Documente Academic
Documente Profesional
Documente Cultură
Cloud Computing
România
GDPR
Catalog GDPR Ready
Radu Crahmaliuc,
Analist Independent Cloud &
Digital Transformation
60 de întrebări
despre conformitate
INTRODUCERE
3
Catalog GDPR Ready
5
Catalog GDPR Ready
6
Catalog GDPR Ready
7
Catalog GDPR Ready
Directive
Implementare individuală în fiecare stat membru
Implementare prin crearea de legi naționale aprobate de parlamentele fiecărui stat
membru
Directiva europeană 95/46 / CE este o directivă
Legea 677/ 2001 este versiunea românească care reglementează punerea în aplicare
a Directivei europene, fiind aprobată de Parlamentul României.
Regulamente
Odată intrate în vigoare, au aplicabilitate imediată în fiecare stat membru
Nu impun nicio legislație locală de punere în aplicare
UE 2016-679 este un regulament
8
Catalog GDPR Ready
9
Catalog GDPR Ready
Capitolul V Transferul datelor cu caracter personal către țări terțe: Articolele 44-50;
Capitolul VI Autorități independente de supraveghere: Articolele 51-59;
Capitolul VII Cooperarea și coerența: Articolele 60-76;
Capitolul VIII Restituiri Obligații și sancțiuni: Articolele 77-84;
Capitolul IX Dispoziții referitoare la situațiile specifice de prelucrare: Articolele 85-91.
teresele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită
protejarea datelor cu caracter personal, în special atunci când persoana vizată este
un copil.
16 Ce este Consimțământul?
În contextul GDPR, prin Consimțământ se înțelege o confirmare clară a faptului că per-
soana vizată a fost informată, știe și este de acord cu prelucrarea datelor sale personale
de către operator, în scopurile stabilite împreună cu acesta. În plus:
această dovadă trebuie să fie clară, liberă, specifică, informată și lipsită de
ambiguitate;
trebuie să reprezinte o formă de acțiune afirmativă clară;
în cazul chestionarelor ce au ca scop obținerea consimțământului sunt excluse
ambiguități legate de necompletarea sau pre-bifarea unui căsuțe de dialog;
consimțământul trebuie să fie separat de alți termeni și condiții;
consimțământul trebuie să fie verificabil;
trebuie să existe modalități simple pentru ca oamenii să-și retragă consimțământul;
autoritățile publice și angajatorii vor trebui să aibă grijă deosebită pentru a se
asigura că acordul este acordat în mod liber.
Evident că la aceste condiții există și o serie de excepții. Astfel, prevederile de la Litera
(f) nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea
13
Catalog GDPR Ready
atribuțiilor lor. Pentru prevederile de la Literele (c) și (e), GDPR e destul de flexibil,
permițând statelor membre UE să introducă dispoziții mai specifice, aliniate legislațiilor
interne.
drepturi specifice ale persoanei vizate în domeniile ocupării forţei de muncă, securităţii
sociale şi protecţiei sociale;
prelucrarea vizează protejarea intereselor vitale, atunci când persoana vizată e
incapabilă fizic sau juridic să îşi dea consimţământul;
prelucrarea este garantată de activităţile legitime ale unor fundaţii, asociaţii sau
organisme cu specific politic, filozofic, religios sau sindical, dar numai pentru membri
sau foşti membri;
prelucrarea se referă la date personale care sunt făcute publice în mod manifest de
către persoana vizată;
prelucrarea e necesară la constatarea, exercitarea sau apărarea unui drept în
instanţă;
prelucrarea se face din motive de interes public major, în baza dreptului Uniunii sau
a dreptului intern;
prelucrarea în scopuri legate de medicina preventivă sau a muncii, evaluarea
capacităţii de muncă, stabilirea unui diagnostic medical, asistenţă medicală sau
socială;
prelucrarea din motive de interes public în domeniul sănătăţii publice;
prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică
sau istorică ori în scopuri statistice, conform Articolului 89, Alineatul 1.
În Articolul 9, Alineatul 4 se precizează că fiecare stat poate menţine sau introduce
condiţii suplimentare sau restricţii în cazul prelucrării de date genetice, biometrice sau
privind sănătatea.
O altă situație cu totul specială este prelucrarea datelor personale referitoare la
condamnări penale şi infracţiuni. Articolul 10 precizează că în astfel de situații prelu-
crarea datelor personale precum și deținerea unor registre privind condamnările penale
se face numai sub controlul unei autorităţi de stat.
Dar pot exista o mulțime de situații în care prelucrarea datelor nu are nevoie de identi-
ficare, adică de asociere a unor seturi de date cu o anumită persoană. În această situație
se pot încadra multe dintre analizele de piață și cercetări de marketing care au ca scop
obținerea de informații statistice generale, atribuite unor grupuri de consumatori sau
categorii profesionale. În Articolul 11: „Prelucrarea care nu necesită identificare”,
Alineatul 1 se arată că „în cazul în care scopurile pentru care un operator prelucrează
date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane
vizate de către operator, operatorul nu are obligația de a păstra, obține sau prelucra
informații suplimentare pentru a identifica persoana vizată în scopul unic al respectării
prezentului regulament”.
Conform Articolului 11, Alineatul 2, dacă operatorul poate demonstra că nu este în
măsură să identifice persoana vizată sau în cazul în care e posibil operatorul informează
persoana vizată în mod corespunzător, Articolele 15-20 din capitolul de drepturi ale
persoanei vizate nu se aplică.
15
Catalog GDPR Ready
Capitolul 4 PRINCIPIILE
16
Catalog GDPR Ready
Capitolul 5 DREPTURILE
17
Catalog GDPR Ready
18
Catalog GDPR Ready
19
Catalog GDPR Ready
Date Date
Ce informații trebuie să dau venite direct provenite din
de la subiect alte surse
Identitatea și datele de contact (operator + reprezentant) DA DA
Datele de contact DPO DA DA
Scopul în care se prelucrează datele DA DA
Interesele legitime urmărite DA DA
Destinatarii sau categoriile de destinatari DA DA
Categoriile de date personale NU DA
Intenţiile de transfer al datelor DA DA
Perioada de reţinere a datelor DA DA
Dreptul la rectificare, ștergere, restricţionare, obiecţii DA DA
Dreptul la portabilitatea datelor DA DA
Dreptul de retragere a consimţământului DA DA
Dreptul la plângere/notificare DA DA
Care e sursa publică de date cu caracter personal NU DA
Existenţa unei obligaţii legale sau contractuale DA NU
Existenţa unui proces automat de luare a deciziilor DA DA
21
Catalog GDPR Ready
22
Catalog GDPR Ready
23
Catalog GDPR Ready
situații, acest termen poate fi prelungit cu încă o lună, dar suntem obligați în acest caz
să anunțăm persoanele vizate de această prelungire, cu justificările de rigoare în termen
de cel mult o lună de la primirea solicitării.
Proceduri de furnizare a informațiilor - În mod normal, trebuie să verificăm mai
întâi identitatea persoanei care depune cererea, folosind „mijloace rezonabile”. În cazul
în care cererea se face electronic, ar trebui să furnizăm informațiile tot într-un format
electronic utilizat în mod obișnuit. Față de prevederile anterioare, GDPR vine cu o idee
inovatoare: acolo unde este posibil, noi ca operatori de date ar trebui să putem furniza
acces de la distanţă la un sistem sigur, care să ofere persoanei vizate acces direct la
datele sale cu caracter personal. Acest drept nu ar trebui să aducă atingere drepturilor
sau libertăţilor altora, inclusiv secretului comercial sau proprietăţii intelectuale şi, în
special, drepturilor de autor care asigură protecţia programelor software (Considerentul
63). Deși acest tip de acces nu este posibil în toate cazurile, există unele sectoare în care
acest lucru ar fi posibil, prin integrarea în sistemele CRM.
24
Catalog GDPR Ready
de a obţine din partea operatorului ştergerea datelor cu caracter personal, fără întârzieri
nejustificate, iar noi ca operatori avem obligaţia de a şterge datele cu caracter personal,
în cazul în care există unul dintre motivele:
datele nu mai sunt necesare pentru scopurile pentru care au fost colectate sau
prelucrate;
persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea;
persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) dreptul
la opoziție
există neclarități legate de legalitatea prelucrării datelor cu caracter personal;
datele trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului;
datele cu caracter personal aparțin unor copii, cu vârsta sub 16 ani.
În Articolul 17, Alineatul 2 se ia în discuție cazul în care operatorul a făcut publice
datele cu caracter personal şi este obligat, în temeiul Alineatului 1, să le şteargă.
Ce trebuie să facem în acest caz? În funcție de tehnologia disponibilă şi de costul
implementării, trebuie să luăm „măsuri rezonabile”, inclusiv măsuri tehnice, pentru a
informa toți procesatorii care prelucrează datele cu caracter personal că persoana vizată
a solicitat ştergerea de către aceşti operatori a oricăror linkuri către datele respective sau
a oricăror copii sau reproduceri ale acestor date cu caracter personal.
Trebuie să mai reținem faptul că dreptul la ștergere nu asigură și o aplicare absolută a
„dreptului de a fi uitat”. Persoanele fizice au dreptul de a dispune cum doresc de datele
cu caracter personal șterse, le pot încredința unui alt operator, le pot actualiza și pregăti
pentru alte tipuri de prelucrări.
Când putem refuza să dăm curs unei cereri de ștergere a datelor? Situațiile în care
prevederile de la Alineatele 1 și 2 nu se aplică sunt explicitate la Alineatul 3, unde se
consideră ca situații de excepție cele în care prelucrarea este necesară pentru:
exercitarea dreptului la liberă exprimare şi la informare;
respectarea unei obligaţii legale;
motive de interes public în domeniul sănătăţii publice (Articolul 9, Alineatul 2,
Literele h şi i și Articolul 9, Alineatul 3);
scopuri de arhivare în interes public, cercetare ştiinţifică sau istorică ori în scopuri
statistice (Articolul 89, Alineatul 1);
constatarea, exercitarea sau apărarea unui drept în instanţă.
25
Catalog GDPR Ready
prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter
personal, solicitând în schimb restricţionarea utilizării lor;
ca operatori nu mai avem nevoie de datele cu caracter personal în scopul prelucrării,
dar persoana vizată ni le solicită pentru o acțiune în instanţă;
persoana vizată s-a opus prelucrării (Articolul 21, Alineatul 1) pentru intervalul de
timp în care se verifică dacă drepturile noastre legitime ca operatori prevalează asupra
celor ale persoanei vizate.
Dacă prelucrarea a fost restricţionată în temeiul Alineatului 1, astfel de date cu caracter
personal pot, cu excepţia stocării, să fie prelucrate numai cu consimțământul persoanei
vizate. De asemenea, conform Alineatului 3, avem datoria ca o persoană vizată care a
obţinut restricţionarea prelucrării în temeiul Alineatului 1, să fie informată din timp,
înainte de ridicarea restricţiei de prelucrare.
Este posibil să ni se solicite să transmitem datele direct unei alte organizații, dacă acest
lucru este fezabil din punct de vedere tehnic. Cu toate acestea, nu suntem obligați să
adoptăm sau să menținem sisteme de procesare care sunt compatibile din punct de vedere
tehnic cu alte organizații. Dacă datele personale se referă la mai multe persoane, trebuie să
verificăm dacă furnizarea informațiilor ar aduce atingere drepturilor oricărei alte persoane.
În cât timp trebuie să răspundem solicitărilor de portare? Avem la dispoziție, fără
întârzieri nejustificate, o perioadă de o lună, de la primirea solicitării. În cazul în care
primim o cerere mai complexă, care include și alte tipuri de solicitări, timpul de răspuns
poate ajunge la două luni. În cazul în care, din diferite motive, nu putem să furnizăm
un răspuns la o cerere, trebuie să explicăm solicitantului că are dreptul de a se plânge
autorității de supraveghere și de a deschide o cale de atac, fără întârzieri nejustificate și
cel mult într-o lună.
27
Catalog GDPR Ready
Toate aceste condiții trebuie stipulate de la bun început, chiar prin contractul de
confidențialitate.
Pe aceeași linie, dacă procesăm date personale în scopuri legate de cercetare științifică
sau istorică, sau în scopuri statistice, persoanele fizice trebuie să aibă „motive legate de
situația lor particulară” pentru a-și exercita dreptul de a se opune prelucrării în scopuri
de cercetare. Dacă scopul principal al proiectului de cercetare este legat în mod direct de
îndeplinirea unei sarcini de interes public, nu suntem obligați să ne conformăm unei
obiecții față de prelucrarea datelor. Evident că această situație și motivarea clară și
precisă a naturii cercetării trebuie comunicate în cel mai scurt timp persoanei vizate care
s-a opus prelucrării.
35 Ce reprezintă profilarea?
Operatorii de date trebuie să informeze persoanele vizate despre existența și
consecințele oricăror activități de profilare pe care le efectuează (inclusiv urmărirea on-
line și publicitatea comportamentală). Organizațiile care colectează și utilizează date
cu caracter personal vor trebui să introducă anunțuri de confidențialitate mai deta-
liate decât cele recomandate până acum, oferind mai multe informații, într-un mod
28
Catalog GDPR Ready
mai prescris. Aceasta va implica o revizuire la scară largă a tuturor anunțurilor privind
confidențialitatea.
GDPR definește profilarea ca orice formă de procesare automată destinată să evalueze
anumite aspecte personale ale unei persoane, în special pentru a le analiza sau a prezice:
• performanța la locul de muncă • situația economică • starea de sănătate • preferințele
personale • fiabilitatea • comportamentul • locația • deplasările.
La prelucrarea datelor cu caracter personal în scopuri de realizare a unui profil, trebuie
să ne asigurăm că există garanții adecvate și să respectăm o serie de proceduri:
Trebuie mai întâi să ne asigurăm că procesarea este corectă și transparentă prin
furnizarea de informații semnificative despre logica implicată, precum și despre
semnificația și consecințele avute în vedere;
De preferat să folosim procedurile matematice sau statistice adecvate pentru
profilare;
Se recomandă implementarea măsurilor tehnice și organizatorice adecvate care să
ne permită remedierea erorilor și minimizarea riscului de eroare;
Trebuie să asigurăm datele personale într-o manieră proporțională cu riscul pentru
interesele și drepturile individului și să prevenim efectele discriminatorii.
32
Catalog GDPR Ready
asigură că toate datele sunt păstrate în siguranță și apoi distruse în siguranță la sfârșitul
procesului, în timp util.
36
Catalog GDPR Ready
37
Catalog GDPR Ready
38
Catalog GDPR Ready
39
Catalog GDPR Ready
Un pas important pentru toate organizațiile este clarificarea fluxului de date și analiza
procesului de prelucrare a datelor personale/ Pentru aceasta este nevoie să clarificăm
următoarele aspecte:
Ce date personale sunt folosite și procesate în cadrul organizației;
Ce permisiuni am obținut pentru aceste date;
Ce procese și sisteme există pentru a prelucra datele personale;
Cazuri în care datele personale sunt transferate în afara organizației (inclusiv terțe
părți și transfrontaliere)
Care sunt măsurile de securizare ale datelor personale pe tot parcursul ciclului lor
de viață.
O bună înțelegere a punctelor și aspectelor critice va oferi organizațiilor oportunitatea
de a-și evalua riscurile și de a-și elabora un plan de remediere adecvat.
Care sunt certificările necesare pentru asigurarea conformității? GDPR încurajează
adoptarea sistemelor de certificare ca mijloc de demonstrare a conformității. Respec-
tarea standardului internațional de securitate a informațiilor ISO 27001 - singurul stan-
dard independent, recunoscut la nivel internațional de securitate a datelor - va ajuta
organizațiile să demonstreze că s-au străduit să respecte cerințele de securitate a datelor
din GDPR. Implementarea ISO 27001 presupune crearea unui cadru holistic de procese,
oameni și tehnologii pentru a asigura conformitatea.
41
Catalog GDPR Ready
42
Catalog GDPR Ready
44
Catalog GDPR Ready
numele și datele de contact ale responsabilului cu protecția datelor (în cazul în care
organizația dvs. dispune de unul) sau alt punct de contact în care pot fi obținute mai
multe informații;
descriere a consecințelor probabile ale încălcării datelor cu caracter personal;
descriere a măsurilor luate sau propuse a fi luate pentru a face față încălcării date-
lor cu caracter personal dacă este cazul, o descriere a măsurilor luate pentru a atenua
eventualele efecte adverse.
Nimeni nu își dorește asta, dar o bună pregătire penru situațiile de urgență implică și
stabilirea clară a responsabilităților și procedurilor de urmat. Cum vă puteți pregăti mai
bine pentru raportarea încălcărilor de securitate? În primul rând ar trebui să vă asigurați
că personalul dvs. înțelege ce reprezintă o încălcare a datelor și că aceasta este mai mult
decât o pierdere de date cu caracter personal. Apoi, ar trebui să vă asigurați că aveți
o procedură de raportare internă a încălcărilor. Acest lucru va facilita luarea deciziilor
cu privire la necesitatea notificării autorității de supraveghere sau a publicului. Nu în
ultimul rând, având în vedere perioadele scurte de timp pentru raportarea unei breșe,
este important să existe proceduri robuste de detectare a incidentului, investigații și
proceduri de raportare internă.
46
Catalog GDPR Ready
47
Catalog GDPR Ready
O publicație şi
get to know!
49
Catalog GDPR Ready
Ce ne recomandă experții?
Sunt furnizor de Cloud.
Cum pot obține conformitatea GDPR?
Bart van Buitenen,
managing partner al White Wire, o firmă de consultanță
de tip boutique specializată în servicii de protecție a
datelor pentru organizațiile de îngrijire a sănătății,
IMM-uri și companii de tehnologie din întreaga UE.
Dacă sunteți un furnizor de Cloud, cu sau fără sediu în UE, este foarte probabil că o parte
din datele pe care le prelucrați să fie pe teritoriu european sau privesc persoane care au un
domiciliu stabil în UE, și atunci trebuie să vă aliniați la reglementările GDPR. Termenul spe-
cific care indică un furnizor care procesează date personale în numele unei organizații este
cel de Procesator.
Până acum, o mare atenție se punea pe rolul de «Operator», adică organizația care este
responsabilă cu determinarea mijloacelor și scopurilor procesării, fără să se acorde o prea
mare atenție rolului procesatorului. Și iată că față de legislația anterioară, GDPR schimbă
multe lucruri în legătură cu obligațiile procesatorului, de exemplu în ceea ce privește
răspunderea, responsabilitate și o serie de noi obligații. Iată câteva dintre cele mai importante
aspecte pe care cred că furnizorii de Cloud ar trebui să le aibă în vedere, cu toată seriozitatea,
până pe 25 mai 2018.
2 Subcontractorii
Acordurile de prelucrare a datelor trebuie să fie încheiate cu clienții dvs., dar furnizorii de
Cloud au adesea proprii lor subcontractori. În lumea IT, utilizarea subcontractorilor este ceva
normal, iar mulți subcontractori vor fi într-adevăr procesatori pentru furnizorul de Cloud.
Din perspectiva clienților care folosesc Cloudul (operatorii), acești subcontractori sunt deci
”subprocesatori”. Un furnizor de Cloud trebuie să ceară permisiunea operatorului de a utiliza
subprocesatori, ceea ce ar trebui să se regăsească și în acordul dvs. de procesare (a se vedea
secțiunea 1). Utilizarea de subprocesatori poate fi acoperită printr-o permisiune generică
sau o permisiune specifică pentru fiecare subprocesator. Procesatorul rămâne responsabil,
astfel încât acordurile cu subprocesatorii trebuie să aibă un grad ridicat de încredere pe lista
furnizorilor de Cloud.
Sfaturi: Solicitarea unei permisiuni specifice poate fi un o provocare. Cereți o permisiune
generică și oferiți clienților posibilitatea de a consulta oricând o listă completă de subprocesa-
tori, de ex. prin publicarea acestei liste pe o pagină dedicată de pe site-ul dvs.
4 Transferuri în afara UE
Atunci când datele cu caracter personal ale clienților din UE sunt transferate în țări din
afara Uniunii este important ca datele să beneficieze de aceleași sisteme protecție și garanții
ca și în interiorul granițelor UE.
51
Catalog GDPR Ready
Sfaturi: Pentru a facilita astfel de transferuri, GDPR include mai multe mecanisme care fac
acest lucru posibil, dintre care cele mai răspândite sunt:
Decizii de adecvare: atunci când UE a stabilit că o țară din afara UE (sau un acord spe-
cific cu o astfel de țară, de ex. Privacy Shield cu SUA) oferă o protecție adecvată.
Reguli corporative obligatorii (BCR – Binding Corporate Rules): multe companii
multinaționale au subsidiare în țări din afara UE. Documentația BCR asociată unei organizații
trebuie să se asigure că un transfer de date personale în afara UE, dar în cadrul aceleiași
organizații, oferă aceleași garanții de protecție. Autoritățile de protecție a datelor trebuie să
valideze BCR înainte ca prevederile să fie aplicate.
Clauze contractuale standard (SCC – Standard Contratual Clauses): sunt contracte
predefinite, validate de Comisia Europeană, ce conțin toate garanțiile de protecție necesare
pentru transferurile în afara UE.
52
Catalog GDPR Ready
Sfaturi: Documentați (de exemplu, în contractul de procesare sau în alt contract) cum
trebuie să aibă loc asistența: cum ar trebui să se facă o cerere, în ce termen va răspunde
furnizorul de Cloud și dacă există costuri asociate asistenței.
În primul rând - furnizorii de Cloud trebuie să ia aminte că acum sunt expuși răspunderii
juridice a GDPR ca procesatori de date. Legile anterioare au pus toată responsabilitatea pe
umerii operatorului de date (clientul), dar acest lucru se schimbă în noul Regulament european.
În al doilea rând - furnizorii de Cloud trebuie, de asemenea, să asigure respectarea
propriilor standarde GDPR, deoarece clienții se vor aștepta și vor avea nevoie de lanțuri de
parteneri pentru a se conforma cu GDPR în cele mai bune condiții. Acest lucru va fi necesar
pentru a se asigura că partajează doar datele pe care le dețin cu partenerii compatibili GDPR,
protejându-și astfel propriile procese GDPR și conformitatea cu acestea.
Furnizorii de cloud vor trebui, de asemenea, să devină mai transparenți, deoarece clienții
devin tot mai diligenți în privința suveranității datelor, a securității, a stocării datelor, precum
și a controlului și distrugerii datelor pentru care au responsabilitatea.
În al treilea rând - furnizorii de Cloud vor trebui să se asigure că oferirea de servicii
în sine, atunci când sunt utilizate de un client, permite clientului să rămână conform.
De exemplu, dacă soluția dvs. stochează datele despre clienți chiar în structura acesteia,
oferind posibilitatea de a elimina în totalitate datele pentru respectarea regulilor «Dreptul
de a fi uitat». Nu puteți obține certificatul GDPR pentru produsul sau serviciul dvs., dar vă
puteți asigura că utilizarea acestuia permite unui client să îndeplinească cerințele GDPR și
să nu le împiedice.
53
Catalog GDPR Ready
54
Catalog GDPR Ready
55
Catalog GDPR Ready
În condițiile în care acest act normativ european aduce multiple elemente de noutate în
peisajul juridic românesc și instituie noi obligații în sarcina operatorilor de date și/sau per-
soanelor împuternicite de operatori Autoritatea speră ca și acest ghid, împreună cu toate
celelalte materiale informative postate pe site-ul Autorității Naționale de Supraveghere, să
ajute operatorii în eforturile de conformare cu noile reguli de prelucrare a datelor personale.
57
Catalog GDPR Ready
în care acestea sunt stocate și prelucrate, circuitul datelor și persoanele care au acces.
Aceasta presupune atât măsuri de inventariere cât și proiectarea sistemelor, a rețelelor și
a accesului astfel încât informațiile relevante să fie rapid identificate în caz de încălcare,
în vederea alcătuirii notificării și luării de măsuri în consecință.
61
Catalog GDPR Ready
Strategiile pe termen scurt și mediu ale companiilor impun un ritm de creștere anuală, in-
diferent de industria pe care o observăm. Într-o lume în care nevoile de bază vor fi satisfăcute,
consumul poate crește doar până într-un anumit punct, după care nu-i mai rămâne decât să
devină cvasi-constant. Construcția economică a viitorului nu are alte opțiuni.
Oamenii o să-și dorească în fiecare an noi dispozitive, haine sau mașini, dar nevoi care să
determine piețe uriașe nu se văd la orizont. Creșterea nu o să mai poată interveni decât în
spațiul personal, în cel al nevoilor individuale ale fiecăruia dintre noi. Scopul este crearea unei
experiențe personalizate în care produsul întrupează însăși macheta dorințelor și nevoilor
noastre. Pentru asta, companiile se bazează pe datele pe care le producem și care construiesc
mai mult decât o amprentă digitală individuală. Companiile extrapolează tipuri de compor-
tament și opiniile personale din interacțiunea noastră cu lumea digitală, ajutându-le să se
apropie constant de motivația deciziilor de a cumpăra ceva.
Regulamentul General pentru Protecția Datelor cu Caracter Personal prefigurează un viitor în
care informația devină critică pentru supraviețuirea noastră. Într-o societate marcată de atacuri
cibernetice și teroriste, cu cât entitățile colectează și distribuie mai multe date despre oameni,
cu atât expunerea potențială crește exponențial. Noul motor al economiei globale poartă un
vector de risc colosal, cu efecte în percepție, economie și chiar în siguranța fizică a omenirii.
Fiecare capitol din GDPR a fost disecat în conferințe, studii și articole online. Frica, con-
fuzia și incertitudinea domină în mare parte atât mesajele furnizorilor, cât și acțiunile celor ce
au de implementat dispozițiile regulamentului. Procesul se va clarifica cel mai probabil după
o perioadă de ajustare a pieței, care nu se poate produce înainte de termenul limită fatidic
pomenit în toate comunicările pe acest subiect.
62
Catalog GDPR Ready
63
Catalog GDPR Ready
1 Care sunt principalele provocări pentru a construi o politică proprie de gestionare a informației
conformă cu GDPR? Câteva dintre provocările cheie care trebuie luate în considerare sunt:
Afectarea performanției datorată creșterii volumului de informații (număr, mărime, retenție, tipurile
de documente care trebuiesc administrate);
Conținutul nestructurat – care reprezintă mai mult de 70% din volumul total de informații;
Diferite formate și sisteme - informații utile stocate într-o multitudine de sisteme (ERP, CRM,
Document Management, aplicații de business etc.) și în formate diferite;
Dispersia geografică - informații utile și sensibile stocate în diverse locații fizice și logice.
64
Catalog GDPR Ready
3 Cum poate asigura soluția răspunsul prompt și eficient la solicitările de acces la date
(DSAR)? Gestionarea corectă a metadatelor permite identificarea datelor și facilitează identificarea
informațiilor corecte și relevante de către ofițerul de conformitate a datelor. Ai nevoie de o soluție care
să ofere căutare avansată bazată pe metadate (șabloane de căutare, subscripții la șabloane de căutare,
conceptul de „search in search”).
Dar metadatele nu sunt suficiente - o căutare completă în text trebuie să fie rulată de mai multe ori atunci
când conținutul sau metadatele sunt ascunse în documentele nestructurate. Pe lângă funcționalitățile de
căutare trebuie avută în vedere și modalitatea în care se face navigarea și afișarea informațiilor căutate
astfel încât utilizatorul să ajungă cât mai ușor la conținutul potrivit.
4 Cum permiți partajarea conținutului securizat între clienți/ parteneri și consultanți externi?
Menținerea unui echilibru între acces (necesitatea de a cunoaște) și protecție / conformitate nu
este ușoară. Trebuie luat în considerare schimbul de informații în afara companiei fără a pierde
controlul sau a modifica locația informațiilor, dar și partajarea în siguranță a informațiilor folosind
autentificarea în 2 pași pentru utilizatorii externi. În contextul GDPR soluția trebuie să respecte
reglementările cu privire la datele cu caracter personal (trimiterea automată a notificărilor, acces
temporizat) și să ofere suplimentar o experiență plăcută de utilizare (fără să fie nevoie de intervenția
personalului IT).
65
Catalog GDPR Ready
obișnuiți, fără intervenția personalului IT. Întreabă de asemenea dacă este complet auditabilă fiecare
modificare asupra conținutului și metadatelor asociate pentru asigurarea conformității cu GDPR.
8 Cum se poate demonstra că o persoana și-a dat consimțământul asupra prelucrării datelor
sale personale? O posibilă abordare este o soluție care sa permită managementul consimțământului
cu ajutorul semnăturii biometrice (semnătura avansată) într-o manieră lizibilă / inteligibilă. Aceasta
oferă o dovadă sigură, fiind legată în mod unic de semnatar și implicit de datele acestuia, astfel încât
orice schimbare ulterioară a datelor este detectabilă.
9 Cum asigură soluția „dreptul de a fi uitat”? O mare parte din respectarea acestei cerințe se
referă la politicile de păstrare a documentelor care pot fi aplicate conform nomenclatorului arhivistic,
categoriei de conținut (bazat pe metadate) sau politicilor de distrugere a conținutului pe mai multe etape
atunci când perioada de retenție expiră.
Întreabă cum se face auditarea termenelor expirate pentru documentele care conþin date cu caracter
personal și trimiterea notificărilor asociate excepțiilor, dacă soluția are funcționalități pentru criptarea
metadatelor asociate datelor cu caracter personal și setări pentru distrugerea digitală a documentelor
care conțin date cu caracter personal.
10 Unde trebuie instalată soluția GDPR? Un element cheie aici este păstrarea flexibilității la un
nivel maxim pe măsură ce tehnologia se schimbă. Se poate folosi hardware-ul existent? Dacă
alegi, poți să beneficiezi de puterea și scalabilitatea cloud-ului public? Este soluția la fel de ușor de
folosit pe medii hybride, on-premise și cloud?
SEAL este un sistem integrat pentru administrarea unificată a arhivelor fizice și electronice
care ajută companiile să protejeze, reutilizeze și partajeze în siguranță tot conținutul de
afaceri, respectând normele legale și noile reglementări GDPR. Construit pentru era digitală,
în care cloud-ul și mobilitatea reprezintă concepte cheie, SEAL redefinește experiența de
utilizare printr-o interfață intuitivă și puternică disponibilă inclusiv pe iOS și Android pentru
un nou nivel de productivitate.
www.seal-online.com
66
Catalog GDPR Ready
2 Audit de protecție a datelor - Acum că știți unde se găsesc toate datele dumneavoastră, trebuie
să evaluați dacă există tehnologii și procese potrivite pentru a vă ajuta să controlați accesul la
sistemele dumneavoastră.
3 Evaluarea securității - Evaluați soluțiile de securitate existente pentru a stabili dacă tehnolo-
giile pe care le aveți în utilizare oferă o protecție adecvată, în timp real, construită pentru
amenințările actuale. Ca de exemplu, malware-urile complexe care sunt concepute pentru a ocoli
măsurile tradiționale de securitate bazate pe semnături. Identificați toate vulnerabilitățile și lacunele.
Experții noștri vă vor ajuta să creați un sistem de securitate integrat și actual.
Aproape orice companie este sub incidența acestor prevederi, trebuind să identifice
rapid modalitățile prin care poate să se alinieze eficient la noile cerințe.
Regulile sunt complexe, iar amenzile pentru nerespectarea legislației sunt
semnificative (penalitățile pot ajunge până la 4% din cifra de afaceri sau 20 de
milioane €, oricare valoare este mai mare).
Criptarea datelor sensibile din sistemele companiilor care colectază astfel de date
poate ajuta la îndeplinirea multor cerințe esențiale din GDPR. Soluția ESET Endpoint
Encryption este simplu de instalat și poate cripta în condiții de siguranță diferite tipuri
de medii sau fișiere.
ESET Endpoint Encryption permite îndeplinirea obligațiilor privind securitatea datelor,
prin implementarea facilă a unei politici de criptare, păstrând în același timp o productivi-
tate ridicată. Cu un consum redus de resurse și cicluri de desfășurare scurte, soluția se
distinge prin flexibilitate și ușurință în utilizare.
68
Catalog GDPR Ready
70
Catalog GDPR Ready
71
Catalog GDPR Ready
Ce trebuie să faceți?
Identificați ce date personale sunt deținute și unde sunt stocate acestea.
Identificați cum sunt colectate și unde sunt stocate datele personale.
Gestionați datele, definiți politici, roluri și responsabilități pentru administrarea și
folosirea datelor personale (în proces, în tranzit, stocare, recuperare, arhivare, reținere,
disponibilitate).
Clasificați datele. Organizați și etichetați datele pentru a asigura o manipulare
adecvată în funcție de tipuri, sensibilitate, context, proprietate, custodie, administrator,
utilizatori etc.
Indiferent de locul în care se află datele dvs. personale în organizație, BlackBerry
Workspaces oferă companiei vizibilitate și control asupra datelor și asigură conformi-
tatea cu GDPR.
Soluția
Comisia Europeană definește datele personale drept „orice informație referitoare la o
persoană, indiferent dacă se referă la viața sa privată, profesională sau publică. Poate fi
orice, de la un nume, o fotografie, o adresă de e-mail, detalii bancare, postări pe site-uri
de socializare, informații medicale, adresa IP a unui computer.”
73
Catalog GDPR Ready
75
Catalog GDPR Ready
Despre GDPR
Acest nou Regulament, GDPR - Regulation (EU) 2016/679, a fost adoptat la 27 aprilie 2016
și va intra în vigoare la 25 mai 2018. Este o reglementare prin care Parlamentul European, Con-
siliul European și Comisia Europeană intenționează să consolideze și să unifice protecția date-
lor pentru persoanele fizice în cadrul Uniunii Europene. Înlocuiește actuala directiva a Uniunii
Europene privind datele cu caracter personal, cunoscută ca Directive 95/46/EC adoptată in 1995.
Acest regulament va trebui respectat de fiecare organizație din statele Uniunii Europene și orice
entitate care deține date cu caracter personal referitoare la persoanele din UE va fi obligată să își
revizuiască procesele de gestionare a informațiilor.
Ce este de făcut?
Pentru a deveni o companie care se află în parametrii GDPR, este nevoie de un plan și un buget
de resurse, inclusiv pentru partea de IT. De asemenea, trebuie luat în calcul că există un termen
limită pentru implementare. Mai jos regăsiți câteva activități cu care puteți începe:
1. Realizarea unui plan de impact al siguranței datelor personale, împreună cu o hartă a cir-
cuitului de informații în companie.
2. Actualizarea sistemului de gestionare a informațiilor, care să includă documente detaliate
privind preluarea și prelucrarea datelor cu caracter confidențial.
3. Definirea unui sistem de eliminare a informațiilor de care nu mai este nevoie, într-o modali-
tate sigură.
4. Crearea unui sistem de notificare a erorilor de sistem care pot afecta persoanele de la care
s-au acumulat date.
5. Desemnarea unui responsabil pentru protecția datelor.
Înainte de a vă decide asupra unei soluții de recuperare a datelor, este necesar să vă pregătiți
în prealabil. Trebuie să definiți foarte clar nevoile afacerii dvs. Stabiliți obiectivele timpului de
recuperare. RTO (recovery time objective) indică cât de rapid aveți nevoie să recuperați datele în
urma unui dezastru.
76
Catalog GDPR Ready
Trebuie să fiți foarte specific; nu este suficient să spuneți „imediat’’ sau „ASAP’’. Gândiți-vă la
fiecare server și calculator și întrebați-vă „cât de critic este pentru mine?’’ și „cât de repede am
nevoie ca acel backup să fie restaurat?’’
Aveți în minte următoarele: dacă acel endpoint nu este critic, nu vă consumați timpul și resursele
(banii) pentru restaurare.
Stabiliți obiectivele punctelor de recuperare. RPO (recovery point objective) indică maxima
maximă tolerabilă de pierdere a datelor.
Întrebați-vă simplu „cât de multe date sunt dispus să pierd?” și „ce date vor fi cele mai costisi-
toare și dificil de recreat?”. Astfel veți ști ce date trebuie să fie acoperite de backup și cât de des
trebuie făcut acesta. Din nou, nu deveniți tentat să spuneți că totul este vital! Nu toate datele din
organizație sunt la fel de importante!
On/Off premise
După ce v-ați facut copiile de rezervă, aveți nevoie de un spațiu de stocare sigur și de acces
securizat la copiile de rezervă. Cea mai bună practică pe care noi o recomandăm este ca prima dată să
vă stocați copiile de rezervă local, apoi să le replicați într-o locație secundară. Aceasta înseamnă că
veți avea posibilitatea să recuperați datele din locația internă, foarte repede.
În situația în care nu aveți posibilitatea de a accesa locația internă, va rămâne opțiunea de a
restaura copiile din locația externă. De fapt, continuitatea business-ului este asigurată cel mai
bine când aveți un backup în afara locației.
StorageCraft Disaster Recovery Solution oferă versatilitatea de care aveți nevoie în construirea
propriului plan de recuperare în caz de dezastru, indiferent de hardware-ul ales. Aveți flexibilitate
deplină de a seta backup-urile în funcție de programul dvs.
Testați backup-ul! Trebuie să aveți posibilitatea de a testa planul de recuperare în cazul unui dezastru
înainte ca acesta să se producă! Nu permiteți ca dezastrul să fie primul dvs test! Un plan bun o să fie foarte
77
Catalog GDPR Ready
ușor de testat. Aceasta este singura modalitate prin care veți valida obiectivele timpului de recuperare.
StorageCraft Disaster Recovery permite testarea și verificarea datelor foarte ușor, ori de câte ori vă
doriți.
Recuperarea datelor
Poate părea evident dar, din păcate, acesta este pasul unde multe soluții de BDR (backup și
disaster recovery) eșuează. Soluția pe care o alegeti trebuie să permită recuperarea datelor,
oricând și oriunde. În cazul unui dezastru de tip Ransomware, trebuie să aveți încredere 100%
că veți recupera datele și că vă veți putea continua activitatea. StorageCraft Recovery Solution
oferă fiabilitate, flexibilitate și viteză de recuperare a datelor.
Concluzie
Numărătoarea inversă până la GDPR a început! Firmele din Europa vor trebui să se
asigure că respectă cerințele regulamentului până în mai 2018 și implementarea unei soluții
eficiente de recuperare în caz de dezastru este un prim pas important spre conformitate.
Continuitatea afacerii începe aici! Asigurați-vă că ați ales de la început soluția potrivită de
backup și disaster recovery.
78
Catalog GDPR Ready
Ce au în comun domeniile
Cloud, Big Data și GDPR?
Atât domeniul Cloud cât și cel al Big Data sunt esenţiale pentru
transformarea pe care segmentul tehnologiei informaţiei îl parcurge
în prezent și sunt adeseori considerate subiecte conexe, însă cum
rămâne cu noile Reglementări ale Uniunii Europene privind protecţia
generală a datelor (GDPR)?
81
Catalog GDPR Ready
la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală (în funcție de impactul incidentului
produs).
Termen de implementare. Regulamentul intră in vigoare la data de 25 mai 2018, dată până la care toate
entitățile vizate de către GDPR trebuie să pună în aplicare prevederile specifice.
Cum putem sprijini procesul de aliniere la GDPR? Oferim întregul suport necesar înțelegerii în primă
etapă a prevederilor GDPR, a modului în care acestea trebuie tranpuse și, ulterior, prin evaluarea modului în
care se realizează prelucrarea datelor în companie și identificarea punctelor slabe, respectiv, prin asistarea
selectării și implementării măsurilor tehnice și operaționale în cadrul organizației.
Serviciile noastre de consultanță pentru alinierea la GDPR se concentrează în jurul următoarelor module
principale:
Modulul 1 – Cursuri de introducere și instruire, al căror scop este acela de a prezenta organizației și
personalului component cerințele GDPR și modalitatea în care aceste cerințe trebuie puse în aplicare.
Modulul 2 – Analiza gap, al cărei scop este realizarea unei evaluări asupra conformității organizației și a
sistemului de controale implementat în prezent în raport cu cerințele tehnice și operaționale specifice GDPR în
urma căreia se va elabora un plan de acțiuni detaliat pentru corectarea acestor diferențe și, implicit, alinierea
organizației la GDPR.
Modulul 3 – Analiza modelului de date utilizat, în cadrul căreia se analizează în detaliu impactul
GDPR asupra organizației prin identificarea și punerea în evidență a datelor cu caracter personal procesate de
organizație. Ca parte a acestei analize, urmărim identificarea activităților, proceselor și fluxurilor operaționale
care colectează, prelucrează și stochează datele cu caracter personal.
La finalul acestei analize, vom putea contura o imagine asupra datelor cu caracter personal, a tipologiei
acestora și a dispunerii lor în cadrul organizației pentru a asigura o implementare uniformă și eficientă a
măsurilor tehnice și organizaționale ale GDPR.
Modulul 4 – Definirea politicii de prelucrare a datelor cu caracter personal. În cadrul acestei etape,
avem în vedere elaborarea, pe seama informațiilor colectate în etapele anterioare și a prevederilor GDPR, a
politicii de prelucrare a datelor cu caracter personal în cadrul organizației.
Modulul 5 – Implementarea politicilor și procedurilor GDPR. Avem în vedere suportul pentru imple-
mentarea într-o manieră uniformă și eficientă a politicilor și procedurilor privind managementul datelor cu
caracter personal în cadrul organizației pentru o corectă aliniere la cerințele GDPR.
Modulul 6 – Implementarea sistemelor IT de securitate necesare. Putem răspunde necesităților
organizației cu privire la sistemele IT de securitate (de exemplu: sisteme de detecție și prevenție a intru-
ziunilor, sisteme de prevenire a scurgerii datelor etc.) prin furnizarea și implementarea unor soluții IT eficiente
și potrivite pentru dimensiunea și particularitățile organizației.
Modulul 7 – Asigurarea poziției de Responsabil cu Protecția Datelor. Asigurăm experți calificați cu
competențe în domeniul protecției datelor pentru îndeplinirea rolului de Responsabil cu Protecția Datelor și
execuția responsabilităților specifice în cadrul organizației.
Date de contact:
Cosmin Măcăneață, Managing Partner
cosmin.macaneata@omega-trust.ro / 0722812812
83
Catalog GDPR Ready
Pe scurt, GDPR îşi propune să ofere cetăţenilor Uniunii Europene controlul asupra datelor
lor personale, iar pentru îndeplinirea acestui scop enunţă anumite principii, unele cu impact
asupra sistemului medical.
În primul rând, pentru datele colectate şi pentru scopul utilizării acestora trebuie să existe
un consimţământ valid explicit din partea cetăţeanului. Există totuşi o serie de excepţii, cum
ar fi furnizarea de îngrijiri medicale sau sociale, tratament în scopul protejării intereselor
vitale ale persoanei vizate.
O noutate care va avea impact major asupra sistemului medical şi chiar asupra cetăţeanului
este reprezentată de oferirea posibilităţii ca persoana vizată să îşi administreze singură do-
sarul medical. Apare astfel dreptul persoanei vizate de a îşi tranfera datele sale personale
dintr-un sistem electronic de procesare în altul, fără a fi impiedicat de operatorul de date să
facă acest lucru. Datele furnizate de operatorul de date trebuie să fie într-un format electronic
standard, deschis şi utilizat în mod obişnuit.
În ceea ce priveşte domeniul sănătăţii, cel căruia Info World îi este integral dedicat, articolul
15 defineşte faptul că pacientul are dreptul să obţină de la operatorul de date confirmarea că
datele sale personale sunt prelucrate sau nu, şi după caz, accesul la datele personale, precum
şi o copie a acestor date care fac obiectul unei prelucrări. În cazul în care persoana vizată
depune cererea prin mijloace electronice şi nu solicită altfel, informaţiile pot fi furnizate într-o
formă electronică utilizată în mod obişnuit, ceea ce înseamnă un fişier uzual, de tip PDF sau
alt format de uz general. Acest aspect permite persoanelor fizice să obţină şi să reutilizeze
datele lor personale şi medicale în diverse scopuri, cum ar fi: a doua opinie medicală, schim-
barea furnizorilor de asistenţă medicală, păstrarea datelor intr-un sistem de tip dosar per-
sonal de sănătate. În acest mod, persoanele vizate pot să copieze sau să transfere cu uşurinţă
informaţiile dintr-un sistem informatic în altul.
84
Catalog GDPR Ready
85
Catalog GDPR Ready
rapidă a afacerilor în timp real. Într-o organizație de retail, de exemplu, nu ar fi mai bine să
se știe în câteva minute că magazinele văd o creștere a vânzărilor unui anumit pulover, mai
degrabă decât în câteva zile?
3 Prelucrarea și stocarea datelor - GDPR cere ca datele să fie pseudonimizate cât mai
curând posibil, ceea ce înseamnă că nu trebuie să fie posibilă corelarea unui anumit uti-
lizator cu un set de date; de exemplu, datele ar putea arăta că 180 de cumpărători se aflau
într-o anumită sucursală a unei bănci într-o zi, dar nu și cine erau acei utilizatori. Acest
lucru poate determina o reconsiderare atentă a datelor colectate, modul în care acestea sunt
stocate și asigurarea faptului că deciziile critice bazate pe utilizatori (cum ar fi direcționarea
anunțurilor către un anumit client pe baza comportamentului acestuia) se fac cât mai repede
posibil - cu rezultate de afaceri foarte benefice. Și prin automatizarea acestei procesări vs. cea
manuală se realizează o protecție mult mai ușoară și mai controlată a datelor.
25 mai 2018 este termenul-limită pentru intrarea în vigoare a noilor reglementări din
Regulamentul General al Uniunii Europene cu privire la Protecția Datelor. În această
perioadă premergătoare, companiile care știu să-și valorifice resursele și competențele, vor
pune mai mult și mai pregnant accentul pe modalitățile de colectare, gestionare și asigu-
rare a confidențialității pentru datele personale de pe platformele informatice deținute.
Dacă în trecut acest aspect a fost tratat cu superficialitate de către unele companii sau
instituții, acum este momentul ca fiecare deținător de date cu caracter sensibil, de la mic
la mare, să pună în funcțiune un mecanism intern de bună practică și conformitate cu
reglementările GDPR. Practic, tot ceea ce nu s-a putut realiza din lipsă de informații,
resurse sau termene-limită, are acum opor-
tunitatea celor mai bune implementări, nu
atât sub imperiul amenzilor ce se vehiculează
în caz de non-conformitate, ci mai ales din
dorința firească de a pune lupa pe limitări și de
a găsi soluții salvatoare, de care să beneficieze
întreaga organizație, nu doar departamentele
care sunt direct implicate în operațiunile cu
date ce au caracter sensibil.
Companiile care vor reuși să privească reglementările GDPR drept un prilej pentru eficien-
tizarea activităților, nu doar ca pe o presiune în plus, se vor putea deschide și la întâmpi-
narea oportunităților care derivă din buna lor implementare. Într-adevăr sunt prevederi cu
caracter obligatoriu, care presupun resurse și investiții bănești consistente. Însă, acestea
vin și cu beneficii pentru mediul de afaceri, printre care amintim simplificarea și armoni-
zarea la nivel juridic și administrativ a protecției datelor în Uniunea Europeană, precum și
stimularea inovației pentru tehnologiile care asigură stocarea și protecția datelor.
Departe de a fi doar un proces costisitor, asigurarea conformității cu noile măsuri
GDPR este o etapă esențială de creștere și inovație pentru companiile care pot fructifica la
maximum era digitală de astăzi.
92
get to know!