiunii privind asigurarea continuității procesului de învățare la nivelul sistemului de învățământ preuniversitar);
  • Prealabil stabilirii platformei agreate pentru desfășurarea procesului de învățământ on-line se citește documentul „Termeni și condiții” al aplicației; permisiunile aplicației se selectează în funcție de stricta lor necesitate pentru funcționarea aplicației (dacă nu e nevoie de acces la galeria foto, agenda telefonică, accesarea locației GPS, atunci aceste facilități ale aplicației, dacă există, nu se permit / se dezactivează). La programarea unei sesiuni de educație, se setează funcțiile de securitate ale platformei utilizate: ID conferință, parolă de acces, blocare acces neautorizat etc.;
  • Construirea dovezilor (pontajelor / listelor de prezență) privind participarea profesorilor / elevilor la activitățile de învățare on-line se va face respectând principiul reducerii la minimum a datelor și se vor identifica mijloacele minim intruzive pentru realizarea acestora (ex.: ar fi suficientă o captură de ecran la unele comentarii / posturi ale profesorului pentru a demonstra prezența sa pe platforma de învățare și nu de capturi de ecran / fotografii / înregistrări audio-video ale lecției, folosind Whatsapp, Facebook sau ZOOM);
  • Pentru transferul datelor cu caracter personal (teme de lucru, evaluări, rapoarte, dovezi ale prezenței profesorilor și elevilor la activitățile de învățare on-line) NU recomandăm utilizarea platformelor / aplicațiilor Whatsapp, Facebook, ZOOM sau orice aplicație care nu prezintă garanții de securitate la transfer a datelor personale;
  • Școlile vor implementa orice măsuri tehnice și organizatorice de securitate pentru a garanta stocarea datelor personale colectate în procesul de învățare on-line în condiții de siguranță privind pierderea, distrugerea, accesarea acestora de către persoane neautorizate etc.;
  • Școlile vor lua măsuri pentru instruirea profesorilor, elevilor și părinților cu privire la diseminarea datelor cu caracter personal către persoane / entități neautorizate și posibilele consecințe / riscuri pentru drepturile și libertățile persoanelor vizate;
  • Școlile vor lua măsuri pentru instruirea profesorilor, elevilor și părinților cu privire la interdicția de a disemina date ale profesorilor, colegilor și părinților (de ex. teme completate, sesiuni de lucru conținând comentarii, evaluări etc.);
  • Pentru conectarea pe platforma de învățământ on-line, NU vor fi utilizate adrese de public mailing (yahoo, gmail, etc.), ci doar adrese de mail aflate în proprietatea operatorului de date (unitatea de învățământ)!
  • Adresele de email, nr. de telefon sau orice alte date personale strict necesare desfășurării procesului de învățământ on-line se transmit profesorului printr-un mijloc de comunicare cât mai sigur și în mod individual (nu se postează pe un grup) și se securizează. Se va evita, pe cât posibil, trimiterea prin email de tip yahoo sau gmail a datelor cu caracter personal. Se vor utiliza adresele de email create / puse la dispoziție de școli;
  • Invitația de participare la sesiunile de învățământ / lecții on-line care conține link-ul de conectare, ID sesiune și parolă se trimite pe un canal sigur de comunicare;
  • Video-conferințele / lecțiile cu participare audio-video, de principiu nu se înregistrează. În cazul în care se dorește să se înregistreze o anumită lecție pentru a fi disponibilă online (de pildă elevilor absenți la momentul lecției), se recomandă să se dezactiveze imaginile video. Nu se permite înregistrarea video-conferinței / lecției cu participare audio-video de către participanți;
  • Nu se va închide sesiunea de lucru până nu vă asigurați, mai întâi, că toți participanții s-au deconectat de la platformă;
  • Evaluarea și prezența copiilor nu vor fi făcute publice.

Recomandări minimale privind protecția datelor cu caracter personal pentru conducătorii instituțiilor de învățământ și pentru Responsabilii cu protecția datelor cu caracter personal

Având în vedere prevederile art. 16 din Ordinul 4135/21.04.2020 de aprobare a Instrucțiunii privind asigurarea continuității procesului de învățare la nivelul sistemului de învățământ preuniversitar, vă recomandăm să respectați cel puțin următoarele:

  • Asigurați-vă că prelucrarea datelor cu caracter personal se face cu respectarea principiilor prelucrării datelor cu caracter personal, conform prevederilor art. 5 din Regulamentul 679/2016;
  • Asigurați-vă că respectați drepturile persoanelor vizate, conform prevederilor 7, art. 13, art. 15-18, art. 21-22 și art. 34 din Regulamentul 679/2016;
  • Asigurați-vă că evidențele activităților de prelucrare sunt actualizate corespunzător si respectă întocmai cerințele art. 30 din Regulamentul 679/2016;
  • Asigurați-vă că respectați securitatea prelucrării datelor personale, conform prevederilor art. 32 din Regulamentul 679/2016;
  • Elaborați și implementați proceduri specifice privind Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal, conform prevederilor art. 33 din Regulamentul 679/2016;
  • Efectuați o evaluare a impactului asupra protecției datelor, ori de câte ori un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc, conform prevederilor art. 35 din Regulamentul 679/2016;
  • Consultați Autoritatea de supraveghere înainte de prelucrarea datelor personale, atunci când evaluarea impactului asupra protecției datelor prevăzută la articolul 35 indică faptul că prelucrarea ar genera un risc ridicat în absența unor măsuri luate de operator pentru atenuarea riscului, conform prevederilor art. 35 din Regulamentul 679/2016.

Sintact.ro

Partenerii noștrii de la Sintact.ro, platforma juridică cu cel mai vast conținut din România, ne-au anunțat că au indexat de curând în baza de date tot conținutul volumului GDPR Aplicat.
În prezent, Sintact.ro contine peste 13 milioane de hotărâri judecătorești, 23.000 de articole din 9 reviste de specialitate, peste 200 de cărți de doctrină juridică și peste 90 de comentarii de autor.
Wolters Kluwer România oferă acces gratuit la platforma de documentare juridică pentru toți cititorii DPO-Net.ro. Puteți să activați contul demo pentru o perioadă de 30 de zile accesând link-ul:  https://demo.sintact.ro/?utm_source=DPOweb

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Care a fost cea mai importanta lectie pe care companiile, dar si specialistii in protectia datelor personale, au invatat-o in aceasta perioada?

Editorial

Vizualizari: 3227

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Cei doi ani care au trecut de la implementarea GDPR nu au reprezentat pentru noi doar provocari, ci au introdus si oportunitati de a invata lectii valoroase. Am intrebat specialisti precum Bogdan Manolea, Serban Popa, Ralucai Puscas, Stefan Iancu, Roxanei Mitroi sau Marius Dumitrescu despre aceste lectii pe care companiile, dar si specialistii in protectia datelor personale, le-au invatat in aceasta perioada si va invitam sa cititi ce ne-au raspuns.

Din perspectiva lui Bogdan Manolea, legal expert, “pentru firmele care chiar doresc sa fie compliant cu GDPR si le pasa de datele personale ale clientilor sau utilizatorilor, lectia principala este ca e un proces mult mai anevoios si mai de durata (pentru mentinerea conformitatii), mai ales daca business-ul este intr-o zona in care trebuie sa fii extrem de flexibil”.

Serban Popa, consultant GDPR la Unity Solutions, declara ca “e greu de spus pentru altii, dar, in privinta mea, am invatat si am repetat: nimeni nu este matur in acest domeniu; trebuie sa analizam punctual in functie de situatie si sa adaptam in functie de risc, de costul investitiei dar, mai ales, cu gandul primar ca protectia persoanei vizate este pe primul loc”.

In opinia Ralucai Puscas, avocat asociat la Filip & Company, “GDPR a educat consumatorii si populatia in general, astfel incat acum persoanele sunt mult mai atente la modul in care companiile le prelucreaza datele. Amenzile au jucat un rol important si exista un proces continuu de invatare pe baza spetelor care apar si a reactiei autoritatilor din spatiul UE. Ne putem astepta deci, ca aspectele legate de privacy sa fie analizate din ce in ce mai indeaproape de consumatori atunci cand instaleaza aplicatii pe telefoane mobile sau utilizeaza diverse produse digitale, conformitatea cu GDPR putand deveni chiar un diferentiator de business pentru companii”.

Specialistul mai adauga: “Alte invataminte pot fi desprinse daca ne uitam la motivele pentru care autoritatea din Romania, dar si cele la nivel european, au aplicat sanctiuni pana acum, intre acestea aparand in mod recurent neimplementarea masurilor tehnice si organizatorice adecvate, care sa asigure securitatea datelor cu caracter personal, lipsa sau nevalabilitatea temeiului legal al prelucrarii ori nerespectarea drepturilor persoanelor vizate. Acestea sunt doar exemple si poate, din perspectiva companiilor, o buna ocazie de a reverifica modul in care au fost implementate anumite cerinte, in cadrul programului de conformitate in derulare”.

 Stefan Iancu, consultant GDPR in cadrul companiei iPrivacy, afirma ca: “Cea mai importanta lectie care trebuie invatata este aceea ca asigurarea conformarii trebuie sa aiba ca scop foarte clar protejarea persoanele fizice – nu se rezuma la formalitati, proceduri si documente, este un efort de echipa – ca responsabilitatea apartine fiecarui membru al organizatiei si ca protectia datelor trebuie sa devina cat mai curand o parte importanta a culturii organizationale a fiecarui operator. Si ca de obicei, seriozitatea cu care este tratata protectia datelor personale in organizatie este egala cu tonul, mesajul, pe care il da top managementul”.

 Din punctul de vedere al Roxanei Mitroi, avocat in cadrul bpv GRIGORESCU STEFANICA, “probabil ca una dintre cele mai importante lectii pe care jucatorii in domeniu au aflat-o a fost aceea ca fiecare caz in parte are specificul sau si trebuie tratat cu atentie sporita. Este cert faptul ca documente cu aplicabilitate generala nu pot cuprinde aspectele specifice fiecarui domeniu in parte si nu pot acorda o protectie sporita business-ului, de aceea mereu se recomanda o analiza particulara asupra activitatii fiecarei companii in parte, cartografierea fluxurilor de date si a proceselor, identificarea gap-urilor existente, ca abia apoi sa se recurga la redactarea politicilor si documentelor necesare si la implementarea efectiva a acestora. In orice caz, recomandarea noastra mereu a fost aceea de a trata in mod individual si distinct activitatile de prelucrare si de a analiza de la caz la caz gradul de conformare a fiecarei entitati implicate in proces”.

Marius Dumitrescu, specialist GDPR, constata ca, “in ultimele luni, de cand a fost recunoscuta oficial pandemia Covid -19, s-a vorbit despre GDPR mai mult decat in toata perioada de cand a intrat in vigoare Regulamentul UE 679/2016 si este trist ca a fost nevoie de acest Coronavirus ca sa-i acordam atentia pe care o merita.

Societatea in care traim s-a schimbat, fiind supusa la unul din cele mai dificile teste de stres. Frica este cea care a obligat societatea noastra sa se adapteze si sa se maturizeze fortat, facand, in primul rand, un salt mare catre digitalizare. Vorbim astazi mai mult ca niciodata despre tele-munca, tele-medicina, tele-educatie si, mai ales, despre stirile false.

Trebuie sa realizam si ca toata aceasta digitalizare, pe repede inainte, vine la pachet cu asumarea unor riscuri de care mi-as dori sa fim constienti inca de la inceput.

Nu cred ca suntem pregatiti inca sa imbratisam digitalizarea si sa ne folosim la maxim de beneficiile acesteia. In urma recomandarilor autoritatilor din Romania, mai multe companii au decis sa accepte, de pe o zi pe alta, ca angajatii sa lucreze de acasa. Din punct de vedere legal eram pregatiti, legislatia romana avea prevederi clare privind tele-munca si cele mai multe firme au semnat acum cu fiecare angajat doar un act aditional la contractul de munca, pentru a indeplini aceasta formalitate birocratica. Foarte putine firme au investit in securizarea echipamentelor si a cailor de comunicare, alegand deseori solutiile cele mai rapide si ieftine, utilizand de cele mai multe ori echipamentele proprii ale angajatilor.

Revenind la domeniul protectiei datelor, chiar daca DPO-ul este captiv intre obligatiile legale impuse de legile organice, care pot limita drepturile persoanelor si principiile si obligatiile GDPR, exista, in opinia mea, o reteta pentru a asigura un echilibru intre toate aceste reglementari:

  1. Implicarea DPO-ului. El este specialistul care astazi poate sa consilieze si sa ghideze organizatia in respectarea GDPR si pastrarea acestui echilibru cu obligatiile legale si interesele comerciale.
  2. Respectarea celor sapte principii fundamentale ale GDPR. Aceste principii trebuie sa devina o realitate, trebuie sa fie implementate in orice fel de procedura, ca niste filtre care trebuie aplicate inainte de a lansa orice tip de document, orice fel de procedura.
  3. Informarea persoanelor vizate. Este foarte usor sa investim in aceasta informare prealabila si sa obtinem, practic, o implicare si motivarea acestor persoane, pentru ca, in fond, toate aceste proceduri restrictive sunt in interesul lor, al protectiei datelor lor cu caracter personal.
  4. Instruirea persoanelor si obtinerea de garantii adecvate. Trebuie sa fim foarte atenti atunci cand datele angajatilor nostri, sau datele clientilor nostri, datele vizitatorilor nostri sunt prelucrate de catre imputernicitii nostri ca operatori si sa ne asiguram ca sunt implementate masuri tehnice si organizatorice de protectie si securitate a acestor date personale pe tot procesul de prelucrare.
  5. Evaluarea nivelului de prelucrare a datelor (de exemplu, daca este excesiv) si identificarea unor metode mai putin intruzive de prelucrare a datelor personale, fara a creste birocratia. Sa nu uitam ca DPO-ul este cel care poate evalua daca discutam de un nivel excesiv de prelucrare a datelor, trebuie sa incercam sa limitam inscrisurile, astfel incat sa nu crestem birocratia doar de dragul de a ne acoperi cu documente justificative privind respectarea acestei legi. Respectarea tuturor celorlalte principii GDPR s-ar face mult mai usor daca principiul minimizarii ar fi respectat intocmai si pun accent mai ales pe acest lucru, deoarece noi, romanii, companiile romanesti, institutiile statului am ridicat birocratia aproape la nivel de traditie. Nu tot ce e mult e si bun, un singur document bine intocmit si cu responsabilitate ma protejeaza la fel de bine ca zece documente pline de date personale nefolositoare, dar colectate pe sistemul <<sa fie>>.”

Marius Dumitrescu concluzioneaza ca aceasta reteta nu se aplica exclusiv in aceasta perioada de pandemie, cele cinci recomandari fiind aplicabile oricarei organizatii care isi propune in urmatorul an sa isi adapteze cultura organizationala si sa imbratiseze principiile GDPR.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Care a fost cea mai mare provocare a companiilor in procesul de obtinere si mentinere a conformitatii GDPR?

Editorial

Vizualizari: 5835

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Specialistii in protectia datelor au fost cei care au lucrat alaturi de organizatii in procesul de obtinere si mentinere a conformitatii GDPR. Am vrut sa stim care a fost, in opinia lor, cea mai mare provocare cu care s-au confruntat companiile in acesti doi ani.

In opinia lui Bogdan Manolea, legal expert, cea mai mare provocare a fost: “Sa inteleaga ceea ce trebuie sa faca. Efectiv, de maine. Companiile se asteapta sa primeasca un checklist clar si definitiv, impreuna cu un pret ferm, pe care sa-l plateasca o data si gata. Dar raspunsul depinde atat de mult de practicile efective de prelucrare a datelor, care sunt diferite de la companie la companie si de masurile de securitate corelative, incat eu gandesc ca ar fi neprofesional sa zici ca stii ce trebuie sa faca de la prima intalnire. Pentru ca, de fapt, nu stii si o sa-ti dai seama pe parcurs”.

La capitolul provocari, Serban Popa, consultant GDPR la Unity Solutions, mentioneaza: “Micsoarea importantei efortului de analiza si consultanta, a cartografierii proceselor interne cu toate elementele descriptive aferente.”

Raluca Puscas, avocat asociat la Filip & Company, afirma: “Intr-adevar, ne gandim in primul rand la obtinerea conformitatii cu cerintele GDPR, care presupune o serie intreaga de activitati, de la maparea datelor, analize de risc, evaluari ale impactului asupra protectiei datelor, implementarea de politici si documente, dar apoi si la mentinerea acesteia, care este un proces continuu. De multe ori, toate acestea presupun schimbarea modului de lucru in organizatie si definirea unor noi fluxuri de colaborare intre departamente, implicand si responsabilul pentru protectia datelor. Chiar si dupa ce toate politicile, procedurile si evaluarile vor fi facute si toate documentele vor fi in ordine, ramane provocarea de a incorpora cerintele de privacy in cultura organizatiei si anume, de a acorda atentie protectiei datelor clientilor, angajatilor si tuturor persoanelor ale caror date le prelucreaza.

Acest lucru presupune atat lucruri aparent simple, cum ar fi acela de a nu solicita semnarea unui consimtamant in cazul in care nu este de fapt necesar (in ideea ca poate e mai sigur asa), ori de a pastra diverse acte in baza de date (ca poate mai trebuie vreodata, desi perioada de stocare a expirat) si pana la lucrurile mai complexe care pot presupune investitii din partea companiei, cum ar fi stergerea datelor la momentele de expirare a perioadelor de detinere prevazute in registru”.

Pentru Stefan Iancu, consultant GDPR in cadrul companiei iPrivacy, “Sunt trei variabile care influenteaza major succesul programelor de conformare, si anume: desemnarea responsabilului cu protectia datelor cu respectarea cerintelor din Regulament (expertiza, independenta, evitarea conflictelor de interese, asigurarea implicarii DPO in timp util in toate aspectele privind protectia datelor, acces la cel mai inalt nivel, etc), evaluarea corecta a impactului si riscurilor asociate precum si alocarea corecta a resurselor necesare”.

Roxana Mitroi, avocat in cadrul bpv GRIGORESCU STEFANICA, semnaleaza ca: “Inclusiv angajatii companiilor ce au parcurs procesul conformitatii si implementarii prevederilor GDPR au fost nevoiti sa se puna la punct cu procedurile si legislatia in domeniu. In orice caz, fiecare organizatie este diferita si fiecare activitate a unei organizatii poate duce la prelucrarea unor tipuri diferite de date. In vederea aplicarii in mod corect a prevederilor GDPR, apreciem ca una din provocarile companiilor este monitorizarea continua si permanenta a conformitatii sale. Luand in considerare eforturile interne si externe depuse pentru a ajunge la un grad de conformare, necesitatea monitorizarii si actualizarii periodice a proceselor de prelucrare, a registrului de activitati de prelucrare, preintampinarea unor brese de securitate, dezvoltarea si utilizarea software-urilor de tipul inteligentelor artificiale, suntem de parere ca activitatea in domeniul privacy & data protection va continua atat la nivelul intern al companiilor, cat si la nivel extern, prin angajarea diferitelor tipuri de consultanti in domeniu”.

Roxana Mitroi mai adauga ca: „In acest sens, se remarca un interes accentuat al companiilor ce se manifesta sub forma implicarii mai multor categorii de actori in acest proiect de aliniere si compliance, iar acest lucru este sustinut inclusiv de practica multor organizatii de a desemna la nivel intern persoane specializate responsabile de aspecte de tin de protectia datelor, desemnate la nivelul intregului grup, persoane ce colaboreaza cu avocati sau consultanti externi in acest domeniu”.

Marius Dumitrescu, specialist GDPR, afirma ca: „Angajatii reprezinta unul dintre cele mai mari riscuri in ceea ce priveste securitatea unei organizatii, conform studiului State of Cybersecurity 2019 realizat de ISACA. Din punctul meu de vedere, cea mai mare provocare a companiilor in procesul de obtinere si mentinere a conformitatii GDPR este carenta unei culturi a responsabilitatii, in randul angajatilor, privind protectia datelor personale. Acesta carenta poate fi diminuata substantial in urma instituirii unor programe de instruire cu privire la importanta protectiei datelor in concordanta cu practicile generale si politicile specifice activitatii companiei. Responsabilizarea angajatilor din perspectiva protectiei datelor personale va aduce un plus de valoare companiei. Un angajat constient si informat este un angajat vigilent si care actioneaza cu responsabilitate, riscurile unei erori umane scazand, in acelasi timp in care randamentul muncii creste. Mai mult, identificarea rapida a eventualelor brese de securitate si respectarea protocolului de raspuns la incidente va minimiza pierderile companiei”.

Specialistul concluzioneaza: “Raman un visator si sper ca in urmatoarea perioada sa vedem campanii de educare a persoanelor vizate din Romania, si de ce nu, campanii de educatie in scoli”.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Care a fost cea mai mare provocare, în ultimii doi ani, pentru specialistii in protectia datelor personale?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Ce am învățat în primii 2 ani de GDPR în România?

Data de 25 mai 2020 a marcat 2 ani de la implementarea regulamentului GDPR in Uniunea Europeana. Au fost doi ani plini de schimbari, atat pentru utilizatori, cat […]

Normele GDPR nu împiedică măsurile luate împotriva pandemiei Covid-19

În cadrul celei de-a 30-a sesiuni plenare, EDPB a adoptat o declarație privind drepturile persoanelor vizate în contextul actual epidemiologic al stării de urgență sau alertă din statele […]

A măsura sau a nu măsura temperatura? Aceasta este întrebarea …

Mare agitație în aceasta frumoasă dimineață de 15 mai 2020. Au fost publicate pe site-ul Ministerului Afacerilor Interne măsurile de prevenire și control a infecțiilor aplicabile pe durata […]

Alexandru Luca: În acest context, digitalizarea nu este o noutate, este mai mult o oportunitate

Alexandru Luca, în prezent Mobile Division Manager – Cybersecurity BU in cadrul comapaniei certSIGN, are o experiență de peste 15 ani în domeniul IT&C, asumându-și roluri cheie în […]

La ce clauze contractuale vom fi mai atenți de acum în colo ?

Epidemiile, la fel ca războaiele, reprezintă situații care ne găsesc întotdeauna nepregătiți pentru a gestiona efectele complexe ale acestora. Consecința de lungă durată a acestora, după impactul psiho-emoțional, […]

Publicitatea declarației de căsătorie și respectarea principiilor GDPR

Scrieți pe Google „publicație starea civilă”, selectați modul „imagini” și observați rezultatul…Poate chiar vă regăsiți numele pe internet, alături de soțul/soția de atunci sau (încă) din prezent. Ne […]

GDPR se aplică și în timpul pandemiei COVID-19

GDPR se aplică chiar dacă pe timp de pandemie operatorilor de telefonie mobilă le-a fost solicitat de autorități să comunice anumite date pentru a ajuta la reducerea răspândirii […]

Pandemia Covid-19 a impus maturizarea forțată a societății românești

Nimic nu va mai fi ca înainte. Societatea în care trăim s-a schimbat deja, fiind supusă la unul din cele mai dificile teste de stres. Frica este cea […]

Hai să facem împreună analiza unei tentative de phishing

Cred că nu ne preocupă îndeajuns de mult o realitate infracțională care capătă proporții sub ochii noștri, fără a sesiza impactul pe care îl are asupra vieților noastre […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

Despre AUDIT în contextul GDPR

O scurtă definiție AUDIT – Examinare profesională a unor informații cu scopul de a exprima o opinie responsabilă și independentă în raport cu un anumit standard. În funcție de standard […]

Ce planuri ți-ai făcut pentru 2020 în privința protecției datelor?

La începutul noului an mulți dintre noi ne facem planuri pentru a ne îndepărta de obiceiurile proaste sau pentru a finaliza proiecte începute în anul precedent. Dar câți […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Conceptul de „operatori independenți” este sinonim cu fuga de responsabilitate

Portalul dpo-NET.ro – Data Protection Officers Network în parteneriat cu Wolters Kluwer România, NeoPrivacy România, Decalex și unCommon Sense Advisory a organizat in data de 11 Decembrie 2019, în Sala de cursuri Wolters Kluwer România din București, a doua ediție […]