Soluții

Cum reusește o întreprindere să colecteze, stocheze și să dezvăluie numai tipul/volumul de date necesare?

În era digitală în care trăim, datele reprezintă o resursă extrem de valoroasă pentru majoritatea întreprinderilor. De la datele privind clienții și angajații, la datele financiare și de marketing, companiile colectează o varietate de informații care îi ajută să își optimizeze operațiunile și să ia decizii mai bune în ceea ce privește strategia lor de afaceri.

Cu toate acestea, există riscul ca o întreprindere să colecteze, să stocheze sau să dezvăluie prea multe date, ceea ce poate avea consecințe negative pentru securitatea datelor și pentru reputația companiei. În acest sens, este important ca întreprinderile să aibă politici clare în ceea ce privește colectarea, stocarea și dezvăluirea datelor.

Pentru a colecta numai tipul și volumul de date necesare, o întreprindere trebuie să aibă o strategie clară în ceea ce privește obiectivele sale de afaceri și să înțeleagă ce informații sunt cu adevărat importante pentru a le atinge. Este important să se stabilească criterii clare în ceea ce privește colectarea datelor și să se lucreze cu furnizorii de date de încredere, astfel încât să se minimizeze riscul colectării de date inutile sau nejustificate.

Există mai multe modalități prin care o întreprindere poate colecta, stoca și dezvălui numai tipul și volumul de date necesare. In cele ce urmeaza voi atașa câteva sugestii:

[mai mult...]

La ce trebuie să fie atent un utilizator normal în privința politicii GDPR în online sau offline?

Ce înseamnă GDPR?

Pe scurt, GDPR sau Regulamentul General de Protecție a Datelor Personale se referă la un set de reguli care sunt folosite pentru a reglementa securitatea și confidențialitatea datelor cu caracter personal. Aceste reguli au fost stabilite de către Comisia Europeană și se aplică direct în toate statele membre ale Uniunii Europene.

GDPR a fost elaborat pentru a se asigura că cetățenii UE au mai mult control asupra datelor lor personale într-o lume din ce în ce mai digitală. În ultimul an, acest lucru a dus la: Mail-uri: cutia poștală a cetățenilor a fost inundată cu e-mailuri care au inclus o companie și-a adaptat declarația de confidențialitate. Cetățeanul s-a abonat la buletinul informativ al companiei și cetățeanul trebuie să ia măsuri afirmative pentru a continuă să primească buletinele informative.

GDPR devine deja un punct de referință în legile privind confidențialitatea. Anul trecut, a avut loc o conferință internațională a autorităților de protecție a datelor din care mai multe țări și-au indicat intenția de a introduce legi asemănătoare GDPR în țara lor. Deja, Brazilia, Japonia și statul California din SUA au adoptat noi legi privind confidențialitatea. 

[mai mult...]

Cum automatizăm în cazul GDPR oferirea de detalii suficiente persoanelor fizice în vederea înțelegerii algoritmului a luarea deciziilor?

Regulamentul General privind Protecția Datelor (GDPR) prevede că persoanele fizice au dreptul de a fi informate cu privire la prelucrarea datelor lor cu caracter personal și de a primi detalii suficiente pentru a putea înțelege algoritmul de luare a deciziilor care le afectează. În cazul în care o organizație utilizează un astfel de algoritm, trebuie să se asigure că persoanele vizate sunt informate cu privire la acesta și că au acces la informații suficiente pentru a putea înțelege cum funcționează algoritmul și cum sunt luate deciziile care le afectează.

Pentru a automatiza oferirea de detalii suficiente persoanelor fizice în vederea înțelegerii algoritmului de luare a deciziilor, organizația poate utiliza diverse metode și tehnologii. Iată câteva dintre acestea:

[mai mult...]

What are the procedures regarding requests for confidential data, powers of attorney and legal obligations?

Summary and introduction

In terms of requests for confidential data, organizations should have a clear process for verifying the identity of the requester, ensuring the request is legitimate, and verifying that the requester has proper authorization to access the confidential data. This may involve verifying government-issued identification, confirming the requester’s employment or affiliation with the organization, and verifying that the request is in line with the organization’s privacy policy. The organization may also have to consider the sensitivity of the information being requested and determine whether it can be disclosed under the applicable laws and regulations.

For powers of attorney, it is important to verify the identity of the person making the request and ensure that the request is legitimate. This may involve checking government-issued identification, confirming the requester’s relationship to the person granting the power of attorney, and verifying that the power of attorney document is in order. The organization should also determine the scope of the power of attorney and ensure that the requester has the proper authorization to act on behalf of the person granting the power of attorney.

With regards to legal obligations, organizations must comply with the applicable laws and regulations regarding the protection of confidential data and the provision of information in response to legal requests. This may involve having a clear process for responding to subpoenas, search warrants, and court orders, which may require legal review and coordination with outside counsel. Organizations should also have a clear process for protecting the confidentiality of the information being provided and ensuring that only authorized personnel have access to the information.

In terms of protection against bad actors, organizations should implement strong security measures, such as encryption, access controls, and regularly monitoring for suspicious activity. Organizations should also regularly conduct security assessments to identify vulnerabilities and implement remediation measures to address any identified security weaknesses. In addition, organizations should have clear policies and procedures in place for handling sensitive information, responding to requests, and protecting against unauthorized access. Employee training and awareness programs can also play an important role in promoting secure handling of confidential data and reducing the risk of security breaches.

Here is the information about confidential data, powers of attorney and legal obligations:

Requests for confidential data, powers of attorney, and legal obligations are sensitive and important matters in any organization, whether it be a business, government agency, or non-profit organization. The procedures for handling such requests will vary depending on the jurisdiction, laws, and regulations of the organization, but some general principles and best practices can be outlined.

Requests for Confidential Data: Confidential data is any information that is classified as private or sensitive and is protected by law. Requests for confidential data should be handled carefully and in accordance with applicable privacy laws and regulations. The organization should have a clear process for handling such requests, including verifying the identity of the requester, ensuring that the request is legitimate, and verifying that the requester has the proper authorization to access the confidential data.

Powers of Attorney: A power of attorney is a legal document that gives someone the authority to act on behalf of another person. The procedures for handling requests for powers of attorney will vary depending on the type of power of attorney and the laws and regulations of the jurisdiction. In general, it is important to verify the identity of the person making the request, ensure that the request is legitimate, and make sure that the requester has the proper authorization to act on behalf of the person granting the power of attorney.

Legal Obligations: Organizations have legal obligations to protect confidential data and respond to legal requests, such as subpoenas, search warrants, and court orders. The procedures for handling legal requests will vary depending on the jurisdiction and the type of request, but it is important to follow the law, respond to the request in a timely manner, and take steps to protect the confidentiality of the information being provided.

To protect against bad actors, organizations should implement strong security measures and follow best practices for data privacy and protection. This may include using encryption, implementing access controls, regularly monitoring for suspicious activity, and conducting regular security assessments to identify vulnerabilities. Additionally, organizations should have clear policies and procedures in place for handling sensitive information, responding to requests, and protecting against unauthorized access.

[mai mult...]

Ce inseamna (DPO) Data Protection Officer in GDPR si recomandarile de baza

GDPR a intrat in vigoare la data de 25 mai 2018

  • Este un nou set de reguli si directive prin care Consiliul European, Comisia Europeana si Parlamentul European au unificat legislatia care priveste securitatea datelor noastre personale.
  • Acest act unic de protectie a datelor a presupus schimbari majore in toate legile de confidentialitate de pe teritoriul Europei care a inlocuit vechea “Directiva privind Protectia Datelor”

Oriunde te-ai afla în lume, daca vinzi bunuri cetățenilor UE sau le procesezi datele personale, trebuie sa te conformezi GDPR. fie că opereaza pe teritoriul UE sau nu, aplicandu-se atat societatilor comerciale cat si institutiilor publice.

  • Una dintre obligatiile cuprinse în Regulamentul general privind protecţia datelor este desemnarea unui Responsabil cu protectia datelor (DPO) Data Protection Officer.

Rolul principal al unui Responsabil este acela de a asista si sfatui “Împuternicitul Operatorului de date” cu privire la conformitatea cu Regulamentul, si de a se asigura de aplicarea prevederilor în cadrul institutiei. Este obligat sa tina un registru cu toate activitatile de prelucrare a datelor desfasurate de companie, care implica date personale.

  • Registrul trebuie să includa informatii explicative legate de scopul activitatilor de prelucrare, iar acestea trebuie sa fie accesibile pentru oricine.
  • Responsabilii cu protecţia datelor sunt desemnati de catre operatorii de date si împuternicitii acestora în situatia în care acestia sunt o autoritate publica, activitatile lor necesita monitorizarea regulata a persoanelor vizate , atunci când informatia contine date sensibile cum ar fi infractiuni.
  • Acestia trebuie să aiba un anumit grad de independenta în cadrul organizatiei si sunt legatura dintre aceasta si autoritatea de supraveghere sau persoanele vizate, uneori apelandu-se la terti prin externalizarea acestui serviciu.

Contraventii privind incalcarea GDPR

In cazul contraventii GRPR-ului exista doua abordari in functie de gravitatea, durata si natura incalcarii :

 Nivelul 1) 2 % din cifra de afaceri globala sau 10 milioane de euro alegandu-se care este mai mare

  •   Compania  nu a avut desemnat un GPO
  •   Compania  nu a avut un grad de securitate adecvata
  •  Nu a fost stabilit un acord de prelucrare a datelor

Nivelul 2 ) 4 % din cifra de afaceri globala sau 20 de miloane de euro, alegandu-se care este mai mare

  • Cand s-au incalcat drepturile persoanelor vizate
  • Pentru transferuri internationale neconforme
  • Pentru incalcarea principiilor de prelucrare a datelor

Pentru a respecta GDPR in 3 pasi simpli:

1 ) Utilizarea tutoror produselor software cu licenta, windows, office si altele actualizate la ultima versiune, cu posibilitatea de criptare a bazelor de date in cazul softurilor de gestiune, cu backup automat  si cu acces autorizat  limitat ca durata, in functie de utilizator.

2) Componentele hardware sa nu fie mai vechi de 5 ani, sa fie redundante, sa se evite alterarea sau pierderea de date din cauza erorilor fizice a echipamentelor.

Regula 3-2-1 presupune să pastrezi cel puțin :

  • 3 copii ale datelor  pe / in  (SSD, HDD, Cloud)
  • 2 copii de rezervă sa fie stocate pe diferite medii ( DVD, Tape )
  • 1 dintre ele amplasat în afara locației ( recomandat intr-o zona de backup  “Disaster Recovery”

Utilizarea unei solutii de securitate complexe profesionale constand in antivirus + firewall, nu solutii gratuite!

3)   Analiza fluxurile interne si evidentierea zonele care necesita in mod specific atentie pentru protectia datelor

  •  Informarea angajatilor, clientilor sau pacientilor cu privire la prelucrarea datelor personale
  • Semnarea de conventii privind prelucrarea datelor cu caracter personal cu toate entitatile implicate in schimburile de date sau care au acces la datele afacerii dumneavoastra.
  • Informarea periodica a modificarilor ce se aduc in legislatia GDPR.
[mai mult...]