brinel

La Cluj Connecting Day, eveniment organizat recent de BRINEL și Cisco, au susținut prezentări și doi oficiali ai Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (voi folosi în text, pentru ușurința lecturii, abrevierea denumirii acestei instituții, ANSPDCP).
Din 25 mai va fi aplicat noul Regulamentul general privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în Uniunea Europeană (GDPR), care prevede amenzi de până la 20 de milioane de euro pentru încălcarea prevederilor sale.
Deși acest Regulament este în vigoare din 2016, abia în ultimele luni majoritatea organizațiilor și instituțiilor au început să se informeze cu frenezie despre ce au de făcut.
Cei doi oficiali ANSPDCP au adus câteva lămuriri esențiale:

Principalele noutăți  a noului regulament european aplicat din 25 mai ca obligații pentru operatori (operatori = companii, instituții, organizații care prelucrează date cu caracter personal)
– înființarea funcției de Responsabil cu protecția datelor în companie, instituție sau organizație
– păstrarea evidenței prelucrărilor, cartografierea
– noi drepturi pentru cetățeni: restricționarea prelucrării, portabilitatea, dreptul de a fi uitat
– notificarea de către operatori a încălcărilor de securitate la ANSPDCP, la cel mult 72 de ore de la aflarea incidentului

Trebuie reamintit că reglementări privind protecția și prelucrarea datelor personale funcționează în România de 16 ani, prin Legea 677.

Protecția datelor personale este un drept fundamental, dar nu un drept absolut.
În analiza cazurilor de încălcare a GDPR, contează și rolul persoanei vizate în societate, dacă este persoană publică sau nu.
Nu toate plângerile primite până acum de ANSPDCP de la cetățeni au fost întemeiate: investigațiile arată uneori că există un temei legal, un interes legitim sau că persoana vizată a fost informată că îi vor fi prelucrate datele. Exemplu: afișarea publică a unor date personale la alegeri.

Mulți operatori încă nu înțeleg că numele, prenumele, adresa de e-mail, CNP sunt date cu caracter personal și constată aceasta abia când ajung în instanță, în urma unor plângeri – vezi multele ocazii în care ni se copiază cartea de identitate sau ni se cere să completăm formulare fără să ni se explice care-i rațiunea.
Orice  informație care poate duce la identificarea unei persoane este considerată de DGPR dată cu caracter personal: amprenta vocală, comportament online și date de trafic, formarea profesională, locul de muncă, profesia, imaginea (foto), cazierul, apartenența sindicală, preferințe etc.

Când inițiază investigații, pentru ANSPDCP este importat dacă persoana vizată a fost informată înainte de a i se cere date cu caracter personal (de exemplu, o simplă copie a cărții de identitate este considerare prelucrare de date cu caracter personal): cine este entitatea care prelucrează datele, pentru ce a cerut datele, cum le va folosi.
Contează și dacă angajații organizației respective au fost instruiți asupra obligațiilor, riscurilor, sancțiunilor în domeniu prelucrării datelor cu caracter personal.

Funcția de Responsabil cu protecția datelor, nou prevăzută de GDPR, este obligatorie pentru:
– autoritățile publice și organismele publice
– operatorii care fac monitorizări periodice și pe scară largă (vezi slide-ul următor) a persoanelor fizice. Citiți art.9 și 10 din Regulament pentru informații suplimentare.

prelucrarea datelor personale

Așadar, înființarea funcției de Responsabil cu protecția datelor nu este obligatorie pentru toate companiile, organizațiile și instituțiile.
Mai multe prevederi despre această funcție, în aceste slide-uri:

DGPR

Numirea managerului IT ca Responsabil cu protecția datelor personale în organizație/instituție ar putea genera un conflict de interese: el ar urma astfel să se autocontroleze dacă asigură protecția informatică eficientă a datelor.

Articolul 83 din Regulament precizează clar criteriile pentru ca ANSPDCP să înceapă investigația unui incident de securitate sau unei încălcări a protecției datelor cu caracter personal.

Au apărut mulți traineri, unii cu tarife consistente, care se oferă să inițieze companiile și instituțiile în domeniul GDPR.
Înainte de a angaja serviciile de training, este recomandat ca managerii să parcurgă această documentație lămuritoare:
https://goo.gl/UFFv9z
https://goo.gl/DFA8M2

Implementarea noilor prevederi va fi un proces continuu și de durată. Un oficial Cisco a folosit, pentru a ilustra această idee, imaginea Mona Lisa, celebrul tablou a lui Leonardo, pictură care a fost desăvârșită de artist vreme de mai mulți ani.

Lămuririle oficialilor de la Autoritate au fost completate de prezentarea susținută de Dan Gavojdea – manager Cisco Cyber Security.
(Printre noile tehnologii, Cisco a prezentat, la Cluj Connecting Day, Catalyst 9000, singurele switch-uri care detectează cele mai noi amenințări malware, prin analize comportamentale și pe baza unor tipare ale traficului criptat, cu ajutorul Encrypted Threat Analytics, fără a fi necesara decriptarea aplicațiilor, considerată până acum o problemă fără rezolvare.)

Pașii recomandați organizațiilor pentru respectarea DGPR:

DGPR

Alte recomandări ale Cisco România:
– alcătuiți o echipă multidisciplinară, din mai multe departamente ale organizației, pentru implementarea DGPR
– inventariați datele culese/pe care le veți culege și identificați-le pe cele cu risc crescut
– reevaluați procesele de culegere, prelucrare, stocare a datelor personale și stabiliți dacă există fisuri de securitate
– instruirea personalului care lucrează cu date personală este la fel de importantă ca tehnologia
________________________________

brinel cisco
Cluj Connecting Day, ajuns la a treia ediție anuală, este unul dintre cele mai importante evenimente tehnologice din zona Transilvaniei. Este organizat de BRINEL și Cisco, cu susținerea ARIES Transilvania și a Centrului de Transfer Tehnologic în IT.
La ediția din acest an au participat peste 300 de specialiști IT din zona corporate și a administrației locale, precum și studenți ai facultăților tehnice.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Close