RGPD și certificarea în conformitate cu ISO27001

/in , , /by

Ce este ISO / IEC 27001?

Standardul ISO/IEC 27001:2013 este un standard internațional de securitate a informației și constă într-o specificație pentru sistemul de management al securității informației (SMSI).

Structura standardului include:

  1. Domeniul de aplicare a standardului,

  2. Modalitatea în care se efectuează referințe în documente,

  3. Reutilizarea termenilor și definițiilor din ISO/IEC 27000,

  4. Context organizațional și părțile interesate,

  5. Sprijin la nivelul cel mai înalt al conducerii pentru securitatea informației și politica organizației,

  6. Planificarea unui sistem de management al securității informației; evaluarea riscurilor; tratarea riscului,

  7. Sprijinirea unui sistem de management al securității informației,

  8. Realizarea unui sistem de management al securității informației operaționale,

  9. Revizuirea performanței sistemului,

  10. Acțiune corectivă.

Prin ce poate ajuta certificarea ISO27001

Elementele relevante ale standardului ISO27001 care pot ajuta companiile să faciliteze implementarea RGPD sunt următoarele:

  • evaluarea riscurilor;

  • conformitatea;

  • înștiințarea privind încălcarea protecției datelor;

  • managementul datelor cu caracter personal;

  • abordarea privacy by design;

  • protejarea datelor personale în relația cu furnizorii.

Certificarea în conformitate cu ISO / IEC 27001 nu este suficientă

Cu toate că ISO27001 ajută la implementarea RGPD, există unele cerințe ale regulamentului care nu sunt acoperite în mod direct de acest standard, cum ar fi dreptul persoanelor vizate:

  • de a fi informate asupra colectării;

  • la ștergerea datelor;

  • la portabilitatea datelor.

Prin urmare, chiar dacă un operator deține certificarea în conformitate cu ISO / IEC 27001, aceasta nu înseamnă că activitatea sau organizarea acestuia este în conformitate cu prevederile RGPD.

RGPD și notificarea activităților de prelucrare

/in /by

Mai este sau nu necesară notificarea activităților de prelucrare a datelor la autoritățile locale de protecție a datelor?

Deși această problemă nu ar fi trebuit să existe, am auzit destul de multe opinii conform cărora după intrarea în vigoare a RGPD va continua să existe obligația de notificare a prelucrării datelor cu caracter personal de către operatori.

Este de notorietate faptul că unul dintre avantajele aduse de RGPD este eliminarea procedurii de notificare a activităților de prelucrare a datelor la autoritățile locale de supraveghere.

Cu toate acestea, așa cum arătam mai sus, în cadrul unor conferințe având ca temă aplicarea RGPD s-a afirmat că notificarea autorității nu este eliminată. Am auzit păreri și mai uimitoare cum ar fi aceea că această notificare ar fi cu atât mai necesară cu cât se prevede clar în RGPD obligația de a notifica autoritatea în anumite cazuri, cum ar fi notificarea în caz de încălcare a securității datelor.

Obligația de notificare în considerentele RGPD.

În cuprinsul considerentelor 89 și 90 din RGPD se propune abrogarea obligației generale de notificare și înlocuirea acesteia cu proceduri și mecanisme eficace care să pună accentul pe acele tipuri de operațiuni de prelucrare susceptibile să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. Prin urmare, se arată că ar fi mai bine ca operatorul să efectueze, înainte de prelucrare, o evaluare a impactului asupra protecției datelor. Această evaluare ar trebui să includă, în special, măsurile, garanțiile și mecanismele avute în vedere pentru atenuarea riscului respectiv, pentru asigurarea protecției datelor cu caracter personal și pentru demonstrarea conformității cu RGPD.

Înlocuirea obligației de notificare cu evaluarea de impact și păstrarea evidenței interne.

Prevederile de mai sus au fost concretizate în RGPD la art. 35 unde se menționează în mod expres faptul că mai înainte de prelucrare este nevoie să se facă o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. De asemenea, eliminarea notificării a dus la reglementarea obligației operatorului de a păstra o evidență a activităților de prelucrare desfășurate sub responsabilitatea acestuia, obligație prevăzută de art. 30 din RGPD.

Având în vedere prevederile invocate, putem concluziona că notificarea activităților de prelucrare a datelor personale la autoritățile locale din domeniu  nu mai este necesară după intrarea în vigoare a RGPD.

DPO – Independență. Conflict de interese

/in , , /by

Am scris pe acest blog despre nivelul de expertiză și calitățile profesionale ale responsabilului cu protecția datelor. Pe lângă aceste aspecte, este foarte important de știut că responsabilul cu protecția datelor trebuie să fie independent și să nu se afle în conflict de interese.

Prevederile legale din RGPD

Astfel, în cuprinsul considerentului nr. 97 se prevede că „Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.”

În ceea ce privește conflictul de interese, articolul nr. 38 alin. (6) precizează că atribuțiile responsabilului cu protecția datelor trebuie să nu genereze un conflict de interese în situația în care acesta îndeplinește și alte sarcini și atribuții în cadrul organizației.

Având în vedere aceste prevederi, se pune următoarea întrebare: cum ne putem da seama că responsabilul cu protecția datelor este independent și deci, nu se află în conflict de interese?

Lămuriri ale Grupului de lucru „Articolul 29”

Regulamentul nu oferă astfel de exemple. Pentru astfel de situații, șa cum ne-am obișnuit, Grupul de lucru „Articolul 29” ne oferă unele indicii precizând că nu sunt candidați potriviți pentru poziția de DPO persoanele cu funcții de conducere superioare, cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

Mai mult, se arată că un conflict de interese poate apărea de exemplu, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.

Practica Autorității pentru Protecția Datelor din Bavaria pentru sectorul privat

Deși ne oferă unele indicii despre cum să procedăm la numirea responsabilului cu protecția datelor, opinia Grupului de lucru „Articolul 29” este orientativă, autoritățile de supraveghere putând avea o opinie mai restrictivă. De exemplu, Autoritatea pentru Protecția Datelor din Bavaria pentru sectorul privat a precizat într-un raport de activitate că membrii departamentului juridic pot, în anumite cazuri, să fie în conflict de interese care să îi descalifice să acționeze ca DPO. Conform celor menționate în raport, în cazul în care consilierul juridic poate reprezenta societatea într-o procedură legală (în special în ceea ce privește acțiunile în justiție împotriva angajaților sau a clienților, care pot include aspecte legate de protecția datelor personale), consilierul juridic este supus unui conflict de interese și, prin urmare, nu este independent.

În practică se pot întâlni o multitudine de situații care pot fi asimilate ca situații de incompatibilitate sau conflict de interese. Rămâne să vedem și punctul de vedere al ANSPDCP atunci când va fi exprimat.

RGPD. Informarea persoanei vizate – principalele puncte de atins

/in , , /by

Ca și în legislația actuală din materia protecției datelor personale, prin RGPD s-a prevăzut obligația informării persoanei vizate la momentul preluării consimțământului său cu privire la numeroase aspecte. Însă spre deosebire de prezent, RGPD subliniază o importanță crescută a acestei informări și instituie informații suplimentare de comunicat către cei cărora operatorii le prelucrează datele.

1. Informații despre prelucrarea datelor: scop, temei, perioadă, transfer

Operatorii trebuie să ofere persoanelor vizate detalii cu privire la scopul prelucrării și temeiul prelucrării (dacă acesta nu este consimțământul, dar este de exemplu un contract). Dacă operatorul dorește să folosească datele în alt scop decât cel inițial, el trebuie să informeze persoana vizată și să îi ceară consimțământul, dacă este necesar.

De asemenea, trebuie comunicate informații cu privire la perioada prelucrării și ce se întâmplă cu datele la finalul acesteia, dar și cu privire la logica de prelucrare automată a datelor.

În situația în care datele sunt transferate și unei alte persoane, această informație trebuie adusă la cunoștința persoanei vizate, împreună cu motivul transferului și identitatea destinatarului lor.

2. Drepturile persoanei vizate

Este foarte important ca persoanei vizate să i se comunice drepturile pe care le are conform legislației, iar dintre acestea amintim: dreptul de acces la date, de rectificare a lor, de ștergere a acestora, de a se opune prelucrării, de portabilitate a datelor, de a fi informată cu privire la încălcări ale legii.

Mai multe despre drepturile persoanei vizate vom scrie într-un articol ulterior, dată fiind importanța lor semnificativă,

3. Dreptul de a se opune prelucrării în scop de marketing direct

Regulamentul dă o importanță sporită prelucrării datelor în scop de marketing direct și creării de profiluri legate de marketingul direct, instituind obligația de a informa separat și în mod expres persoana vizată că are dreptul de a se opune la o astfel de prelucrare și creare de profiluri.

Totodată, trebuie informate persoanele vizate despre consecințele prelucrării, în special dacă prelucrarea se bazează pe crearea de profiluri.

4. Dreptul de a formula plângeri și cereri. Datele de identificare ale operatorului și autorității naționale

Persoana vizată trebuie să știe că are dreptul de a formula plângere împotriva modului în care i se prelucrează datele ori împotriva oricărei acțiuni ce încalcă RGPD. Plângerea se poate înainta atât operatorului, cât și autorității naționale.

De asemenea, persoana vizată are dreptul de a formula cereri în exercitarea drepturilor sale prevăzute la punctul 2.

Operatorul trebuie să răspundă oricărei cereri sau plângeri primite de la persoana vizată în maximum o lună, conform RGPD.

Operatorul trebuie să informeze persoana vizată cu privire la datele sale de identificare și de contact, dar și cu privire la datele de identificare și de contact ale autorității naționale – în cazul nostru Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Excepții de la obligativitatea informării

RGPD prevede și excepții de la obligativitatea informării persoanelor vizate cu privire la cele de mai sus în următoarele cazuri:

  1. persoanele vizate dețin deja informațiile respective;
  2. înregistrarea sau divulgarea datelor e prevăzută în mod expres de lege;
  3. informarea persoanelor vizate se dovedește imposibilă;
  4. informarea persoanelor vizate ar implica eforturi disproporționate.

Nu lăsați pe ultima sută de metri implementarea măsurilor prevăzute de RGPD, așa că ne puteți contacta aici pentru mai multe detalii.

Activitatea de creare de programe pentru calculator. Lista ocupațiilor scutite de la plata impozitului pe veniturile din salarii

/in , , /by

Începând cu data de 1 februarie 2018 intră în vigoare Ordinul nr. 1168/2017 / 492/2018 / 3024/2018 / 3337/2017 privind încadrarea în activitatea de creare de programe pentru calculator.

Conform acestui act normativ vor beneficia de scutire de la plata impozitului pe veniturile din salarii și asimilate salariilor angajații operatorilor economici care își desfășoară activitatea pe teritoriul României în conformitate cu legislația în vigoare, al căror obiect de activitate include crearea de programe pentru calculator (cod CAEN 5821, 5829, 6201, 6202, 6209).

Condiții pentru a beneficia de scutire

Pentru ca scutirea să se poată aplica trebuie să fie îndeplinite cumulativ următoarele condiții:

a) posturile pe care sunt angajați corespund listei cuprinzând ocupațiile menționate în anexa ordinului;

b) postul face parte dintr-un compartiment specializat de informatică, evidențiat în organigrama angajatorului, cum ar fi: direcție, departament, oficiu, serviciu, birou, compartiment sau altele similare;

c) angajații dețin o diplomă acordată după finalizarea unei forme de învățământ superior de lungă durată sau de scurtă durată sau dețin o diplomă acordată după finalizarea ciclului I de studii universitare de licență, eliberată de o instituție de învățământ superior acreditată sau dețin o diplomă de bacalaureat și urmează cursurile unei instituții de învățământ superior acreditate și prestează efectiv una dintre activitățile prevăzute în anexa ordinului;

d) angajatorul a realizat în anul fiscal precedent și a înregistrat distinct în balanțele analitice venituri din activitatea de creare de programe pentru calculator destinată comercializării;

e) veniturile anuale prevăzute la lit. d) au o valoare de cel puțin echivalentul în lei a 10.000 euro (calculat la cursul de schimb valutar mediu lunar comunicat de Banca Națională a României, aferent fiecărei luni în care s-a înregistrat venitul) pentru fiecare angajat care beneficiază de scutirea de impozit pe venit.

Lista cu ocupațiile specifice activităților de creare de programe pentru calculator.

Ocupațiile specifice activităților de creare de programe pentru calculator prevăzute în anexa ordinului sunt următoarele:

  • Administrator baze de date
  • Analist
  • Inginer de sistem în informatică
  • Inginer de sistem software
  • Manager de proiect informatic
  • Programator
  • Proiectant de sisteme informatice
  • Programator de sistem informatic
  • Programator ajutor
  • Analist ajutor

Față de scutirea de impozit a programatorilor din trecut, noutatea acestui ordin constă în includerea printre beneficiari și a celor care au absolvit liceul, au obținut diploma de bacalaureat, urmează cursurile unei facultăți din domeniul programării pe calculator și lucrează pe unul din posturile menționate mai sus.

DPO – Nivelul de expertiză și calitățile profesionale

/in /by

Conform RGPD în anumite cazuri operatorii de date personale trebuie să-și numească un „responsabil cu protecția datelor personale” (Data Protection Officer – DPO). Mai multe despre acest subiect puteți găsi aici.

Din păcate, Regulamentul reglementează sumar DPO-ul, făcând astfel dificilă stabilirea condițiilor pe care trebuie să le întrunească persoana care dorește să fie DPO.

DPO – reglementarea din RGPD

La art. 37 alin. (5) din RGPD se arată că „Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39.”

Aceasta înseamnă că responsabilul cu protecția datelor personale trebuie să cunoască cel puțin legislația privind datele personale și procedurile aferente acestui domeniu (guvernanța informațiilor și securitate cibernetică). Mai mult, ținând cont de atribuțiile sale (informare și consiliere a operatorului), responsabilul cu protecția datelor personale trebuie să aibă acces la nivelul de top management.

Prin urmare, un DPO trebuie să aibă competențele și experiența combinată a unor roluri tipice separate, cum ar fi un manager, avocat și specialist IT.

Recomandarea Grupului de lucru „Articolul 29”

Conform Ghidului Grupului de lucru „Articolul 29” aptitudinile și expertiza relevante includ:

  • experiență în legislația și practicile de protecție a datelor la nivel național și european;

  • o înțelegere complexă a RGPD;

  • înțelegerea operațiunilor de prelucrare efectuate;

  • înțelegerea tehnologiilor de informații și de securitate a datelor;

  • cunoașterea sectorului de afaceri și a organizației;

  • abilitatea de a promova protecția datelor în cadrul organizației.

Totodată, Grupul de lucru „Articolul 29” recomandă ca autoritățile de supraveghere să promoveze o formă adecvată și regulată pentru DPO. În consecință vom aștepta punctul de vedere al A.N.S.P.D.C.P.

Menționăm, de asemenea, că la acest moment autoritatea națională din România nu oferă traininguri pentru DPO și deși această ocupație a fost introdusă de curând în Clasificarea Ocupațiilor din România, nu au fost emise norme care să prevadă calificările minime necesare pentru ca o persoană să poată ocupa această funcție.

În același timp, atragem atenția că nicio entitate care susține că oferă traininguri de calificare a unui DPO nu emite certificări sau diplome recunoscute de autoritatea națională în domeniu.

O nouă victorie împotriva Kruk și un nou punct slab al societății de recuperări creanțe

/in /by

Anul 2018 a început cum nu se poate mai bine: cu o victorie în instanță.

Astfel, la început de an l-am reprezentat pe unul dintre clienții noștri în fața instanței de judecată într-un proces de contestație la executare silită, executare începută de compania de recuperări creanțe Kruk România (în reprezentarea companiei Secapital S.A.R.L.).

Studiind întâmpinarea formulată de compania de recuperări am observat ceva ciudat, respectiv faptul că semnătura aplicată pe întâmpinare părea a fi nenaturală. Așa am constatat că nu numai că era nenaturală, dar ea nu era reală. Ceea ce părea a fi o semnătură era în fapt aplicarea unei semnături scanate pe ultima pagină a întâmpinării.

Astfel, am invocat în fața instanței de judecată acest aspect, iar aceasta a constatat pe loc faptul ca semnătura era formată din pixeli și nu din cerneală, astfel încât a anulat întâmpinarea ca fiind nesemnată. Ca atare, compania de recuperări a fost decăzută din toate drepturile conferite de lege ce puteau fi exercitate numai prin întâmpinare și anume din dreptul de a mai propune probe sau a mai invoca excepții.

Prin urmare, invităm toți debitorii care se judecă în instanță cu societățile de recuperare creanțe, în special Kruk România, să analizeze aspectul semnăturii aplicate pe documentele emise de acestea, deoarece orice document nesemnat corespunzător este unul nul.

Cunoaștem cu toții că la astfel de societăți se lucrează la foc continuu, pentru ele fiind importantă cantitatea, iar nu calitatea lucrărilor, astfel încât pentru a mai diminua din timpul petrecut cu ele probabil au născocit această variantă, sperând că nu va verifica nimeni.

Și totuși, iată că noi am verificat și suntem mândri să fi câștigat o nouă bătălie împotriva Kruk România.

Vă așteptăm și pe dvs. la noi pentru a discuta despre problemele cu care vă confruntați și pentru a găsi împreună calea spre succes! Ne puteți contacta aici.