• GDPR Protect
  • 64 Întrebări și răspunsuri cu exemple
  • Ce trebuie sa stim despre GDPR ?
• Cursuri
  • Calendarul de cursuri
  • Formular de inscriere
  • Tematica cursului
• Consultanta
  • Cui se adreseaza ?
  • Program „GDPR 365”
• Resurse
  • Regulament – limba romana
  • Garantarea vieții private a murit ! Poate GDPR-ul să o reanimeze ?
  • A fost publicata o RECTIFICARE la Regulamentul (UE) 2016/679
  • Responsabilul cu protecţia datelor cu caracter personal
  • A aparut standardul ocupational pentru DPO
  • Este obligatoriu a desemna un DPO în unități farmaceutice? – punct de vedere juridic
• SOLICITARE OFERTA
• Contact

Începând cu data de 25 mai 2018 a intrat în vigoare Regulamentul 679/2016 cunoscut sub numele de GDPR. Această nouă lege nu aduce o revoluție în domenul protecției datelor, fiind mai degrabă o evoluție naturală în contextul procesului de digitalizare. Am putea spune chiar că “legislația aleargă după tehnologie” și era nevoie de o legislație unitară la nivel European, care să apere interesul cetățenilor în ceea ce privește informarea, transparența și asigurarea conștientizării și consimțământului asupra prelucrării datelor cu caracter personal.

România este ţara unde internetul este mai accesibil decât apa curentă. 38% dintre gospodăriile din ţară au WC în curte, în timp ce media europeană este de 2.7%. Numai 6 din 10 agricultori au o maşină de spălat. 62% dintre ţăranii români nu au o baie în casă, cu o chiuvetă sau un duş, iar 72% dintre ei au toaletă în fundul grădinii. Aşa se face că pentru aproximativ jumătate dintre români, toaleta în condiţii civilizate rămâne un lux de neatins.

Cu toate acestea, două din trei gospodării au un computer acasă, iar circa 68% au internet, în creștere cu 3,6% puncte procentuale în 2017 față de 2016, conform unui studiu publicat de Institutul Național de Statistică (INS). Mai mult, românii achziţionează produse IT şi articole de modă direct de pe telefonul mobil la fel de mult ca britanicii, în condiţiile în care rata de penetrare a smartphone-ului în rândul populaţiei de peste 16 ani a trecut de 70%.

Utilizatorii de internet din România petrec aproape 280 de minute zilnic online, 84% din utilizatori accesează internetul zilnic, mai exact 8 milioane de români, principalele lor teme de interes fiind ştirile, muzica, informaţiile din domeniul medical şi cele din zona culturală, potrivit Biroului Român de Audit Transmedia (BRAT).

Îngrijorător este faptul că, din ce în ce mai mulți români apelează la Dr. Google ( informații postate de pacienți și neprofesioniști pe forumuri, rețele de socializare, bloguri)  pentru a doua opinie,  crescând și mai mult lipsa de încredere în sistemul sanitar românesc și analizând “corectitudinea” fiecărui diagnostic sau schemei de tratament din prisma experienței altor pacienți.

Conștientizarea și educația, soluții pentru progres

Dacă ar fi fost să conștientizăm cu adevărat valoarea acestor date cu caracter personal ne-am fi dat deja seama că ele sunt și în prezent o monedă, plătim astăzi accesul “gratuit” la pagini cu informații de pe internet, cu acordul implicit de a ni se stoca și prelucra datele personale. Doar că această plată nu este întotdeauna transparentă, nu avem un extras bancar unde să contabilizăm aceste plăți, și valorile nu sunt rambursabile dacă nu suntem mulțumiți cu ceea ce “am cumpărat”.

Lipsa conștientizării importanței datelor cu caracter personal pentru cetățenii României este confirmată și de un studiu al UE care poziționează România pe ultimul loc, cu un procent de 47% răspunsuri afirmative date la ipoteza “Dezvăluirea de informații personale reprezintă o condiție a vieții moderne“. Interesant este totuși că în ciuda faptului că nu punem preț pe aceste date, 92% dintre români ar dori să fie informați dacă aceste date sunt pierdute sau furate, într-un mod absurd, având un simț pronunțat al posesiei unor date “fără importanță”. Altfel spus, românii nu pun un preț prea mare pe datele personale decât atunci când sunt furate sau pierdute.

Această lipsă a conștientizării duce la publicarea accidentală, pe rețelele de socializare, a foarte multe date cu caracter personal, de cele mai multe ori fără a ne pune problema obținerii consimțământului proprietarului. GDPR-ul nu poate stopa această practică, efectuată de către persoane fizice, având în vedere că el este obligatoriu de respectat de către operatorii de date cu interes economic, indiferent de forma de organizare.

În ianuarie 2017, în România erau înregistrate 9.600.000 de conturi de Facebook, cu o estimare oficială de conturi false sau duplicate între 1% și 2%. Dacă ar fi să ne raportăm la populația efectivă, în România aproape 45% dintre cetățenii cu vârsta între 0 și 100 de ani au cont de Facebook, adică 86% dintre internauții români.

Într-un alt studiul European, România este țara unde se înregistrează cea mai mare rată a utilizatorilor de rețele sociale și aplicații de mesagerie online, care au încredere în știrile și informațiile accesate prin intermediul acestora, 59% comparativ cu 36% media UE. La polul opus se află respondenții din Italia, Germania și Austria, unde numai 26%, 23%, respectiv 21% au încredere în informațiile și știrile disponibile pe rețelele sociale.

Poziția fruntașă în acest top nu face decât să confirme lipsa de conștientizare și educație a populației.

România, pe ultimul loc în topul țărilor digitalizate din Europa

Dacă vorbim despre tehnologizare, 1G, 2G, 3G, 4G și mai puțin cunoscut-ul 5G pot fi considerați indicatori ai digitalizarii. Primii patru indicatori ne duc cu gândul la tehnologia utilizată în comunicare, dar  5G-ul este mai mult decât atât: mașinile autonome, realitatea virtuală, orașele inteligente și dispozitivele IoT(Internet of things) sunt doar câteva dintre tehnologiile care vor beneficia masiv de apariția standardului 5G. Pe scurt, în viitor vom beneficia de proceduri chirurgicale mai simple, de mijloace de transport mai sigure și de posibilitatea de comunicații instant.

Comisia Europeană a publicat ultimul raport DESI, în care România figurează pe ultimul loc.

Indicele DESI (Digital Economy and Society Index) reprezintă gradul de digitalizare al economiei și al societății fiecăreia din cele 28 de țări ale Uniunii Europene. Cea mai avansată țară din acest punct de vedere este Danemarca, cu un scor agregat de 70,68%. Media UE este de 52,25%, iar România are un scor agregat de 33,21%, aflându-se pe ultimul loc.

Sunt 5 mari criterii după care Comisia Europeană se ghidează: Conectivitate, Capital Uman, Utilizare a internetului, Integrarea tehnologiilor digitale, Servicii publice digitale

Cum stăm la fiecare dintre aceste criterii DESI?

Conectivitate. Aici stăm cel mai bine, adică pe locul 22 din 28. Deşi acoperirea cu linii fixe  (89%) şi mobile (63%) este mult sub media UE, compensăm prin viteza internetului (70% conexiuni rapide) şi prin costuri scăzute (1,1% din venit).

Capital Uman. Suntem pe ultimul loc la scorul agregat (28 din 28). Avem cel mai mic procent de utilizatori de internet (56%), suntem penultimii în ceea ce priveşte competenţele de bază (28% din populaţie) şi numărul de angajaţi din IT (1,9% din angajaţi sunt în IT) şi pe locul 17 la numărul de absolvenţi de facultăţi cu profil IT (16/mia de locuitori).

Modul de utilizare al internetului. Suntem pe ultimul loc din UE la scorul agregat. 63% dintre utilizatori citesc ştiri online, 67% ascultă muzică, 6% urmăresc video on demand şi 8% folosesc servicii bancare. Doar 18% fac cumpărături online, dar 74% utilizează reţele sociale.

Integrarea tehnologiei digitale. Suntem pe ultimul loc din UE la scorul agregat. Prea puţine firme fac schimb electronic de informaţii (doar 22%), folosesc platforme de socializare pentru a se promova (8%), emit facturi electronice (8%), folosesc servicii de cloud (5%) sau îşi vând produsele online (7% ca număr de firme, 4,3% ca cifră de afaceri).

Servicii publice digitale. Doar 6% dintre utilizatorii de internet accesează soluţii de e-guvernare, iar acestea nu folosesc formulare precompletate decât în proporţie de 12% şi nu rezolvă complet problema decât în 55% din cazuri. Stăm în schimb bine la publicarea datelor de către guvern, cu 63% din scorul maxim.

O altă observație este că Indicele DESI al României nu stagnează (e mai mare decât cel din 2017), dar viteza lui de creştere este mai mică decât a celorlalte state UE. Cu alte cuvinte, toate celelalte ţări UE se digitalizează mai repede decât România.

Proiecte ambițioase în domeniul digitalizarii în România

România are în plan introducerea unui sistem de identificare electronică (eID), un proiect ambițios pentru emiterea de cărți de identitate cu cip. Guvernul României intenționează să folosească eID ca instrument juridic pentru interacțiunea cetățenilor și a întreprinderilor cu guvernul. Sistemul vizat ar include, în mod voluntar, o semnătură electronică certificată, precum și o interconexiune cu cardul național de sănătate. Ca termen, prima introducere pe scară largă a noilor cărți de identitate este programată pentru 2019 (la 18 luni de la adoptarea actului legislativ).

Sistemul va fi finanțat din bugetul național, fiindu-i alocată o sumă de aproximativ 2 milioane de lei (aproximativ 450 000 de euro) pe an. Instituirea și utilizarea unui sistem de identificare electronică ușor de folosit și cu un grad ridicat de securitate ar facilita semnificativ interacțiunea electronică a cetățenilor și a IMM-urilor cu guvernul României. În plus, un astfel de sistem ar reduce semnificativ sarcinile administrative, cum ar fi costurile suplimentare suportate în prezent pentru utilizarea diferitelor scheme de certificare a semnăturii electronice.

În concluzie, poate GDPR-ul să reanimeze garantarea vieții private ?

GDPR-ul, în sine, ca și cadru legal, nu poate în mod direct să reanimeze garantarea vieții private, dar acest lucru va fi posibil prin ridicarea gradului de conștientizare al importanței acestor date cu caracter personal. Evident, a fost nevoie și încă este nevoie de o campanie intensivă de educare a populației, lucru care necesită timp și care va fi făcut cel mai probabil prin intermediul operatorilor și procesatorilor de date cu caracter personal, care au obligația asigurării transparenței și obligația informării angajaților și clienților persoanelor fizice.

Este nevoie de educație a personalului mai mult decât investiții mari în soluții tehnice de securitate.

Procesul de digitalizare atrage după el și metode tehnice avansate de securitate, care cresc garantarea vieții private, dar trebuie să ținem cont în primul rând de ritmul lent de digitalizare și faptul că România ocupă în prezent ultimul loc în topul European al țărilor digitalizate.

În România, potențialul de crestere al garantării vieții private este unul mare dar dependența de internet și de informațiile online, dovedită prin numărul mare de accesări zilnice, și timpul petrecut online coroborat cu lipsa educației, dovedită prin gradul mare de încredere în știrile publicate pe rețelele de socializare, îngreunează semnificativ acest proces.

Rămâne să vedem rezultatele pe care le vor aduce toți acești factori, ținând cont de faptul că alinierea la principiile GDPR reprezintă de fapt schimbarea întregii opticii asupra datelor cu caracter personal și asupra protecției acestora. În primul rând trebuie să învățăm să recunoaștem o dată cu caracter personal dintr-un conglomerat de date și să ajungem să o protejăm în mod instinctiv și automat.

Prin publicarea in Monitorul Oficial, Partea I nr. 3 din 03.01.2019 a Legii nr. 347/2018 se completeaza art. 24 din Legea drepturilor pacientului nr. 46/2003 in sensul ca se introduce un nou alineat, alineatul (2), cu următorul cuprins: ) Pacientul are dreptul de a desemna, printr-un acord consemnat în anexa la foaia de observație clinică generală, o persoană care să aibă acces deplin, atât în timpul vieții pacientului, cât și după decesul pacientului, la informațiile cu caracter confidențial din foaia de observație.

Medicul Tudor Ciuhodaru, initiatorul acestei legi, a declarat ca "Toți pacienții vor beneficia de noi drepturi. Legea adoptată prevede ca pacienții vor putea desemna direct în foaia de observație o persoană care să aibă acces la toate informațiile medicale. Desemnarea e gratuită și nu presupune alte acte suplimentare (acte notariale)."

Conform legislatiei in vigoare in acest moment, in situația în care pentru efectuarea unei intervenții medicale se solicită consimțământul reprezentantului legal al pacientului, acesta trebuie să fie implicat în adoptarea deciziei, în limitele capacității sale de înțelegere. În situația în care furnizorii de servicii medicale consideră că intervenția este în interesul pacientului, iar reprezentantul legal refuză să își dea consimțământul, unitățile au obligația efectuării în cel mai scurt timp posibil a demersurilor pentru constituirea comisiei de arbitraj de specialitate, în conformitate cu dispozițiile legale în vigoare.

Fotografierea sau filmarea pacienților în unități, în cazurile în care imaginile sunt necesare pentru stabilirea diagnosticului și a tratamentului sau pentru evitarea suspectării unei culpe medicale, se efectuează fără consimțământul acestora. Cu toate acestea, unitățile sanitare sunt obligate să asigure obținerea consimțământului scris pacientului, prin completarea formularului "Acordul pacientului privind filmarea/fotografierea în incinta unității sanitare" in orice alta situatie.

Model : Acordul pacientului privind filmarea/fotografierea în incinta unității sanitare

Participarea la activități de cercetare științifică medicală a persoanelor care nu sunt capabile să își exprime voința poate fi realizată numai după obținerea consimțământului reprezentanților legali și numai în situația în care cercetarea respectivă este efectuată și în interesul pacientului. Acordul pacientului este obligatoriu în cazul participării sale la învățământul medical și se exprimă în scris, prin completarea unui formular

Model Acordul pacientului/reprezentantului legal privind participarea la învățământul medical

Unitățile trebuie să asigure accesul neîngrădit al pacienților la datele medicale personale.  Solicitarea privind comunicarea datelor medicale personale se adresează instituției medicale în scris, prin completarea formularului "Solicitare privind comunicarea documentelor medicale personale".  Eliberarea copiilor documentelor medicale solicitate se face de către unitățile sanitare în termen de maximum 48 de ore de la înregistrarea solicitării.  Eliberarea copiilor documentelor medicale solicitate se face după completarea de către pacient a formularului "Declarație privind comunicarea documentelor medicale personale".

Model Solicitare privind comunicarea documentelor medicale personale

Model Declarație privind comunicarea documentelor medicale personale

La internare sau pe parcursul furnizării serviciilor de sănătate, după caz, medicul curant are obligația să aducă la cunoștința pacientului faptul că are dreptul de a cere să nu fie informat în cazul în care informațiile medicale prezentate i-ar cauza suferință, precum și dreptul de a alege o altă persoană care să fie informată în locul său. Acordul pacientului privind desemnarea persoanelor care pot fi informate despre starea sa de sănătate, rezultatele investigațiilor, diagnosticul, prognosticul, tratamentul, datele personale se exprimă în scris, prin completarea formularului "Acordul pacientului privind comunicarea datelor medicale personale"

Model Acordul pacientului privind comunicarea datelor medicale personale

La cererea pacienților internați, unitățile cu paturi trebuie să asigure condițiile necesare pentru obținerea de către aceștia a altor opinii medicale, precum și pentru acordarea de servicii medicale de către medici acreditați din afara unității.  Plata serviciilor medicale acordate pacienților internați de către medicii se efectuează în conformitate cu dispozițiile legale în vigoare.

Pentru a marca Luna Europeană pentru Securitatea Cibernetică (ECSM), în perioada 26-27 Octombrie 2018, Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) a organizat în București 2 sesiuni de cursuri. Această campanie europeană de sensibilizare este lansată de Agenția Europeană pentru Securitate a Rețelelor și Informațiilor (ENISA) și Comisia Europeană și își propune creșterea gradului de conștientizare, schimbarea comportamentului și asigurarea resurselor pentru protecția datelor în mediul online. Cele două evenimente au avut ca invitați pe: Victor Gânsac, Managerul General al companiei Safetech Innovations și pe Roland Costea, Chief Security Arhitect la Microsoft pentru Europa Centrala și de Est și fondatorul academiei online Defradar.

Vineri, 26 octombrie 2018, un grup de 70 de persoane care au funcția de DPO (Ofițer de Protecție a Datelor) în instituții din domeniul sanitar sau sunt membri ASCPD - Asociația Specialiștilor în Confidențialitate și Protecția Datelor, au absolvit sesiunea de instruire în domeniul securității datelor, numită “Instruire în domeniul managementului securității informatice pentru Ofițerii de Protecție a Datelor (DPO)”.

“Ofițerul de Protecție a Datelor are un rol extrem de important, nu doar pentru instituția pe care o reprezintă, ci și pentru toată țara, deoarece spitalele și clinicile medicale sunt entități care furnizează servicii esențiale pentru întreaga populație. Aceste unități juridice colectează, stochează și prelucrează date cu caracter personal sensibile și deopotrivă, valoroase, atât pentru spitale și pacienți, cât și pentru piața neagră pe care se tranzacționează. Este imperios necesar să valorizăm corect aceste informații și să le asigurăm protecția necesară, la timpul potrivit.”, a declarat Marius Dumitrescu, Președintele ASCPD.

Scopul sesiunii de training a fost creșterea gradului de conștientizare în rândul persoanelor cu funcția de DPO (Ofițer de Protecție a Datelor) din instituțiile medicale asupra amenințărilor ce provin din spațiul cibernetic, precum și prezentarea unor posibile măsuri care să crească nivelul de protecție în aceste instituții. Pe parcursul sesiunii de training s-au discutat subiecte precum: organizarea procesului de securitate a informației, managementul riscului în securitatea informației, continuitatea afacerii și recuperarea informației în caz de dezastru, “Privacy by design” vs. “Privacy by default”, principii esențiale în crearea politicilor și a procedurilor de securitate a datelor, analiza riscurilor, conformarea cu cerințele Regulamentului GDPR și Privacy Impact Assessment. Sesiunea de training intensiv s-a finalizat cu un exercițiu practic de analiza a unui proces de business. Ca spațiu de desfășurare a trainingului de securitate cibernetică, compania Safetech Innovations a pus la dispoziția cursanților o sală modernă și suportul logistic oferit de Centrul de Cercetări Avansate pentru Materiale, Produse și Procese Inovative (CAMPUS) din cadrul Universității Politehnica din București.

“Prin astfel de evenimente dorim să atragem atenția asupra importanței informației în domeniul medical. Gândiți-vă ce înseamnă dacă cineva modifică, din greșeală sau intenționat, grupa sanguină în dosarul pacientului, care de-a acum este și în format digital? Gândiți-vă ce înseamnă ca cineva să modifice analizele unui computer tomograf, gândiți-vă că se folosesc din ce în ce mai multe dispozitive medicale care vin în contact direct cu corpul pacientului pentru a colecta și a transmite informații despre starea de sănătate a acestuia, date care ar fi utile și altor persoane pentru a le utiliza în scopul de a-și maximiza profiturile pe piața neagră, unde se tranzacționează date cu caracter personal.  Știați că pe această piață neagră, datele medicale sunt de 10 ori mai valoroase decât informațiile de identificare a cardurilor bancare? Iată câteva argumente care ne determină să susținem că datele medicale trebuie protejate, cu sau fără GDPR.  Problemele de securitate dintr-o instituție medicală, nu doar că amenință starea de funcționare, profitabilitatea și reputația instituției medicale, dar reprezintă o amenințare gravă pentru starea de sănătate sau chiar viața pacientului. De aceea, susținem că securitatea informației în domeniul medical ar trebui să devină parte integrantă a protocolului de îngrijire a pacientului, dincolo de constrângerile legislative.”, a declarat Victor Gânsac, Managerul General al companiei Safetech Innovation și trainerul cursului.

Sâmbătă, 27 octombrie 2018, 30 de persoane, membrii ASCPD, au participat la un workshop intitulat “Cum să reușești într-o carieră în domeniul confidențialității și protecției datelor (GDPR)” în cadrul căruia s-au analizat provocările profesionale pe diferite domenii de activitate. Participanții au ajuns la concluzia că lipsa gradului de conștientizare în rândul managementului operatorilor de date, a angajaților acestora și în rândul persoanelor vizate este cel mai mare obstacol în demersul de a obține conformitatea cu principiile GDPR, fiind lansate mai multe idei de proiecte în domeniul educațional.

“Rolul DPO creează foarte multe provocări întrucât, atât sectorul industrial din care face parte compania, cât și limitările tehnologice ale pieței din România la nivel SME, nu conduc către o aplicabilitate liniară a regulamentului. Acest lucru îndeamnă spre creativitate în modul în care reușim să abordăm cerințe simple (de exemplu ale unei grădinițe) dar totuși atât de complexe. Sesiunea la care am participat a deschis dialogul către soluții cât mai variate și mai reale în contextele date, astfel încât să existe și o balanță între nivelul de complexitate, de securitate și cost.”, a declarat Roland Costea, Chief Security Arhitect la Microsoft pentru Europa Centrala și de Est și fondatorul academiei online Defradar.

“Asociația și-a propus să crească gradul de educație al responsabililor cu protecția datelor în România și prin ei,  nivelul de cunoaștere al GDPR din companii. Cu aceste două sesiuni de training vrem să marcăm importanța componentei de securitate tehnică din Regulamentul 679/2016 precum și lipsa unor soluții standardizate de conformare. Ambii speakeri au punctat în repetate rânduri faptul că soluțiile tehnice adoptate trebuie să aibă în vedere obiectivele de dezvoltare ale companiei și că nu există o rețetă universal valabilă”, a declarat Cristiana Deca, Vicepreședinte ASCPD.

ASCPD va lansa în curând programul “Privacy Academy” destinat dezvoltării și susținerii membrilor asociației, continuând în 2019 cu organizarea cursurilor și conferințelor naționale și publicarea unei reviste cu analizele și studiile de caz din cadrul celor 14 grupuri de lucru.

---

Despre Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD)

 Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) este creată cu scopul de a informa și de a reuni profesioniștii care doresc să gestioneze cu succes punerea în aplicare a Regulamentului General privind Protecția Datelor 2016/679 și a legislației aferente, funcționând ca un organism consultativ profesionist pentru persoane și organizații. ASPDC este o organizație non-guvernamentală, autonomă, apolitică și non-profit care ajută la definirea, susținerea și îmbunătățirea profesiei de Responsabil în protecția datelor și a altor specialiști în domeniu și își desfășoară activitatea în conformitate cu prevederile OG nr.26/2000.

ASCPD ghidează persoanele responsabile în protecția datelor și alți specialiști în domeniul confidențialității datelor în rezolvarea numeroaselor probleme juridice, tehnice și organizatorice pentru a obține un echilibru adecvat între interesele persoanelor vizate, care necesită protecție, și cele ale operatorilor.

Obiectivul ASCPD este de a oferi soluții concrete la problemele cu care se confruntă specialiștii în confidențialitate și protecția datelor, de a crește gradul de conștientizare a legislației și de a oferi membrilor săi un forum în care aceste subiecte să poată fi dezbătute, precum și un loc de pregătire profesională continuă. ASCPD militează pentru îmbunătățirea gradului de conștientizare cu privire la tehnologiile și legile care pun în pericol viață privată, pentru a se asigura că publicul este informat și implicat.

Mai multe detalii găsiți pe www.ascpd.ro