duminică, mai 22, 2022

GDPR – O rețetă cu 4 pași simpli

Regulamentul UE nr. 679/2016 are ca scop asigurarea unui echilibru intre progresul rapid al tehnologiei si apararea dreptului la viata privata in privinta prelucrarii datelor cu caracter personal. Din cauza faptului ca zona de tehnologie este complet eterogena, cerintele regulamentului se concentreaza mai mult pe drepturile cetatenilor decat sa ceara niste schimbari cu subiect si predicat de genul “Split TVA”. Pasii de mai jos va vor ajuta sa constientizati de unde sa incepeti si care sunt zonele in care trebuie facute schimbari pentru a respecta cerintele UE.

Pasul 1 – Informarea (durata – 1 saptamana)

1. Ce ? Cititi un pic despre ce inseamna GDPR, exista deja ghiduri facute care pot fi trimise la toata lumea din organizatie pentru a se intelege cerintele legale ce intra in vigoare anul viitor, si deasemenea sa se pregateasca terenul pentru urmatoarele actiuni ale echipei de conducere pe subiect.

2. Cine? Trebuie sa aflati cine lucreaza cu date personale in organizatia dumneavoastra. Un alt e-mail scurt trimis la toata lumea la o zi dupa ce a fost trimis ghidul GDPR, la care fiecare destinatar sa raspunda cu DA sau NU la intrebarea daca lucreaza cu date personale. De inclus un termen de maxim 48 ore in care sa se raspunda.

3. Cum? Detalii despre procesarea datelor cu caracter personal de la cei care le folosesc in organizatie. Se creeaza o lista de distributie care sa ii contina pe toti cei care au raspuns afirmativ la mail-ul de la pasul 2. Se face un nou e-mail catre aceasta lista de distributie, in care sa se ceara mai multe informatii despre ce date personale folosesc fiecare dintre ei, unde le tin, daca le introduc in vreuna sau mai multe aplicatii existente, cat de necesare le sunt aceste date (nota de la 1 la 10) si cine mai are acces la aceste informatii. Se poate folosi un chestionar care se face simplu cu Google Forms sau orice alta platforma folositi, de asemenea de dat un termen de raspuns relativ scurt, 24-48 ore, fiecare destinatar ar trebui sa poata raspunda relativ repede cu privire la informatii care le folosesc in activitatea zilnica.

Atentie la situatiile unde sunt persoane care nu au acces la un calculator dar culeg date personale! Exista posibilitatea ca un paznic, gestionar sau casierita sa fie persoana care strange cele mai multe date personale intr-o organizatie, de fapt majoritatea operatorilor cheie sunt persoane care se afla in partea de jos a organigramelor.

Pasul 2 – Analiza datelor si a optiunilor – (durata – 1-2 saptamani)

In acest moment ar trebui deja sa aveti o imagine mai clara cu datele cu caracter personal din organizatie, cine opereaza si foloseste aceste date, cum sunt folosite si in ce sisteme se gasesc ele.

In aceasta etapa se pot implica deja toate persoanele care conduc departamentele, atat cu rol de autoritate/responsabilitate asupra informatiilor primite la pasul 1 cat si cu rol de asistenta pentru spetele culese (asistenta juridica, HR, administrativa, IT, etc.)

Este momentul in care puteti sa va ganditi la urmatoarele lucruri:

⁃      Chiar avem nevoie de toate aceste date personale ? daca nu se mai folosesc date personale, nu mai este nevoie sa respectam noile cerinte. Poate fi un moment bun pentru simplificarea proceselor operationale;

⁃      Cine ar fi trebuit sa raspunda la e-mail si nu a raspuns? Este posibil ca unele persoane relevante din organizatie sa nu fi raspuns sau sa nu poata raspunde? Vezi nota de la pasul 1;

⁃      Care sunt sistemele care contin date personale, daca se pot modifica, au contract de mentenanta, strategia de aliniere la GDPR a furnizorilor;

⁃      Cat ar dura si costa alinierea tuturor spetelor existente in organizatie pe subiectul GDPR;

Pasul 3 – Decizia (durata – in functie de cultura organizationala)

Cu siguranta ca din primii doi pasi, veti obtine suficiente date ca sa puteti decide ce este de facut, si este momentul in care puteti lua decizii in cunostinta de cauza de planificare a acestor schimbari, si daca se poate face cu resursele interne sau pe ce subiecte aveti nevoie de ajutor din exterior.

Este cumva contra intuitiv deoarece in general se intalnesc multe situatii in care se incepe cu decizia, se fac eforturi sustinute la inceput dar de indata ce apare alta prioritate din zona de operational, financiar sau guvernanta, lucrurile si rezultatele se dilueaza.

Foarte important este sa se inteleaga de intregul colectiv ca GDPR-ul poate implica transformarea organizatiilor, motiv pentru care ar fi bine ca aceste schimbari sa fie conduse de persoane din varful companiilor. Recomand deasemenea realizarea unei analize de risc care sa ajute la prioritizarea initiativelor descoperite.

Pasul 4 – Implementarea (durata – pina pe 25 mai 2018)

Imediat ce aveti lista de initiative, acestea ar trebui transformate in proiecte, respectiv sa fie constituite echipe, alocate resurse si stabilite obiective si termene pentru indeplinirea respectarii cerintelor legale.  Acum incepe adevaratul test: usor de zis, greu de facut.

http://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EN

http://www.dataprotection.ro/?page=Regulamentul_nr_679_2016

http://www.dataprotection.ro/servlet/ViewDocument?id=1262

http://www.dataprotection.ro/servlet/ViewDocument?id=1298

http://www.dataprotection.ro/servlet/ViewDocument?id=1327

Descarca de mai jos:

Distribuie acest articol

5 COMENTARII

  1. Cred ca ati fi largit putin cercul cititorilor (daca nu cumva intentionati sa fie limitat la specialisti) daca deja din titlu sau imediat dupa ati fi explicat ce e GDPR. BIneinteles, exista surse de informare, dar efectul poate fi ca posibilii cititori nu ramin la articol din acest motiv.

    • Multumesc pentru comentariu!

      Este corect, am incercat sa ma adresez celor carora subiectul le este familiar, dar nu stiu cu ce sa inceapa.

      Din dorinta de a nu face un articol foarte lung, am scos informatiile generale despre acest Regulament, si chiar si asa, am primit alte mesaje ca articolul este destul de lung.

  2. Spuneți „Din cauza faptului ca zona de tehnologie este complet eterogena, cerintele regulamentului se concentreaza mai mult pe drepturile cetatenilor decat sa ceara niste schimbari cu subiect si predicat de genul “Split TVA”. „

    Regulamentul chiar despre asta este: despre drepturile noastre atunci cînd ni se prelucrează date cu carcater personal, nu despre tehnologie! (Regulamentul nu va mai permite „întîmplări„ precum cea de la CAS București)

    Regulamentul este un „update„ la Directiva 95/46 transpusă la noi în practică prin Legea 677/2001.

    Mi se pare că de la Pasul 1 încolo ați simplificat foarte mult lucrurile cînd realitatea este mult mai complexă:

    – după ce aflăm care sînt datele personale pe care le colectăm (de fapt discutăm de documente pe care se află aceste date personale și ar fi bine ca în acel email să le spunem angajaților ce înseamnă date cu carcater personal) ar trebui să „desenăm„ fluxul acestor date.
    – din pasul anterior ar trebui să vedem care este legalitatea fiecărei operațiuni de prelucrare și care este durata de stocare (din punct de vedere al cerințelor legale și din punct de vedere al obiectului afacerii), pe unde mai ajung datele în afara organizației noastre etc.
    – urmează apoi partea cea mai anevoioasă: să „descoperi„ exact locul unde se află acele date în organizație (server, bază de date, mail, laptop, memory stick, copie pe suport hîrtie, cloud…)
    – urmează, tot ca etapă de analiză, evaluarea impactului asupra drepturilor și libertăților persoanei vizate.
    – se identifică ce controale există în organizație astfel încît persoanei vizate să îi fie respectat dreptul la viață privată și se decide de ce mai este nevoie în funcție de riscuri.

    • Mulțumesc pentru comentariu!

      Pașii menționați de dumneavoastră sunt foarte corecți.

      Realitatea este mult mai complexă, și nu cred că aș fi fost în stare să scriu un articol care să acopere toate aspectele ce trebuiesc îndeplinite prin acest regulament.

      Sper ca cei care sunt vizați de implicațiile acestor norme să înceapă cât mai repede să se documenteze despre subiect pentru a putea respecta toate cerințele până in mai 2018.

  3. Salut Radu! Noi putem acomoda la clienti orice solutie din fiecare etapa: audit, training, tehnologie. Putem oferi si solutii de SOC (security operations center).

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here

Prin adaugarea unui comentariu sunteti de acord cu Termenii si Conditiile site-ului Contributors.ro

Autor

Radu Fenyo
Radu Fenyo este expert IT cu peste 25 ani experienta in a ajuta organizatiile sa obtina beneficii folosind tehnologiile noi sau cele existente. Pregatirea profesionala si-a format-o lucrand pentru firme de calculatoare ca DEC, Compaq, FSC, si urmand cursurile facultatii de Informatica Manageriala ale Universitatii Romano Americane. Experienta capatata in pozitiile din firmele in care a lucrat ca producator, furnizor, dezvoltator, utilizator si auditor, precum si multitudinea de proiecte in practic toate industriile tehnologizate i-au permis sa aibe o viziune de 360 grade asupra fenomenului tehnologiei informatiei.

conferinte Humanitas

 

Această imagine are atributul alt gol; numele fișierului este banner-contributors-614x1024.jpg

„Despre lumea în care trăim” este o serie anuală de conferințe și dialoguri culturale şi ştiinţifice organizată la Ateneul Român de Fundaţia Humanitas Aqua Forte, în parteneriat cu Editura Humanitas și Asociația ARCCA.  La fel ca în edițiile precedente, își propune să aducă în fața publicului teme actuale, abordate de personalități publice, specialiști și cercetători recunoscuți în domeniile lor și de comunitățile științifice din care fac parte. Vezi amănunte.

 

Carte recomandată

Anexarea, în 1812, a Moldovei cuprinse între Prut și Nistru a fost, argumentează cunoscutul istoric Armand Goșu, specializat în spațiul ex-sovietic, mai curând rezultatul contextului internațional decât al negocierilor dintre delegațiile otomană și rusă la conferințele de pace de la Giurgiu și de la București. Sprijinindu-și concluziile pe documente inedite, cele mai importante dintre acestea provenind din arhivele rusești, autorul ne dezvăluie culisele diplomatice ale unor evenimente cu consecințe majore din istoria diplomației europene, de la formarea celei de-a treia coaliții antinapoleoniene și negocierea alianței ruso-otomane din 1805 până la pacea de la București, cu anexarea Basarabiei și invazia lui Napoleon în Rusia. Agenți secreți francezi călătorind de la Paris la Stambul, Damasc și Teheran; ofițeri ruși purtând mesaje confidențiale la Londra sau la Înalta Poartă; dregători otomani corupți deveniți agenți de influență ai unor puteri străine; familiile fanariote aflate în competiție spre a intra în grațiile Rusiei și a ocupa tronurile de la București și Iași – o relatare captivantă despre vremurile agitate de la începutul secolului al XIX-lea, ce au modelat traiectoria unor state pentru totdeauna și au schimbat configurația frontierelor europene. Vezi pret

 

 

 

Carte recomandată

 

Sorin Ioniță: Anul 2021 a început sub spectrul acestor incertitudini: va rezista democraţia liberală în Est, cu tot cu incipientul său stat de drept, dacă ea îşi pierde busola în Vest sub asalturi populiste? Cât de atractive sunt exemplele de proastă guvernare din jurul României, în state mici şi mari, membre UE sau doar cu aspiraţii de aderare? O vor apuca partidele româneşti pe căi alternative la proiectul european clasic al „Europei tot mai integrate“? Ce rol joacă în regiune ţările nou-membre, ca România: călăuzim noi pe vecinii noştri nemembri înspre modelul universalist european, ori ne schimbă ei pe noi, trăgându-ne la loc în zona gri a practicilor obscure de care ne-am desprins cu greu în tranziţie, sub tutelajul strict al UE şi NATO? Dar există şi o versiune optimistă a poveştii: nu cumva odată cu anul 2020 s-a încheiat de fapt „Deceniul furiei şi indignării“?

 

 

Esential HotNews

Top articole

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro