bihon.ro Web analytics

Interviu cu Tudor Galoş, consultant în domeniul GDPR

Interviu cu Tudor Galoş, consultant în domeniul GDPR

<p>FOTO: ARHIVA PERSONALĂ</p>
Reactualizat la:
GDPR (General Data Protection Regulation), noul regulament privind protecţia datelor, a fost un subiect foarte discutat anul trecut. Cu toate acestea, există încă multă confuzie în cadrul companiilor din România și implicit din Bihor în cee ce priveşte acest subiect, atât de important. Pentru a clarifica câteva aspecte esenţiale, am discutat despre acest subiect cu Tudor Galoş, unul dintre cei mai buni și respectați consultanți în domeniul GDPR din România.
Scris de demeter1 - GDPR (General Data Protection Regulation), noul regulament privind protecţia datelor, a fost un subiect foarte discutat anul trecut. Cu toate acestea, există încă multă confuzie în cadrul companiilor din România și implicit din Bihor în cee ce priveşte acest subiect, atât de important. Pentru a clarifica câteva aspecte esenţiale, am discutat despre acest subiect cu Tudor Galoş, unul dintre cei mai buni și respectați consultanți în domeniul GDPR din România.

Jurnal Bihorean: Tudor, cum vezi tu problema GDPR la opt luni de la intrarea în vigoare?
Tudor Galoş: Deloc bine! GDPR rămâne o sperietoare invocată atât de către consultanți cât și de către autoritățile ce privesc GDPR-ul prin prisma amenzilor mari. GDPR însă nu este despre amenzi, este despre respectul prelucrării datelor cu caracter personal, este despre respectul față de viața privată a individului și despre respectul față de cel de lângă tine. Pe scurt, GDPR este despre respect – Give Data Proper Respect.

Cum ai explica pe scurt GDPR?
T.G. : GDPR înseamnă General Data Protection Regulation. Este un regulament al UE ce a intrat în vigoare pe 25 mai 2018 și care a înlocuit vechea lege de protecție a datelor cu caracter personal, legea 677/2001. Cele două legi sunt foarte asemănătoare, de aceea firmele care erau conforme cu cerințele legii precedente au fost în proporție de 80% conforme cu cerințele GDPR. Însă mai nimeni în realitate nu a respectat normele vechii legi. Legea nouă spune două lucruri simple: în general oamenii au drepturi, iar organizațiile au obligații. Nicio organizație nu are proprietate pe datele cu caracter personal. Organizațiile sunt custozi ai acestor date încredințate lor de către persoanele fizice. Aceste organizații trebuie să aibă grijă de aceste date, ce fac cu ele, cui le dau, de ce le dau, și să nu le piardă accidental sau datorită unui atac cibernetic. Oamenii au dreptul să își verifice datele încredințate, să ceară corectarea, ștergerea sau exportul lor, să ceară suspendarea temporară a prelucrării sau să obiecteze la prelucrarea datelor. Dacă organizațiile nu respectă drepturile oamenilor și nu își respectă obligațiile față de oameni vor primi amenzi mari. Foarte mari.

Care este nivelul de conformitate cu GDPR al firmelor din România?
T.G.: La Tudor Galoș Consulting avem peste 50 de proiecte de aliniere la normele GDPR. În România sunt cam 700 de mii de firme. Fiecare firmă trebuie să fie conformă cu normele GDPR, fără nicio excepție. Estimez că 10% din aceste firme au făcut ceva pentru a fi mai conforme cu GDPR, însă nici 1% nu au finalizat implementarea măsurilor tehnice și organizaționale necesare pentru a demonstra conformitatea. Vorbim de un risc uriaș ținând cont că anul 2019 va fi un an al amenzilor și al deciziilor radicale ale autorităților de supraveghere.

Apropo de amenzi, au fost date amenzi până acum?
T.G.: Dincolo de super-amenda dată lui Google, cea de 50 de milioane de EUR, și de amenda dată unui spital din Portugalia, de 400.000 de EUR vorbim de multe amenzi „mici” în zona 5.000 EUR – 20.000 EUR. De exemplu o firmă din Germania a suferit un atac cibernetic în urma căruia o parte din baza sa de clienți a fost furată. Firma a procedat la informarea autorității de supraveghere și la luarea măsurilor tehnice și organizaționale necesare și a informat persoanele vizate. Adică a acționat conform tuturor cerințelor. De aceea a și primit o amendă „mică” – 20.000 EUR. În România vorbim de mii de plângeri însă amenzi pe GDPR încă nu au fost anunțate. Nu am dubii ca vor veni curând, cu siguranță!

Ce beneficii are o firmă dacă se conformează normelor GDPR?
T.G.: Noi ajutăm clienții să se alinieze la normele GDPR prin intermediul transformării digitale: identificăm cultura organizației în ceea ce privește prelucrarea datelor cu caracter personal, identificăm toate prelucrările de date cu caracter personal din procesele de business existente și le optimizăm astfel încât ele să nu devină doar conforme ci și profitabile. Pe partea umană ajutăm angajații să înțeleagă pe limba lor ce înseamnă normele GDPR și ce trebuie să facă de acum înainte ca lucrurile să fie OK. Cel mai ușor este să implementezi măsuri de conformitate și să falimentezi datorită lor, de aceea focusul nostru este pe respectarea drepturilor oamenilor dar și pe creșterea profitabilității business-ului. Pe scurt prin conformarea la normele GDPR o firmă își optimizează business-ul, își poate crește profitul și se poziționează ca un partener de încredere la care datele oamenilor sunt respectate și în siguranță.

Orice firmă are nevoie de un angajat nou, un responsabil de protecția datelor sau DPO. Ce ne poți spune despre asta?
T.G.: Nu orice firmă are nevoie de un DPO, dar orice firmă are nevoie ca minim o persoană din firmă să poată răspunde cererilor persoanelor vizate și solicitărilor autorităților. Nimeni nu poate invoca necunoașterea legilor. Firmele care fac prelucrări de date cu caracter personal pe scară largă (sau a căror activitate principală este prelucrarea sistemică a datelor cu caracter personal), de exemplu au nevoie de DPO. De asemenea instituțiile statului au nevoie de DPO. Însă acest DPO poate fi externalizat prin intermediul unui contract de servicii. DPO-ul este la intersecția între jurist/avocat, IT-ist și om de business. Nu ai cum să conduci proiecte de conformitate la GDPR dacă nu cunoști legea și legislația în materie de protecție a datelor cu caracter personal, dacă nu cunoști aproximativ ce măsuri tehnice ar putea fi luate pentru protecția datelor și dacă nu cunoști business-ul pentru a putea identifica corect ce procese de business implică prelucrări de date cu caracter personal.

Care sunt paşii de urmat pentru a deveni DPO?
T.G.: Din cele circa 700.000 de firme din România, 90% nu au făcut aproape nimic pentru a se conforma la normele GDPR. Nu mai vorbim de numărul mare de Primării, Agenții ale Ministerelor etc. Există acum o cerere uriașă de specialiști în protecția datelor cu caracter personal. Odată ce primele amenzi vor veni, firmele vor încerca să angajeze urgent specialiști – chiar dacă vor fi sau nu DPO dedicați. În plus, vin noi legi cu impact în protecția datelor cu caracter personal, cum ar fi ePrivacy. Am avut clienți care erau în proceduri de vânzare a organizațiilor către organizații de afară și la care analiza due-diligence a arătat lipsa conformității cu normele GDPR. Automat prețul de achiziție scădea cu 20% sau chiar cu mai mult așa că se grăbeau să implementeze rapid alinierea la normele GDPR. Un DPO are nevoie să fie bine pregătit. Sunt nenumărate cursuri de protecție a datelor cu caracter personal la nivel global și în România. Împreună cu SC Corporactive Consulting SRL (unul dintre cele mai importante centre de formare profesionala din România) oferim un curs de pregătire DPO acreditat de către Autoritatea Naţională de Calificări, un curs de 60 de ore de pregătire teoretică și 120 de ore de practică. Cursul se bazează pe metodologia PBL – problem-based learning unde cursanții se vor lovi de studii de caz și simulări reale și unde vor fi nevoiți să lucreze în echipe pentru a le rezolva. DPO-ul nu are cum să își îndeplinească obiectivele de unul singur de aceea noi învățăm cursanții nu doar cum să coordoneze proiectele de conformitate la GDPR ci și cum să obțină resurse, cum să influențeze și cum să conducă echipe virtuale.

Cum și unde poate cineva participa la cursul de DPO?
T.G.: În acest moment avem deschise grupe de curs în Oradea, Cluj, București și Iași. Urmatoarea grupă se va deschide chiar la Oradea, la sediul Corporactive Consulting SRL, primul modul fiind programat pentru 21-24 februarie. Înscrierile se pot face la adresa: office@corporactive.ro

Ce ai recomanda firmelor din România?
T.G.: Dacă credeți că sunteți conformi cu normele GDPR, auditați-vă operațiunile să fiți siguri că nu v-a scăpat nimic. Faceți simulări de exercitare a drepturilor persoanelor vizate (data subject access requests) și de data breach. La un moment dat se vor întâmpla ambele și trebuie să fiți pregătiți. Dacă sunteți în mijlocul unui proiect de implementare fiți siguri că identificați toate prelucrările de date cu caracter personal și toate riscurile organizației. Dacă nu ați început, grăbiți-vă! Oricine vede un site fără măsuri de protecție de exemplu – soft de consimțământ pentru cookie-uri, certificat SSL, notificări de confidențialitate – poate să depună o plângere. Nu puteți transfera date cu caracter personal fără acorduri de prelucrare a datelor semnate. Trimiteți oamenii la cursuri, angajați consultanți și începeți acum. Mâine va fi prea târziu. Și tuturor le dau un ultim sfat: nu vă surprindeți persoanele vizate cu prelucrări de date-surpriză. Dacă persoana vizată se așteaptă la o anumită prelucrare scad enorm șansele de plângeri. Contează enorm așadar relațiile cu clienții, partenerii și cu angajații. Respectați-i și vă vor respecta!

Mulţumim, Tudor Galoş!

Despre calităţile şi abilităţile unui DPO

Companiile care prelucrează la scară largă date cu caracter personal trebuie să desemneze un responsabil cu protecţia datelor.

Regulamentul 679/2016, solicită ca operatorii şi împuterniciții să desemneze un responsabil cu protecţia datelor în cazul în care compania, autoritatea publică, agenția sau alt organism procesează date cu caracter personal ale persoanelor vizate la scară largă, sau dacă prelucrarea datelor cu caracter personal este activitatea de bază a acesteia. În cazul Inform Media, responsabil cu protecţia datelor este Teodora Avram. Acesta ne-a explicat

Cu ce se ocupa un DPO?

„Prin natura funcției și a împuternicirilor de care dispune, un DPO deține o poziție centrală, cu rol strategic, într-o organizație. DPO furnizează și menține documentația necesară pentru a demonstra conformitatea cu legislația, definește politicile de prelucrare a datelor, procedurile, șabloanele și formularele şi se asigură că acestea sunt actualizate”, a precizat Teodora Avram. Cu alte cuvinte, un DPO sau un responsabil cu protecţia datelor informează şi consiliază personalul companiei cu privire la obligaţiile la prelucrarea datelor cu caracter personal.

Totodată, acesta deţine şi menţine registrul de operaţiuni de prelucrare a datelor pe baza informaţiilor furnizate de către departamentele din cadrul companiei care sunt responsabile pentru prelucrarea datelor cu caracter personal, consiliază compania în ceea ce priveşte notificările de confidenţialitate pentru persoanele vizate la punctul de colectare a datelor lor cu caracter personal, monitorizează respectarea politicii interne de protecţie a datelor societăţii, împreună cu asigurarea respectării oricăror altor documente interne referitoare la protecţia datelor.

DPO trebuie să aibă cunoștințe de specialitate privind legislația și practicile privind protecția datelor, de aceea trebuie să beneficieze de toate condițiile și tot suportul organizației pentru a avea acces la cele mai performante resurse de instruire. „Cu siguranță studiile juridice sunt un mare avantaj. O persoană organizată, ambițioasă, dornică de se informa și a învăța zi de zi, sunt trăsături pe care eu consider că un DPO trebuie să le aibă”, susţine responsabilul cu protecţia datelor de la Inform Media.

Curs bine structurat

Teodora Avram a fost cursantul lui Tudor Galoş şi ne-a împărtăşit câteva impresii despre cursul pe care l-a urmat. „A fost un curs foarte bine structurat, care a avut un formator excelent, din punctul meu de vedere. De ceva timp urmăream tot ceea ce ține de Regulamentul European 679 din 2016, cursuri, webinarii, firme care organizau cursuri de GDPR și DPO. Când am aflat că la Oradea se va organiza cursul de DPO, acreditat de catre Autoritatea Națională pentru Calificări, pe parcursul mai multor zile, respectiv module, inclusiv cu zile dedicate exercițiilor de GDPR, avându-l pe Tudor Galoș ca trainer, am fost încântată. Mereu l-am considerat ca fiind cel mai bine pregăti trainer, la acest capitol, GDPR, un expert mai exact”, apreciază Teodora Avram. Regulamentul European 679/2016 este un regulament complex, iar pentru a înțelege ce presupune modul de gestionare și prelucrare a datelor cu caracter personal, trebuie tratat fiecare articol în parte, cu multă seriozitate, lucru care consider că este imposibil la un curs cu o durată de doar o zi.

Teodora Avram @ FOTO: DAN BIRTA

„Cunoștințele și experiența lui Tudor și-au spus cuvântul, iar noi toți, la final, am înțeles ce reprezintă de fapt acest regulament, și ce anume avem de făcut în calitate de ofițeri de protecție a datelor cu caracter personal, pentru a ne alinia normelor europene existente. Tudor are calități didactice și reușește să te facă să înțelegi lucruri care înainte îți erau «în ceață»”, conchide Teodora Avram.

0 Comentarii

Your email address will not be published. Required fields are marked *

inca 1000 caractere ramase

Citiți principiile noastre de moderare aici!

    BIHON Ştirile judeţului Bihor

    SAF ELECTRIC CANDELABRE – peste 800 de modele de corpuri de iluminat!
    Lăsați-vă cuceriți de cele mai elegante modele de candelabre, corpuri de iluminat și lustre în toate stilurile: clasice, cu look industrial, vintage, organic sau fusion.

    BIHON Ştirile judeţului Bihor

    Șoc în lumea sportului bihorean! Fostul karateka Piski Lajos Arnold a murit la doar 28 de ani!
    O veste șocantă a lovit marți sportul bihorean. Fostul campion la karate, Piski Lajos Arnold a murit la doar 28 de ani! 8

    BIHON Ştirile judeţului Bihor

    Tânăr de 20 de ani din Oradea, dispărut de acasa. Tânărul a fost găsit
    Tânărul de 20 de ani din Oradea, dat dispărut marți a fost găsit! 1

    BIHON Ştirile judeţului Bihor

    Patru tineri, care au spart un magazin din Ineu, prinși după mai bine de 2 ani
    Patru tineri din Ineu, bănuiți de săvârșirea infracțiunii de furt calificat, au fost identificați luni, 17 februarie, de polițiștii Secției nr.5 de Poliție Rurală Oradea – Postul de Poliție Ineu.

    BIHON Ştirile judeţului Bihor

    Orădean, fără permis pentru că a călcat prea tare pedala de accelerație
    Un orădean, în vârstă de 57 de ani, a rămas luni fără pemis după ce a fost prins circulând cu 117 km/h în localitate

    Mapamond

    Orange Money intră în competiție directă cu Revolut
    Orange Money lansează opţiunea de transferuri valutare în aplicaţia mobilă. Prin această aplicație, practic, Orange intră în competiție cu Revolut, pe piața românească. 1

    Bihon.ro logoPentru noi, confidențialitatea Dvs. este importantă

    Noi și partenerii noștri utilizăm tehnologii, cum ar fi modulele cookie, și vă procesăm datele cu caracter personal, precum adresele IP și identificatorii cookie, pentru a personaliza anunțurile publicitare și conținutul în funcție de interesele dvs., pentru a măsura eficiența anunțurilor și a conținutului și pentru a obține informații despre publicul care a văzut anunțurile și conținutul. Faceți clic mai jos pentru a vă da consimțământul privind utilizarea acestei tehnologii și procesarea datelor dvs. cu caracter personal în aceste scopuri. Vă puteți răzgândi și puteți schimba opțiunile în orice moment, revenind la acest site.