Catalog Cloud Computing
2017 / Ediţia a VII-a
România
GDPR
Catalog GDPR Ready
Protecția datelor personale va fi cheia de boltă a anului 2018 „Orice ființă umană are dreptul la viață, la libertate și la securitatea persoanei sale”, Articolul 3, Declarația Universală a Drepturilor Omului. Radu Crahmaliuc, Analist Independent Cloud & Digital Transformation
Introducerea Regulamentului european general privind protecția datelor (GDPR) reprezintă cea mai importantă modificare a legislației privind protecția datelor în UE și la nivel global în ultimii ani. Va fi un an cu multă agitație, cu implicații majore nu numai pentru zona de IT, ci şi pentru organizațiile din orice industrie. Căci, până la urmă, toți suntem procesatori de date și toți ne vom supune acelorași condiții. Ce au de făcut furnizorii de Cloud? Dar operatorii de centre de date? Dar companiile specializate în eCommerce și procesatorii de plăți online? Dar casele de software și ofertanții de servicii de call-center, consultanță, instruire și mentenanță? Sunt aspecte comune pentru toate aceste comunități, dar și aspecte particulare. De aici am plecat la editarea unui astfel de catalog, care să deservească în primul rând operatorii din industria IT, dar și să ofere recomandări generale pentru orice industrie. Catalogul GDPR Ready este structurat în două părți, respectiv Ghidul de orientare rapidă și secțiunea efectivă de oferte de soluții și servicii destinate facilitării asigurării conformității GDPR. În „Ghidul de orientare rapidă” vrem să vă oferim o imagine de ansamblu asupra principalelor modificări prezentate de regulament, precum și a zonelor critice pe care trebuie să le cunoaștem în momentul pregătirii conformității, dar și o serie de recomandări oferite de câțiva experți internaționali, asociații guvernamentale și profesionale, precum și firme de cercetare. Dacă vă gândiți că până la 25 Mai 2018 mai este suficient timp pentru a demara activitățile de asigurare a conformității GDPR trebuie să țineți cont de faptul că durata medie a unui proces complet de implementare a condițiilor de conformitate este de DOUĂ – TREI LUNI, în funcție de mărimea organizației și a volumului de date personale procesat. Timpul pentru începerea planificării pentru obținerea conformității GDPR este acum!
1
Catalog GDPR Ready
GHID DE ORIENTARE RAPIDĂ ÎN GDPR
60 de întrebări despre conformitate INTRODUCERE 1 Cât de disturbator este noul Regulament european de protecție a datelor personale? Intrarea în vigoare a GDPR pe 25 Mai 2018 se anunță deja ca un eveniment major al viitorului an. Va fi „Ziua – Z”, cu efecte apocaliptice pentru majoritatea operatorilor de date personale care nu vor avea resursele și timpul să adopte toate măsurile de conformitate? Sau va fi o perioadă de tranziție, în care cei implicați vor avea răgazul să își implementeze, pas cu pas, procedurile, politicile și tehnologia necesare? Noul regulament EU 2016/ 679 vine cu o forță a schimbării fără precedent, care pentru multe organizații va avea un efect disturbator, mult mai mare decât valul digital de care tot vorbim de o vreme încoace. Geneza nu a fost ușoară. Gândit ca o actualizare absolut necesară a Directivei 95/46/EC, GDPR s-a consolidat după 4 ani de dezbateri și 3000 de amendamente. Peste 80 de noi cerințe au apărut față de vechea directivă. Multe companii vor fi nevoite să facă schimbări dramatice în modelele tradiționale de business. Unii spun că vom fi nevoiți să reconsiderăm radical actualele procese de marketing. Potrivit Digital Clarity Group, „GDPR ar putea fi o amenințare de moarte pentru existența multor companii, care obligă la adoptarea de decizii fundamentale cu privire la colectarea, prelucrarea și stocarea datelor în probleme cheie din strategia de afaceri.” Este clar pentru toată lumea ca acest efect disturbator poate și va fi diminuat prin abilitatea tuturor organizațiilor implicate de a derula programe coerente de rezolvare a tuturor componentelor proceselor și mecanismelor care pot oferi garanția conformității cu noul Regulament. Dar care sunt aceste procese, proceduri și mecanisme? Timpul trece repede și avem nevoie de repere de orientare clare. Care sunt elementele critice către care trebuie să ne îndreptăm rapid atenția? Cum putem obține o garanție de conformitate? De unde trebuie să începem? Sunt câteva dintre întrebările esențiale la care vom încerca să răspundem în acest „Ghid de orientare rapidă”.
2
Catalog GDPR Ready
Capitolul 1 IMPORTANȚA GDPR 2 De ce este atât de important Regulamentul 679/2016? Regulamentul a apărut ca o reacție firească la stabilirea unor noi cadre de reglementare unitară, nu numai pentru viitorul digital al Europei, ci și pentru a corespunde unor modele de business online, proliferării serviciilor Cloud și rețelelor sociale. Toată această cavalcadă de digitalizare, globalizare și migrare în Cloud pune într-o nouă perspectivă siguranța datelor personale. Apariția Directivei NIS și noul Regulament 679/ 2016 GDPR oferă perspective mai bune pentru protecția și confidențialitatea datelor, dar și o foarte mare responsabilitate pentru toate organizațiile procesatoare de date ale cetățenilor europeni, indiferent dacă sunt localizate în țările membre ale UE, sau oriunde în altă parte, pe glob. Principala menire a noului Regulament este armonizarea legislației existente. În prezent, există 28 de seturi diferite de legi privind protecția datelor în Uniunea Europeană. GDPR le va înlocui cu un cadru de reglementare paneuropean, care va intra în vigoare la 25 mai 2018. Având statut de Regulament, acesta poate fi aplicat direct, în mod similar, în toate statele membre, fără a mai fi necesară câte o legislație națională în fiecare stat membru. Pentru organizațiile care operează în mai multe state membre, această armonizare este binevenită. O multinațională nu va mai fi obligată să colaboreze cu autoritățile de supraveghere din fiecare țară unde are o sucursală. Va fi suficientă colaborarea cu o singură autoritate de supraveghere.
3 Care sunt obiectivele noului regulament? GDPR reprezintă o schimbare fundamentală în legislația UE în ceea ce privește datele și intimitatea personală. Regulamentul are două obiective majore: Actualizarea legislației privind protecția datelor pentru a reflecta noile comportamentele digitale și valorile societății; Armonizarea regulilor privind protecția datelor la nivelul UE, deoarece vechea Directivă privind Protecția Datelor a fost abordată și implementată în maniere diferite de statele membre, adaptată la propriile culturi, nevoi și preferințe. Asta a influențat o inhibare a comerțului și activităților cross-border, acționând ca o frână în calea unei viitoare piețe unice digitale.
4 Care sunt activitățile asupra cărora GDPR va avea un impact major? Sunt vizați în primul rând toți operatorii de date. Mulți procesatori de date existenți vor trebui să își schimbe radical procedurile și garanțiile de prelucrare a datelor. Prin
3
Catalog GDPR Ready
noua definiție, destul de largă și de interpretabila a datelor personale, multe companii care credeau că nu au de ce să se alinieze la prevederile GDPR descoperă că prin parteneriatele lor sunt parte integrată din sistemele de operatori și procesatori de date. Astfel încât practic orice organizație, indiferent de mărime și domeniu de activitate, este angrenată într-un fel sau altul într-un mecanism de procesare a datelor personale. Iată doar câteva exemple de domenii unde există operatori de date personale, fiecare dintre aceștia controlând ecosisteme de colaboratori și procesatori de date terți: financiar bancar: bănci, asiguratori, administratori ai fondurilor de pensii, companii de servicii financiare, societăți de leasing, etc.; utilități: energie, gaze, apă, salubritate, transport public; furnizori de produse și servicii IT: producători de software, furnizori de servicii de telecomunicații, Internet, cablu TV, rețele și servicii de hosting și Cloud, operatori de data centers, operatori de plăți online, magazine online, furnizori de soluții de Securitate HW și SW; organizații din sănătate: spitale, policlinici, case de asigurări, instituții de studii clinice, medici de familie, farmacii, etc.; companii comerciale de retail, distribuție, magazine online; organizații media, agenții de marketing și PR, agenții de publicitate, cabinete de consultanță tehnică, economică sau juridică, agenții de jocuri și concursuri, companii de training și cursuri de perfecționare; autorități și instituții publice.
5 Cu ce vine nou GDPR? Un vector esențial al noului regulament este aria de aplicabilitate. Înainte de GDPR companiile multinaționale care operau în diferite regiuni erau acoperite de o serie de tratate internaționale care le facilitau libertatea de mișcare de la o piață la alta. Prin noile prevederi, GDPR devine obligatoriu pentru orice operator de date, indiferent unde are locația principală, dacă subiecții ale căror date sunt procesate au o locuință stabilă într-una din țările Uniunii Europene. Alte prevederi majore ale noului regulament cu posibile efecte disruptive ar mai fi: Amenzile – Penalizările sunt copleșitor de mari, cu maxime ce se referă la 4% din cifra de afaceri globală anuală. De notat că aceste prevederi se aplică atât celor care gestionează datele, cât și celor care le procesează – ceea ce extinde obligativitatea GDPR și asupra companiilor care oferă, de exemplu, servicii de hosting sau de Cloud. Consimțământul – companiile nu vor mai putea folosi termeni contractuali necompatibili GDPR sau cu clauze greu de probat. Consimțământul trebuie să fie clar și liber de orice impunere, iar solicitarea inteligibilă și cu o solidă argumentare a scopului în care se procesează datele.
4
Catalog GDPR Ready Notificarea breșelor de securitate – devine obligatorie pentru toate țările membre ale comunității. Orice incident trebuie comunicat către autoritățile de raportare în maximum 72 de ore de când breșa a fost constatată. Procesatorii vor trebui să își anunțe și clienții, imediat după ce s-a dovedit că incidentul de securitate a afectat datele personale ale acestora. Dreptul la acces – parte din drepturile extinse ale cetățenilor în noul format al GDPR se referă la dreptul acestora de a solicita procesatorilor sau controlorilor de date confirmări legate de modul în care datele personale sunt procesate, unde și în ce scop. Dreptul de a fi uitat – cunoscut și ca „dreptul de a fi șters”, asigură deplina confidențialitate prin ștergerea tuturor înregistrărilor cu caracter personal, chiar și în situațiile de diseminare de date sau folosirea potențială de către terți. Portabilitatea datelor – se referă la dreptul oricărui cetățean de a primi datele personale într-un format prestabilit, ușor de citit de către orice dispozitiv, care poate fi transmis la solicitarea posesorului unui alt procesator de date. Confidențialitate prin design – „Privacy by design” este un concept care se folosește de mult, dar care abia acum devine parte din pachetul de cerințe GDPR. În esență, constă în includerea instrumentelor de protecție a datelor încă de la început, de la proiectarea unui sistem informatic. Data Protection Officers (DPO) – Un studiu IAPP estimează un necesar de peste 28000 de ofițeri DP în toată Europa. Deținătorul acestei poziții va fi mandatarul conformității GDPR, urmând să cumuleze expertiză legală, operațională și IT. Parlamentul European a acordat procesatorilor de date personale un răgaz de 2 ani, suficient pentru a se pune la punct cu noile reglementări. Pentru a sublinia importanța acestui demers, au fost anunțate penalități usturătoare pentru cei care nu vor putea deveni compatibili. Mulți analiști spun că cifrele vehiculate „sunt așa, doar de înfricoșare”, dar cine își poate permite să riște o amendă de 10 milioane de euro sau minim 2% din cifra de afaceri pe un an? Alți analiști văd în GDPR în primul rând o încercare benefică pentru business. Orice companie care a depus eforturi și a investit în măsuri de asigurare a conformității a parcurs o bună etapă în transformarea sa digitală.
6 Cine supervizează GDPR în România? În România, organismul care coordonează problemele legate de securitatea datelor personale este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Citând din prezentarea generală a instituției și a obiectivului de activitate publicate pe site-ul Autorității http://www.dataprotection.ro/: „Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în calitate de autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor personale, reprezintă garantul respectării drepturilor fundamentale la
5
Catalog GDPR Ready
6
Catalog GDPR Ready
7
Catalog GDPR Ready
viaţă privată și la protecţia datelor personale, statuate cu precădere de art. 7 și 8 din Carta Drepturilor Fundamentale a Uniunii Europene, de art. 16 din Tratatul privind Funcționarea Uniunii Europene și de art. 8 din Convenția europeană pentru apărarea drepturilor omului și libertăților fundamentale.” Din aceeași sursă reținem faptul că Autoritatea își asumă rolul extrem de important de catalizator al tuturor eforturilor de aplicare a prevederilor noului Regulament care implică „o evaluare complexă a instrumentelor specifice asigurării protecției datelor personale, în scopul adaptării cadrului normativ național și pregătirii instituționale pentru aplicarea noilor reglementări europene, inclusiv sub aspectul realizării unei cooperării eficiente cu Comitetul european pentru protecția datelor și cu celelalte autorități în domeniu din Uniunea Europeană.” Pe pagina de Web dedicată noului Regulament UE 679/ 2016 este publicat un abstract legat de noua legislație, cu referire specială la: Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor); Directiva (UE) 2016/680 referitoare la protecția datelor personale în cadrul activităților specifice desfășurate de autoritățile de aplicare a legii; precum și linkuri către cele mai importante documente, ghiduri și recomandări.
Capitolul 2 SCURT ISTORIC AL PROTECȚIEI DATELOR PERSONALE 7 Care este diferența între Regulamentul EU 2016–679 și Directiva 95-46? Pe teritoriul Uniunii Europene există două tipuri principale de legislație: Directive Implementare individuală în fiecare stat membru Implementare prin crearea de legi naționale aprobate de parlamentele fiecărui stat membru Directiva europeană 95/46 / CE este o directivă Legea 677/ 2001 este versiunea românească care reglementează punerea în aplicare a Directivei europene, fiind aprobată de Parlamentul României. Regulamente Odată intrate în vigoare, au aplicabilitate imediată în fiecare stat membru Nu impun nicio legislație locală de punere în aplicare UE 2016-679 este un regulament
8
Catalog GDPR Ready
8 Care este istoricul legislației europene de protecție a datelor? După cel de-al doilea Război Mondial au existat o multitudine de acorduri europene referitoare la protecția drepturilor omului. În 1950 Convenția UE privind drepturile omului (CEDO) introduce în legislație noțiunea de confidențialitate. După elaborarea unui prim ghid în 1980 privind fluxurile de date transfrontaliere, în 1981 se semnează Tratatul UE 108, în care sunt incluse opt principii pentru protejarea datelor cu caracter personal. În perioada de largă adopție a tehnicilor de calcul și comunicării Internet au apărut o serie de convenții cu privire la protecția persoanelor și prelucrarea automată a datelor cu caracter personal, semnate în cea mai mare parte a statelor membre. În 1995 a fost votată Directiva UE privind protecția datelor (95/46 / CE), care a fost transpusă în legislația fiecărei țări, precum DPA 1998 din Marea Britanie sau Legea 677/ 2001 din România. - Protecția inconsecventă a drepturilor individuale - Regim de joc organizațional inegal Legea drepturilor omului din 1998 (HRA 1998) stipulează în Articolul 8 „Dreptul la confidențialitate”. În 2016, la mai mult de patru ani după ce a fost supusă procedurilor de îmbunătățire și aprobare, noul Regulament privitor la protecția datelor personale și libera circulație a acestora este aprobat de forurile europene. Iată istoricul genezei GDPR: 8 aprilie 2016, Consiliul European adoptă noul Regulament. 14 aprilie 2016, Regulamentul e adoptat de Parlamentul European. 4 mai 2016, textul Regulamentului e publicat în Jurnalul Oficial al UE în toate limbile oficiale. 24 mai 2016 este o lege validă, oferind țărilor membre un răgaz de 2 ani până la punerea în aplicare. 25 mai 2018 este data de la care GDPR va intra în vigoare pentru toți operatorii de date persoanele ai căror subiecți au domiciliul stabil pe teritoriul Uniunii Europene.
Capitolul 3 TERMENI ȘI DEFINIȚII 9 Care este structura GDPR? Noul Regulament este structurat pe 9 Capitole și 91 de Articole dispuse astfel: Capitolul I Dispoziții generale: Articolele 1-4; Capitolul II Principii: Articolele 5-11; Capitolul III Drepturile subiectului de date: Articolele 12-23; Capitolul IV Controlor și procesor: Articolele 24-43;
9
Catalog GDPR Ready Capitolul V Transferul datelor cu caracter personal către țări terțe: Articolele 44-50; Capitolul VI Autorități independente de supraveghere: Articolele 51-59; Capitolul VII Cooperarea și coerența: Articolele 60-76; Capitolul VIII Restituiri Obligații și sancțiuni: Articolele 77-84; Capitolul IX Dispoziții referitoare la situațiile specifice de prelucrare: Articolele 85-91.
10 Care sunt datele cu caracter personal? Esența GDPR se bazează pe drepturile fundamentale ale omului. Art.8, Alin.1 din „Carta drepturilor fundamentale a Uniunii Europene” și Art.16, Alin.1 din „Tratatul privind funcționarea Uniunii Europene” prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc. Termenul de „Date cu caracter personal” este destul de general în contextul schimbărilor din Regulamentul european. Conform Articolului 4 – Definiții, Date cu caracter personal „înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.”
11 Cine trebuie să fie compatibil GDPR? Este o întrebare esențială pentru orice companie care vrea să vadă în ce măsură activitățile de prelucrare a datelor personale pe care le derulează se aliniază sau nu cu prevederile noului regulament european. Potrivit EU 2016/ 679, noile reguli GDPR se aplică „controlorilor/ operatorilor” și „procesatorilor” de date. Cum se definesc aceste noțiuni? Potrivit Art.4, Par.7-10, părțile implicate într-un proces de prelucrare a datelor personale sunt definite astfel: „Operator sau controlor” - persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care - singur sau împreună cu altele - stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite print-o prevedere a Uniunii Europene sau o prevedere a legislației naționale, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul UE sau în dreptul intern; „Procesator” - persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului, printr-o împuterncire de partea acestuia; „Destinatar sau recipient” - persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate date cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot
10
Catalog GDPR Ready
comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul UE sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării; „Parte terţă” - o persoană fizică sau juridică, autoritate publică, agenţie sau organism, altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.
12 Ce se înțelege prin „persoana vizată”? Pentru acest termen nu am găsit o definiție explicită în Regulament, dar putem presupune în mod implicit că: „Persoana vizată” este persoana fizică ale căror date personale sunt supuse prelucrării. Adică este chiar persoana pentru care a fost construit întregul mecanism GDPR. Prin persoană fizică se înțelege orice individ în viață, care conform Articolului 1 are dreptul la: Protecția datelor cu caracter personal Protecția prelucrării datelor cu caracter personal Libera circulație nerestricționată a datelor cu caracter personal în cadrul UE
13 Care este acoperirea geografică a GDPR? Una dintre noutățile GDPR este extinderea ariei geografice de aplicabilitate. Noile reglementări nu se aplică numai prelucrărilor efectuate de organizații care operează în cadrul UE, ci sunt extinse și asupra oricărei organizații din afara UE care oferă bunuri sau servicii persoanelor fizice din UE. Conform Articolului 3 – Domeniul de aplicare teritorial, noul regulament „se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.” Ce fel de activități de prelucrare sunt supuse acestor reguli? GDPR se aplică „prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de: oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată; monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii. Totodată, regulamentul se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.
11
Catalog GDPR Ready
O mai bună explicitare despre prevederile Articolul 3 poate fi găsită în considerentele publicate în prima parte a documentului oficial EU 2016/679, unde se spune că: „Pentru a determina dacă un astfel de operator sau o astfel de persoană împuternicită de operator oferă bunuri sau servicii unor persoane vizate care se află pe teritoriul Uniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită de operator intenționează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. Întrucât simplul fapt că există acces la un site al operatorului, al persoanei împuternicite de operator sau al unui intermediar în Uniune, că este disponibilă o adresă de e-mail şi alte date de contact sau că este utilizată o limbă folosită în general în țara terță în care operatorul îşi are sediul este insuficient pentru a confirma o astfel de intenție.”
14 Care sunt valențele legale ale prelucrării datelor cu caracter personal? Înainte de a putea procesa date personale, trebuie să identificați și să vă raportați la o bază legală. Aceste considerente sunt denumite generic „legalitatea prelucrării” și sunt specificate în Articolul 6, care se ocupă de legalitatea condițiilor de prelucrare. În cadrul proceselor aferente obținerii conformității GDPR este foarte important să determinați baza legală pentru prelucrarea datelor cu caracter personal și să documentați acest lucru. De multe ori această bază legală poate avea efect asupra drepturilor persoanelor. De exemplu, persoanele de la care primiți un consimțământ clar pentru prelucrarea datelor vor avea și drepturi mai puternice, cum ar fi dreptul de a fi uitat – adică opțiunea de stergere a datelor. Dar haideți să trecem în revistă prevederile de la Articolul 6 - Legalitatea condițiilor de prelucrare: La Aliniatul 1 se specifică foarte clar că „Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii”: Există un consimțământ - persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; Există un contract - prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte; Există o obligație legală - prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului; Există interese vitale - prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice; Există un interes public - prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul; Există interese legitime - prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează in-
12
Catalog GDPR Ready
teresele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
15 Ce se întâmplă când schimbăm scopul original al prelucrării? În cazul în care prelucrarea se face în alt scop decât cel pentru care au fost colectate datele cu caracter personal și pentru care nu există consimţământul persoanei vizate, operatorii și procesatorii de date trebuie să ia în considerare prevederile de la Articolul 6, Aliniatul 4. Pentru a putea stabili dacă prelucrarea în alt scop este compatibilă cu scopul inițial pentru care au fost colectate datele cu caracter personal, aceștia trebuie să ia în considerare, printre altele: orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi scopurile prelucrării ulterioare preconizate; contextul în care datele cu caracter personal au fost colectate, mai ales privind relaţia dintre persoanele vizate şi operator; natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale dedate, conform Articolului 9, sau pentru date referitoare la condamnări penale şi infracţiuni, conform Articolului 10; posibilele consecinţe asupra persoanelor vizate legate de prelucrările ulterioare; existenţa unor garanţii adecvate, care pot include criptarea sau atribuirea de pseudonime.
16 Ce este Consimțământul? În contextul GDPR, prin Consimțământ se înțelege o confirmare clară a faptului că persoana vizată a fost informată, știe și este de acord cu prelucrarea datelor sale personale de către operator, în scopurile stabilite împreună cu acesta. În plus: această dovadă trebuie să fie clară, liberă, specifică, informată și lipsită de ambiguitate; trebuie să reprezinte o formă de acțiune afirmativă clară; în cazul chestionarelor ce au ca scop obținerea consimțământului sunt excluse ambiguități legate de necompletarea sau pre-bifarea unui căsuțe de dialog; consimțământul trebuie să fie separat de alți termeni și condiții; consimțământul trebuie să fie verificabil; trebuie să existe modalități simple pentru ca oamenii să-și retragă consimțământul; autoritățile publice și angajatorii vor trebui să aibă grijă deosebită pentru a se asigura că acordul este acordat în mod liber. Evident că la aceste condiții există și o serie de excepții. Astfel, prevederile de la Litera (f) nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea
13
Catalog GDPR Ready
atribuțiilor lor. Pentru prevederile de la Literele (c) și (e), GDPR e destul de flexibil, permițând statelor membre UE să introducă dispoziții mai specifice, aliniate legislațiilor interne.
17 Ce se întâmplă dacă prelucrăm datele în alte scopuri? În cazul în care prelucrarea se face în alt scop decât cel pentru care au fost colectate datele cu caracter personal și pentru care nu există consimțământul persoanei vizate, operatorii și procesatorii de date trebuie să ia în considerare prevederile de la Articolul 6, Alineatul 4. Pentru a putea stabili dacă prelucrarea în alt scop este compatibilă cu scopul inițial pentru care au fost colectate datele cu caracter personal, aceștia trebuie să ia în considerare, printre altele: orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi scopurile prelucrării ulterioare preconizate; contextul în care datele cu caracter personal au fost colectate, mai ales privind relaţia dintre persoanele vizate şi operator; natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale de date, conform Articolului 9, sau pentru date referitoare la condamnări penale şi infracţiuni, conform Articolului 10; posibilele consecinţe asupra persoanelor vizate legate de prelucrările ulterioare; existenţa unor garanţii adecvate, care pot include criptarea sau atribuirea de pseudonime.
18 Care sunt situațiile speciale legate de solicitarea consimțământului? Pe lângă condițiile generale, trebuie avute în vedere condițiile specifice pentru categoriile speciale de date. În Articolul 9, Alineatul 1 se stipulează clar că: „Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.” În Articolul 9, Alineatul 2 se prezintă situațiile de excepție în care nu se aplică prevederile de la Alineatul 1, deci cazuri speciale în care este permisă prelucrarea datelor cu caracter personal: persoana vizată şi-a dat consimțământul explicit pentru prelucrarea datelor, cu excepția cazului în care legislația locală nu recunoaște consimțământul persoanei vizate; prelucrarea este necesară pentru îndeplinirea unor obligaţii ale operatorului sau
14
Catalog GDPR Ready
drepturi specifice ale persoanei vizate în domeniile ocupării forţei de muncă, securităţii sociale şi protecţiei sociale; prelucrarea vizează protejarea intereselor vitale, atunci când persoana vizată e incapabilă fizic sau juridic să îşi dea consimţământul; prelucrarea este garantată de activităţile legitime ale unor fundaţii, asociaţii sau organisme cu specific politic, filozofic, religios sau sindical, dar numai pentru membri sau foşti membri; prelucrarea se referă la date personale care sunt făcute publice în mod manifest de către persoana vizată; prelucrarea e necesară la constatarea, exercitarea sau apărarea unui drept în instanţă; prelucrarea se face din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern; prelucrarea în scopuri legate de medicina preventivă sau a muncii, evaluarea capacităţii de muncă, stabilirea unui diagnostic medical, asistenţă medicală sau socială; prelucrarea din motive de interes public în domeniul sănătăţii publice; prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, conform Articolului 89, Alineatul 1. În Articolul 9, Alineatul 4 se precizează că fiecare stat poate menţine sau introduce condiţii suplimentare sau restricţii în cazul prelucrării de date genetice, biometrice sau privind sănătatea. O altă situație cu totul specială este prelucrarea datelor personale referitoare la condamnări penale şi infracţiuni. Articolul 10 precizează că în astfel de situații prelucrarea datelor personale precum și deținerea unor registre privind condamnările penale se face numai sub controlul unei autorităţi de stat. Dar pot exista o mulțime de situații în care prelucrarea datelor nu are nevoie de identificare, adică de asociere a unor seturi de date cu o anumită persoană. În această situație se pot încadra multe dintre analizele de piață și cercetări de marketing care au ca scop obținerea de informații statistice generale, atribuite unor grupuri de consumatori sau categorii profesionale. În Articolul 11: „Prelucrarea care nu necesită identificare”, Alineatul 1 se arată că „în cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, operatorul nu are obligația de a păstra, obține sau prelucra informații suplimentare pentru a identifica persoana vizată în scopul unic al respectării prezentului regulament”. Conform Articolului 11, Alineatul 2, dacă operatorul poate demonstra că nu este în măsură să identifice persoana vizată sau în cazul în care e posibil operatorul informează persoana vizată în mod corespunzător, Articolele 15-20 din capitolul de drepturi ale persoanei vizate nu se aplică.
15
Catalog GDPR Ready
Capitolul 4 PRINCIPIILE 19 De ce sunt importante Principiile de protecție a datelor personale? În cadrul GDPR, principiile de protecție a datelor stabilesc principalele responsabilități pentru organizații. Principiile sunt similare cu cele din Directiva 95/46, cu detalii adăugate la anumite puncte și o nouă cerință pentru responsabilitate. În fond, acest principiu al responsabilității este unul dintre vectorii cheie ai GDPR. Operatorii de date personale sunt obligați nu numai să respecte aceste principii, ci și să demonstreze modul în care sunt activitățile lor sunt conforme cu principiile prelucrării datelor personale. Dar hai sa le vedem pe rând. Care sunt principiile GDPR? Le găsim în Articolul 5 - Principii legate de prelucrarea datelor cu caracter personal: Legalitate, echitate şi transparenţă – un principiu esențial, strâns asociat cu drepturile fundamentale ale omului. Datele cu caracter personal trebuie să fie prelucrate „în mod legal, echitabil şi transparent faţă de persoana vizată.” Limitări legate de scop – datele personale trebuie să fie colectate în scopuri bine determinate, explicite şi legitime, iar prelucrările ulterioare nu trebuie să se abată de la aceste scopuri. E important aici să reținem că prelucrarea publicã prin arhivare, pentru cercetare ştiinţifică/ istorică sau pentru analize statistice nu se considerã ca deviantă de la scopurile iniţiale – așa cum se arată în Articolul 89, Alineatul 1. Reducerea la minimum a datelor – prin acest principiu operatorii sunt avizați de faptul că orice colectare de date personale trebuie foarte bine analizată înainte de obținerea efectivă a datelor, care trebuie să fie cele mai relevante și strict limitate la ceea ce este absolut necesar pentru scopurile în care sunt prelucrate. Exactitatea informațiilor – operatorii trebuie să ia toate măsurile pentru a asigura validitatea datelor, iar cele dovedite inexacte trebuie actualizate rapid sau șterse. Limitarea stocării – datele trebuie păstrate fix atât timp cât sunt necesare pentru prelucrarea asumată. Perioadele mai lungi de stocare sunt excepții asociate cu activități publice de arhivare, cercetare sau statisticã, conform Articolul 89, Alineatul 1. Integritate și confidențialitate – iarăși un principiu esențial. Prelucrarea datelor personale trebuie făcută în cele mai proprii condiții de siguranță, care să includă „protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare”. Din punctul meu de vedere, acesta este un vortex al GDPR. Cine nu respectă acest principiu este direct expus la breșe de securitate și confidențialitate, fiind un candidat sigur pentru extrem de severele penalități.
20 Care este noua interpretare a Principiului Responsabilității? Cea mai importantă adăugare la GDPR este acoperirea extinsă a principiului responsabilității. GDPR vă cere nu numai să respectați principiile – de exemplu, prin
16
Catalog GDPR Ready
documentarea deciziilor luate cu privire la o activitate de procesare, ci și să demonstrați oricând această responsabilitate. Articolul 5, Alineatul 2 enunță cu claritate: „Operatorul trebuie să fie responsabil de respectarea Alineatului 1 şi să poată demonstra această respectare (responsabilitate).” Concluzionând, iată ce am reținut ca extrem de important din capitolul despre Principii (GDPR Considerentul 39): Orice prelucrare de date cu caracter personal trebuie să fie legală şi echitabilă. Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal trebuie să fie uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi clar. Persoanele fizice trebuie informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea. Scopurile specifice în care datele cu caracter personal sunt prelucrate trebuie să fie explicite şi legitime şi să fie determinate la momentul colectării datelor respective. Datele cu caracter personal trebuie să fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. Operatorul trebuie să stabilească termene pentru ștergere sau revizuirea periodică. Datele personale trebuie prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidențialitatea, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.
Capitolul 5 DREPTURILE 21 Care sunt drepturile persoanelor vizate? GDPR vine cu unele drepturi noi pentru indivizi și consolidează unele dintre drepturile care existau deja in Legislația Europeană. GDPR oferă persoanelor fizice vizate de prelucrarea datelor cu caracter personal următoarele drepturi generale: Dreptul de a fi informat Dreptul de acces Dreptul la rectificare Dreptul de ștergere
17
Catalog GDPR Ready Dreptul de a restricționa procesarea Dreptul la portabilitatea datelor Dreptul la obiecþii Drepturi legate de luarea de decizii automatizate și de profilare
22 Ce este Dreptul de a fi informat? Dreptul de a fi informat se referã la obligația de a furniza „informații corecte de procesare”, de obicei printr-o notificare privind confidențialitatea. Acesta subliniază nevoia de transparență în ceea ce privește modul în care utilizați datele cu caracter personal. Ce informații trebuie furnizate subiecților prelucrării? Să presupunem că sunt un operator de date personale. Prin dreptul de a fi informat, GDPR îmi stabilește informațiile pe care trebuie să le furnizez și când trebuie subiecții prelucrării datelor personale să fie informați de către mine ( în mod implicit, firma mea, prin persoana autorizată). Principalul atribut al datelor ce trebuie furnizate este Transparența. Conform GDPR Articolul 12 - Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate, informațiile pe care trebuie sa le furnizez trebuie să fie: Concise Transparente Inteligibile Accesibile Scrise într-un limbaj clar și simplu În special dacă mă adresez unui copil Oferite gratuit Informațiile pe care le furnizez sunt dependente de modul în care am obținut datele personale pe care vreau să le prelucrez: direct de la persoane fizice care fac obiectul prelucrării datelor personale indirect, pentru cazurile în care informațiile mi-au venit din altă sursă. O mare parte din informațiile pe care trebuie să le furnizăm sunt deja în concordanță cu obligațiile actuale, conform legislației existente. Dar in plus, au apărut și alte informații pe care trebuie să le furnizam în mod explicit.
23 Ce informații trebuie furnizate când avem datele direct de la client? Aici apar mici diferențe legate de sursa obținerii informațiilor: direct de la client sau prin alte metode. Conform Articolului 13 - Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată, Alineatul 1, trebuie să furnizãm persoanei vizate următoarele informații:
18
Catalog GDPR Ready identitatea şi datele de contact – ca operator, și după caz și ale mele personale – ca reprezentant al acestuia; datele mele de contact ca responsabil cu protecţia datelor, după caz ca ofițer de protecție a datelor personale (DPO); scopurile în care vreau să prelucrez datele cu caracter personal, precum şi temeiul juridic al prelucrării (baza legală); interesele legitime pe care le urmăresc (ca operator sau ca o terță parte) – cu excepțiile de la Articolul 6 alineatul (1) litera (f) – Legalitatea prelucrării; care sunt destinatarii sau categoriile de destinatari ai datelor cu caracter personal; intenţia mea de a transfera date cu caracter personal către o ţară terţă și care sunt garanțiile pe care le ofer că acest transfer este perfect legal și nu lezează interesele persoanei vizate. În plus, în momentul în care am obținut deja datele cu caracter personal, conform Articolului 13, Alineatul 2, eu ca operator trebuie să furnizez persoanei vizate o serie de informaţii suplimentare, necesare pentru a asigura transparența prelucrării: perioada de reținere a datelor sau criteriile folosite pentru a stabili această perioadă; dreptul la rectificare, ștergere, restricționare, obiecții; dreptul la portabilitatea datelor; dreptul de a retrage consimțământul în orice moment, dacă este cazul; dreptul de a depune o plângere la o autoritate de supraveghere; dacă solicitarea face parte dintr-o cerință sau obligație legală sau contractuală și posibilele consecințe ale nefurnizării; existența unui proces automat de luare a deciziilor ( incluzând profilarea) și modul în care sunt luate deciziile, semnificația și consecințele acestora. Dacă eu, ca operator vreau să prelucrez datele cu caracter personal și/ sau într-un alt scop decât cel pentru care acestea au fost colectate, atunci, înainte de orice prelucrare ulterioară, sunt obligat să furnizez persoanelor vizate toate informaţiile relevante privitoare la scopul sau scopurile secundare.
24 Ce se întâmplă când datele au fost obținute indirect? Conform Articolului 14, în situația în care datele despre persoana vizată nu ne-au parvenit direct de la aceasta, sunt obligat ca operator să furnizez persoanei vizate întregul set de informații descrise mai sus, de la ambele Alineate ale Articolului 13, plus următoarele informații obligatorii doar pentru acest caz: care sunt categoriile de date personale pe care le am la dispoziție care e sursa publică de date cu caracter personal, după caz care provine de la surse accesibile publicului;
19
Catalog GDPR Ready
Pentru a ne descurca mai bine în acest labirint de informații, legi și paragrafe, am făcut o sinteză a informațiilor care trebuie funizate în ambele sitații discutate anterior:
Date venite direct de la subiect
Date provenite din alte surse
Identitatea și datele de contact (operator + reprezentant)
DA
DA
Datele de contact DPO
DA
DA
Ce informații trebuie să dau
Scopul în care se prelucrează datele
DA
DA
Interesele legitime urmărite
DA
DA
Destinatarii sau categoriile de destinatari
DA
DA
Categoriile de date personale
NU
DA
Intenţiile de transfer al datelor
DA
DA
Perioada de reţinere a datelor
DA
DA
Dreptul la rectificare, ștergere, restricţionare, obiecţii
DA
DA
Dreptul la portabilitatea datelor
DA
DA
Dreptul de retragere a consimţământului
DA
DA
Dreptul la plângere/notificare
DA
DA
Care e sursa publică de date cu caracter personal
NU
DA
Existenţa unei obligaţii legale sau contractuale
DA
NU
Existenţa unui proces automat de luare a deciziilor
DA
DA
25 Când trebuie furnizate informațiile? O modificare importantă față de legislația anterioară este scurtarea perioadei în care sunt obligat să răspund solicitării de informare primită de la persoana vizată. Conform Articolului 12, Alineatul 3: Timpul maxim de răspuns s-a scurtat de la 40 de zile la 30 de zile. Deci eu, ca operator trebuie să furnizez persoanei vizate informaţii privind acţiunile întreprinse în urma unei cereri fără întârzieri nejustificate şi în orice caz în cel mult o lună de la primirea cererii; Atunci când e necesar, din motive legate de complexitatea și volumul cererilor primite simultan, această perioadă poate fi prelungită până la două luni. Chiar și în aceste condiții de prelungire, trebuie să informez persoana vizată de această prelungire tot în intervalul de o lună; Pentru cererile trimise în format electronic, informaţiile trebuie furnizate în format electronic - acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită informațiile într-un alt format.
20
Catalog GDPR Ready
26 Ce este Dreptul la acces? Conform GDPR, orice persoană vizată poate solicita dreptul de acces la datele personale, în anumite condiții. În mare aceste drepturi se regăsesc și în prevederile legislației anterioare. Astfel, potrivit Articolului 15: „Dreptul de acces de către persoana vizată”, pot fi solicitate următoarele tipuri de informații: care e scopul prelucrării datelor personale? ce categorii de date cu caracter personal sunt în cauză; care sunt destinatarii cărora le-au fost furnizate datele cu caracter personal; care este perioada pentru care vor fi stocate datele cu caracter personal; dreptul la rectificare, ștergere, obiecție sau restricție; dreptul de a depune o plângere la o autoritate de supraveghere; în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile cu privire la originea lor. În noua formulare, GDPR preia în mare parte prevederile existente, în virtutea faptului că orice persoană vizată trebuie să aibă drept de acces la datele cu caracter personal colectate care o privesc şi ar trebui să îşi exercite acest drept cu uşurinţă şi la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare şi pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele privind sănătatea, de exemplu datele din registrele medicale conţinând informaţii precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanţi şi orice tratament sau intervenţie efectuată. Orice persoană vizată trebuie să aibă dreptul de a cunoaşte şi de a i se comunica în special scopurile în care sunt prelucrate datele, și dacă este posibil, perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor şi, cel puţin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări.
27 Care sunt condițiile de furnizare a datelor personale? La procedurile de furnizare a datelor personale către persoanele vizate apar câteva mici modificări față de legislația anterioară: Fără taxe - Vechile prevederi ale Legii 677/ 2001 arătau că o persoană putea solicita accesul la date în mod gratuit doar o datã pe an. Actualul regulament nu specifică perceperea vreunei taxe, dar lasă libertatea fiecărui membru UE să stabilească în ce condiții pot fi percepute anumite taxe, mai ales când implică un volum considerabil de lucru din partea operatorului sau atunci când o cerere este vădit nefondată, excesivă sau repetitivă. Timpul de furnizare - Regulamentul oferă operatorilor o perioadă rezonabilă de până la o lună pentru a răspunde solicitărilor de acces la datele personale. În anumite
21
Catalog GDPR Ready
22
Catalog GDPR Ready
23
Catalog GDPR Ready
situații, acest termen poate fi prelungit cu încă o lună, dar suntem obligați în acest caz să anunțăm persoanele vizate de această prelungire, cu justificările de rigoare în termen de cel mult o lună de la primirea solicitării. Proceduri de furnizare a informațiilor - În mod normal, trebuie să verificăm mai întâi identitatea persoanei care depune cererea, folosind „mijloace rezonabile”. În cazul în care cererea se face electronic, ar trebui să furnizăm informațiile tot într-un format electronic utilizat în mod obișnuit. Față de prevederile anterioare, GDPR vine cu o idee inovatoare: acolo unde este posibil, noi ca operatori de date ar trebui să putem furniza acces de la distanţă la un sistem sigur, care să ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui să aducă atingere drepturilor sau libertăţilor altora, inclusiv secretului comercial sau proprietăţii intelectuale şi, în special, drepturilor de autor care asigură protecţia programelor software (Considerentul 63). Deși acest tip de acces nu este posibil în toate cazurile, există unele sectoare în care acest lucru ar fi posibil, prin integrarea în sistemele CRM.
28 Ce este dreptul la rectificare? Conform Articolului 16 - Dreptul la rectificare: „Persoana vizată are dreptul de a obţine de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.” Când pot fi rectificate datele personale? Persoanele vizate au dreptul de a solicita rectificarea datelor personale, în cazul în care acestea sunt inexacte sau incomplete și în special când datele personale nu au fost colectate direct de la cei implicați. Perioada de timp alocată de regulament pentru rectificarea datelor este de maxim o lună, cu posibilitatea extinderii la două luni, în condiții speciale. În cazul în care nu se iau măsuri ca răspuns la o cerere de rectificare, trebuie ca persoana vizată să fie informată de cauzele speciale existente și în cazul în care nu se ajunge la o înțelegere, trebuie să știe că are dreptul de a depune o plângere la autoritatea de supraveghere și la o cale de atac.
29 Ce este dreptul la ștergere? Dreptul la ștergerea datelor personale face parte din noile prevederi introduse de GDPR. Cunoscut în special ca „dreptul de a fi uitat“, acesta se bazează pe principiul de a garanta oricărui individ libertatea de a face ce vrea cu datele sale personale, inclusiv de a le șterge, dacă nu există un motiv convingător sau special pentru continuarea procesării și stocării acestora. Când ni se poate solicita dreptul la ștergere? Conform Articolului 17, Alineatul 1: Dreptul la ștergerea datelor („dreptul de a fi uitat”), persoana vizată are dreptul
24
Catalog GDPR Ready
de a obţine din partea operatorului ştergerea datelor cu caracter personal, fără întârzieri nejustificate, iar noi ca operatori avem obligaţia de a şterge datele cu caracter personal, în cazul în care există unul dintre motivele: datele nu mai sunt necesare pentru scopurile pentru care au fost colectate sau prelucrate; persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea; persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) dreptul la opoziție există neclarități legate de legalitatea prelucrării datelor cu caracter personal; datele trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului; datele cu caracter personal aparțin unor copii, cu vârsta sub 16 ani. În Articolul 17, Alineatul 2 se ia în discuție cazul în care operatorul a făcut publice datele cu caracter personal şi este obligat, în temeiul Alineatului 1, să le şteargă. Ce trebuie să facem în acest caz? În funcție de tehnologia disponibilă şi de costul implementării, trebuie să luăm „măsuri rezonabile”, inclusiv măsuri tehnice, pentru a informa toți procesatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea de către aceşti operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal. Trebuie să mai reținem faptul că dreptul la ștergere nu asigură și o aplicare absolută a „dreptului de a fi uitat”. Persoanele fizice au dreptul de a dispune cum doresc de datele cu caracter personal șterse, le pot încredința unui alt operator, le pot actualiza și pregăti pentru alte tipuri de prelucrări. Când putem refuza să dăm curs unei cereri de ștergere a datelor? Situațiile în care prevederile de la Alineatele 1 și 2 nu se aplică sunt explicitate la Alineatul 3, unde se consideră ca situații de excepție cele în care prelucrarea este necesară pentru: exercitarea dreptului la liberă exprimare şi la informare; respectarea unei obligaţii legale; motive de interes public în domeniul sănătăţii publice (Articolul 9, Alineatul 2, Literele h şi i și Articolul 9, Alineatul 3); scopuri de arhivare în interes public, cercetare ştiinţifică sau istorică ori în scopuri statistice (Articolul 89, Alineatul 1); constatarea, exercitarea sau apărarea unui drept în instanţă.
30 Ce este dreptul la restricționare? Conform Articolului 18 - Dreptul la restricţionarea prelucrării: persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării într-unul dintre cazurile: se contestă exactitatea datelor, pentru o perioadă care ne permite ca operator să verificăm exactitatea datelor în cauză;
25
Catalog GDPR Ready prelucrarea este ilegală, iar persoana vizată se opune ştergerii datelor cu caracter personal, solicitând în schimb restricţionarea utilizării lor; ca operatori nu mai avem nevoie de datele cu caracter personal în scopul prelucrării, dar persoana vizată ni le solicită pentru o acțiune în instanţă; persoana vizată s-a opus prelucrării (Articolul 21, Alineatul 1) pentru intervalul de timp în care se verifică dacă drepturile noastre legitime ca operatori prevalează asupra celor ale persoanei vizate. Dacă prelucrarea a fost restricţionată în temeiul Alineatului 1, astfel de date cu caracter personal pot, cu excepţia stocării, să fie prelucrate numai cu consimțământul persoanei vizate. De asemenea, conform Alineatului 3, avem datoria ca o persoană vizată care a obţinut restricţionarea prelucrării în temeiul Alineatului 1, să fie informată din timp, înainte de ridicarea restricţiei de prelucrare.
31 Ce este dreptul la portabilitatea datelor? „Dreptul la portabilitatea datelor” permite persoanelor să obțină și să reutilizeze datele lor personale în scopuri proprii în cadrul diferitelor servicii. Acest drept permite mutarea, copierea sau transferul datele personale cu ușurință de la un mediu IT la altul, într-un mod sigur. Multe organizații europene oferă deja servicii de portabilitate a datelor, care permit persoanelor interesate să vizualizeze, să acceseze și să utilizeze datele personale de consum și tranzacții într-un mod portabil și sigur. Mai mult, există operatori internaționali care permit consumatorilor să profite de aplicații și servicii care pot utiliza aceste date pentru a le găsi o afacere mai bună sau pentru a le ajuta să-și înțeleagă obiceiurile de cheltuieli. Conform Articolului 20, persoana vizată are dreptul să transmită date cu caracter personal altui operator de date. Operatorul de date trebuie să furnizeze persoanei vizate o copie a datelor cu caracter personal într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat. Mai mult, operatorul de date nu trebuie să împiedice transmiterea datelor cu caracter personal unui nou operator de date. Dreptul de portabilitate a datelor se aplică numai în cazul în care: datele sunt procesate prin mijloace automate; persoana vizată a dat consimțământul pentru prelucrare; prelucrarea este necesară pentru a îndeplini condițiile stipulate printr-un contract. Ce trebuie să facem pentru a asigura conformitatea cu acest drept? La solicitarea explicită a persoanei vizate trebuie să furnizăm datele personale într-o formă structurată, utilizată frecvent și care poate fi citită în mod automatizat. Formatele deschise includ fișierele CSV. Prin intermediul unei mașini de citire se înțelege că informațiile sunt structurate astfel încât software-ul să poată extrage elemente specifice ale datelor. Acest lucru permite altor organizații să utilizeze datele. Informațiile trebuie furnizate gratuit.
26
Catalog GDPR Ready
Este posibil să ni se solicite să transmitem datele direct unei alte organizații, dacă acest lucru este fezabil din punct de vedere tehnic. Cu toate acestea, nu suntem obligați să adoptăm sau să menținem sisteme de procesare care sunt compatibile din punct de vedere tehnic cu alte organizații. Dacă datele personale se referă la mai multe persoane, trebuie să verificăm dacă furnizarea informațiilor ar aduce atingere drepturilor oricărei alte persoane. În cât timp trebuie să răspundem solicitărilor de portare? Avem la dispoziție, fără întârzieri nejustificate, o perioadă de o lună, de la primirea solicitării. În cazul în care primim o cerere mai complexă, care include și alte tipuri de solicitări, timpul de răspuns poate ajunge la două luni. În cazul în care, din diferite motive, nu putem să furnizăm un răspuns la o cerere, trebuie să explicăm solicitantului că are dreptul de a se plânge autorității de supraveghere și de a deschide o cale de atac, fără întârzieri nejustificate și cel mult într-o lună.
32 Ce este dreptul la obiecții? Unul dintre principalele drepturi ale persoanei vizate, stipulate de GDPR este dreptul la obiecții sau de a se opune anumitor tipuri de prelucrări. Care sunt aceste tipuri de prelucrări ale persoanelor viate? Conform Articolului 21 persoana vizată are dreptul de a se opune la: prelucrarea datelor personale în scopuri de marketing direct; prelucrarea datelor pentru realizarea de profiluri; prelucrarea datelor prin mijloace automate; prelucrarea în scopuri științifice sau istorice. Situațiile de excepție care anulează dreptul la obiecții al persoanelor vizate apar atunci când, în calitatea de operator de date personale, putem să demonstrăm că există motive legitime convingătoare pentru susținerea prelucrării, care depășesc interesele, drepturile și libertățile persoanei vizate. Alte situații de excepție sunt motivate de stabilirea, exercitarea sau apărarea unor revendicări legale sau în situațiile în care prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public.
33 Ce facem dacă primim obiecții în activitățile de marketing? Dacă facem procesarea de date personale în scop de marketing direct, trebuie să încetăm orice operațiune de prelucrare de îndată ce primim o obiecție. În aceste situații nu există excepții sau motive de refuz pentru luarea în considerare a unei obiecții. Trebuie să răspundem obiecțiilor împotriva procesării în scopuri de marketing direct cât mai rapid și în mod gratuit. Chiar dacă în anumite circumstanțe a existat un consimțământ inițial pentru prelucrarea datelor, ridicarea unei obiecții explicite pentru interzicerea prelucrării datelor personale în scopuri de marketing direct trebuie acceptată fără întârziere și comunicată persoanei vizate „în mod clar și separat de orice altă informație”.
27
Catalog GDPR Ready
Toate aceste condiții trebuie stipulate de la bun început, chiar prin contractul de confidențialitate. Pe aceeași linie, dacă procesăm date personale în scopuri legate de cercetare științifică sau istorică, sau în scopuri statistice, persoanele fizice trebuie să aibă „motive legate de situația lor particulară” pentru a-și exercita dreptul de a se opune prelucrării în scopuri de cercetare. Dacă scopul principal al proiectului de cercetare este legat în mod direct de îndeplinirea unei sarcini de interes public, nu suntem obligați să ne conformăm unei obiecții față de prelucrarea datelor. Evident că această situație și motivarea clară și precisă a naturii cercetării trebuie comunicate în cel mai scurt timp persoanei vizate care s-a opus prelucrării.
34 Ce sunt drepturile legate de luarea automată a deciziilor și profilare? Iată o categorie specială de drepturi, prezentă în legislația anterioară dar mult mai bine explicitată prin noul Regulament GDPR, care oferă persoanelor fizice garanții împotriva riscului ca o decizie potențial dăunătoare să fie luată fără intervenția omului. Ce avem de făcut pentru asigurarea conformității cu acest drept? Nu trebuie decât să identificăm dacă oricare dintre operațiunile noastre de procesare include un proces automat de luare a deciziilor și, bineînțeles, trebuie să ne actualizăm procedurile, pentru a răspunde cerințelor GDPR. Când se aplică acest drept? Conform Articolului 22, persoanele fizice au dreptul de a nu face obiectul unei decizii atunci când aceasta se bazează pe prelucrarea automată și poate produce un efect juridic sau un efect semnificativ similar asupra individului. Dreptul se aplică tuturor deciziilor automate? Nu. Dreptul nu se aplică în cazul în care decizia: este necesară pentru încheierea sau executarea unui contract între dvs. și persoana fizică; este autorizată prin lege (de exemplu, în scopuri de fraudă sau prevenirea evaziunii fiscale) pe baza consimțământului explicit. (Articolul 9, Alineatul (2)); atunci când o decizie nu are un efect legal sau similar semnificativ asupra unei persoane.
35 Ce reprezintă profilarea? Operatorii de date trebuie să informeze persoanele vizate despre existența și consecințele oricăror activități de profilare pe care le efectuează (inclusiv urmărirea online și publicitatea comportamentală). Organizațiile care colectează și utilizează date cu caracter personal vor trebui să introducă anunțuri de confidențialitate mai detaliate decât cele recomandate până acum, oferind mai multe informații, într-un mod
28
Catalog GDPR Ready
mai prescris. Aceasta va implica o revizuire la scară largă a tuturor anunțurilor privind confidențialitatea. GDPR definește profilarea ca orice formă de procesare automată destinată să evalueze anumite aspecte personale ale unei persoane, în special pentru a le analiza sau a prezice: • performanța la locul de muncă • situația economică • starea de sănătate • preferințele personale • fiabilitatea • comportamentul • locația • deplasările. La prelucrarea datelor cu caracter personal în scopuri de realizare a unui profil, trebuie să ne asigurăm că există garanții adecvate și să respectăm o serie de proceduri: Trebuie mai întâi să ne asigurăm că procesarea este corectă și transparentă prin furnizarea de informații semnificative despre logica implicată, precum și despre semnificația și consecințele avute în vedere; De preferat să folosim procedurile matematice sau statistice adecvate pentru profilare; Se recomandă implementarea măsurilor tehnice și organizatorice adecvate care să ne permită remedierea erorilor și minimizarea riscului de eroare; Trebuie să asigurăm datele personale într-o manieră proporțională cu riscul pentru interesele și drepturile individului și să prevenim efectele discriminatorii.
Capitolul 6 PROTECȚIA DATELOR 36 De ce este esențială responsabilitatea pentru protecția datelor? Prin principiul responsabilității GDPR vă cere nu numai să respectați principiile – de exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci și să demonstrați oricând această responsabilitate. În timp ce principiile responsabilității și transparenței au fost anterior cerințele implicite ale legii privind protecția datelor, noua viziune a GDPR le extinde mult semnificația. În noul model de responsabilitate operatorii de date personale nu numai ca trebuie să respecte responsabiltatea pe care și-o asumă, dar trebuie să și demonstreze faptul că sunt abilitați să își asume această responsabilitate. Se așteaptă să se instituie măsuri de guvernanță cuprinzătoare, dar proporționale. Instrumentele de bună practică pe care organismele europene de reglementare le-au susținut de mult timp, cum ar fi evaluările impactului asupra vieții private și viața privată după proiectarea procesarii datelor, sunt acum cerute din punct de vedere legal în anumite circumstanțe. În cele din urmă, aceste măsuri ar trebui să minimizeze riscul de încălcare și să susțină protecția datelor cu caracter personal. Practic, acest lucru ar însemna mai multe politici și proceduri pentru organizații, deși multe organizații vor avea deja măsuri de bună guvernanță.
29
Catalog GDPR Ready
37 În ce constă principiul responsabilității? Noul principiu de responsabilitate prevăzut la Articolul 5, Alineatul (2) impune să demonstrați că respectați principiile și să menționați în mod explicit că aceasta este responsabilitatea dvs. Cum pot să îmi demonstrez responsabilitatea? Lucrurile nu trebuie sa fie foarte complicate, atâta timp cât se respectă o serie de proceduri de implementare a măsurilor tehnice și organizatorice adecvate care să asigure și să demonstreze că vă conformați. Acestea pot include politici interne de protecție a datelor, cum ar fi formarea personalului, audituri interne ale activităților de prelucrare și revizuiri ale politicilor interne în materie de resurse umane. Iată o serie de recomandări: Mențineți o documentația relevantă privind activitățile de procesare a datelor cu caracter persoanal; Dacă este cazul, numiți un ofițer de protecție a datelor; Implementați măsurile care respectă principiile protecției datelor prin proiectare și protecția datelor în mod implicit (data protection by design and by defaut).
38 Ce se înțelege prin „Data protection by design and by default”? În cadrul GDPR, aveți o obligație generală de a implementa măsuri tehnice și organizatorice care să arate că ați luat în considerare și că integrați protecția datelor în activitățile dvs. de procesare. Confidențialitatea prin design este o abordare care a fost de mult timp și va fi întotdeauna o cerință implicită a principiilor pe care toți operatorii de date personale și le asumă în mod constant. Ce este „confidențialitatea prin design”? Confidențialitatea prin design este o abordare a proiectelor care promovează respectarea vieții private și protecția datelor încă de la început, de la proiectarea bazelor de date și a sistemelor de calcul. Din nefericire, în practică s-a văzut că aceste aspecte sunt de cele mai multe ori asumate ca o gândire ulterioară sau ignorate cu totul. Deși această abordare nu a fost o cerință esențială a Legii privind protecția datelor, prin includerea sa distinctă în noul Regulament, ea va ajuta organizațiile să își respecte obligațiile care le revin în temeiul legislației. GDPR încurajează organizațiile să se asigure că protecția vieții private și a datelor reprezintă un element-cheie în primele etape ale oricărui proiect și apoi pe tot parcursul ciclului său de viață. Iată câteva exemple: crearea de noi sisteme IT pentru stocarea sau accesarea datelor cu caracter personal; elaborarea de reguli, politici sau strategii care au implicații asupra vieții private; lansarea unei inițiative de partajare a datelor; folosirea seturilor de date pentru alte scopuri, decât cele avute în vedere inițial.
30
Catalog GDPR Ready
O abordare privind confidențialitatea prin design este în primul rând un instrument esențial în reducerea riscurilor de confidențialitate și de construire a încrederii. Designul proiectelor, proceselor, produselor sau sistemelor plecând de la premisa asigurării confidențialității încă de la început poate aduce beneficii care includ: Problemele potențiale sunt identificate într-un stadiu incipient, când abordarea acestora va fi adesea mai simplă și mai puțin costisitoare; Creșterea gradului de conștientizare a vieții private și a protecției datelor într-o organizație; Organizațiile sunt mult mai probabil să-și îndeplinească obligațiile legale și mai puțin susceptibile de a încălca Legea privind protecția datelor; Este puțin probabil ca acțiunile să fie invazive și să aibă un impact negativ asupra persoanelor. Conform Articolului 25, operatorii trebuie să adopte măsuri tehnice și organizatorice adecvate pentru a se asigura că, în mod implicit, sunt prelucrate numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Această obligație se aplică: cantității de date cu caracter personal colectate amplorii prelucrării acestora; perioadei de stocare asumate; accesibilității datelor personale. Care ar fi aceste măsuri? Aceste măsuri ar trebui să includă: Minimizarea datelor; Pseudonimizarea; Transparență; Transparență în monitorizarea procesării; Crearea și îmbunătățirea funcțiilor de securitate în mod continuu; Evaluări de impact privind protecția datelor; Respectarea codurilor de conduită aprobate și /sau sistemele de certificare. Astfel de măsuri trebuie să garanteze în mod special faptul că, în mod prestabilit, datele cu caracter personal nu sunt accesibile fără intervenția unei persoanei fizice unui număr nedeterminat de persoane fizice. Cu alte cuvinte, toți operatorii trebuie să adopte reguli clare, bazate pe politici de acces la datele cu caracter personal. „Confidențialitatea prin design” folosește o abordare caracterizată prin măsuri proactive mai degrabă decât reactive. Ea anticipează și împiedică evenimentele invazive de confidențialitate înainte ca acestea să se întâmple. Confidențialitatea prin design nu așteaptă să se materializeze riscurile de confidențialitate și nici nu oferă remedii pentru soluționarea încălcărilor vieții private după ce au avut loc. Ci are ca scop prevenirea apariției acestora. Pe scurt, confidențialitatea prin design vine înainte de fapte, nu după. Seriozitatea, claritatea și mai ales larga capacitate de adopție a programului Privacy by Design a determinat Comisia Europeană să îl încorporeze ca abordare în Regulamentul
31
Catalog GDPR Ready
general privind protecția datelor. Respectând această abordare, procesatorii de date și proiectanții de sisteme informatice pot să își elaboreze ofertele prin minimizarea datelor colectate și alegerea celor mai eficiente setări de protecție a datelor. Prin respectarea puternicului principiu al limitării scopului. Se garantează faptul că vor fi prelucrate numai datele necesare pentru furnizarea unui serviciu.
39 Care sunt cele 7 principii fundamentale ale confidențialității prin design? Obiectivele de confidențialitate prin design - asigurarea protecției vieții private și obținerea controlului personal asupra informațiilor proprii și, pentru organizații, obținerea unui avantaj competitiv durabil - pot fi realizate prin respectarea celor 7 Principii Fundamentale: Proactiv nu Reactiv – Adică prevenire, nu remediere. Abordarea privind
1
confidențialitatea prin design se caracterizează prin măsuri proactive mai degrabă
decât reactive. Ea anticipează și împiedică evenimentele invazive de confidențialitate, înainte ca acestea să se întâmple. Confidențialitatea prin design nu așteaptă să se materializeze riscurile de confidențialitate și nici nu oferă remedii pentru soluționarea încălcărilor vieții private după ce acestea au avut loc. Are ca scop prevenirea apariției acestora. Pe scurt, confidențialitatea prin design vine înainte de fapte, nu după; Confidențialitatea ca setare implicită – Singurele care ne pot face să putem fi
2
siguri de un lucru sunt regulile implicite! Confidențialitatea prin design urmărește
să asigure un nivel maxim de confidențialitate, asigurând protecția automată a datelor cu caracter personal în orice sistem IT sau practică de afaceri. Dacă un individ nu face nimic, intimitatea lui rămâne în continuare intactă. Nu este necesară nicio acțiune din partea individului pentru a-și proteja confidențialitatea – aceasta este implicit protejată de sistem; Confidențialitatea încorporată în design – Astfel confidențialitatea este încorporată
3
în designul și arhitectura sistemelor informatice și a practicilor de afaceri. Nu este
poziționată ca un add-on. Doar așa confidențialitatea devine o componentă esențială a funcțiilor de bază furnizate. Confidențialitatea este parte integrantă a sistemului, fără a diminua funcționalitatea; Funcționalitatea completă – Se urmărește o adaptare a tuturor intereselor și
4
obiectivelor legitime într-o manieră profitabilă de tip „sumă pozitivă”, nu printr-o
abordare de tip „rezultat cumulat zero”, în cazul în care sunt adoptate compromisuri inutile. Confidențialitatea prin design evită pretenția unor dihotomii false, cum ar fi confidențialitatea vs. securitatea - demonstrând că este posibil să obținem ambele. Securitatea end-to-end - protecția completă, pe toată durata ciclului de viață.
5
Confidențialitatea prin proiect, care a fost încorporată în sistem înainte de primirea
primului element de informație, se extinde în mod sigur pe întreaga durată de viață a datelor implicate – garantând intimitate, de la început până la sfârșit. Acest lucru ne
32
Catalog GDPR Ready
asigură că toate datele sunt păstrate în siguranță și apoi distruse în siguranță la sfârșitul procesului, în timp util.
6
Vizibilitate și transparență - Confidențialitatea prin design urmărește să asigure toate părțile interesate că, indiferent de practica comercială sau tehnologia implicată,
funcționează în conformitate cu promisiunile și obiectivele menționate, supuse verificării independente. Componentele și operațiunile sale rămân vizibile și transparente, atât pentru utilizatori, cât și pentru furnizori. Cu alte cuvinte „Crede și ține minte, dar nu uita să și verifici…” Respectarea confidențialității utilizatorilor - Mai presus de toate, confidențialitatea
7
prin proiectare cere arhitecților și operatorilor să protejeze interesele individului,
oferind astfel de măsuri care susțin implicațiile puternice de confidențialitate, recomandă notificarea corespunzătoare și respectarea opțiunilor cele mai prietenoase pentru utilizator. Țineți-l pe utilizator de partea voastră.
40 Care sunt direcțiile de acțiune pentru implementarea noului regulament? în primul rând elaborarea unui plan de asigurare a tuturor măsurilor necesare pentru îndeplinirea compatibilității; pregătirea aplicării efective a Regulamentului; obținerea resurselor financiare și umane adecvate pentru realizarea efectivă a competențelor solicitate; elaborarea unei Analize de impact – în cazul procesărilor de date care presupun un risc ridicat pentru viața privată a persoanelor, cum ar fi cele din sănătate; înființarea funcției Data Protection Officer (DPO), ca persoană care răspunde de/ coordonează siguranța datelor personale la nivelul operatorului de date; conștientizarea riscurilor asociate cu penalitățile extrem de severe anunțate pentru neconformare – 10 – 20 milioane de euro sau între 2% şi 4% din cifra de afaceri la nivel internațional.
41 Ce este evidența activităților de prelucrare? Evidența activităților de prelucrare este prima procedură care trebuie adoptată, indiferent de profilul dvs de activitate sau natura datelor personale și scopul prelucrării acestora. În oricare dintre situații aveți obligația de a furniza politici de confidențialitate complete, clare și transparente. Dacă organizația dvs. are mai mult de 250 de angajați, trebuie să păstrați înregistrări interne suplimentare ale activităților de procesare. În cazul în care organizația dvs. are mai puțin de 250 de angajați, sunteți obligat să păstrați doar evidența activităților legate de prelucrarea datelor cu risc sporit, cum ar fi: prelucrarea datelor cu caracter personal care ar putea duce la un risc pentru drepturile și libertățile individului;
33
Catalog GDPR Ready procesarea unor categorii speciale de date, precum condamnări și infracțiuni penale. De ce trebuie să înregistrăm tot ceea ce prelucrăm? Pentru că este cea mai elementară procedură internă. Conform Articolului 30, Alineatul 1 trebuie să înregistrați și să aveți o evidență clară a următoarele informații: numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat, ale reprezentantului operatorului şi ale responsabilului cu protecţia datelor; scopurile prelucrării; descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal; categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale; dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate; acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii de date; acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 32 alineatul (1). După intrarea în vigoare a noului Regulament este posibil să vi se solicite ca aceste înregistrări să fie puse la dispoziția autorității de supraveghere competente în cazul unei investigații. În vederea demonstrării conformităţii cu prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să păstreze evidenţe ale activităţilor de prelucrare aflate în responsabilitatea sa. Fiecare operator şi fiecare persoană împuternicită de operator ar trebui să aibă obligaţia de a coopera cu autoritatea de supraveghere şi de a pune la dispoziţia acesteia, la cerere, aceste evidenţe, pentru a putea fi utilizate în scopul monitorizării operaţiunilor de prelucrare respective. Conform Articolului 30, Alineatul 2, aceste evidențe trebuie să includă: numele şi datele de contact ale persoanei sau persoanelor împuternicite de operator şi ale fiecărui operator în numele căruia acţionează această persoană (aceste persoane), precum şi ale reprezentantului operatorului sau al persoanei împuternicite de operator, după caz; categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator; dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi, în cazul transferurilor prevăzute la Aticolul 49, Alineatul 1 - al doilea paragraf, documentaţia care dovedeşte existenţa unor garanţii adecvate; acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la Articolul 32, Alineatul 1.
34
Catalog GDPR Ready
Evidenţele menţionate la Alineatele (1) şi (2) se formulează în scris, inclusiv în format electronic. Operatorul sau persoana împuternicită de acesta, precum şi, după caz, reprezentantul operatorului sau al persoanei împuternicite de operator pun evidenţele la dispoziţia autorităţii de supraveghere, la cererea acesteia.
Capitolul 7 EVALUAREA IMPACTULUI 42 Ce este Data Protection Impact Assessment (DPIA) ? Protecția datelor trebuie acum proiectată în mod implicit în sistemele de procesare, iar în anumite circumstanțe o evaluare de impact asupra protecției datelor este acum obligatorie. O bună practică pentru noile tehnologii și procese este de a evalua dacă prelucrarea are un „risc ridicat”, dacă aduce atingere drepturilor persoanelor vizate și dacă acest risc poate fi redus sau evitat, de exemplu prin pseudonimizare. Evaluările de impact sunt imperios necesare în cazul în care există o prelucrare automată (inclusiv depunerea) și prelucrarea unor categorii speciale de date pe scară largă. Evaluarea impactului privind protecția datelor (DPIA) - cunoscută și sub numele de evaluarea impactului asupra confidențialității sau AIP, reprezintă un instrument care poate ajuta organizațiile să identifice cea mai eficientă modalitate de a se conforma obligațiilor lor privind protecția datelor și de a răspunde așteptărilor individuale de confidențialitate. O DPIA eficientă va permite organizațiilor să identifice și să remedieze problemele într-un stadiu incipient, reducând costurile asociate și deteriorarea reputației, generată de apariția oricărui incident.
43 Când trebuie să fac o evaluare DPIA? În accord cu bunele practici, trebuie să efectuați o DPIA atunci când: utilizarea noilor tehnologii impune asumarea unui anumit grad de risc prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor. Procesarea care poate duce la un risc ridicat include (dar nu se limitează la acestea): activități de prelucrare sistematice și extinse, inclusiv profilarea și în cazul în care deciziile care au efecte juridice - sau efecte similare în mod similar - asupra persoanelor fizice. prelucrarea pe scară largă a unor categorii speciale de date sau date cu caracter personal în legătură cu condamnările sau infracțiunile penale. Aceasta include prelucrarea unei cantități considerabile de date cu caracter personal la nivel regional, național sau supranațional; care afectează un număr mare de indivizi; și implică un risc ridicat pentru drepturi și libertăți, de exemplu, pe baza sensibilității activității de prelucrare.
35
Catalog GDPR Ready monitorizarea sistematică a zonelor publice (CCTV) pe scară largă. Ce informații ar trebui să conțină DPIA? Orice evaluare de impact trebuie să conțină: O descriere a operațiunilor de prelucrare și a scopurilor, inclusiv (dacă este cazul) a intereselor legitime urmărite de operator. O evaluare a necesității și proporționalității procesării în raport cu scopul. Evaluarea riscurilor pentru persoane fizice. Măsurile luate pentru a aborda riscul, inclusiv securitatea și pentru a demonstra că vă conformați. O DPIA se poate adresa mai multor proiecte.
Capitolul 8 TRANSFERUL INTERNAȚIONAL DE DATE 44 Care este principiul transferului de date? În Articolul 44 - Principiul general al transferurilor se specifică faptul că: „Orice transfer de date cu caracter personal care sunt supuse procesării sau care sunt destinate prelucrării după transferul într-o țară terță sau într-o organizație internațională are loc numai dacă, sub rezerva celorlalte dispoziții din prezentul regulament, sunt respectate condițiile stabilite de către operator și de către procesator, inclusiv pentru transferurile ulterioare de date cu caracter personal din țara terță sau de la o organizație internațională către o altă țară terță sau la o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.” Orice transfer de date cu caracter personal de către controlor sau de către procesator are loc numai dacă sunt îndeplinite anumite condiții: Transferuri pe baza adecvării; Transferuri supuse garanțiilor adecvate Aplicabilitatea unor reguli corporative obligatorii. Toate prevederile vor fi aplicate pentru a asigura faptul că protecția persoanelor fizice nu este subminată.
45 Se poate face transferul de date în afara Uniunii Europene? Regulamentul interzice transferul de date cu caracter personal în afara UE într-o țară terță care nu dispune de o protecție adecvată a datelor. Comisia Europeană are competența de a aproba anumite țări pentru a asigura un nivel adecvat de protecție a datelor, luând în considerare legislația privind protecția datelor în vigoare în țara respectivă și angajamentele internaționale ale acesteia.
36
Catalog GDPR Ready
În prezent, pe această listă putem întâlni următoarele 11 state pe care UE le consideră ca sigure pentru protecția datelor personale: Europa: Andora, Elveția, Insulele Feroe, Guernsey, Insula Man, Jersey Orientul Mijlociu: Israel America de Nord: Canada America de Sud: Argentina și Uruguay Asia-Pacific: Noua Zeelandă. Pentru transferurile de date către orice țară care nu este pe listă, trebuie să existe un contract legal care să stipuleze că destinatarul din afara UE este de acord cu măsurile de protecție a datelor solicitate. Regulamentul recunoaște și promovează în mod explicit utilizarea unor reguli corporative obligatorii ca un mecanism valid de transfer de date în cadrul grupurilor de companii. Codurile de conduită aprobate pot fi de asemenea utilizate pentru transferul de date.
46 Care sunt condițiile unui transfer în siguranță? Conform Articolului 46 puteți transfera date cu caracter personal în cazul în care organizația care primește datele personale a furnizat garanții de siguranță adecvate. Drepturile persoanelor trebuie să fie executorii și ca urmare a transferului trebuie să fie disponibile căi de atac efective pentru persoanele fizice. Se pot asigura garanții adecvate prin: un acord obligatoriu din punct de vedere juridic între autoritățile sau organismele publice; regulile corporative obligatorii (acordurile care guvernează transferurile efectuate între organizații din cadrul unui grup corporativ); clauzele standard de protecție a datelor, sub forma clauzelor de transfer tipice adoptate de Comisie; clauzele standard de protecție a datelor, sub forma clauzelor de transfer tipice adoptate de o autoritate de supraveghere și aprobate de Comisie; respectarea unui Cod de Conduită aprobat de o autoritate de supraveghere; certificarea conform unui mecanism de certificare aprobat, așa cum este prevăzut în GDPR; clauze contractuale convenite de autoritatea de supraveghere competentă dispozițiile introduse în acordurile administrative dintre autoritățile publice sau organismele autorizate de autoritatea de supraveghere competentă.
47 Ce sunt regulile corporative obligatorii? Regulile corporative obligatorii prevăzute în tratatele internaționale sunt valabile cu condiția să fie obligatorii din punct de vedere juridic și să fie aplicate de fiecare membru în cauză într-un grup de întreprinderi sau un grup de întreprinderi care desfășoară o activitate economică comună, inclusiv angajați.
37
Catalog GDPR Ready
Conform Articolului 47 - Legi și norme corporative, „Autoritatea de supraveghere competentă aprobă regulile corporative obligatorii în conformitate cu mecanismul de coerență prevăzut la Articolul 63”, în următoarele condiții: sunt obligatorii din punct de vedere juridic și se aplică și sunt aplicate de către fiecare membru interesat al grupului de companii sau al grupului de companii care desfășoară o activitate economică comună, inclusiv al angajaților acestora; conferă în mod expres drepturi executorii persoanelor vizate în ceea ce privește prelucrarea datelor lor cu caracter personal; să îndeplinească cerințele prevăzute la Alineatul 2. Ce găsim în acest Alineat? Normele colective obligatorii menționate la Alineatul 1 specifică cel puțin: structura și datele de contact ale grupului de întreprinderi sau ale grupului de întreprinderi care desfășoară o activitate economică comună și ale fiecăruia dintre membrii săi; transferurile sau seturile de transferuri de date, inclusiv categoriile de date cu caracter personal, tipul de prelucrare și scopurile acesteia, tipul de persoane vizate afectate și identificarea țării sau țărilor terțe în cauză; caracterul lor obligatoriu din punct de vedere juridic, atât la nivel intern, cât și extern; aplicarea principiilor generale de protecție a datelor, în special limitarea scopului, minimizarea datelor, perioadele de stocare limitate, calitatea datelor, protecția datelor din proiect și implicit, temeiul juridic pentru prelucrare; drepturile persoanelor vizate în ceea ce privește prelucrarea și mijloacele de exercitare a acestor drepturi, inclusiv dreptul de a nu face obiectul deciziilor bazate exclusiv pe prelucrarea automatizată; acceptarea de către operatorul sau prelucrătorul stabilit pe teritoriul unui stat membru a răspunderii pentru orice încălcare a normelor privind companiile; modalitățile în care, pe lângă articolele 13 și 14, se furnizează persoanelor vizate informații privind normele juridice obligatorii, în special cu privire la dispozițiile menționate la literele (d), (e) și (f) din prezentul alineat; sarcinile oricărui responsabil de protecție a datelor desemnat în conformitate cu articolul 37 sau orice altă persoană sau entitate responsabilă de monitorizarea conformității; procedurile de reclamație; mecanismele pentru a asigura verificarea conformității cu regulile obligatorii ale companiilor; mecanismele de raportare și de înregistrare a modificărilor aduse regulilor și de raportare a acestor modificări autorității de supraveghere;
48 Care sunt derogările admise la interdicția de transfer a datelor personale? GDPR prevede o serie de derogări de la interdicția generală privind transferurile de date cu caracter personal în afara UE pentru anumite situații specifice. Se poate efectua un transfer sau un set de transferuri în cazul în care transferul este:
38
Catalog GDPR Ready făcut cu consimțământul informat al persoanei; necesar pentru îndeplinirea unui contract între individ și organizație sau pentru măsurile precontractuale luate la cererea persoanei; necesar pentru executarea unui contract încheiat în interesul persoanei între operator și o altă persoană; necesar din motive importante de interes public; necesar pentru stabilirea, exercitarea sau apărarea revendicărilor legale; necesar pentru a proteja interesele vitale ale persoanei vizate sau ale altor persoane, în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul. Există situații de excepție pentru un număr limitat de date personale? Mai există câteva situații speciale în care GDPR poate permite transferurile de date, chiar dacă nu există o decizie a Comisiei de autorizare a transferurilor către țara în cauză sau nu este posibil să se demonstreze că drepturile individului sunt protejate prin garanții adecvate și niciuna dintre derogări nu se aplică, datele personale pot fi transferate în afara UE. Astfel de transferuri pot fi acelea în care activitatea de transfer este singulară, iar numărul persoanelor implicate prin transferarea datelor personale este redus și limitat. Astfel de transferuri sunt permise numai în cazul în care transferul: nu este făcută de o autoritate publică în exercitarea puterilor sale publice; nu este repetat (transferuri similare nu se efectuează în mod regulat); implică date referitoare la un număr limitat de persoane; este necesar pentru scopurile intereselor legitime ale organizației (cu condiția ca aceste interese să nu fie înlăturate de interesele individului); și este supus unor garanții adecvate instituite de organizație (în lumina unei evaluări a tuturor circumstanțelor legate de transfer) pentru a proteja datele personale. În aceste cazuri, organizațiile sunt obligate să informeze autoritatea de supraveghere competentă cu privire la transfer și să furnizeze informații suplimentare persoanelor.
Capitolul 9 CONFORMITATEA CU GDPR 49 Cum trebuie să ne pregătim pentru conformitatea cu GDPR? Există în mod clar o serie de puncte critice care trebuie abordate cu prioritate în orice demers de asigurare a conformității cu GDPR. O mulțime de activități pot fi rezolvate într-un mod simplu și rapid. Altele, în special în organizații mari sau complexe, vor solicita investiții semnificative în buget, dotare IT, personal, guvernare și comunicare. Este momentul ca un plan de achiziții bine argumentat, esențial pentru afacerile companiei, să poată fi aprobat cu ușurință de decidenți.
39
Catalog GDPR Ready
Un pas important pentru toate organizațiile este clarificarea fluxului de date și analiza procesului de prelucrare a datelor personale/ Pentru aceasta este nevoie să clarificăm următoarele aspecte: Ce date personale sunt folosite și procesate în cadrul organizației; Ce permisiuni am obținut pentru aceste date; Ce procese și sisteme există pentru a prelucra datele personale; Cazuri în care datele personale sunt transferate în afara organizației (inclusiv terțe părți și transfrontaliere) Care sunt măsurile de securizare ale datelor personale pe tot parcursul ciclului lor de viață. O bună înțelegere a punctelor și aspectelor critice va oferi organizațiilor oportunitatea de a-și evalua riscurile și de a-și elabora un plan de remediere adecvat. Care sunt certificările necesare pentru asigurarea conformității? GDPR încurajează adoptarea sistemelor de certificare ca mijloc de demonstrare a conformității. Respectarea standardului internațional de securitate a informațiilor ISO 27001 - singurul standard independent, recunoscut la nivel internațional de securitate a datelor - va ajuta organizațiile să demonstreze că s-au străduit să respecte cerințele de securitate a datelor din GDPR. Implementarea ISO 27001 presupune crearea unui cadru holistic de procese, oameni și tehnologii pentru a asigura conformitatea.
50 Când trebuie să numim un Data Protection Officer (DPO)? Potrivit GDPR, este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un ofițer de protecție a datelor (DPO). În această situație se află toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate), precum și celelalte organizații care monitorizează în mod sistematic și pe scară largă persoanele fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care GDPR nu impune în mod expres numirea unui DPO, organizațiile pot găsi ca fiind utilă desemnarea unui DPO în mod voluntar. Grupul de Lucru Articolul 29 („WP29”) încurajează aceste eforturi voluntare. În conformitate cu GDPR, trebuie să desemnați un ofițer de protecție a datelor (DPO) dacă: sunteți o autoritate publică (cu excepția instanțelor care acționează în calitatea lor judiciară); efectuați o monitorizare sistematică, la scară largă, a persoanelor (de exemplu, urmărirea comportamentului online) faceți o prelucrare la scară largă a unor categorii speciale de date sau date referitoare la condamnările penale și infracțiunile. În anumite situații, puteți desemna un singur ofițer de protecție a datelor care să acționeze pentru un grup de societăți sau pentru un grup de autorități publice, ținând cont de structura și dimensiunea acestora.
40
Catalog GDPR Ready
Până la urmă, indiferent de organizație, sunteți liberi să numiți DPO, cu condiția să dispuneți de resurse pentru această poziție, iar persoana desemnată să aibă abilități suficiente pentru a-și îndeplini obligațiile stipulate de GDPR.
51 Care sunt sarcinile unui DPO? Condițiile minime pe care trebuie să le asigurați dacă aveți funcția de DPO sunt definite în Articolul 39: Să informați și să consiliați organizația și angajații cu privire la obligațiile de a respecta GDPR și alte legi privind protecția datelor; Să monitorizați respectarea GDPR și a altor legi privind protecția datelor, inclusiv gestionarea activităților interne de protecție a datelor; Să consiliați activitățile organizației ce au legătură cu evaluările de impact privind protecția datelor; Să instruiți personalul și să efectuați audituri interne; Să fiți primul punct de contact pentru autoritățile de supraveghere și pentru persoanele fizice ale căror date sunt prelucrate (angajați, clienți etc.).
52 De ce calificare am nevoie pentru a deveni ofițer de protecție a datelor? Responsabilul cu protecția datelor trebuie să aibă calitățile profesionale și cunoștințele profesionale adecvate recunoscute de legislația privind protecția datelor. În prezent, nu există o cerință expresă de a deține o anumită calificare sau certificare. Cu toate acestea, deținerea unei certificări în conformitate cu GDPR este o modalitate eficientă de a demonstra cunoștințele experților. Certificarea EU GDPR acreditată de IBITGQ ISO 17024 (EU GDPR P) poate fi o garanție pentru o astfel de calificare. În majoritatea organizațiilor este o practică bună să desemnați oricum un DPO. Obligațiile GDPR sunt de așa natură încât o consiliere și un sprijin ușor disponibile din partea unui specialist în protecția datelor va fi un pas esențial pentru gestionarea riscurilor. Un DPO trebuie să fie independent. Acest lucru nu înseamnă neapărat că trebuie să numiți o persoană externă; rolul DPO poate fi îndeplinit de un angajat. Postul poate fi un rol cu jumătate de normă sau combinat cu alte sarcini, însă, în îndeplinirea rolului, DPO trebuie să aibă o linie independentă de raportare și să fie împuternicit să raporteze direct comitetului fără intervenție. Ceea ce este important este faptul cã, pentru a-și îndeplini sarcinile, persoana desemnată trebuie să fie un profesionist în domeniul protecției datelor cu „cunoștințe de specialitate privind legislația și practicile privind protecția datelor”.
41
Catalog GDPR Ready
53 Ce sunt codurile de conduită și mecanismele de certificare? GDPR aprobă utilizarea Codurilor de Conduită și a mecanismelor de certificare pentru a demonstra că vă conformați. Trebuie luate în considerare nevoile specifice ale microîntreprinderilor, întreprinderilor mici și mijlocii. Înscrierea pentru adoptarea unui Cod de Conduită sau la o schemă de certificare nu este obligatorie. Dar, dacă sunteți dispuși să adoptați un cod de conduită aprobat sau o schemă de certificare care să acopere activitatea dvs. de prelucrare, vă recomandăm să luați în considerare acest demers ca o modalitate de a demonstra că vă conformați. Respectarea codurilor de conduită și a schemelor de certificare aduce mai multe beneficii în plus pentru a demonstra că vă conformați. Prin adoptarea unui cod de conduită și a unui mecanism de certificare puteți să obţineți următoarele beneficii: îmbunătățirea transparenței și responsabilității - care poate spori încrederea ca organizație ce îndeplinește cerințele legii și în care procesarea și păstrarea datelor personale este de încredere; asigurarea de circumstanțe în situaþia în care ar putea exista incidente urmate de măsuri de executare; îmbunătățirea standardelor de organizație prin stabilirea celor mai bune practici; un criteriu de calitate și încredere în procesul de contractare a terților sau a procesatorilor. Cine e responsabil cu proiectarea unui cod de conduită? Guvernele și autoritățile de reglementare pot încuraja elaborarea de coduri de conduită. Codurile de conduită pot fi create de asociații profesionale sau de organisme reprezentative. Codurile ar trebui elaborate prin consultare cu părțile interesate relevante, inclusiv cu persoanele vizate (GDPR - Considerentul 99). Codurile trebuie aprobate de autoritatea de supraveghere competentă și în cazul în care prelucrarea este transfrontalieră, de Comitetul european pentru protecția datelor (EDPB). Codurile existente pot fi modificate sau extinse pentru a se conforma cerințelor din GDPR.
54 Care sunt codurile de conduită recomandate? Codurile de conduită ar trebui să vă ajute să respectați legea și să acoperiți subiecte precum: prelucrarea corectă și transparentă; interesele legitime ale controlorilor în contexte specifice; colectarea de date cu caracter personal; pseudonimizarea datelor cu caracter personal; informațiile furnizate persoanelor fizice și exercitarea drepturilor persoanelor;
42
Catalog GDPR Ready informațiile furnizate și protecția copiilor (inclusiv mecanismele de obținere a consimțământului părinților); măsuri tehnice și organizatorice, inclusiv protecția datelor prin proiectare și implicit și măsuri de securitate; notificarea privind încălcarea legislației; transferurile de date în afara UE; sau procedurile de soluționare a litigiilor. Care sunt implicațiile practice ale adoptării unui cod de conduită? Dacă vă înscrieți la un cod de conduită, veți fi supus unei monitorizări obligatorii de către un organism acreditat de autoritatea de supraveghere. Dacă încălcați cerințele codului de practică, puteți fi suspendat sau exclus și autoritatea de supraveghere va fi informată. De asemenea, riscați să fiți supus unei amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală. Pe de altă parte, aderarea la un cod de conduită poate servi drept factor atenuant atunci când o autoritate de supraveghere are în vedere o acțiune de executare printr-o amendă administrativă.
55 Care sunt mecanismele de certificare? Statele membre, autoritățile naționale de supraveghere, forul de supraveghere european sau Comisia Europeană trebuie să încurajeze instituirea unor mecanisme de certificare pentru a spori transparența și conformitatea cu regulamentul. Certificarea va fi emisă de autoritățile de supraveghere sau de organismele de certificare acreditate. Care este scopul unui mecanism de certificare? Un mecanism de certificare este o modalitate prin care demonstrați că respectați, și în special că ați pus în aplicare măsuri tehnice și organizatorice. De asemenea, poate fi instituit un mecanism de certificare care să demonstreze existența unor garanții adecvate legate de caracterul adecvat al transferurilor de date. Acestea sunt destinate să permită persoanelor fizice să evalueze rapid nivelul de protecție a datelor pentru un anumit produs sau serviciu. Iată câteva dintre implicațiile practice ale aplicării unor mecanisme de certificare: Certificarea nu vă reduce responsabilitățile legate de protecția datelor; Trebuie să furnizați organismului de certificare toate informațiile necesare și accesul la activitățile dvs. de procesare, pentru a putea efectua procedura de certificare; Orice certificare va fi valabilă pentru maximum trei ani. Aceasta poate fi retrasă dacă nu mai respectați cerințele certificării, iar autoritatea de supraveghere va fi notificată; Dacă nu respectați standardele sistemului de certificare, riscați aplicarea unei amenzi administrative de până la 10 milioane de euro sau 2% din cifra de afaceri globală.
43
Catalog GDPR Ready
Capitolul 10 NOTIFICAREA BREȘELOR DE SECURITATE ȘI PENALITĂȚILE APLICATE 56 Cum notificăm apariția unei breșe de securitate? Creșterea numărului mare de atacuri cibernetice se reflectă în obligațiile sporite privind securitatea datelor în regulament și în obligațiile paralele, precum cele conținute de Directiva privind securitatea rețelelor informatice și a datelor (Networks and Information Security – NIS). Conform Articolului 33 din GDPR va fi obligatoriu ca o organizație să raporteze autorității sale de supraveghere orice încălcare a datelor în termen de 72 de ore de la conștientizarea acesteia. Dacă această cerință nu este îndeplinită, raportul final trebuie însoțit de o explicație a întârzierii. Notificarea trebuie să includă informații specifice, inclusiv o descriere a măsurilor luate pentru a soluționa încălcarea și pentru a atenua posibilele efecte secundare. În cazul în care încălcarea poate avea ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice, indivizii înșiși trebuie să fie contactați „fără întârzieri nejustificate”. Acest contact nu va fi necesar dacă există măsuri de protecție adecvate - în esență, criptare - pentru a elimina pericolul pentru persoanele vizate. În Articolul 33 - Notificarea unei încălcări a datelor cu caracter personal către autoritatea de supraveghere, se specifică foarte clar că: Rapoartarea în situația apariției unor breșe de securitate este obligatorie pentru orice operator de date personale; Operatorii trebuie să raporteze către autorităților de supraveghere competente orice încălcare a condițiilor de siguranță fără întârzieri nejustificate; Dacă este posibil, nu mai târziu de 72 de ore de la prima conștientizare; Dacă raportarea nu este făcută în termen de 72 de ore, trebuie furnizată o justificare a întârzierii; Nu este necesară notificarea cazurilor în care încălcarea este «puțin probabil să ducă la un risc pentru drepturile și libertățile» persoanelor vizate; Dacă breșa de securitate este constatată de către un procesator de date, acesta trebuie să notifice operatorul cu care colaborează fără întârzieri nejustificate.
57 Ce informații trebuie să conțină o notificare de încălcare? Elementele esențiale care trebuie să se regăsească într-o notificare se referă la: natura încălcării datelor cu caracter personal; categoriile și numărul aproximativ al persoanelor implicate; categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
44
Catalog GDPR Ready numele și datele de contact ale responsabilului cu protecția datelor (în cazul în care organizația dvs. dispune de unul) sau alt punct de contact în care pot fi obținute mai multe informații; descriere a consecințelor probabile ale încălcării datelor cu caracter personal; descriere a măsurilor luate sau propuse a fi luate pentru a face față încălcării datelor cu caracter personal dacă este cazul, o descriere a măsurilor luate pentru a atenua eventualele efecte adverse. Nimeni nu își dorește asta, dar o bună pregătire penru situațiile de urgență implică și stabilirea clară a responsabilităților și procedurilor de urmat. Cum vă puteți pregăti mai bine pentru raportarea încălcărilor de securitate? În primul rând ar trebui să vă asigurați că personalul dvs. înțelege ce reprezintă o încălcare a datelor și că aceasta este mai mult decât o pierdere de date cu caracter personal. Apoi, ar trebui să vă asigurați că aveți o procedură de raportare internă a încălcărilor. Acest lucru va facilita luarea deciziilor cu privire la necesitatea notificării autorității de supraveghere sau a publicului. Nu în ultimul rând, având în vedere perioadele scurte de timp pentru raportarea unei breșe, este important să existe proceduri robuste de detectare a incidentului, investigații și proceduri de raportare internă.
58 Când se dau amenzile administrative? Orice încălcare a noului regulament este supusă unui regim de sancțiuni financiare cu amenzi de până la 4% din cifra de afaceri globală anuală sau de 20 milioane EUR, oricare dintre acestea este mai mare. La stabilirea nivelului amenzii, autoritatea de supraveghere trebuie să ia în considerare o serie de factori, inclusiv gravitatea încălcării, dacă încălcarea a fost intenționată sau rezultatul neglijenței și orice măsuri luate pentru a atenua încălcarea. În plus, persoanele pot da în judecată organizațiile pentru compensare pentru a acoperi atât pagubele materiale, cât și cele nemateriale (de exemplu, suferință). Având în vedere magnitudinea eventualelor amenzi, drepturile persoanelor fizice de a introduce cazuri și cererea de despăgubiri, precum și prevalența și eficacitatea criminalității cibernetice, riscul unei încălcări a datelor ar trebui să treacă direct în registrul de risc al consiliului, cu respectarea înaltă a ordinii de zi a conducerii superioare. Conform Articolului 83 - Condiții generale de impunere a amenzilor administrative, impunerea amenzilor administrative va fi, în fiecare caz, eficace, proporțională și disuasivă. Amenzile administrative se acordă în funcție de: Natura, gravitatea și durata încălcării; Caracterul intenționat sau neglijent al încălcării; Orice acțiune întreprinsă de operator sau de procesator pentru a diminua daunele suferite de persoanele vizate;
45
Catalog GDPR Ready
46
Catalog GDPR Ready
47
Catalog GDPR Ready Gradul de responsabilitate al operatorului sau al procesatorului, ținând cont de măsurile tehnice și organizatorice implementate de aceștia; Orice încălcări anterioare relevante; Gradul de cooperare; Categoriile de date cu caracter personal afectate de încălcare; Modul în care încălcarea a devenit cunoscută; În cazul în care anterior au fost ordonate competențe corective împotriva operatorului sau a procesatorului; Respectarea codurilor de conduită aprobate sau a mecanismelor de certificare aprobate; Existența unor alți factori agravanți sau atenuanți.
59 Care sunt situațiile în care amenda e de 2% din cifra de afaceri? Conform Articolului 83, Alineatul 4, se impune o amendă de 10 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 2% din exercițiul financiar precedent (oricare dintre acestea este mai mare) în situațiile în care autoritatea de supravegere constată încălcarea următoarelor Articole: Obligațiile operatorului și ale procesatorului de date stabilite în Articolele 8, 11, 25 la 39, 42 și 43; Obligațiile corpului de certificare conforme cu Articolele 42 și 43, Obligațiile corpului de monitorizare aferente Articolelor: 41 (Alineat 4) Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor: 8: Consimțământul copilului 11: Prelucrarea care nu necesită identificare 25: Protecția datelor prin design și implicit 26: Controleri comuni 27: Reprezentanți ai controlerilor care nu sunt stabiliți în UE 26, 29 & 30: Prelucrarea 31: Cooperarea cu autoritatea de supraveghere 32: Securitatea datelor 33: Notificarea încălcărilor autorității de supraveghere 34: Comunicarea încălcărilor la persoanele vizate 35: Evaluarea impactului protecției datelor 36: Consultare prealabilă 37 -39: Protecția datelor 41 (4): Monitorizarea codurilor de conduită aprobate 42: Certificare 43: Organisme de certificare
48
Catalog GDPR Ready
60 Care sunt situațiile în care amenda e de 4% din cifra de afaceri? Conform Articolului 83, Alineatul 4, se impune o amendă de 20 000 000 EUR sau, în cazul unei întreprinderi, cifra de afaceri anuală totală la nivel mondial de 4% în exercițiul financiar precedent (oricare dintre acestea este mai mare) în următoarele condiții de încălcare: Principile de bază ale procesării, incluzînd condițiile pentru consimțământ, aferente Articolelor 5, 6, 7 și 9; Drepturile subiecților aferente Articolelor de la 12 la 22; Transferul datelor personale către un recipient dintr-o țară terță sau o organizație internațională, aferent Articolelor de la 44 la 49. Mai explicit, acest tip de penalitate se referă la încălcarea clară a Articolelor: 5: Principii privind prelucrarea datelor cu caracter personal; 6: Legalizarea procesării; 7: Condiții pentru consimțământ; 9: Prelucrarea categoriilor speciale de date cu caracter personal (adică date personale sensibile); 12 -22: Dreptul la informație, accesul, rectificarea, ștergerea, restricționarea procesării, transferabilitatea datelor, obiectul, profilul; 44 -49: Transferuri către țări terțe; 58 alineatul (1): cerința de a oferi acces la autoritatea de supraveghere; 58 (2): Comenzi / limitări privind prelucrarea sau suspendarea fluxurilor de date.
O publicație Nota copyright Copyright © 2017 Pear Media SRL și Marcom Expert SRL Toate drepturile sunt rezervate. Materialul original tipărit în acest număr aparține Pear Media SRL și Marcom Expert SRL http://www.agora.ro
get to know!
şi
Adresa: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, sector 4, București, 040243
ISSN 2393 – 3968 ISSN-L 2393 – 3968
Telefon: 0371- 434.301 Fax: 021-3309285 http://cloudmania2013.com
wordpress.com/
49
Catalog GDPR Ready
Ce ne recomandă experții? Sunt furnizor de Cloud. Cum pot obține conformitatea GDPR? Bart van Buitenen, managing partner al White Wire, o firmă de consultanță de tip boutique specializată în servicii de protecție a datelor pentru organizațiile de îngrijire a sănătății, IMM-uri și companii de tehnologie din întreaga UE. Dacă sunteți un furnizor de Cloud, cu sau fără sediu în UE, este foarte probabil că o parte din datele pe care le prelucrați să fie pe teritoriu european sau privesc persoane care au un domiciliu stabil în UE, și atunci trebuie să vă aliniați la reglementările GDPR. Termenul specific care indică un furnizor care procesează date personale în numele unei organizații este cel de Procesator. Până acum, o mare atenție se punea pe rolul de «Operator», adică organizația care este responsabilă cu determinarea mijloacelor și scopurilor procesării, fără să se acorde o prea mare atenție rolului procesatorului. Și iată că față de legislația anterioară, GDPR schimbă multe lucruri în legătură cu obligațiile procesatorului, de exemplu în ceea ce privește răspunderea, responsabilitate și o serie de noi obligații. Iată câteva dintre cele mai importante aspecte pe care cred că furnizorii de Cloud ar trebui să le aibă în vedere, cu toată seriozitatea, până pe 25 mai 2018.
1 Acordurile de prelucrare a datelor Operatorii sunt cei care trebuie să ofere instrucțiuni specifice procesatorilor, iar astfel de instrucțiuni trebuie să fie documentate în așa-numitele „Acorduri de prelucrare a datelor”. Astfel de acorduri nu sunt noi: ele au fost, de asemenea, impuse în temeiul legislației europene anterioare privind protecția datelor (Directiva 95/46 și, prin urmare, au devenit aplicabile prin legislația fiecărui stat membru), dar în practică acorduri corecte și concrete sunt destul de greu de găsit… Cele mai multe organizații nu au fost conștiente de cerința unor acorduri de procesare a datelor, iar pentru furnizorii de Cloud, acest lucru însemna, de obicei, mai multă muncă și responsabilități, fără prea multe avantaje în schimb. Acest lucru s-a schimbat în GDPR: Articolul 28 menționează în mod specific acordurile de prelucrare a datelor și arată în detaliu ce ar trebui să includă. Spre deosebire de anii precedenți, furnizorii de Cloud au acum un stimulent clar pentru a încheia acorduri de prelucrare. Acordul trebuie să includă instrucțiunile pentru furnizorul de Cloud și, ca atare, devine un factor foarte important în stabilirea răspunderii. (Articolul 82, Alineatul 2).
50
Catalog GDPR Ready Sfaturi: Fiți proactivi, nu așteptați ca operatorul să va propună primul acordul de procesare a datelor! Astfel, veți avea posibilitatea de a vă propune propriul model de contract și, în același timp, veți arăta clientului că pentru dvs. nu există secrete în GDPR.
2 Subcontractorii Acordurile de prelucrare a datelor trebuie să fie încheiate cu clienții dvs., dar furnizorii de Cloud au adesea proprii lor subcontractori. În lumea IT, utilizarea subcontractorilor este ceva normal, iar mulți subcontractori vor fi într-adevăr procesatori pentru furnizorul de Cloud. Din perspectiva clienților care folosesc Cloudul (operatorii), acești subcontractori sunt deci ”subprocesatori”. Un furnizor de Cloud trebuie să ceară permisiunea operatorului de a utiliza subprocesatori, ceea ce ar trebui să se regăsească și în acordul dvs. de procesare (a se vedea secțiunea 1). Utilizarea de subprocesatori poate fi acoperită printr-o permisiune generică sau o permisiune specifică pentru fiecare subprocesator. Procesatorul rămâne responsabil, astfel încât acordurile cu subprocesatorii trebuie să aibă un grad ridicat de încredere pe lista furnizorilor de Cloud. Sfaturi: Solicitarea unei permisiuni specifice poate fi un o provocare. Cereți o permisiune generică și oferiți clienților posibilitatea de a consulta oricând o listă completă de subprocesatori, de ex. prin publicarea acestei liste pe o pagină dedicată de pe site-ul dvs.
3 Înregistrarea activităților de prelucrare Fiecare operator trebuie să mențină o evidență a activităților de procesare: un instrument de evidență sau un document care detaliază diferitele activități de prelucrare a datelor cu caracter personal din cadrul organizației. O versiune mai puțin riguroasă a acestei evidențe trebuie să fie menținută de procesator, dar care totuși trebuie să includă toate activitățile de procesare derulate pentru clienții săi. Sfaturi: Crearea unei astfel de evidențe a activităților de procesare va oferi o cunoaștere valoroasă în identificarea datelor pe care le procesați și ar trebui să fie una dintre primele acțiuni într-un plan de implementare GDPR. Organizațiile se pierd, uneori, în detalii; rețineți că GDPR nu vă cere să mapați fiecare câmp de date, este vorba despre evidența activităților care se mapează destul de strâns cu serviciile oferite clienților. Nu păstrați un registru pentru fiecare client; doar asigurați-vă că puteți asocia clienții cu activitățile de procesare prin includerea serviciilor pe care le oferiți pentru fiecare client în sistemul dvs. CRM sau în baza de date cu clienții.
4 Transferuri în afara UE Atunci când datele cu caracter personal ale clienților din UE sunt transferate în țări din afara Uniunii este important ca datele să beneficieze de aceleași sisteme protecție și garanții ca și în interiorul granițelor UE.
51
Catalog GDPR Ready
Sfaturi: Pentru a facilita astfel de transferuri, GDPR include mai multe mecanisme care fac acest lucru posibil, dintre care cele mai răspândite sunt: Decizii de adecvare: atunci când UE a stabilit că o țară din afara UE (sau un acord specific cu o astfel de țară, de ex. Privacy Shield cu SUA) oferă o protecție adecvată. Reguli corporative obligatorii (BCR – Binding Corporate Rules): multe companii multinaționale au subsidiare în țări din afara UE. Documentația BCR asociată unei organizații trebuie să se asigure că un transfer de date personale în afara UE, dar în cadrul aceleiași organizații, oferă aceleași garanții de protecție. Autoritățile de protecție a datelor trebuie să valideze BCR înainte ca prevederile să fie aplicate. Clauze contractuale standard (SCC – Standard Contratual Clauses): sunt contracte predefinite, validate de Comisia Europeană, ce conțin toate garanțiile de protecție necesare pentru transferurile în afara UE.
5 Securitatea informațiilor sau protecția datelor Securitatea informațiilor și protecția nu sunt aceleași. Securitatea informațiilor se referă la toate informațiile, care includ datele cu caracter personal. Protecția datelor se referă la toate aspectele legate de prelucrarea datelor cu caracter personal, care includ securizarea informațiilor. Deci, în același timp există o suprapunere clară, dar și o diferență semnificativă. Acestea fiind spuse, asigurarea informațiilor împotriva accesului neautorizat, pierderii sau distrugerii este un aspect foarte important în cadrul GDPR. Pe scurt, acest aspect al GDPR poate fi rezumat prin menținerea confidențialității, integrității și disponibilității (cunoscută și sub numele de CIA) datelor personale pe care un furnizor de Cloud le procesează. Rețineți că orice încălcare a acestor principii ale CIA (de exemplu, încălcări ale datelor) va trebui să ducă la o notificare către operator, care, la rândul său, va trebui să notifice autoritățile de protecție a datelor și persoanele vizate, dacă riscurile potențiale ale încălcării sunt destul de ridicate. Sfaturi: Alinierea inițiativelor GDPR la guvernarea securității informațiilor. De exemplu, standardul ISO27001 poate fi combinat cu principiile de protecție a datelor pentru a oferi un cadru care să abordeze atât securitatea informațiilor, cât și protecția datelor. Gândiți și documentați o procedură de notificare înainte de a avea practic nevoie de ea. Examinați necesitatea de numi un ofițer de protecție a datelor (DPO). Chiar și atunci când clienții individuali nu sunt obligați să numească unul, este posibil ca un furnizor de Cloud să fie nevoit să numească unul.
6 Obligația de asistare și notificare Procesatorii sunt obligați să asiste sau să notifice operatorii atunci când au informații despre faptul că un operator trebuie să îndeplinească cerințele GDPR, cum ar fi executarea DPIA sau notificările de încălcare a datelor menționate anterior.
52
Catalog GDPR Ready Sfaturi: Documentați (de exemplu, în contractul de procesare sau în alt contract) cum trebuie să aibă loc asistența: cum ar trebui să se facă o cerere, în ce termen va răspunde furnizorul de Cloud și dacă există costuri asociate asistenței.
7 Fiecare procesator este, de asemenea, un operator Rețineți că este foarte probabil ca furnizorii de Cloud să fie în același timp și procesatori și operatori de date în nume propriu. Unele departamente precum HR, Furnizori, Clienți pot efectua prelucrări de date cu caracter personal, caz în care trebuie să se supună acelorași principii ale GDPR. Sfaturi: Păstrați înregistrări separate privind activitățile de procesare (vezi secțiunea 3) pentru activitățile de operator și procesator.
Există trei domenii-cheie pe care furnizorii de Cloud trebuie să le abordeze pentru nevoile GDPR Ian Moyse, Sales Director Natterbox, Board Member Cloud Industry Forum În primul rând - furnizorii de Cloud trebuie să ia aminte că acum sunt expuși răspunderii juridice a GDPR ca procesatori de date. Legile anterioare au pus toată responsabilitatea pe umerii operatorului de date (clientul), dar acest lucru se schimbă în noul Regulament european. În al doilea rând - furnizorii de Cloud trebuie, de asemenea, să asigure respectarea propriilor standarde GDPR, deoarece clienții se vor aștepta și vor avea nevoie de lanțuri de parteneri pentru a se conforma cu GDPR în cele mai bune condiții. Acest lucru va fi necesar pentru a se asigura că partajează doar datele pe care le dețin cu partenerii compatibili GDPR, protejându-și astfel propriile procese GDPR și conformitatea cu acestea. Furnizorii de cloud vor trebui, de asemenea, să devină mai transparenți, deoarece clienții devin tot mai diligenți în privința suveranității datelor, a securității, a stocării datelor, precum și a controlului și distrugerii datelor pentru care au responsabilitatea. În al treilea rând - furnizorii de Cloud vor trebui să se asigure că oferirea de servicii în sine, atunci când sunt utilizate de un client, permite clientului să rămână conform. De exemplu, dacă soluția dvs. stochează datele despre clienți chiar în structura acesteia, oferind posibilitatea de a elimina în totalitate datele pentru respectarea regulilor «Dreptul de a fi uitat». Nu puteți obține certificatul GDPR pentru produsul sau serviciul dvs., dar vă puteți asigura că utilizarea acestuia permite unui client să îndeplinească cerințele GDPR și să nu le împiedice.
53
Catalog GDPR Ready
RGPD: un angajament pe termen lung Ing. Lucia Ștefan, Director/Consultant al companiei Archiva Ltd (UK) Din momentul în care Regulamentul General privind Protecția Datelor (RGPD) a fost publicat, au apărut tot felul de interpretări privind înțelegerea și aplicarea acestui regulament. Un curent care și astăzi este destul de puternic afirmă că întregul RGPD nu constă decât în securizarea datelor personale și conformitatea cu ISO 27001. Alții afirmă că este o chestiune de interpretare legală și doar un jurist poate interpreta corect prevederile Regulamentului. Cei din zona administrării de date (Data Management) spun că e suficient să inventariezi datele din sisteme informatice și să iei masuri de remediere acolo unde trebuie pentru a fi conform cu RGPD. În sfârșit, o altă categorie afirmă că datele personale trebuie gestionate dinamic în timp, comparabil cu un ciclu de viață care începe prin capturarea acestor date și se termină prin ștergerea lor definitivă (dispariția lor) din sistem. În realitate, toate opiniile de mai sus sunt corecte, în sensul că administrarea și controlul datelor personale într-o organizație este foarte complexă, fiind obiectul muncii unei întregi echipe, în care avem juriști, specialiști în securizarea informației (InfoSec), specialiști din managementul informației digitale, al conformității (compliance), al riscului, al gestionării și arhivării informației. Cu cât arhitectura sistemelor informatice este mai complexă, cu atât este mai multă nevoie, nu de omul-orchestra, ci de o întreagă echipă, cu competențe multiple! Organizațiile, care prin natura afacerii lor trebuie să se conformeze RGPD, au nu numai obligația atingerii acestui obiectiv dar și pe aceea a menținerii conformității pe toată durata existenței organizației. Cu alte cuvinte, atingerea standardelor RGPD în materie de informații personale nu este suficientă, conformitatea trebuie menținută și gestionată pe termen lung. Atingerea conformității nu este un efort care, odată făcut, îți permite să te relaxezi după aceea. RGPD impune ca organizația să poată demonstra, prin dovezile obținute și păstrate, că este conformă în orice moment cu prevederile Regulamentului. Administrarea pe termen lung a prevederilor RGPD este la fel importantă ca obținerea conformității la data de 25 Mai 2018. „GDPR este un mare factor de schimbare pentru furnizorii de Cloud. GDPR vă oferă un standard paneuropean pentru gestionarea informațiilor personale, însă atât dvs. (procesatorul de date), cât și clientul dvs. (operatorul de date) sunteți acum responsabili pentru asigurarea conformității. Furnizorii de Cloud trebuie să asigure respectarea mai multor cerințe-cheie, dintre care majoritatea sunt prevăzute la articolele 28-37.” Atle Skjekkeland, vicepreședinte senior, ECM, AIIM Europe
54
Catalog GDPR Ready
Servicii de consultanță și instruire pentru protecția datelor personale Dna ing. Lucia Ștefan are o expertiză de 20 de ani în Marea Britanie în domeniul protecției datelor personale și a guvernării informaţiei. A fost formată ca specialist în cadrul Arhivelor Naționale Britanice și și-a început cariera de Consultant în domeniul administrării și arhivării actelor și documentelor electronice de întreprindere, precum și a implementării softurilor de profil (Enterprise Content Management Systems, MS SharePoint). Din 2008 și-a extins activitatea în domeniul protecției datelor personale. A lucrat ca expert pentru Comisia Europeană, Națiunile Unite și alte
Lucia Ştefan
organizații europene. Mai multe detalii pe profilul LinkedIn. În domeniul protecției datelor personale, dna Stefan a contribuit la consolidarea managementului datelor confidențiale pentru Electoral Commission of UK și UNDP Afghanistan, a creat regulamentele de administrare și protecție a datelor personale, precum și termenele lor de păstrare pentru banca imobiliară The Coventry Building Society (Marea Britanie) și a efectuat analize de impact (DPIA) în domeniul asigurărilor comerciale. Prin intermediul companiei pe care o conduce, Archiva Ltd., dna Lucia Ștefan oferă următoarele servicii de consultanță și training: Inițierea, dezvoltarea și implementarea proiectelor RGDP în organizații publice și întreprinderi private Crearea de regulamente interioare pentru obținerea conformității RGDP Crearea de termene de păstrare pentru datele personale conforme cu RGDP și legislația în vigoare Crearea de registre și alte documente de evidență pentru demonstrarea conformității cu RGDP Gestionarea datelor personale pe întregul ciclu de viață al informației în organizație Identificarea si managementul datelor personale (PII) existente in afara bazelor de date (conținut nestructurat) Clasificarea si gestionarea datelor personale cu înalt grad de senzitivitate și confidențialitate Acțiunea de implementare a prevederilor legate de accesul la datele personale (DSAR) si portabilitatea datelor personale Audit pentru identificarea ariilor de non-conformitate cu RGDP Cursuri pentru personal la toate nivelele, pentru înțelegerea sarcinilor și obligațiilor pe care le au in cadrul RGDP De asemenea, oferă training și consultanță în domeniile de arhivistică digitală și administrarea documentelor și actelor în format electronic. Ing. Lucia Ștefan, MSc Information Systems, Data Protection Officer Certified (Maastricht University, 2017) / Director/Consultant al companiei Archiva Ltd. din Marea Britanie
55
Catalog GDPR Ready
Ghiduri de bune practici puse la dispoziție de ANSPDCP Autoritatea națională de supraveghere este o autoritate publică cu personalitate juridică, autonomă şi independentă faţă de orice alte autoritate a administraţiei publice, ca şi faţă de orice persoană fizică sau juridică din domeniul privat, care exercită atribuţiile ce îi sunt date în competenţă prin dispoziţiile legale din domeniul prelucrării datelor cu caracter personal şi al liberei circulaţii a acestor date. Atribuția principală a Autorității este aceea de garantare şi protejare a drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţă intimă, familială şi privată, cu privire la prelucrarea datelor cu caracter personal. Autoritatea monitorizează şi controlează sub aspectul legalităţii prelucrările de date cu caracter personal care cad sub incidenţa Legii nr. 677/2001. Pe site-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în cadrul secțiunii speciale dedicată RGPD, poate fi găsit un important volum de informații dedicate Regulamentului 2016/679, precum pliante, broșuri și ghiduri ale Grupului de Lucru Art. 29. Informații complete pe site-ul oficial al ANSPDCP: http://www.dataprotection.ro.
Ghid privind Responsabilul cu protecția datelor (‘DPOs’) Acest ghid are menirea de a oferi tuturor operatorilor informațiile cele mai pertinente privind necesitatea numirii unui responsabil cu protecția datelor (DPO – Data Protection Officer), precum și principalele atribuții ale acestora. Ghidul a fost publicat în decembrie 2016 și a fost revizuit și adoptat în aprilie 2017. Potrivit Regulamentului General de Protecție a Datelor (RGPD), este obligatoriu ca anumiți operatori și persoane împuternicite de operatori să desemneze un DPO. Aceasta va fi situația pentru toate autoritățile și organismele publice (indiferent de tipul datelor prelucrate) și pentru celelalte organizații care au ca activitate principală monitorizarea sistematică și pe scară largă a persoanelor fizice sau prelucrează categorii speciale de date cu caracter personal pe scară largă. Chiar și în situația în care RGPD nu impune în mod expres numirea unui DPO, organizațiile pot opta pentru desemnarea unui DPO în mod voluntar. Cu toate că Directiva 95/46/CE3 nu impune niciunei organizații să numească un DPO, această practică de numire a unui DPO s-a dezvoltat, de-a lungul anilor, în mai multe state membre. Anterior adoptării RGPD, grupul de lucru Articolul 29 a susținut că DPO reprezintă un punct important al responsabilității și că numirea unui DPO poate facilita respectarea și, în plus, poate reprezenta un avantaj competitiv pentru companii.
56
Catalog GDPR Ready
Pe lângă facilitarea respectării prin punerea în aplicare a instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și efectuarea sau facilitarea auditurilor), DPO acționează ca intermediar între părțile interesate relevante (de exemplu autoritățile de supraveghere, persoanele vizate și liniile de business din cadrul unei organizații). Este important de știut că DPO nu este personal responsabil în caz de nerespectare a RGPD. Regulamentul spune clar că resposabil este operatorul sau persoana împuternicită de operator care trebuie să se asigure și să fie în măsură să demonstreze că prelucrarea este efectuată în conformitate cu disponzițiile sale (Articolul 24, Alineat 1). Respectarea normelor de protecție a datelor reprezintă responsabilitatea operatorului sau a persoanei împuternicite de operator. Operatorul sau persoana împuternicită de operator are de asemenea un rol crucial în a permite îndeplinirea eficientă a atribuțiilor DPO. Numirea unui DPO reprezintă un prim pas, dar trebuie să se asigure că DPO are autonomie și resurse suficiente pentru îndeplinirea sarcinilor într-un mod eficient.
Ghidul orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor Lansat în septembrie 2017, acest Ghid este destinat să constituie un instrument util în activitatea tuturor operatorilor, pentru accelerarea eforturilor acestora de a atinge cele mai optime nivele de conformitate cu prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Structura Ghidului orientativ de aplicare GDPR se axează pe prezentarea principalelor obligații care le revin operatorilor în contextual noului Regulament. Dintre aceste obligații se detașează: Desemnarea unui responsabil cu protecția datelor Rolul responsabilului cu protecţia datelor Cartografierea prelucrărilor de date cu caracter personal Ce trebuie să conțină evidenţa păstrată de operator Prioritizarea acțiunilor de întreprins Care sunt măsurile speciale de care trebuie să se țină cont Gestionarea riscurilor Organizarea procedurilor interne Ca recomandare generală, Ghidul orientativ sugerează realizarea unei analize aprofundate a legislației privind protecția datelor și a cerințelor impuse de Regulamentul General privind Protecţia Datelor, pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în funcţie de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate. În condițiile în care acest act normativ european aduce multiple elemente de noutate în peisajul juridic românesc și instituie noi obligații în sarcina operatorilor de date și/sau persoanelor împuternicite de operatori Autoritatea speră ca și acest ghid, împreună cu toate celelalte materiale informative postate pe site-ul Autorității Naționale de Supraveghere, să ajute operatorii în eforturile de conformare cu noile reguli de prelucrare a datelor personale.
57
Catalog GDPR Ready
GDPR: afectarea securității datelor cu caracter personal din perspectiva securității informatice Conform Regulamentului „încălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea. Regulamentul prevede la articolele 33 și 34 obligativitatea notificării încălcărilor securității datelor cu caracter personal către Autoritatea Națională de Supraveghere precum și direct către persoanele vizate ale căror date au fost compromise în anumite condiții, astfel: Notificarea Autorității se face în cel mult 72 de ore conform Art. 33 și este obligatorie atunci când încălcările prezintă riscul de a pune în pericol drepturile și libertățile persoanelor putând duce la discriminarea, prejudicierea reputației, pierderi financiare, compromiterea confidențialității sau orice alt dezavantaj economic sau social semnificativ. Notificarea trebuie să cuprindă: o descriere a încălcării, inclusiv categoriile și numărul aproximativ de persoane vizate acolo unde este posibil, categoriile de înregistrări și numărul acestora. La aceasta se adaugă descrierea consecințelor probabile ale încălcării și măsurile luate pentru a remedia situația și a atenua consecințele încălcării. La acestea se adaugă datele de contact ale responsabilului cu protecția datelor sau alt punct de contact pentru mai multe informații. Notificarea persoanei vizate se face conform Art. 34, fiind obligatorie în cazul în care încălcarea prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate. Informarea va conține descrierea încălcării într-un limbaj simplu precum și informațiile și măsurile de la Art. 33. Termenul de notificare a autorității este de 72 de ore. Pentru a putea realiza notificarea în termenul specificat este necesar ca operatorul să inventarieze, să organizeze și să cunoască categoriile de date colectate, sistemele
58
Catalog GDPR Ready
în care acestea sunt stocate și prelucrate, circuitul datelor și persoanele care au acces. Aceasta presupune atât măsuri de inventariere cât și proiectarea sistemelor, a rețelelor și a accesului astfel încât informațiile relevante să fie rapid identificate în caz de încălcare, în vederea alcătuirii notificării și luării de măsuri în consecință. Principalele tipuri de încălcări ale securității datelor sunt: publicarea în mod accidental; erorile de configurare a sistemelor ce poate duce la scurgeri de informații; pierderea sau furtul sistemelor sau a mediilor de stocare a datelor; securizarea slabă; infecții cu programe de tip malware; atacuri fizice. În România, conform raportului CERT-RO pe anul 2016 au rezultat următoarele date relevante cu privire la securitatea spațiului cibernetic național: s-au primit și procesat peste 110 milioane de alerte; 38% (2,9 milioane) dintre adresele IP publice din România au înregistrat cel puțin o alertă; 81% (89 milioane) dintre alerte se referă la sisteme sau servicii vulnerabile; 13% (14 milioane) dintre alerte se referă la sisteme infectate cu malware de tip botnet; 10.639 de domenii web „.RO” au fost utilizate de site-uri web compromise.
59
Catalog GDPR Ready
Cum putem proteja datele cu caracter personal procesate? Sub aspectul protejării datelor în format digital, deși percepția comună referitoare la obligațiile impuse de Regulament este cea a unor cerințe și obligații noi, în realitate măsurile necesare sunt cele standard din domeniul asigurării securității informatice. Astfel, operatorul care are în vedere asigurarea securității rețelelor și sistemelor sale conform standardelor existente și adaptarea măsurilor proporțional cu amenințările va îndeplini din start cerințele GDPR cu privire la datele cu caracter personal aflate în sistemele sale, soluțiile tehnice și politicile de securitate necesare celor două domenii coincizând în mare parte. În vederea adoptării măsurilor necesare prevenirii încălcării siguranței datelor, din perspectiva securității cibernetice, trebuie avute în vedere o serie de recomandări practice, precum cele prezentate în rândurile următoare.
Măsuri de prevenire a incidentelor de securitate: Securizarea terminalelor (stații de lucru, telefoane, tablete etc.) prin utilizarea unor soluții/tehnologii de tip antivirus/antimalware, DLP, sandbox și de criptare a datelor, inclusiv pentru terminalele care sunt proprietatea utilizatorilor (BYOD); Securizarea infrastructurii de rețea prin segmentare adecvată (VLAN) și prin utilizarea unor soluții/tehnologii de protecție perimetrală precum cele de tip NGFW (Next Generation Firewall); Asigurarea unei vizibilități adecvate în cadrul infrastructurii IT prin utilizarea unor soluții/tehnologii de monitorizare precum cele de tip SIEM (Security Information and Event Management); Implementarea unor măsuri adecvate de securitate fizică, mai cu seamă în spațiile unde sunt procesate sau depozitate cantități mari de date; Acordarea accesului diferențiat al utilizatorilor la resurse și la date în baza atribuțiilor acestora (principiul nevoia de a cunoaște); Implementarea unei proceduri adecvate de backup (copii de siguranță) care să includă și verificarea periodică a integrității datelor și a procesului de restaurare; Implementarea unei politici de securitate care să fie asumată și respectată de toți utilizatorii; Utilizarea unor proceduri de răspuns la incidentele de securitate și de gestionare a vulnerabilităților; Dispunerea de personal adecvat pentru securizarea infrastructurii IT și pentru a răspunde la incidentele de securitate; Instruirea periodică a personalului cu privire la riscurile, amenințările și vulnerabilitățile de securitate, precum și cu privire la măsurile de contracarare a acestora; Realizarea de audituri/evaluări periodice de securitate a infrastructurii IT, a personalului și a procedurilor.
60
, Ready Catalog GDPR
61
Catalog GDPR Ready
GDPR prefigurează un viitor în care informația devine critică pentru supraviețuirea noastră Informaţii despre tine. Colectate, stocate și procesate în mod automat de către algoritmi din ce în ce mai sofisticaţi. Informaţii pe care nu știai că le oferi. Informaţii pe care nu le puteai bănui că există. Informaţii despre tine în feluri în care nu te-ai privit niciodată.
Răzvan Savu
Strategiile pe termen scurt și mediu ale companiilor impun un ritm de creștere anuală, indiferent de industria pe care o observăm. Într-o lume în care nevoile de bază vor fi satisfăcute, consumul poate crește doar până într-un anumit punct, după care nu-i mai rămâne decât să devină cvasi-constant. Construcția economică a viitorului nu are alte opțiuni. Oamenii o să-și dorească în fiecare an noi dispozitive, haine sau mașini, dar nevoi care să determine piețe uriașe nu se văd la orizont. Creșterea nu o să mai poată interveni decât în spațiul personal, în cel al nevoilor individuale ale fiecăruia dintre noi. Scopul este crearea unei experiențe personalizate în care produsul întrupează însăși macheta dorințelor și nevoilor noastre. Pentru asta, companiile se bazează pe datele pe care le producem și care construiesc mai mult decât o amprentă digitală individuală. Companiile extrapolează tipuri de comportament și opiniile personale din interacțiunea noastră cu lumea digitală, ajutându-le să se apropie constant de motivația deciziilor de a cumpăra ceva. Regulamentul General pentru Protecția Datelor cu Caracter Personal prefigurează un viitor în care informația devină critică pentru supraviețuirea noastră. Într-o societate marcată de atacuri cibernetice și teroriste, cu cât entitățile colectează și distribuie mai multe date despre oameni, cu atât expunerea potențială crește exponențial. Noul motor al economiei globale poartă un vector de risc colosal, cu efecte în percepție, economie și chiar în siguranța fizică a omenirii. Fiecare capitol din GDPR a fost disecat în conferințe, studii și articole online. Frica, confuzia și incertitudinea domină în mare parte atât mesajele furnizorilor, cât și acțiunile celor ce au de implementat dispozițiile regulamentului. Procesul se va clarifica cel mai probabil după o perioadă de ajustare a pieței, care nu se poate produce înainte de termenul limită fatidic pomenit în toate comunicările pe acest subiect.
62
Catalog GDPR Ready
Noul Regulament nu va putea fi considerat implementat prin redactarea maculaturii de către departamentul de QA. Nu există un panaceu care să fie înghițit de către organizații și acestea să se preschimbe în entități „GDPR-ready”, „GDPR-compliant” sau măcar „GDPRaware”. Soluția nu se găsește în tehnologie sau procese. Noul Regulament vestește o schimbare fundamentală a modului în care ne desfășurăm afacerile și presupune, contra-intuitiv, o schimbare asumată la nivel individual de fiecare dintre noi, respectând rolul informației într-un ecosistem global. Noul regulament cere ca indiferent de mizele financiare, drepturile fundamentale ale omului să fie respectate. Noul regulament cere ca fiecare dintre cetățenii europeni să ne comportăm responsabil cu privire la informațiile cu caracter confidențial, fie că suntem consumatori sau furnizori de astfel de date. Noul regulament cere să acționăm principial, nu hazardat, când luăm decizii pentru viitorul societății noastre. Făcând un pas în spate, GDPR face parte dintr-o suită de legi introduse de Uniunea Europeană și de Comisia Europeană pentru mijlocul anului 2018 care vor să aducă mai aproape de realitate o Europă unită prin diversitate. Oamenii, mărfurile și – cel mai important aspect economic într-o eră digitală – informația vor circula liber între statele membre, accelerând procesul inovativ, fără a uita însă de siguranța europenilor. Scopul este catapultarea „bătrânului continent” în vârful jucătorilor globali de tehnologie pe o piață dominată în prezent de Vest și Est, mizând pe furnizarea unui cadru legal, onest, transparent (lawfullness, fairness and transparency). Companiile și statele pot folosi această oportunitate pentru a găsi motive să se ridice împotriva birocrației europene excesive și impunerilor de legi. Totodată, aceleași companii și state pot recunoaște în GDPR o șansă de a crea servicii și produse pentru întreaga Europă, având posibilitatea reală de a accesa piețe de desfacere inaccesibile până atunci. Pot face asta pornind de la principiile unei deschideri sigure a datelor, diminuând semnificativ riscurile unei expuneri de securitate, care afectează în final poziția economică a Europei în contextul digital-global. Puse în acest context mai larg, mișcările UE par să se înscrie într-o strategie pe termen lung a asigurării relevanței la nivel mondial într-un viitor economic preponderent tehnologic. Pășind într-o lume digitală, sunt puțini cei care au îndrăzneala bezmetică să declare cu certitudine ce ne așteaptă, la nivel de cetățeni, angajați sau simpli indivizi. Indiferent de cine vom fi în viitor, principiile pe baza cărora vom acționa încep să fie scrise astăzi, învățând din greșelile trecutului. IDC este compania cu cea mai lungă tradiție în analiza piețelor de tehnologie (IT&C), fiind prezentă inclusiv pe piața din România de 15 ani. Din poziția de observatori și mediatori ai pieței de tehnologie, experții IDC au acumulat experiența ciclicității dinamicii IT&C, înțelegând aspectele esențiale care determină succesul proiectelor ce se află întotdeauna la limita dintre tehnică și omenesc. IDC ajută dintr-o perspectivă independentă de industrie companiile ce achiziționează IT&C, decelând aspectele fundamentale pentru direcția strategică într-un univers al informațiilor într-o continuă expansiune. Răzvan Savu, Consultant IDC Romania
63
Catalog GDPR Ready
Cum să alegi inteligent în noua lume a GDPR-ului Conformitatea cu reglementãrile impuse de Regulamentul General privind Protecția Datelor (GDPR) adoptat la nivelul Uniunii Europene in aprilie 2016 şi aplicabil din mai 2018 trebuie să reprezinte mai mult decât o nouă căsuță de bifat. Implementarea corectă a sistemelor și a proceselor solicitate de GDPR va ajuta organizațiile să evite penalizări potenţiale semnificative, de până la 4% din cifra de afaceri globală, dar va fi de asemenea și o oportunitate pentru creşterea eficienţei întregii afaceri. Cu toate că suntem asaltați de o cantitate imensă de conținut pe această temă lucrurile sunt pe departe de a fi clare și încă planează o stare de confuzie în ceea ce privește soluțiile care pot ajuta la respectarea reglementărilor destul de stricte ale GDPR.
Mai jos 10 întrebări pe care să le ai în vedere când îți alegi furnizorul soluției tale de GDPR
1
Care sunt principalele provocări pentru a construi o politică proprie de gestionare a informației conformă cu GDPR? Câteva dintre provocările cheie care trebuie luate în considerare sunt:
Afectarea performanției datorată creșterii volumului de informații (număr, mărime, retenție, tipurile de documente care trebuiesc administrate);
Conținutul nestructurat – care reprezintă mai mult de 70% din volumul total de informații; Diferite formate și sisteme - informații utile stocate într-o multitudine de sisteme (ERP, CRM, Document Management, aplicații de business etc.) și în formate diferite; Dispersia geografică - informații utile și sensibile stocate în diverse locații fizice și logice.
2
Organizația ta și potențialul furnizor înþeleg importanța metadatelor? Adevărul este că nu există conținut nestructurat ci doar conținut fără metadate. iar fără metadate, conținutul este
o aglomerație de „ceva nediferențiat” care așteaptă să fie administrat. Metadatele sunt cheia, iar principalele direcții vizează: Implementarea schemelor de metadate – definirea aspectelor relevante pentru diferite obiective specifice ale organizației tale; Transformarea conținutului nestructurat în conținut valoros – prin tehnologii precum OCR (recunoaşterea optică a caracterelor), ICR (recunoaşterea inteligentă a caracterelor), „speech-to-text” și alte tehnologii care adresează extragerea de conținut.
64
Catalog GDPR Ready
3
Cum poate asigura soluția răspunsul prompt și eficient la solicitările de acces la date (DSAR)? Gestionarea corectă a metadatelor permite identificarea datelor și facilitează identificarea
informațiilor corecte și relevante de către ofițerul de conformitate a datelor. Ai nevoie de o soluție care să ofere căutare avansată bazată pe metadate (șabloane de căutare, subscripții la șabloane de căutare, conceptul de „search in search”). Dar metadatele nu sunt suficiente - o căutare completă în text trebuie să fie rulată de mai multe ori atunci când conținutul sau metadatele sunt ascunse în documentele nestructurate. Pe lângă funcționalitățile de căutare trebuie avută în vedere și modalitatea în care se face navigarea și afișarea informațiilor căutate astfel încât utilizatorul să ajungă cât mai ușor la conținutul potrivit.
4
Cum permiți partajarea conținutului securizat între clienți/ parteneri și consultanți externi? Menținerea unui echilibru între acces (necesitatea de a cunoaște) și protecție / conformitate nu
este ușoară. Trebuie luat în considerare schimbul de informații în afara companiei fără a pierde controlul sau a modifica locația informațiilor, dar și partajarea în siguranță a informațiilor folosind autentificarea în 2 pași pentru utilizatorii externi. În contextul GDPR soluția trebuie să respecte reglementările cu privire la datele cu caracter personal (trimiterea automată a notificărilor, acces temporizat) și să ofere suplimentar o experiență plăcută de utilizare (fără să fie nevoie de intervenția personalului IT).
5
În ce măsură ofițerii de conformitate ai companiei tale au vizibilitate asupra volumelor mari de informații în contextul noului regulament GDPR, astfel încât să poată lua decizii rapide și
eficiente? Un tablou centralizator al indicatorilor GDPR care să ofere vizibilitate asupra cantităților mari de date va ajuta cu siguranță ofițerul de date să vadă imaginea de ansamblu, dar și să detalieze anumite subiecte specifice (distribuirea documentelor în funcție de tipul de informație cu caracter personal, topul politicilor de conformitate necorespunzătoare, active neconforme clasificate in funcție de tipul acestora și alte activități și notificări legate de GDPR: retragerea acordului, solicitări de acces, solicitări de ștergere a datelor, consimțământ parental).
6
Care este experiența utilizatorilor si cum va fi afectat departamentul IT după implementarea unei soluții de GDPR? Multe implementări la nivel enterprise au dat greș nu din cauza lipsei
rigorii tehnice ci mai degrabă din cauza unei experiențe insuficiente la nivelul utilizatorilor. O soluție cu o interfață puternică, dar simplă, va crește gradul de adoptie a utilizatorilor, fără a compromite funcționalitățile dedicate utilizatorilor și va reduce în același timp gradul de încărcare al departamentului IT.
7
Cine poate accesa datele de business, în ce circumstanțe și cu ce drepturi de vizualizare? Este acest proces auditabil? Recomandarea este să protejați conținutul în funcție de ceea ce este
(metadate asociate) și nu în funcție de unde este acesta stocat astfel înât să plecați de la început cu avanjul unei soluții construită pe principiul „Privacy by Design”. Și în acestă situație metadatele stau la baza construirii politicilor dinamice de securitate care pot fi ușor definite și aplicate de către utilizatorii
65
Catalog GDPR Ready
obișnuiți, fără intervenția personalului IT. Întreabă de asemenea dacă este complet auditabilă fiecare modificare asupra conținutului și metadatelor asociate pentru asigurarea conformității cu GDPR.
8
Cum se poate demonstra că o persoana și-a dat consimțământul asupra prelucrării datelor sale personale? O posibilă abordare este o soluție care sa permită managementul consimțământului
cu ajutorul semnăturii biometrice (semnătura avansată) într-o manieră lizibilă / inteligibilă. Aceasta oferă o dovadă sigură, fiind legată în mod unic de semnatar și implicit de datele acestuia, astfel încât orice schimbare ulterioară a datelor este detectabilă.
9
Cum asigură soluția „dreptul de a fi uitat”? O mare parte din respectarea acestei cerințe se referă la politicile de păstrare a documentelor care pot fi aplicate conform nomenclatorului arhivistic,
categoriei de conținut (bazat pe metadate) sau politicilor de distrugere a conținutului pe mai multe etape atunci când perioada de retenție expiră. Întreabă cum se face auditarea termenelor expirate pentru documentele care conþin date cu caracter personal și trimiterea notificărilor asociate excepțiilor, dacă soluția are funcționalități pentru criptarea
metadatelor asociate datelor cu caracter personal și setări pentru distrugerea digitală a documentelor care conțin date cu caracter personal.
10
Unde trebuie instalată soluția GDPR? Un element cheie aici este păstrarea flexibilității la un nivel maxim pe măsură ce tehnologia se schimbă. Se poate folosi hardware-ul existent? Dacă
alegi, poți să beneficiezi de puterea și scalabilitatea cloud-ului public? Este soluția la fel de ușor de folosit pe medii hybride, on-premise și cloud?
SEAL este un sistem integrat pentru administrarea unificată a arhivelor fizice și electronice care ajută companiile să protejeze, reutilizeze și partajeze în siguranță tot conținutul de afaceri, respectând normele legale și noile reglementări GDPR. Construit pentru era digitală, în care cloud-ul și mobilitatea reprezintă concepte cheie, SEAL redefinește experiența de utilizare printr-o interfață intuitivă și puternică disponibilă inclusiv pe iOS și Android pentru un nou nivel de productivitate. www.seal-online.com
66
Catalog GDPR Ready
Provocarea GDPR: de la oameni, la procese și tehnologie Cât de pregătiți sunteți? Pe lângă provocările de ordin procedural (consimțământ, training-ul angajaților, codurile de conduită, certificări, notificări în caz de incidente), noul regulament, GDPR, vine și cu provocări de ordin tehnic: securizarea, clasificarea datelor, definirea utilizatorilor, a accesului. Toate acestea reprezintă subiecte cărora trebuie să le acordam o atenție sporită, deoarece este vorba de implementări de soluții software, care necesită bugetări, aprobări speciale pentru achiziție, POC-uri, instalări, într-un cuvânt, TIMP, iar în acest moment suntem la doar câteva luni până la aplicare sancțiunilor (2% din CA globală sau până la 20 milioane de euro). Știți unde să vă concentrați atenția? Știți unde se află datele necesare pentru a evalua dacă îndepliniți cerințele de conformitate cu GDPR? Toate tehnologiile pe care le implementați pentru a obține conformitatea cu GDPR vă vor ajuta să îmbunătățiți strategia generală de securitate, astfel încât să puteți avea o afacere mai bună și mai competitivă.
Pașii unui proiect de conformitate cu GDPR:
1 2 3
Descoperirea datelor și evaluarea riscurilor - Identificați datele personale și unde se află acestea în mediile dumneavoastră de tip cloud/local. Acest lucru ar putea dura luni și implică co-
laborarea cu toate departamentele pentru a înțelege ce date sunt utilizate, stocate și tranzacționate. Audit de protecție a datelor - Acum că știți unde se găsesc toate datele dumneavoastră, trebuie să evaluați dacă există tehnologii și procese potrivite pentru a vă ajuta să controlați accesul la
sistemele dumneavoastră. Evaluarea securității - Evaluați soluțiile de securitate existente pentru a stabili dacă tehnologiile pe care le aveți în utilizare oferă o protecție adecvată, în timp real, construită pentru
amenințările actuale. Ca de exemplu, malware-urile complexe care sunt concepute pentru a ocoli măsurile tradiționale de securitate bazate pe semnături. Identificați toate vulnerabilitățile și lacunele. Experții noștri vă vor ajuta să creați un sistem de securitate integrat și actual. Planul de răspuns la incidente - Aplicați tehnologiile și procesele de securitate pentru a opri
4
un incident, pentru a atenua impactul și a îl raporta. Raportul dumneavoastră către autorități
trebuie să includă consecințele posibile ale încălcării și acțiunea pe care o veți lua pentru a atenua posibilele efecte negative asupra persoanelor vizate. Romsym Data, prin intermediul partenerilor și a specialiștilor săi, vă propune un program de conformitate care vă va ajuta să înțelegeți: Cât de pregătit sunteți; La ce riscuri ar putea fi expusă organizația dumneavoastră; Principalele proiecte și implementări de tehnologii pe care le-ați putea întreprinde în pregătirea pentru GDPR.
67
Catalog GDPR Ready
Conformitatea cu GDPR prin intermediul criptării Soluția ESET: Endpoint Encryption GDPR a fost dezvoltat pentru consolidarea și unificarea drepturilor de confidenţialitate online și pentru protecţia datelor persoanelor fizice din UE, concentrând obligaţiile de protejare a datelor de către companiile care deservesc cetăţenii UE, într-un regulament unic, faţă de 28 de legi naţionale diferite. Aproape orice companie este sub incidența acestor prevederi, trebuind să identifice rapid modalitățile prin care poate să se alinieze eficient la noile cerințe. Regulile sunt complexe, iar amenzile pentru nerespectarea legislației sunt semnificative (penalitățile pot ajunge până la 4% din cifra de afaceri sau 20 de milioane €, oricare valoare este mai mare). Criptarea datelor sensibile din sistemele companiilor care colectază astfel de date poate ajuta la îndeplinirea multor cerințe esențiale din GDPR. Soluția ESET Endpoint Encryption este simplu de instalat și poate cripta în condiții de siguranță diferite tipuri de medii sau fișiere. ESET Endpoint Encryption permite îndeplinirea obligațiilor privind securitatea datelor, prin implementarea facilă a unei politici de criptare, păstrând în același timp o productivitate ridicată. Cu un consum redus de resurse și cicluri de desfășurare scurte, soluția se distinge prin flexibilitate și ușurință în utilizare.
Ce oferă Endpoint Encryption Criptare simplă și puternică (full disk, partiție, folder, fișier, email) pentru organizațiile de toate dimensiunile, criptând în siguranță fișierele de pe hard disk-uri, dispozitivele portabile și documentele trimise prin e-mail Certificare: criptare FIPS 140-2 cu validare 256 bit AES; Server de management hibrid bazat pe cloud pentru un control complet de la distanță a cheilor de criptare endpoint și a politicii de securitate;
68
Catalog GDPR Ready
Suport extins pentru Windows 10, 8, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS. La nivel de client este necesară o interacțiune minimă cu utilizatorul, securizarea datelor companiei fiind posibilă prin instalarea unui singur pachet MSI. La nivel de server se asigură administrarea avansată, în grupuri, a utilizatorilor și a stațiilor de lucru și se extinde protecția companiei dincolo de rețeaua proprie.
Ce spune Regulamentul despre protejarea datelor? În Articolul 32 privind Securitatea proceselor se precizează: „[...] operatorul și procesatorul trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, în care se includ, printre altele, după caz: a) anonimizarea sau criptarea datelor cu caracter personal [...]” Criptarea este cel mai simplu și sigur mod de a asigura securitatea datelor, în conformitate cu articolul 32 din GDPR. Tehnologia este un mijloc stabilit de protejare a informațiilor vulnerabile în caz de furt sau de pierdere. GDPR face referire de asemenea la necesitatea existenței unor planuri eficiente de restaurare în caz de dezastru, la proceduri de recuperare a parolei și de gestionare a cheilor. Unul dintre principiile cheie al GDPR este asigurarea securității corespunzătoare a datelor cu caracter personal. Criptarea este considerată o măsură tehnică adecvată pentru a realiza acest lucru. În cazul în care criptarea este utilizată ca o măsură tehnică, ea trebuie să fie însoțită de posibilitatea restabilirii datelor imediat după un incident, iar înregistrările trebuie să fie păstrate pentru a dovedi permanent că sistemele sunt sigure și recuperabile.
69
Catalog GDPR Ready
Care sunt regulile de notificare în cazul unei breșe de date? Notificarea unei încălcări a securității datelor cu caracter personal colectate către autoritatea de supraveghere presupune ca autoritatea să fie notificată, dacă este posibil, nu mai târziu de 72 de ore după ce organizația în cauză devine conștientă de breșa respectivă. Orice notificare trimisă după intervalul de 72 de ore trebuie să fie însoțită de o justificare motivată a întârzierii. Comunicarea unei breșe de date cu caracter personal către persoana vizată presupune ca atunci când încălcarea securității datelor poate duce la un risc ridicat în privința drepturilor și libertăților persoanelor fizice, operatorul să comunice situația, fără întârzieri nejustificate. Însă, nu este necesară comunicarea către persoana vizată, dacă sunt îndeplinite următoarele condiții: autoritatea de control a pus în aplicare măsuri tehnice de protecție și de organizare adecvate, iar aceste măsuri au fost aplicate în prealabil datelor afectate în urma breșei, în special măsuri prin care datele personale scurse să nu poată fi accesate de persoane neautorizate, cum ar fi criptarea. Criptarea este considerată fără dubiu o garanție suficientă pentru a exclude aceste riscuri și consecințele implicite pentru reputația corporativă. Soluția ESET Enpoint Encryption este disponibilă pentru descărcare în versiune de evaluare (trial) pe www.eset.ro, alături de multe informații utile care care analizează în detaliu cerințele GDPR și modul în care acestea sunt acoperite de soluția de criptare ESET.
70
Catalog GDPR Ready
Abordarea „D(atelor)” în GDPR Relational este un integrator de software internaţional, fiind cel mai important distribuitor al Informatica INC. în România. Pentru a ajuta la înțelegerea regulamentelor, Informatica identifică următoarele puncte, care evidențiază provocările GDPR:
1
Descoperirea datelor sensibile și analiza riscurilor - caracterizată ca fiind un caz de detectare și protecție. Aceste capabilități furnizează informații despre unde sunt datele sensibile din domeniul
de aplicare și unde se proliferează, cu informații analitice. Soluții tehnologice: Informatica Secure@Source poate descoperi locația datelor, să le clasifice, să monitorizeze proliferarea datelor și să aloce scorurile de risc. Urmărind în timp aceste informaţii, indică modul în care modificările influențează pozitiv sau negativ eforturile de conformitate. Interpretarea politicilor - caracterizată ca fiind un caz de Enterprise Data Governance. Aceste
2
capabilități oferă o vizualizare completă a gestionării organizaționale a datelor, legând viziunea
informațiilor între Business şi IT. Soluții tehnologice: soluțiile de Enterprise Data Governance permit funcțiilor din Business și IT să colaboreze în vederea atingerii scopului comun al administrării datelor. Soluțiile, precum Informatica Axon, sunt concepute pentru a uni vizibilitatea datelor pentru Business și IT, și pentru a crea o legătură între data asset-urile logice și fizice. Gestionarea datelor personale - caracterizată ca fiind un caz de potrivire si legare a datelor.
3
Acestea sunt capabilități pentru identificarea în sisteme a înregistrărilor datelor persoanelor vizate
și pentru oferirea unei vizualizari încrucișate a datelor, prin potrivirea și crearea de legături între ele. Soluții tehnologice: ajuta la descoperirea înregistrărilor persoanelor vizate din toate domeniile de date, utilizând algoritmi avansați pentru a se potrivi cu toate datele referitoare la același subiect de date, indiferent de locul în care sunt stocate datele. Informatica Relate 360 utilizează algoritmi avansați pentru identificarea datelor asociate aceleiasi persoane, iar Master Data Management oferă cadrul pentru menținerea și gestionarea unei vizualizări comune a datelor privind persoanele vizate. Activarea controlului consimțământului - caracterizat ca fiind un caz de detectare și protecție a
4
utilizării. Acestea sunt capabilități de bază pentru protejarea și securizarea accesului la date, apli-
carea unor controale centrate pe date, precum mascarea, criptarea și controlul accesului, gestionarea ciclului de viață al datelor, inclusiv arhivarea, ștergerea datelor și a aplicației. Soluții tehnologice: pot contribui la gestionarea ciclului de viață al activelor de date și pot aplica controale asupra acestor active. Informatica Permanent/Dynamic Data Masking şi Data Archiving pot fi utilizate pentru a limita automat numărul de persoane și sistemele care au acces nerestricționat la datele cu caracter personal. RELATIONAL ROMANIA SRL, Address: 4, Splaiul Unirii, Bloc B3, Tronson 2, Bucuresti, Sector 4, Phone: 021/ 3155730, 021/3155731, Fax: 021/3155733, Email: sales@relational.ro; alexandru.stroia@relationalfs.com; www.relationalfs.com.
71
Catalog GDPR Ready
ASBIS, distribuitor al soluțiilor software de securitate de la BlackBerry în România, acordă o atenție considerabilă GDPR. Pregătiți-vă pentru GDPR cu BlackBerry Secure! autor: Mihaela Danciu, Business Development Manager Software, ASBIS Romania
GDPR este un set de reglementări (2016/679) care urmărește să consolideze protecţia datelor personale ale cetăţenilor ţărilor membre ale Uniunii Europene, inclusiv limitarea exportului acestor informaţii către state non-membre. În ziua de astăzi, ameninţările informatice și atacurile cibernetice apar săptămânal iar GDPR reglementează modalitaţile în care datele sensibile și personale sunt expuse în organizaţii și pe Internet. În eventualitatea unei breșe, companiile trebuie să își pregătească mecanisme de notificare a clienţilor de la care deţin date care intră sub incidenţa GDPR. Cum prevenim breşele de securitate și cum devenim conformi cu GDPR? Aflați mai multe despre noile reglementări și evaluați impactul acestora asupra afacerii și a datelor mobile. Evaluați ce date cu caracter personal procesează organizația dumneavoastră, cine are acces la acestea și ce date părăsesc compania. Stabiliți o strategie în ceea ce privește datele, cine are acces la date, la ce tip de date şi pe ce cale sunt accesate acestea. Luați în calcul tehnologia-managementul dispozitivelor și criptarea. Asigurați-vă că angajații cunosc cerințele GDPR și că sunt instruiți conform celor mai bune politici de protecție a datelor. Dacă datele pierdute sunt criptate, este situația unei breșe de securitate, nu şi de o încălcare a securității datelor; raportarea nu e necesară.
72
Catalog GDPR Ready
Ce trebuie să faceți? Identificați ce date personale sunt deținute și unde sunt stocate acestea. Identificați cum sunt colectate și unde sunt stocate datele personale. Gestionați datele, definiți politici, roluri și responsabilități pentru administrarea și folosirea datelor personale (în proces, în tranzit, stocare, recuperare, arhivare, reținere, disponibilitate). Clasificați datele. Organizați și etichetați datele pentru a asigura o manipulare adecvată în funcție de tipuri, sensibilitate, context, proprietate, custodie, administrator, utilizatori etc. Indiferent de locul în care se află datele dvs. personale în organizație, BlackBerry Workspaces oferă companiei vizibilitate și control asupra datelor și asigură conformitatea cu GDPR.
Soluția Comisia Europeană definește datele personale drept „orice informație referitoare la o persoană, indiferent dacă se referă la viața sa privată, profesională sau publică. Poate fi orice, de la un nume, o fotografie, o adresă de e-mail, detalii bancare, postări pe site-uri de socializare, informații medicale, adresa IP a unui computer.”
5 moduri în care BlackBerry ajută compania dvs. să respecte GDPR BlackBerry Workspaces și BlackBerry Email Protector sunt esențiale pentru respectarea cerințelor GDPR deoarece:
1 2
BlackBerry oferă securitate pentru date nestructurate. Acestea includ imagini, documente PDF, Microsoft Office și altele. BlackBerry asigură o colaborare sigură. Datele cu caracter personal sunt adesea incluse în fișierele care sunt împărtășite în cursul normal al afacerii, în cadrul
aplicațiilor de la locul de muncă, solicitărilor de împrumut bancar, dosarelor medicale și a altor documente. BlackBerry Workspaces și E-mail Protector permit organizațiilor să protejeze documente cu elemente de securitate la nivel de fișier. Funcțiile de control al accesului și DRM permit utilizatorului să controleze cine poate accesa un anumit fișier și ce poate face cu el după ce îl ia, chiar și după ce fișierul a fost transferat. Aceste permisiuni pot fi setate astfel încât să expire la un moment dat sau pot fi revocate manual în orice moment. Clientul web securizat BlackBerry Workspaces permite fișierelor să fie partajate și
3
accesate de pe orice dispozitiv, fără ca destinatarul să descarce fișierul. Deși destina-
tarul poate vedea, comenta și marca documentul, acesta nu va putea descarca sau salva fișierul, astfel asigurându-se respectarea cerințelor GDPR. BlackBerry Workspaces și BlackBerry Email Protector furnizează responsabi-
4
lului de protecție a datelor (DPO) un instrument fără egal pentru monitorizare și
73
Catalog GDPR Ready
raportare la nivel de fișier. BlackBerry Workspaces înregistrează fiecare acțiune efectuată pe fiecare fișier din sistem, permițând DPO-ului să determine: Cine... Ce a făcut cu fișierul... Unde se afla din punct de vedere geografic când a vizualizat fișierul... Ce dispozitiv a folosit pentru vizualizarea fișierului... Dreptul de a fi uitat. În cazul unei breșe de securitate, dacă un cetățean solicită
5
ștergerea datelor cu caracter personal, Workspaces oferă un mecanism de răspuns
și remediere. Cele mai multe soluții nu au nici o posibilitate de a limita sau de a atenua riscul și daunele atunci când securitatea este compromisă.
Portofoliul de solutii BlackBerry și cum vă putem ajuta să deveniți conform cu GDPR. BlackBerry Enterprise Mobility Suite oferă o abordare flexibilă a serviciilor care asigură securitate și productivitate, contribuind, în același timp, la menținerea conformității cu GDPR. Enterprise Mobility Suite permite ca, pe masură ce nevoile unei organizații evoluează, să se adauge noi capabilități, în funcție de ceea ce este necesar.
Ce conțin suitele BlackBerry EMS? Unified Endpoint Management (UEM). Consolă de administrare a dispozitivelor mobile: laptop-uri, tablete sau telefoane mobile. Software-ul BlackBerry oferă criptare și asigură protecția datelor în retele sau stocate în dispozitive, aflate în diverse fișiere sau aplicații. În mod special relevant pentru GDPR, BlackBerry oferă criptare în tranzit, în uz și în repaus, controale bazate pe roluri și instrumente de acces la distanță, astfel încât, în cazul pierderii sau furtului de dispozitive, datele să poata fi șterse sau recuperate. BlackBerry Work asigură companiei comunicații sigure, cu protecție avansată a datelor din e-mail și din cadrul procesului de colaborare, în ansamblu. Aceasta aplicație de productivitate de tip all-in-one asigură o experiență deosebită pentru multitasking între diversele aplicații de lucru, oferind, în același timp, un container securizat care împiedică pierderea de date.
74
Catalog GDPR Ready
BlackBerry Workspaces oferă un serviciu de sincronizare și partajare de fișiere securizate, cu suport pentru gestionarea drepturilor digitale (DRM) pe orice dispozitiv. Workspaces permite organizațiilor să urmărească modul în care sunt distribuite fișierele – element cheie pentru GDPR - și chiar să indice cine poate accesa aceste fișiere, chiar și după ce acestea au fost trimise. BlackBerry Dynamics extinde securitatea pentru a proteja aplicațiile cheie personalizate și cele ale terților, permițând partajarea în mod sigur a datelor între aplicații și utilizatori. BlackBerry Enterprise Identity permite conectarea unică la servicii de pe orice dispozitiv, oferind securitate cu acces mai rapid la aplicații securizate. BlackBerry 2FA permite departamentelor IT să furnizeze autentificare cu doi factori, pentru acces securizat și protejează accesul la infrastructura VPN, protejând astfel datele cheie.
Despre BlackBerry
BlackBerry este o companie de software și servicii de securitate mobilă, dedicat securizării persoanelor, dispozitivelor, proceselor și sistemelor pentru organizații. Cu sediul în Waterloo, Ontario, compania a fost fondată în 1984 și operează în America de Nord, Europa, Asia, Orientul Mijlociu, America Latină și Africa. Compania este cotată la Bursa din Toronto și la NASDAQ. Pentru mai multe informații, vizitați www.BlackBerry.com.
ASBIS Romania, filiala locală a grupului ASBIS Enterprises
Despre ASBIS
este, în prezent, unul dintre cei mai importanți distribuitori din domeniul IT din România, având stabilite parteneriate directe cu producători renumiți, precum BlackBerry, Microsoft, StorageCraft, Dell EMC, Intel, AMD, Acer, Seagate, Western Digital, Kingston etc. ASBIS Romania a investit în resursele proprii și livrează servicii de consultanță pentru soluțiile software BlackBerry. Pentru mai multe informații, scrieți-ne pe adresa: software@asbis.ro
75
Catalog GDPR Ready
Continuitatea afacerii și GDPR. Pregătiți-vă soluția de Backup & Disaster Recovery autor: Mihaela Danciu, Business Development Manager Software, ASBIS Romania
Despre GDPR Acest nou Regulament, GDPR - Regulation (EU) 2016/679, a fost adoptat la 27 aprilie 2016 și va intra în vigoare la 25 mai 2018. Este o reglementare prin care Parlamentul European, Consiliul European și Comisia Europeană intenționează să consolideze și să unifice protecția datelor pentru persoanele fizice în cadrul Uniunii Europene. Înlocuiește actuala directiva a Uniunii Europene privind datele cu caracter personal, cunoscută ca Directive 95/46/EC adoptată in 1995. Acest regulament va trebui respectat de fiecare organizație din statele Uniunii Europene și orice entitate care deține date cu caracter personal referitoare la persoanele din UE va fi obligată să își revizuiască procesele de gestionare a informațiilor.
Ce este de făcut? Pentru a deveni o companie care se află în parametrii GDPR, este nevoie de un plan și un buget de resurse, inclusiv pentru partea de IT. De asemenea, trebuie luat în calcul că există un termen limită pentru implementare. Mai jos regăsiți câteva activități cu care puteți începe: 1. Realizarea unui plan de impact al siguranței datelor personale, împreună cu o hartă a circuitului de informații în companie. 2. Actualizarea sistemului de gestionare a informațiilor, care să includă documente detaliate privind preluarea și prelucrarea datelor cu caracter confidențial. 3. Definirea unui sistem de eliminare a informațiilor de care nu mai este nevoie, într-o modalitate sigură. 4. Crearea unui sistem de notificare a erorilor de sistem care pot afecta persoanele de la care s-au acumulat date. 5. Desemnarea unui responsabil pentru protecția datelor. Înainte de a vă decide asupra unei soluții de recuperare a datelor, este necesar să vă pregătiți în prealabil. Trebuie să definiți foarte clar nevoile afacerii dvs. Stabiliți obiectivele timpului de recuperare. RTO (recovery time objective) indică cât de rapid aveți nevoie să recuperați datele în urma unui dezastru.
76
Catalog GDPR Ready
Trebuie să fiți foarte specific; nu este suficient să spuneți „imediat’’ sau „ASAP’’. Gândiți-vă la fiecare server și calculator și întrebați-vă „cât de critic este pentru mine?’’ și „cât de repede am nevoie ca acel backup să fie restaurat?’’ Aveți în minte următoarele: dacă acel endpoint nu este critic, nu vă consumați timpul și resursele (banii) pentru restaurare. Stabiliți obiectivele punctelor de recuperare. RPO (recovery point objective) indică maxima maximă tolerabilă de pierdere a datelor. Întrebați-vă simplu „cât de multe date sunt dispus să pierd?” și „ce date vor fi cele mai costisitoare și dificil de recreat?”. Astfel veți ști ce date trebuie să fie acoperite de backup și cât de des trebuie făcut acesta. Din nou, nu deveniți tentat să spuneți că totul este vital! Nu toate datele din organizație sunt la fel de importante!
Cum arată o soluție performantă de recuperare în caz de dezastru? Copiile de rezervă reprezintă fundația oricărei soluții de recuperare în cazul unui dezastru. În orice caz, nu toate copiile de rezervă sunt la fel. Iată câteva aspecte pe care vă sugerăm să le aveți în vedere: A. Tehnologia bazată pe imagini s-a dovedit a fi de cea mai bună clasă iar tehnologia veche, de scriere pe bandă, s-a dovedit a fi mai puțin demnă de încredere. B. Posibilitatea de a face copii de rezervă atât de des cât aveți nevoie (indicat a se face la fiecare 15 minute pentru datele critice). C. Verificarea rapidă și facilă a copiilor de rezervă. D. Soluția să permită backup pentru întreg mediul IT și pentru întreaga forță de muncă, inclusiv pentru angajații de pe teren, pentru orice aplicație software „as a service” pe care o utilizați (Office 365, G Suites etc). E. Copiile de rezervă nu trebuie să fie conectate la rețeaua de pe care se face backup. F. Soluția pe care o alegeți trebuie să suporte toate platformele (Windows, Linux etc), atât pentru mașinile fizice cât și pentru cele virtuale.
On/Off premise După ce v-ați facut copiile de rezervă, aveți nevoie de un spațiu de stocare sigur și de acces securizat la copiile de rezervă. Cea mai bună practică pe care noi o recomandăm este ca prima dată să vă stocați copiile de rezervă local, apoi să le replicați într-o locație secundară. Aceasta înseamnă că veți avea posibilitatea să recuperați datele din locația internă, foarte repede. În situația în care nu aveți posibilitatea de a accesa locația internă, va rămâne opțiunea de a restaura copiile din locația externă. De fapt, continuitatea business-ului este asigurată cel mai bine când aveți un backup în afara locației. StorageCraft Disaster Recovery Solution oferă versatilitatea de care aveți nevoie în construirea propriului plan de recuperare în caz de dezastru, indiferent de hardware-ul ales. Aveți flexibilitate deplină de a seta backup-urile în funcție de programul dvs. Testați backup-ul! Trebuie să aveți posibilitatea de a testa planul de recuperare în cazul unui dezastru înainte ca acesta să se producă! Nu permiteți ca dezastrul să fie primul dvs test! Un plan bun o să fie foarte
77
Catalog GDPR Ready
ușor de testat. Aceasta este singura modalitate prin care veți valida obiectivele timpului de recuperare. StorageCraft Disaster Recovery permite testarea și verificarea datelor foarte ușor, ori de câte ori vă doriți.
Recuperarea datelor Poate părea evident dar, din păcate, acesta este pasul unde multe soluții de BDR (backup și disaster recovery) eșuează. Soluția pe care o alegeti trebuie să permită recuperarea datelor, oricând și oriunde. În cazul unui dezastru de tip Ransomware, trebuie să aveți încredere 100% că veți recupera datele și că vă veți putea continua activitatea. StorageCraft Recovery Solution oferă fiabilitate, flexibilitate și viteză de recuperare a datelor.
Concluzie Numărătoarea inversă până la GDPR a început! Firmele din Europa vor trebui să se asigure că respectă cerințele regulamentului până în mai 2018 și implementarea unei soluții eficiente de recuperare în caz de dezastru este un prim pas important spre conformitate. Continuitatea afacerii începe aici! Asigurați-vă că ați ales de la început soluția potrivită de backup și disaster recovery.
Despre StorageCraft
Despre ASBIS
78
Compania a fost înfiinţată în 2003, sediul central fiind în Utah, Draper, ulterior deschizând birouri în Europa, Japonia şi Australia. StorageCraft oferă o linie matură de software pentru backup şi disaster recovery, livrează clienţilor soluţii pentru continuitatea afacerii. În ianuarie 2017, StorageCraft Technology Corporation şi Exablox Corporation şi-au unit forţele pentru a se concentra pe sprijinirea afacerilor în analizarea, protejarea și stocarea datelor. Noua entitate este prima companie care reuneşte o nouă abordare care recunoaște liniile dispărute între stocarea primară şi secundară, precum şi între disponibilitatea datelor şi protecția datelor. StorageCraft este câştigătoare în luna august 2017, în categoria Software Data Protection din programul de premiere CRN® 2017. Compania a primit cele mai mari note pentru fiecare din cele trei criterii utilizate pentru a determina câştigătorul: parteneriat, inovare de produs şi suport. ASBIS Romania, filiala locală a grupului ASBIS Enterprises este, în prezent, unul dintre cei mai importanți distribuitori din domeniul IT din România, având stabilite parteneriate directe cu producători renumiți, precum BlackBerry, StorageCraft, Microsoft, Dell EMC, Intel, AMD, Acer, Seagate, Western Digital, Kingston etc. ASBIS Romania a investit în resursele proprii și livrează servicii de consultanță pentru soluțiile software BlackBerry. Pentru mai multe informații, scrieți-ne pe adresa: software@asbis.ro
Catalog GDPR Ready
Ce au în comun domeniile Cloud, Big Data și GDPR? Atât domeniul Cloud cât și cel al Big Data sunt esenţiale pentru transformarea pe care segmentul tehnologiei informaţiei îl parcurge în prezent și sunt adeseori considerate subiecte conexe, însă cum rămâne cu noile Reglementări ale Uniunii Europene privind protecţia generală a datelor (GDPR)? O presiune enormă pe politicile de date Este adevărat că domeniile Cloud, Big Data și Regulamentul General privind Protecția Datelor (GDPR), luate împreună, pun o presiune enormă asupra provocărilor ridicate politicilor aferente datelor. Atât de mult, încât multor organizații le va fi foarte greu să le facă față în timp ce duc inițiativele legate de Cloud, Big Data și GDPR din faza de testare în cea de producție. Să luăm un exemplu simplu pentru fiecare domeniu în parte. Datele din Cloud trebuie adesea ținute într-o anumită țară; anumite elemente de Big Data trebuie să fie anonimizate înainte de a fi procesate, iar politica GDPR cere ca utilizatorilor să li se spună pentru ce le sunt reținute datele (printre alte cerințe de confidențialitate). Acum imaginați-vă o listă de articole cu sute de astfel de cerințe, determinate fie de reglementări, fie de reguli de guvernare corporativă și care să cuprindă aspecte legate de intimitate, securitate, anonimitate, responsabilitate, fiabilitate și supraveghere guvernamentală. Acestea ne conferă dimensiunea problemei cu care ne confruntăm. Dacă dorim să ne asigurăm că politicile aferente fiecăruia din aceste aspecte se află sub un control adecvat și pot fi duse la îndeplinire, atunci avem nevoie de o bază solidă de gestionare a datelor. Aceasta va trebui să includă gestionarea păstrării, expirării, dispunerii, separării și localizării datelor. În timp ce organizațiile aliniază practicile de management al datelor cu cerințele de gestionare a afacerii și demonstrează că respectă politicile, acestea trebuie, de asemenea, să păstreze integritatea datelor și să controleze costul și complexitatea sistemelor IT.
79
Catalog GDPR Ready
Automatizarea bazată pe politici Ceea ce va fi surprinzător pentru mulți profesioniști din domeniul IT și al afacerilor deopotrivă este modul în care metodologiile de backup și arhivare pot constitui baza pentru abordarea acestor provocări, în chiar zona în care acestea au rate foarte ridicate de creștere a datelor - fișierele, e-mailurile, videoclipurile, postările sociale și alt gen de conținut de date nestructurate. Folosind soluția Commvault, de automatizare bazată pe politici, ca bază a unei strategii sănătoase de gestionare a datelor, costurile și complexitatea pot fi controlate, în timp ce aspectele legate de politica de date, cum ar fi păstrarea, separarea și localizarea datelor, pot fi gestionate ca parte a operațiunilor automatizate. Este de la sine înțeles că, în calitate de lider în domeniul back-up-ului și a recuperării de date corporative, software-ul Commvault reprezintă o alegere excelentă pentru a asigura integritatea datelor. În ceea ce privește modul în care sunt create și gestionate politicile, acestea se pot baza pe orice criterii relevante, cum ar fi numele fișierului, tipul, etichetele, cuvintele cheie și conținutul. Clasificarea bazată pe conținut poate fi utilizată pentru a identifica datele personale care pot constitui subiectul unor reglementări. Datele pot fi căutate pe baza acelorași criterii, pe baza rolurilor din fișierele directoare, în timp ce seturile de rezultate pot fi clarificate și selectate în scopul remiterii către terți, cu asigurarea deplină a acurateței, validității și integrității lor. Înlăturarea duplicatelor ne asigură de faptul că o singură copie a fiecărui obiect poate fi urmărită și gestionată, ceea ce este vital atât pentru controlul costurilor, cât și pentru gestionarea eficientă a datelor în funcție de politici.
80
Catalog GDPR Ready
Securitatea, o componentă cheie în politicile aplicate Având în vedere caracterul dinamic al IT-ului modern, în special în Cloud, este esențial să fie surprinse toate schimbările din industrie. Auto-identificarea și monitorizarea asigură faptul că modificările - cum ar fi adăugarea unui nou centru virtual (VM) - sunt detectate și pot fi acționate fie automat, fie evidențiate. O verificare de audit și o raportare bogată permit verificarea completă a îndeplinirii politicilor. Securitatea reprezintă o componentă importantă în cadrul politicilor aplicate, iar soluția Commvault extinde securitatea, de la comunicarea internă dintre componentele software la datele gestionate în tranzit sau stocate. Securitatea datelor deținute pe laptop-uri poate fi asigurată prin capacitatea de a determina amplasamentul lor și de a șterge datele din laptopurile pierdute, în timp ce datele nepotrivite pot fi identificate în scopul conformării - aceasta va fi semnificativă în gestionarea regulamentelor GDPR, care se aplică datelor tuturor cetățenilor UE, oriunde ar fi acestea stocate. În concluzie, Cloud, Big Data și noul regulament european de confidențialitate vor aduce reglementarea și buna guvernanță în prim-planul gândirii IT. Problemele legate de confidențialitate, securitate, anonimitate, responsabilitate, fiabilitate și supraveghere guvernamentală trebuie soluționate într-un mod eficient din punct de vedere al costurilor. Această tendință asigură un viitor remarcabil pentru automatizarea bazată pe politici a soluției Commvault, ca bază pentru gestionarea eficientă a datelor și a informațiilor, în întreaga organizație. Contact: Sergiu Costin, Territory Manager Commvault scostin@commvault.com
81
Catalog GDPR Ready
Sunteți pregătiți pentru GDPR? Noi suntem pregătiți să vă ajutăm Ce este GDPR? Regulamentul European privind Protecția Datelor (GDPR) stabilește principii și măsuri de protecție a datelor cu caracter personal ale cetăţenilor Uniunii Europene pentru companiile și instituțiile care procesează astfel de date. GDPR reprezintă challenge-ul companiilor publice și private din următoarele 12 luni și este prima reglementare completă cu privire la protecția datelor emisă în ultimii 20 de ani care înlocuiește cadrul legislativ actual (Directiva 95/46/CE). Pentru cine se aplică? Orice activitate instituțională desfășurată la nivelul Uniunii Europene ce procesează date cu caracter personal cu privire la angajați, clienți sau oricare alte entități cu care interacționează trebuie să se alinieze la cerințele GDPR. Așadar, orice instituție publică sau privată de pe teritoriul Uniunii Europene sau din afara teritoriului Uniunii Europene (dacă manipulează date cu caracter personal ale unor cetățeni ai Uniunii Europene) care colectează, prelucrează și/sau stochează date cu caracter personal trebuie să răspundă prevederilor GDPR. Ce reglementări aduce GDPR? Dreptul de a fi uitat și dreptul la portabilitatea datelor sunt printre principalele noi drepturi introduse ce vor impune prestatorilor de servicii să știe exact unde se află datele în sistemele lor și să ia măsuri privind ștergerea acestor date dacă este solicitat. Nevoia de responsabil pentru protecția datelor GDPR mandatează ca toate organismele din sectorul public și cele implicate în monitorizarea sistematică și regulată a persoanelor vizate la scară largă sau în prelucrarea categoriilor speciale de date să angajeze un Responsabil cu Protecția Datelor (DPO). Operatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz: pseudonimizarea și criptarea datelor; capacitatea de a asigura confidențialitatea; integritatea, disponibilitatea și rezistența sistemelor și serviciilor de prelucrare; capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică; un proces pentru testarea, evaluarea și aprecierea periodica a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării. Efectele neaplicării. Neaplicarea prevederilor GDPR coroborată cu apariția unor incidente de securitate de natură să afecteze datele cu caracter personal poate atrage pentru instituții amenzi însemnate de până
82
Catalog GDPR Ready
la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală (în funcție de impactul incidentului produs). Termen de implementare. Regulamentul intră in vigoare la data de 25 mai 2018, dată până la care toate entitățile vizate de către GDPR trebuie să pună în aplicare prevederile specifice. Cum putem sprijini procesul de aliniere la GDPR? Oferim întregul suport necesar înțelegerii în primă etapă a prevederilor GDPR, a modului în care acestea trebuie tranpuse și, ulterior, prin evaluarea modului în care se realizează prelucrarea datelor în companie și identificarea punctelor slabe, respectiv, prin asistarea selectării și implementării măsurilor tehnice și operaționale în cadrul organizației. Serviciile noastre de consultanță pentru alinierea la GDPR se concentrează în jurul următoarelor module principale: Modulul 1 – Cursuri de introducere și instruire, al căror scop este acela de a prezenta organizației și personalului component cerințele GDPR și modalitatea în care aceste cerințe trebuie puse în aplicare. Modulul 2 – Analiza gap, al cărei scop este realizarea unei evaluări asupra conformității organizației și a sistemului de controale implementat în prezent în raport cu cerințele tehnice și operaționale specifice GDPR în urma căreia se va elabora un plan de acțiuni detaliat pentru corectarea acestor diferențe și, implicit, alinierea organizației la GDPR. Modulul 3 – Analiza modelului de date utilizat, în cadrul căreia se analizează în detaliu impactul GDPR asupra organizației prin identificarea și punerea în evidență a datelor cu caracter personal procesate de organizație. Ca parte a acestei analize, urmărim identificarea activităților, proceselor și fluxurilor operaționale care colectează, prelucrează și stochează datele cu caracter personal. La finalul acestei analize, vom putea contura o imagine asupra datelor cu caracter personal, a tipologiei acestora și a dispunerii lor în cadrul organizației pentru a asigura o implementare uniformă și eficientă a măsurilor tehnice și organizaționale ale GDPR. Modulul 4 – Definirea politicii de prelucrare a datelor cu caracter personal. În cadrul acestei etape, avem în vedere elaborarea, pe seama informațiilor colectate în etapele anterioare și a prevederilor GDPR, a politicii de prelucrare a datelor cu caracter personal în cadrul organizației. Modulul 5 – Implementarea politicilor și procedurilor GDPR. Avem în vedere suportul pentru implementarea într-o manieră uniformă și eficientă a politicilor și procedurilor privind managementul datelor cu caracter personal în cadrul organizației pentru o corectă aliniere la cerințele GDPR. Modulul 6 – Implementarea sistemelor IT de securitate necesare. Putem răspunde necesităților organizației cu privire la sistemele IT de securitate (de exemplu: sisteme de detecție și prevenție a intruziunilor, sisteme de prevenire a scurgerii datelor etc.) prin furnizarea și implementarea unor soluții IT eficiente și potrivite pentru dimensiunea și particularitățile organizației. Modulul 7 – Asigurarea poziției de Responsabil cu Protecția Datelor. Asigurăm experți calificați cu competențe în domeniul protecției datelor pentru îndeplinirea rolului de Responsabil cu Protecția Datelor și execuția responsabilităților specifice în cadrul organizației. Date de contact: Cosmin Măcăneață, Managing Partner cosmin.macaneata@omega-trust.ro / 0722812812
83
Catalog GDPR Ready
Info World – „Ready” pentru implementarea GDPR în domeniul medical Cu peste 17 ani de experienţă exclusivă în domeniul eHealth atât în plan naţional cât şi internaţional, compania Info World are ca misiune protecţia şi securitatea datelor medicale. Acest regulament european şi, implicit, adoptarea lui vin de fapt să confirme ceea ce noi avem deja implementat în produsele şi serviciile noastre dedicate zonei medicale. Pe scurt, GDPR îşi propune să ofere cetăţenilor Uniunii Europene controlul asupra datelor lor personale, iar pentru îndeplinirea acestui scop enunţă anumite principii, unele cu impact asupra sistemului medical. În primul rând, pentru datele colectate şi pentru scopul utilizării acestora trebuie să existe un consimţământ valid explicit din partea cetăţeanului. Există totuşi o serie de excepţii, cum ar fi furnizarea de îngrijiri medicale sau sociale, tratament în scopul protejării intereselor vitale ale persoanei vizate. O noutate care va avea impact major asupra sistemului medical şi chiar asupra cetăţeanului este reprezentată de oferirea posibilităţii ca persoana vizată să îşi administreze singură dosarul medical. Apare astfel dreptul persoanei vizate de a îşi tranfera datele sale personale dintr-un sistem electronic de procesare în altul, fără a fi impiedicat de operatorul de date să facă acest lucru. Datele furnizate de operatorul de date trebuie să fie într-un format electronic standard, deschis şi utilizat în mod obişnuit. În ceea ce priveşte domeniul sănătăţii, cel căruia Info World îi este integral dedicat, articolul 15 defineşte faptul că pacientul are dreptul să obţină de la operatorul de date confirmarea că datele sale personale sunt prelucrate sau nu, şi după caz, accesul la datele personale, precum şi o copie a acestor date care fac obiectul unei prelucrări. În cazul în care persoana vizată depune cererea prin mijloace electronice şi nu solicită altfel, informaţiile pot fi furnizate într-o formă electronică utilizată în mod obişnuit, ceea ce înseamnă un fişier uzual, de tip PDF sau alt format de uz general. Acest aspect permite persoanelor fizice să obţină şi să reutilizeze datele lor personale şi medicale în diverse scopuri, cum ar fi: a doua opinie medicală, schimbarea furnizorilor de asistenţă medicală, păstrarea datelor intr-un sistem de tip dosar personal de sănătate. În acest mod, persoanele vizate pot să copieze sau să transfere cu uşurinţă informaţiile dintr-un sistem informatic în altul.
84
Catalog GDPR Ready
Portabilitatea datelor se aplică acelor date cu caracter personal referitoare la persoana vizată Ĺ&#x;i anume: Sunt procesate automat – chiar dacă pacientul beneficiază de dreptul de a ĂŽĹ&#x;i accesa toate ĂŽnregistrările medicale, portabilitatea datelor este limitată doar la datele colectate ĂŽn format electronic; Sunt furnizate de persoana vizată – informaĹŁii funizate verbal sau scris de pacient Ĺ&#x;i/sau rezultatul examinărilor, analizelor de laborator, investigaĹŁii magistice, etc.; Sunt procesate pe baza consimĹŁÄƒmântului persoanei vizate sau pentru executarea unui contract – există excepĹŁii care pot scoate datele medicale de sub dreptul de portabilitate, dar ca principiu general, orice procesare sau schimb de date care necesită consimĹŁÄƒmântul pacientului intră sub incidenta dreptului de portabilitate a datelor. Considerăm că dreptul la portabilitatea datelor va genera un impact major asupra ĂŽntregii activitÄƒĹŁi medicale Ĺ&#x;i ĂŽn special eHealth. Operatorii de date vor trebui să garanteze că datele cu caracter personal sunt transmise ĂŽntr-un format electronic standard, deschis Ĺ&#x;i utilizat ĂŽn mod obiĹ&#x;nuit Ĺ&#x;i vor trebui să asigure interoperabilitatea formatului de date ĂŽn cazul unei solicitări de portabilitate a datelor. Nivelul de cooperare dintre industria de eHealth Ĺ&#x;i asociaĹŁiile profesionale va creĹ&#x;te datorită necesitÄƒĹŁii de a elabora ĂŽmpreună un set de standarde Ĺ&#x;i formate de interoperabilitate pentru a ĂŽndeplini cerinĹŁele dreptului la portabilitatea datelor. Din punct de vedere tehnic, punerea la dispoziĹŁia persoanelor vizate a datelor cu caracter personal se va putea face fie printr-un mecanism de transmitere directă a setului global de date al persoanei vizate, fie prin utilizarea unui instrument automatizat de extragere a datelor relevante. Costurile generate de implementarea modificărilor nu vor putea fi imputate persoanelor vizate Ĺ&#x;i nici nu vor putea fi folosite ca justificare a refuzului de a răspunde solicitărilor de portabilitate a datelor. Desigur că intrarea ĂŽn vigoare a acestui regulament, ĂŽncepând cu 28 mai 2018, presupune o pregătire amplă a infrastructurii la nivel gurvernamental Ĺ&#x;i privat ĂŽn ceea ce priveĹ&#x;te furnizorii de servicii Ĺ&#x;i produse ĂŽn domeniul eHealth. ÂŤInfo World „readyâ€? ĂŽnseamnă foarte mult. Dincolo de Privacy by design & Privacy by default, de gradul ĂŽnalt de conformitate cu toate prevederile regulamentului european, de securitatea datelor Ĺ&#x;i de garanĹŁia unor servicii care să onoreze experienta Ĺ&#x;i reputaĹŁia consolidată ĂŽn peste 17 de ani de acitivitate, Info World „readyâ€? ĂŽnseamnă investiĹŁii, inovaĹŁie, dialog Ĺ&#x;i comunicare cu toĹŁi factorii implicaĹŁi ĂŽn proces, reacĹŁie rapidă Ĺ&#x;i garanĹŁia serviciilor Ĺ&#x;i aplicaĹŁiilor la cele mai ĂŽnalte standarde.Âť - Daniel Nistor, CEO Info World www.infoworld.ro
85
Catalog GDPR Ready
Cum poate organizația dumneavoastră să beneficieze de pe urma GDPR? de Scott Register, Vice President of Product Management for Security and Cloud, Ixia Solutions Group, a Keysight business GDPR (Regulamentul general privind protecția datelor) va intra în vigoare în spațiul Uniunii Europene în data de 25 mai 2018. Scopul principal al acestei reglementări este protecția datelor utilizatorului și acordarea controlului efectiv al utilizatorilor asupra acestor date. Unul dintre principalele ingrediente ale GDPR este „pseudonimizarea” datelor, ceea ce înseamnă că, dacă cineva obține date aparținând unui utilizator, acestea nu trebuie să aibă capacitatea de a conecta acele date cu un anumit utilizator. Aceasta se poate realiza prin criptarea sau mascarea datelor și ar trebui efectuată cât mai curând posibil pentru a asigura protecția maximă. Companiile care încalcă GDPR prin protecția necorespunzătoare a datelor utilizatorului riscă amenzi mari, care pot merge până la 4% din venitul anual. Deși acest lucru poate constitui o problemă pentru organizații în procesul de recuperare si reconstituire a datelor, acest proces nu este in mod necesar negativ, şi aceasta din mai multe motive. În primul rând, acesta înlocuiește un mozaic de reglementări naționale cu un singur set de reguli la nivelul UE, ceea ce face conformitatea mult mai facilă și mai puțin costisitoare pentru corporațiile multinaționale. În al doilea rând, poate fi folosit ca o oportunitate de a reglementa procesele interne și de a îmbunătăți securitatea, ceea ce are beneficii atât pe termen scurt, cât și pe termen mediu și lung. Datele care au trecut prin procesul de „pseudonimizare”, criptarea acestora și constrângerile de audit (și de trasabilitate) sunt mai mult decât provocări tehnologice, întrucât tehnologia adecvată este disponibilă pe scară largă în produsele off-the-shelf. Acestea ar trebui văzute de drept ca provocări legate de gestionarea datelor. Pentru a asigura protecția și evidenþa datelor personale ale utilizatorilor în toate etapele procesării, trebuie stabilit un singur flux de proces pentru achiziționarea, manipularea, prelucrarea, stocarea și dispunerea datelor respective într-un singur flux de lucru. Specialiștii IT știu că integrarea datelor - combinarea și compararea datelor din mai multe surse, cum ar fi bazele de date disparate - este una dintre cele mai dificile provocări operaționale cu care se confruntă și implică adesea multă muncă. Multe organizații ar putea fi chiar puse în încurcătura dacă ar trebui să dezvăluie că gestionarea și prelucrarea date-
86
Catalog GDPR Ready
lor cheie se realizează prin completarea manuală a unei foi de calcul, care nu este automatizată, eficientă, foarte sigură sau ușor de auditat. GDPR oferă un catalizator extern prin care IT-ul poate avea un avantaj pentru a forța îmbunătățirile procesului de gestionare a datelor. Începând din luna mai a anului următor, organizațiile vor fi obligate să localizeze datele utilizatorilor într-un spațiu protejat și să monitorizeze cu atenție accesul la acesta - care este scopul final al personalului IT de securitate. Aceasta nu mai este o dezbatere cu privire la probabilitatea sau costul unei breșe reale. Simpla eșuare de a proteja datele în mod corespunzător va fi pedepsită și va fi costisitoare. Mai mult decât atât, spre deosebire de un atac de scurtă durată sau unul de tip DDoS, GDPR este larg mediatizat, ușor de înțeles în esența lui și foarte clar în privința faptului că fiecare organizație care operează în UE este supusă acestuia. Un beneficiu suplimentar la această cerință îl reprezintă reducerea IT-ului din umbră, deoarece datele stocate în depozitele disparate nu pot fi ușor pseudonimizate sau auditate. Organizația inteligentă nu va utiliza GDPR ca pe un mijloc (sau a unui pretext) pentru a iniția cheltuieli majore de noi soluții de securitate, ci ca pe un laser pentru a re-imagina conductele lor de prelucrare a datelor având securitatea ca punct central, cu multe avantaje convingătoare: Achiziționarea de date - în cadrul GDPR, va
1
fi esențial ca datele utilizatorilor care stau în
jurul punctelor de colectare (cum ar fi terminalele Point of Sale) să nu fie lăsate mai mult decât este necesar și ca acestea să fie criptate cât mai curând posibil. Acest lucru va reduce cerințele distribuite de stocare, va îmbunătăți securitatea și va facilita transferuri mai rapide de date de la punctele de colectare către miezul afacerii – fapt ce are avantajul de a permite o înțelegere mai
87
Catalog GDPR Ready
rapidă a afacerilor în timp real. Într-o organizație de retail, de exemplu, nu ar fi mai bine să se știe în câteva minute că magazinele văd o creștere a vânzărilor unui anumit pulover, mai degrabă decât în câteva zile?
2 3
Transferul de date - până în prezent, majoritatea organizațiilor au implementat tehnologia VPN, însă pentru cei ramași în urmă acest lucru va alimenta IT-ul pentru a forța
actualizarea. Prelucrarea și stocarea datelor - GDPR cere ca datele să fie pseudonimizate cât mai curând posibil, ceea ce înseamnă că nu trebuie să fie posibilă corelarea unui anumit uti-
lizator cu un set de date; de exemplu, datele ar putea arăta că 180 de cumpărători se aflau într-o anumită sucursală a unei bănci într-o zi, dar nu și cine erau acei utilizatori. Acest lucru poate determina o reconsiderare atentă a datelor colectate, modul în care acestea sunt stocate și asigurarea faptului că deciziile critice bazate pe utilizatori (cum ar fi direcționarea anunțurilor către un anumit client pe baza comportamentului acestuia) se fac cât mai repede posibil - cu rezultate de afaceri foarte benefice. Și prin automatizarea acestei procesări vs. cea manuală se realizează o protecție mult mai ușoară și mai controlată a datelor. Stocarea și dispunerea datelor - orice date stocate de utilizator prezintă un risc de
4
compromis. Îndepărtarea mai agresivă a datelor utilizatorilor, în special a celor detaliate
și non-pseudonimizate, va reduce atât costurile de stocare, cât și dictarea unor controale mai stricte privind gestionarea datelor (cum ar fi dispunerea copiilor de rezervă). În special, acești pași trebuie să fie clar documentați și auditați în mod regulat, fapt ce va intra adesea în sarcina responsabilului cu protecția datelor Data Protection Officer (DPO). Traseul de audit va deveni deosebit de important dacă practica unei organizații este contestată în instanță, deoarece un jurnal de audit clar și consecvent va oferi o apărare robustă a protecției datelor organizației și respectării GDPR. Bazându-se pe publicitatea din jurul inițiativei de a face ca organizația să răspundă și cu deadline-ul apropiindu-se rapid, magazinele IT trebuie să facă din GDPR o prioritate urgentă. Piatra de temelie a unei abordări eficiente și productive în cadrul strategiei GDPR nu este de a descompune procesul actual în pași discreți și de a implementa soluții de securitate punct pentru a face ajustări de securitate necoordonate pe parcursul acestor pași. Cea mai bună abordare este de a lua în considerare și de a răspunde la următoarele întrebări: Ce date colectăm despre utilizatorii noștri? Cum le colectăm? Cât de rapid le putem muta din punctul de colectare către centrul de date pentru procesare? Cum procesăm acele date și cât timp trebuie ca elementele de date să fie identificabile personal? Cât de repede putem renunța la toate sau la o parte din ceea ce am colectat? Cum putem proteja și pseudonimiza acele date într-un mod holistic și ușor de verificat? Organizația care abordează GDPR ca pe o re-imaginare a proceselor de afaceri, mai degrabă decât ca pe o erupție a cheltuielilor noi de securitate, va constata că beneficiile pe termen lung depășesc cu mult securitatea și că atitudinea lor generală in privința securității este mult îmbunătățită.
88
Catalog GDPR Ready
ANSSI implicată activ în conștientizarea și promovarea conformității GDPR Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administrative în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la
Toma Cîmpeanu
creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației.
ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații. Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului. ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instrumentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală. „În ultima perioadă ANSSI a avut o implicare activă în evenimentele și inițiativele legate de noul Regulament European de Protecție a Datelor Personale. Participarea la acest proiect de realizare a primului Catalog dedicat ofertelor GDPR din România prin materiale pregătite de câțiva dintre membrii noștri este un exemplu elocvent al implicării noastre în inițiativele comunității profesionale din România,” Toma Cîmpeanu, Director Executiv Asociația Națională pentru Securitatea Sistemelor Informatice În paginile care urmează vă prezentăm câteva dintre opiniile și recomandările făcute de câțiva dintre membrii ANSSI.
89
Catalog GDPR Ready
Cât de pregătiți sunteți pentru RGPD? de Diana Comanici Sunteți operator de date/persoană împuternicită de operator care procesează date ale cetățenilor din UE? Aveți un program implementat pentru protecția datelor și puteți dovedi alinierea la cerințele RGPD? Integrați cerințele privind protecția datelor și a confidențialității în crearea proceselor de business noi sau în dezvoltarea de sisteme/ aplicații noi? Realizați o monitorizare sistematică pe scară largă (inclusiv a datelor angajaților)? Procesați volume mari de date personale sensibile? Cum veți trata „dreptul de a fi uitat”, dreptul la portabilitatea datelor și dreptul de opoziție la crearea de profiluri ale persoanelor vizate? Sunteți în măsură să notificați ANSPDCP în cel mult 72 de ore de la producerea unei potențiale încălcări a securității datelor cu caracter personal? Indiferent în ce stadiu vă aflați, există câțiva pași de urmat pentru conformitatea cu RGPD. Pentru a putea fi aliniați la cerințele RGPD este vital să identificați care sunt toate datele cu caracter personal pe care le procesați în cadrul organizației, unde se afla acestea, de unde şi până unde circulă şi care sunt dispozitivele de securitate care controlează/ filtrează accesul la aceste date, pe toata durata lor de viață. Ca principale etape în procesul de aliniere la RGPD vă recomandăm: GDPR Quick Scan - este o evaluare rapidă/ workshop cu părțile cheie interesate de identificarea diferențelor fluxurilor principale, estimării de efort și durata de implementare. Analiză - Evaluarea completa a conformității cu cerințele RGPD – este o evaluare detaliată a conformității și maturității cu RGPD. Implementare - Implementarea Programului de Protecție a Datelor – este un program holistic pentru realizarea conformității cu RGPD. Între activitățile principale ale acestor etape se numără și realizarea Evaluării Impactului asupra Securității Datelor (DPIA) si Inventarul Datelor cu Caracter Personal (un inventar al datelor si fluxurilor de date din cadrul organizației). Diana COMANICI este Director Executiv la compania Smart Factor. Poate fi contactată la adresa: diana.comanici@smartfactor.ro
90
Catalog GDPR Ready
GDPR o bună ocazie pentru eficientizarea activității, nu o presiune în plus de Maria-Cristina Murgoci 25 mai 2018 este termenul-limită pentru intrarea în vigoare a noilor reglementări din Regulamentul General al Uniunii Europene cu privire la Protecția Datelor. În această perioadă premergătoare, companiile care știu să-și valorifice resursele și competențele, vor pune mai mult și mai pregnant accentul pe modalitățile de colectare, gestionare și asigurare a confidențialității pentru datele personale de pe platformele informatice deținute. Dacă în trecut acest aspect a fost tratat cu superficialitate de către unele companii sau instituții, acum este momentul ca fiecare deținător de date cu caracter sensibil, de la mic la mare, să pună în funcțiune un mecanism intern de bună practică și conformitate cu reglementările GDPR. Practic, tot ceea ce nu s-a putut realiza din lipsă de informații, resurse sau termene-limită, are acum oportunitatea celor mai bune implementări, nu atât sub imperiul amenzilor ce se vehiculează în caz de non-conformitate, ci mai ales din dorința firească de a pune lupa pe limitări și de a găsi soluții salvatoare, de care să beneficieze întreaga organizație, nu doar departamentele care sunt direct implicate în operațiunile cu date ce au caracter sensibil. Companiile care vor reuși să privească reglementările GDPR drept un prilej pentru eficientizarea activităților, nu doar ca pe o presiune în plus, se vor putea deschide și la întâmpinarea oportunităților care derivă din buna lor implementare. Într-adevăr sunt prevederi cu caracter obligatoriu, care presupun resurse și investiții bănești consistente. Însă, acestea vin și cu beneficii pentru mediul de afaceri, printre care amintim simplificarea și armonizarea la nivel juridic și administrativ a protecției datelor în Uniunea Europeană, precum și stimularea inovației pentru tehnologiile care asigură stocarea și protecția datelor. Departe de a fi doar un proces costisitor, asigurarea conformității cu noile măsuri GDPR este o etapă esențială de creștere și inovație pentru companiile care pot fructifica la maximum era digitală de astăzi. Maria-Cristina MURGOCI este Marketing Manager la compania Q-East Software. Prin soluțiile furnizate de management și securitate a sistemelor informatice, experții Q-East Software asigură companiilor și instituțiilor competențele necesare unor implementări eficiente pentru procesele de conformitate cu reglementările GDPR.
91
Catalog GDPR Ready
Noul regulament va face companiile mai responsabile pentru datele din posesia lor de Florin Răducu Informația a devenit accesibilă oricui. Vrei să o cauți pe Internet? E gratis… Vrei cont de e-mail? Gratis... Instant messaging? Gratis. Rețele de socializare? Gratis. Puține lucruri mai costă bani pe Internet. Și totuși companiile care oferă aceste servicii sunt printre cele mai bogate de pe pământ… Cum își fac banii? Cu noi sau, mai degrabă, cu datele noastre... E mai rentabil să colecteze și să furnizeze terților informații despre tine,
Florin Răducu
decât să îți vândă servicii. Multe companii au profitat de lejeritatea cu care ne oferim
datele personale pentru a câștiga bani, cote de piață și a construi noi modele de business. Ne expunem viața din ce în ce mai mult online și asta ne face vulnerabili. Astăzi criminalitatea cibernetică crește cu 38% în fiecare an, devenind a 2-a cea mai răspândită infracțiune economică. Noua legislație GDPR și, în special cuantumul amenzilor stabilite prin acest regulament vor face companiile să fie mai responsabile cu datele personale din posesia lor. Un milion de conturi hackuite nu vor mai reprezenta o simplă statistică, atât timp cât pierderea sau folosirea abuzivă a datelor unei singure persoane pot duce la închiderea businessului. Consecința: tehnologiile moderne de cyber security nu vor mai fi un „nice to have” ci un „must have”. Statistic, se dezvoltă un milion de noi feluri de malware în fiecare zi. Astăzi, timpul mediu în care un malware stă nedetectat într-o organizație este de 201 zile. Totuși, cu tehnologii moderne de EDR îl putem detecta în câteva secunde. În acest context, apare necesitatea unei schimbări a mentalității în privința modalității de apărare la un atac cibernetic. Organizațiile vor fi nevoite să facă trecerea de la o apărare cibernetică statică - de așteptare, la una dinamică - de prevenție, cu soluții de cyber security și cyber threat intelligence care le vor spune dacă sunt vizate de hackeri, modul în care vor fi atacate, momentul și durata atacului.
Florin RĂDUCU este Director General în cadrul companiei SmartFeel Solutions ce oferă soluții de securitate cibernetică și cyber threat intelligence sub brandul Cyberus și poate fi contactat la adresa: florin.raducu@cyberus.ro
92
get to know!
Lansare ianuarie 2018!